Az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, az érintett személyek védelmével foglalkozik. Nevével ellentétben tehát nem elsősorban az adatokat védjük, hanem azokat a személyeket, akikkel az adatok összeköthetők. A védelem eszközei között szerepelnek jogszabályok, eljárásrendek és szabályzatok, de akár technológiai eszközök is.

Az adatok kezelésére vonatkozó, 2018. május 25. napjától az egész Európai Unió területén egységesen alkalmazandó jogszabály a mindenki által ismert általános adatvédelmi rendelet (GDPR).

A személyes adat minden olyan információ, amely valamely azonosított vagy azonosítható élő személlyel kapcsolatos, vele összefüggésbe hozható. Tehát személyes adat lehet valakinek a neve, a telefonszáma, az email címe, de bizonyos körülmények között akár a testmagassága, vagy a neme, amennyiben például a szobában csupán egy férfi tartózkodik, vagy egyetlen magas, vagy éppen alacsony ember.

A személyes adatok kategóriáján belül különleges védelmet élveznek az úgynevezett különleges személyes adatok, vagyis olyan adatok, melyek kitudódása esetén az érintettet (akire vonatkozik), különösen nagy hátrány érhetné. Ezeknek az adatoknak a védelmét az általános adatvédelmi rendelet (GDPR) sokkal szigorúbban szabályozza, azok kezelése például alapesetben tilos. Ilyen adatok lehetnek a faja, nemre, vallási felekezethez-, vagy szakszervezethez való tartozásra vonatkozó adatok, az egészségügyi- vagy biometrikus adatok, valamint a szexuális orientációra vonatkozó adatok.

Sokszor halljuk, látjuk, hogy az „adatkezelők” vagy az „adatfeldolgozók” kötelesek erre vagy arra. Nézzük meg mi is az az adatkezelés, mi az adatfeldolgozás és mi a különbség a kettő között.

Adatkezelésnek nevezzük a személyes adatokon végzett bármely művelet vagy műveletek összességét, így a gyűjtést, rögzítést, rendszerezést, tárolást, megváltoztatást, lekérdezést, betekintést, felhasználást, közlést, továbbítást, terjesztést, stb. Tehát gyakorlatilag minden műveletet, mely a személyes adatokhoz kötődik.

Az adatkezelő az a személy vagy szervezet, aki/amely meghatározza az adatkezelés célját és eszközeit. Tehát például a munkáltató, aki a munkaviszony létrejöttéhez szükséges adatokat (születési adatok, bankszámlaszám, stb.) elkéri a munkavállalótól és azokat tárolj, használja a munkaviszony fennállása alatt.

Az adatfeldolgozó ezzel szemben az a személy vagy szervezet, aki az adatkezelő megbízásából, az ő általa meghatározott célból végez adatkezelési műveleteket az adatokon. Tehát adatfeldolgozó lesz egy telemarketing cég, aki egy termék gyártójának vagy forgalmazójának megbízásából felhívja az érintetteket azért, hogy vásárolják meg a terméket. De adatfeldolgozó lesz az a felhőtárhely szolgáltató is, ahol a szervezetünk az adatait tárolja.

Az adatvédelem számos szempontból lehet fontos, de nézzük a két legfontosabbat:

• szervezeti szinten, ha nem tartjuk be az adatkezelésre vonatkozó szabályokat, súlyos bírságok elé nézhet a szerveztünk, mely adott esetben azzal is járhat, hogy a szervezet „le is húzhatja a rolót”;
• egyén szintjén is fontos, mert ha a szervezet a felhasználó tevékenysége miatt sért normát, úgy munkaügyi fegyelmi felelőssége mellett más jellegű (polgári vagy büntető) felelőssége is megállapítható lehet

Az adatvédelmi incidens akkor következik be, amikor biztonsági incidens éri az adatokat, amelyekért szervezet felel.  A biztonsági esemény eredményeképpen sérül a bizalmasság (titoktartási kötelezettség), a rendelkezésre állás (hozzáférhetőség) vagy a sértetlenség (integritás). Az incidens kiváltó okaként az általános adatvédelmi rendelet (GDPR) nem határoz meg konkrét magatartást, tehát az kvázi bárhogy bekövetkezhet. Tehát leegyszerűsítve egy olyan nem várt esemény következik be, ami miatt az adatokat vagy nem lehet elérni (például törlődtek), vagy nem az eredeti formájukban lehet elérni (például megváltoztak vagy megváltoztatták őket), esetleg olyan emberek fértek hozzá, akiknek nem lett volna szabad.

Mivel az általános adatvédelmi rendelet (GDPR) nem határoz meg külön elkövetési módot, így lényegében bárhogy. Ez azt jelenti, hogy „papír alapon” is sérülhet az adatok bizalmassága (mert például egy HR osztályra belépő alkalmazott meglátja a kollégája fegyelmi aktáit), sértetlensége (mert például a bérfizetés alapjául szolgáló papír alapú jelenléti íven valaki beír magának +12 órát, az általa nem kedvelt kollégától pedig lehúz 10-et), vagy rendelkezésre állása (mert például a tavalyi adatvédelmi oktatáson aláírásukkal igazoltan részt vevő személyek listáját véletlenül ledarálja). Ugyanígy megtörténhet az online térben is; sérülhet az adatok bizalmassága (mert egy kolléga egy, az egyik ügyfélhez tartozó, személyes adatokat is tartalmazó listát egy másik ügyfél részére küld ki emailben), sérülhet az adatok rendelkezésre állása (mikor az egyik sértett alkalmazott az ügyfelekhez tartozó kontaktszemélyek adatait tartalmazó listát a kirúgásának napján visszaállíthatatlanul törli), vagy sértetlensége (mikor a személyes adatokat tartalmazó kontaktlistában a nevekhez tartozó címeket egy sorral eltolva rögzíti az ügyintéző).

Összegezve tehát:

• offline (papír alapon) és
• online (információs rendszerekben

is bekövetkezhet adatvédelmi incidens.

Bekövetkezhet:

• szándékos cselekmény következményeképp, vagy
• vétlen események miatt.

Természetesen mindenki, aki személyes adatokkal dolgozik, elkövethet adatvédelmi incidenst. Általában a legtriviálisabb dolgokból „jön a baj”; egy rosszul címzett email, vagy például egy továbbított email, mely olyan személyeknek kerül kiküldésre, akik nem lennének jogosultak az emailben található személyes adatok olvasására, esetleg egy rossz csatolmány, mikor egy rossz ügyféllistát csatolunk és küldünk meg más, vagy esetleg teljesen ismeretlen címzettnek, mert elgépeltük az email címet.

Természetesen vannak olyan esetek is, mikor egy szervezet adatbázisait „hekkerek feltörik”, az adatbázisban található információkhoz hozzáférnek. Vannak olyan adatbázisok, melyek nem tartalmaznak személyes adatokat, például csak termelési adatokhoz férnek hozzá az elkövetők, ilyenkor nem beszélhetünk adatvédelmi incidensről. Azonban előfordulhat, hogy olyan fájlokhoz férnek hozzá a támadók, melyek tartalmaznak személyes adatokat (például nevet, címet, telefonszámot, email címet, stb.), ilyenkor egyszerre beszélünk úgynevezett biztonsági eseményről és adatvédelmi incidensről.

A két fogalom eltérő, azonban lehet közös metszetük. Biztonsági eseményről beszélünk, ha információs rendszerben történik meg a baj, például oda illetéktelenek belépnek, adatokat törölnek vagy hozzáférnek ott tárolt adatokhoz. A biztonsági esemény bekövetkezéséhez nem kell feltétlenül személyes adatoknak is az érintett adatok között lenniük. Adatvédelmi incidens ellenben bekövetkezhet „offline”, tehát papír alapú dokumentumok esetén, de bekövetkezhet „online” is, tehát információs rendszerek érintettsége mellett, azonban mindenképpen szükséges, hogy személyes adatokat érintsen az eset.

Például egy nagy autói vállalat rendszereit illetéktelenek feltörik és onnan, kizárólag a termelési adatokat (például napi hány autóülés került legyártásra, milyen típusú autókba) lopnak el. Ez esetben kizárólag biztonsági eseményről beszélünk, mivel nincsen személyes adat érintettség.

Például egy nagyvállalat rendszereit illetéktelenek feltörik és onnan a munkavállalók adatait is tartalmazó (név, születési adatok, telefonszám, TAJ szám és fizetési adatok) listákat lopnak el. Ez esetben egyszerre biztonsági esemény és adatvédelmi incidens is bekövetkezik.

Például egy nagyvállalat egyik alkalmazottja véletlenül egy beszállítókra, valamint partnerekre vonatkozó kontaktlistát (név, telefonszám, titulus, partneri minősítés) csatol egy banki információkérésre válaszul. Ez esetben kizárólag adatvédelmi incidens történik, mivel személyes adatok érintettsége merül fel.

Az adatvédelmi incidens bekövetkezése esetén az érintett szervezetre a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) közigazgatási bírságot szabhat ki, melynek mértéke legfeljebb a vállalkozás előző éves világpiaci forgalmának 4%-a, vagy maximum 20 000 000 EUR.

Az adatvédelmi incidens bekövetkezése esetén azt főszabály szerint be kell jelenteni a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) részére a tudomásjelzéstől számított 72 órán belül.

Nem kell bejelenteni a hatóság részére, ha valószínűsíthetően nem jár negatív hatással a személyes adatok kitudódása az érintettekre (például ilyen lehet, ha az ellopott adatbázis titkosítva volt, így a kiberbűnözők csak értelmezhetetlen adatokat látnak).

Amennyiben súlyos hatása van vagy lehet az érintettekre az incidensnek, úgy magukat az érintetteket is tájékoztatni kell a hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) mellett. Tipikusan ilyen lehet, ha például egy egészségügyi szolgáltatót törnek fel és ezzel különleges (egészségügyi) adatok kerülnek illetéktelen kezekbe.

Sokan keverik az adatvédelemmel, ám eltérő fogalom. Az adatbiztonság az adatok védelmének megszervezése mindenféle technikai, szervezési és adminisztratív eszközzel. Az adatok biztonságát nem csak az informatikai térben, de a fizikai térben is meg kell szerveznünk, hiszen egy papír alapú szerződés eltűnése épp akkora probléma lehet, mintha az elektronikus formában kerül törlésre.

Az információbiztonság az információk bizalmasságának, sértetlenségének és rendelkezésre állásának megóvására tett intézkedések összessége.

Lényegében annak garantálása, hogy az egyes információkhoz csak a megfelelő jogosultsággal rendelkező személyek, a jogosultsági szintjüknek megfelelően férhetnek hozzá. Egy példán szemléltetve, az Ön munkaszerződéséhez csak a HR és a pénzügy férhet hozzá, de például a gyártási vagy call center területen dolgozó személyek nem.

Lényegében annak garantálása, hogy az egyes információk megegyeznek az eredeti tartalmukkal és formájukkal. Egy példán szemléltetve, az Ön munkaszerződének munkáltatónál lévő példánya megegyezik az Önnél lévő példánnyal.

Lényegében annak garantálása, hogy az egyes információk és rendszerek elérhetőek, amikor kellenek. Egy példán szemléltetve, 10-én a pénzügyi rendszereknek működőképesnek kell lenniük, hogy a munkabérek kifizetése megtörténhessen.

A szervezetek számára számtalan hátránnyal járhat, ha nem biztosítja a megfelelő szintű biztonságot. Ilyenek lehetnek az üzleti adatok kikerülése, ellopása, pénzügyi adatok kikerülése, etc. Másrészt egyes szervezetek esetén egyenesen jogszabályi kötelezettség bizonyos adat- és információbiztonsági követelmények betartása.

Az adat a XXI. század olaja, hangzik a mondás. A magánéletünk védelme mellett az anyagi javaink védelme is roppant fontos, ezért védjük meg az adatainkat, mert az azzal visszaélő kiberbűnözők komoly szociális és anyagi károkat okozhatnak nekünk. Egy gyenge jelszó miatt ellopott közösségi médiafiók a kiberbűnözőknek csak 20-40 USD-t ér, azonban nekünk ennél sokkal többet. Egy hamis weboldalon begépelt bankkártyaadatokkal pedig akár egy egész élet munkájának megtakarítását kockáztatjuk. A Magyar Nemzeti Bank adatai szerint naponta egy család teljes vagyona tűnik el a csalók miatt.

Természetesen, azonban a tudatosság hiánya okán számtalan nem várt, negatív következménnyel számolhatunk. Ezek egy része kimondottan személyünkhöz kötődik; ha nem tartjuk tudatosan minimális szinten az interneten megadott adatainkat, úgy a kiadott adataink okán számtalan adathalász üzenet és hívás érkezhet, rengeteg levélszemét (spam) landolhat a levelesládánkban, valamint nagyobb eséllyel érhet minket célzott adathalász támadás is. Szervezeti szinten pedig, ha nem vigyázunk könnyen milliós károkat okozhatunk a szervezetünknek, melynek akár elbocsájtás is lehet a vége.

Ha tudatosan használjuk az egyéni és szervezeti eszközeinket, időt fordítunk a megfelelő beállításokra, az általában valóban időigényesebb. Az elején. Azonban számtalan kellemetlen pillanattól kímélhet meg minket, mely hosszútávon nagyon sok időt és pénzt takaríthat meg nekünk.

A social engineering (pszichológiai manipuláció) lényege, hogy egy személyt olyasmire kell rávenni, ami lehetővé teszi a hacker számára, hogy hozzáférjen információkhoz vagy az hálózatához. Tehát a social engineering során a támadók valamilyen ürüggyel, hazugággal, fenyegetéssel, nyeremény ígéretével arra veszik rá a célszemélyt, hogy valamit tegyen vagy éppen ne tegyen annak érdekében, hogy ők a rendszerekhez, adatokhoz hozzáférjenek. Tipikusan ilyen lehet egy adathalász link mögött megbúvó csaló weboldal, melyen begépeljük a valódi weboldalhoz tartozó belépési adatainkat.

A támadók számtalan módszert és technikát kidolgoztak az évek során. Alapvetően két megközelítés lehetséges:

• aktív, mikor a támadók a fizikai térben is aktív módon cselekszenek (pl. bemegy egy épületbe trükkel, csalással, stb.)
• passzív, mikor a támadók a szobájuk rejtekéből, az előre elkészített adathalász levelek és hamis weboldalak vagy kártékony kódok szétküldése után várnak, hogy valaki horogra akadjon.

A legismertebb technikák:

• phishing (adathalászat)
• whaling / spare phishing (célzott adathalászat)
• smishing (SMS adathalászat)
• vishing (telefonos adathalászat)
• baiting (beetetés)
• piggybacking/tailgating (besurranás)
• pretexting (ürügy)
• Business Email Compromise (BEC) (vezetők megszemélyesítése)

Alapvetően bárki áldozatul eshet ezeknek a támadásoknak. Az adathalász leveleket számtalan nyelvre lefordítva milliószámra küldik ki a támadók. Azonban vannak olyan támadások is, pl. a spare phishing, a BEC vagy baiting, mely esetben konkrét célszemélyre dolgoznak a támadók. Ez lehet azért, mert az anyagi helyzete vagy a pozíciója miatt potenciált látnak benne, de azért is előfordulhat, mert egy célzott szervezetnél, vállalatnál dolgozik, és a felhasználói adatait megszerezve könnyebben be tudnak lépni az adott rendszerekbe.

A célja általában a közvetlen pénzszerzés, tehát például, hogy adjuk meg a banki adatainkat, bankkártya adatainkat a valódira megtévesztésig hasonló weboldalon, esetleg adjuk meg a belépési adatainkat egyes streaming szolgáltatásokhoz, melyeket később a támadók fillérekért értékesíthetnek tovább a dark weben. De lehetséges, hogy a hozzáférési adataink később, egy nagyobb támadáshoz szükségesek. Ilyenkor nem az azonnali gyors profit a támadók célja, hanem egy nagyobb terv végrehajtásához nélkülözhetetlenek például a céges belépési adataink.

A szokásos adathalász üzenetekkel (adathalász csomagküldős SMS, nigériai herceg email, stb.) már mind találkoztunk, ezeket könnyű is kiszúrni, mivel vagy a link hamisságából vagy már a rossz magyarsággal megírt üzenetből, esetleg a küldő címéből rájöhetünk, hogy adathalász levéllel van dolgunk. A célzott támadásokat azonban sokkal nehezebb kiszúrnunk, mivel itt a támadók akár még a küldő email címét is le tudják másolni. Itt mindig az éberségünkre vagyunk utalva, ezért fontos, hogy:

• bizonyosodjunk meg a küldőről és a tartalomról egy másik csatornán,
• ne engedjünk az időnyomásnak, fenyegetésnek,
• ne dőljünk be a túl jól hangzó ajánlatoknak.

Igen. Nem célzott támadásnak nevezzük a milliószámra szétküldött potencianövelőt reklámozó emaileket, a csomagküldős SMS-eket, melyekről már messziről látszik, hogy adathalász üzenetek. Léteznek azonban célzott támadások is, melyek esetén a támadók már ismerik a szokásainkat, a dolgokat, amiket kedvelünk, netán a céget, ahol dolgozunk, és ezen információk felhasználásával egy hihető történetet kreálnak, melyet már sokkal nehezebb felismerünk.

Az adathalász levelekben, üzenetekben szinte mindig található egy csatolmány vagy link, hiszen az üzenet önmagában nem káros. A levél vagy üzenet szövege sugallja, hogy a linkre kell kattintanunk (mert például felfüggesztik a bankkártyánkat, nem ér ide a rendelt csomagunk, stb.) vagy le kell töltenünk a csatolmányt (mert például ebben található egy telepítendő szoftver, mely megvédi a számítógépünket, stb.). A linkek általában egy, a valódival szolgáltatóval megegyező weboldalra visznek minket, ahol szokásos módon belépési vadatokat (felhasználónév, email cím, jelszó) kérnek, vagy banki, esetleg bankkártya adatokat (kártyaszám, lejárat, CVC kód, stb.). A letölthető csatolmányok pedig általában kártékony kódot tartalmaznak, melyek megfertőzhetik a számítógépünket.

A social engineering támadások szinte mindegyikére jellemző, legalább egy az alábbiak közül, legyen szó SMS-ben, email-ben vagy telefonon zajló támadásról:

• időnyomás, sürgető hangnem (csak most, csak Önnek él az ajánlat, de csak 30 percig, vagy csak az első 100 vásárlónak)
• hivatalra való hivatkozás (például rendőrség, bankbiztonság, stb. nevében keresnek meg minket)
• érzékeny információk kérése (legyen szó banki, bankkártyás vagy bejelentkezési adatokról, még úgy is, hogy jogosnak tűnik az adatok kérése)
• túl jól hangzó ajánlat (a legújabb csúcskészülék féláron, vagy egy hónap alatt megduplázható befektetés, stb.)
• rossz nyelvezet (magázás és tegezés keverése, keresztnevünkön való megszólítás magázás esetén, stb.),
• furcsa feladó (például külföldi telefonszámról a Magyar Posta nevében érkező SMS; a Microsoft nevében, de a [email protected]ól érkező email, stb.)

A kiberbűnözők több módszert használhatnak az adathalász üzenetek eljuttatására. Az általában elterjedt módszerek:

• email (például adategyeztetésre, vagy nyereményre hivatkozva)
• SMS (például csomagérkezésre hivatkozva)
• telefonhívás (például különös pénzügyi tranzakciókra hivatkozva)
• akár social média felületeken vagy üzenetküldő applikációkban

Ezeknek a kapcsolatfelvételi módszereknek a célja minden esetben, hogy Ön adatokat adjon meg.

Természetesen. Ma már nagyon gyakori, hogy a használt cikkek cseréjére, eladására szánt felületeken (Facebook Marketplace, Vinted, stb.) találnak meg minket a csalók. Ilyenkor általában rossz magyarsággal arra próbálnak minket rávenni, hogy adjuk meg adatainkat, illetve bankkártya számunkat egy nagy csomagküldő cég arculati elemeivel ellátott, de hamis weboldalon, mondván a csomag feladását nekünk kell intéznünk, azonban ők majd visszatérítik az árát. Amennyiben megadjuk az adatainkat, a csalók máris komolyabb összegekkel terhelhetik meg a kártyánkat, valamint a megadott személyes adatainkkal visszaélhetnek, esetleg újabb, már célzottabb támadásokat intézhetnek ellenünk.

Az adatok sokrétűek lehetnek, melyek a kiberbűnözők szándékától függnek, de leggyakrabban:

• fiókadatok (email, streaming szolgáltatói adatok, etc.)
• pénzügyi adatok (bankkártya adatok, számlaadatok, etc.)

Mivel minden ilyen szolgáltatáshoz szükséges legalább egy felhasználónév/email cím és egy jelszó, így ezeket szeretnék kicsalni tőlünk.

Bárki és bármikor áldozatul eshet adathalász támadásoknak, mivel milliószámra küldik ki ezeket az emaileket, SMS-eket a csalók. Elég, ha az email címünk vagy telefonszámunk szerepel egy adatbázisban és azonnal potenciális áldozatokká válhatunk. A csalóknak mindegy, hogy egy nagyvállalat vezérigazgatója, vagy egy pék utalja át nekik a követelt kriptovalutát, vagy adja meg a streaming fiókjának belépési adatait. Egyes csoportokat (például gazdagabb országok lakosai, vagy bizonyos szolgáltatásra előfizetők) nagyobb eséllyel bombázhatnak az elkövetők, joggal bízva abban, hogy több adatot (például több szolgáltatás esetén ugyanaz a felhasználónév és jelszó), vagy nagyobb összeget zsákmányolhatnak

Nem, vannak úgynevezett célzott támadások, mikor az elkövetők direkt Önt, vagy az Ön szervezetét célozzák. Ez esetben komoly nyomozást folytathatnak, így az Ön érdeklődési körének megfelelő, nehezen felismerhető üzenetet tudnak készíteni, illetve olyan helyzetet teremteni, mely nem tér el az elvárttól. Emiatt mindig legyünk kritikusak és próbáljunk utánajárni a megkeresésben foglaltaknak.

A legfontosabb, hogy figyeljünk a részletekre. Tegyük fel magunknak a kérdést, hogy valóban vártunk-e ilyen üzenetet (például csomag érkezésével kapcsolatos SMS érkezik, holott nem is rendeltünk semmit, vagy nyereményről szóló email érkezik, holott nem is vettünk részt nyereményjátékban). Emellett figyeljünk a nyelvezetre, a címzésre, valamint a küldő email címére. Sokszor ezeknek az üzeneteknek a nyelvezete nem professzionális, sokszor rossz a címzés (például a vezetéknevünkön szólítva tegeznek), illetve az email címek is csupán emlékeztetnek a valódi szolgáltató email címére (például [email protected], ahol az L betű valójában egy nagy I betű).

Attól függ, hogy a kiberbűnözők milyen támadást terveznek, de az alábbi kettő plusz egy típus a jellemző:

• adathalász (hamis) weboldalra irányít minket, ahol a figyelmetlenségünket kihasználva begépeljük az adatainkat, mivel azt hisszük a valódi szolgáltató weboldalán vagyunk, vagy
• kártékony kódot (köznapi szóhasználatban vírust) tartalmazó csatolmányt tartalmaz az üzenet, melyet figyelmetlenségünk esetén letöltünk és futtatunk,
• tartalmazhat olyan kártékony kódot is, mely automatikusan továbbítja az üzenetet a névjegyzékünkben szereplő minden kontaktnak (SMS, email, közösségi médiás vagy egyéb üzenetküldő applikációban).

A kiberbűnözők tömegével küldenek adathalász leveleket, így bármelyikünk, bármikor kaphat egy kéretlen emailt vagy SMS-t. Ezek a kéretlen levelek gyakran csatolt fájlokat tartalmazhatnak, melyek rejthetnek kártékony kódokat, így azokat sohase töltsük le, ne nyissuk meg. Gyakran a levelek linkeket tartalmaznak, melyek hamis, megtévesztő weboldalakra irányíthatnak minket, ahol az adatainkat kérik (pl. bankkártya adatok). Ezért soha ne kattintsunk ismeretlen feladótól érkező email-ben vagy SMS-ben található linkekre. A legjobb, ha azonnal kitöröljük ezeket a leveleket.

Az adathalász üzenetekben rejlő linkek négy módon jelenhetnek meg:

• teljes, az eredeti weboldalra megtévesztési hasonító linkek, pl. magyarorszag.gov.hu helyett magyarorszag.qov.hu
• úgynevezett rövidített linkek, pl. https://t.ly/tq7K
• kattintható, kép mögé rejtett úgynevezett hiperhivatkozások
• valamilyen más, pl. QR kód mögé rejtett hivatkozások

Az ilyen esetekben inkább ne kattintsunk rájuk, hiszen maga a weboldal is rejthet magában veszélyeket, nem csupán az adataink megadása. Amennyiben mégis meglátogattuk azokat, alaposan nézzük meg az URL-t, mert a kiberbűnözők sokszor az eredetire megtévesztő weboldal mellett annak elérési útvonala esetén is hasonló címet alkalmaznak. A fontos ügyintézés során felkeresendő weboldalakat mindig a böngészőből nyissuk meg, begépelve a jól megszokott és valós URL-t, sosem a linkre kattintva tegyük.

A weboldalak tartalmát nagyon könnyű „ellopni”, így bármikor készíthető az eredetivel közel megegyező megjelenésű weboldal. A kiberbűnözők emellett gyakran nagyon hasonló elérési útvonalú domain neveket vásárolnak, hogy megtévesszék a felhasználókat.

Az URL-ek három részből állnak, az első előtag az úgynevezett protokoll, mely lehet http vagy https. Ezt követi a domain név, mint például a blackcell.io. A harmadik rész az elérési út, mely a weboldalon lévő egyes tartalmakat választja el.

https://blackcell.io/contact-us/

A hamis weboldalak esetén a kiberbűnözők több módot is alkalmazhatnak, a leggyakrabban az eredetire megtévesztési hasonló weboldalt készítenek. Példánknál maradva a blackcell.io esetében lehetne a bIackcell.io. Ugyan nem tűnik fel a különbség, de a második esetben az L betű helyett egy nagy I betű található. A másik hasonló módszer, hogy más domain nevet használnak és ha nem vagyunk szemfülesek, bedőlhetünk neki. Ilyen lehet például a https://blackcell.io.hu/contact-us Jól látható, hogy a valós .io helyett ez egy .hu végződésű URL.

A legfontosabb, hogy soha ne egy kapott linkről nyissuk meg a weboldalt, inkább gépeljük azt be a böngészőnk címsorába mi magunk. Amennyiben viszont már a weboldalon vagyunk, keressünk árulkodó jeleket. Ilyenek lehetnek:

• a valóditól eltérő URL cím,
• helytelen, nem professzionális szövegezés, szövegtördelés,
• hiányzó adatok, például adatvédelmi nyilatkozat, ÁSZF,
• egyes weboldali funkciók (például más aloldalra vezető gombok) nem működnek

Amennyiben ezek közül bármelyiket tapasztaljuk, azonnal hagyjuk el az oldalt.

A kiberbűnözők célja lehet önmagában az adatszerzés, vagy a pénzszerzés. Amennyiben „csak” adatot kívánnak szerezni, úgy általában egy regisztrációs formanyomtatványt kell kitöltenie, vagy a „streaming szolgáltatójának” fiókjába kell bejelentkeznie. Ezeket az adatokat később a kiberbűnözők pénzzé teszik. A másik tipikus csalási forma, amikor rögtön a pénzre hajtanak, így egy bankkártyás fizetésre hajazó weboldalt készítenek, ahol Önnek meg kell adnia a kártya adatait, amivel a csalók már vígan rendelkezhetnek.

A csalók, akik az oldalt létrehozták láthatják az általunk begépelt adatokat. Így gyakorlatilag önként és instant módon adjuk át nekik az adatainkat.

A csalók természetesen számtalan okból akarhatják megszerezni az adatainkat, de a legáltalánosabb a pénzszerzés. Az ellopott adatainkat az úgynevezett dark neten (sötét weben) teszik pénzzé. 2022-ben egy ellopott közösségi média fiók ára 25-45 USD, egy zenei streaming szolgáltató fiókja 1 USD, egy 1 éves filmes streaming szolgáltató előfizetése 4-25 USD, egy new yorki jogosítvány 70 USD, 10 millió amerikai email cím 120 USD. Az árak – feltehetően az egyre nagyobb mennyiségű adat okán – évről évre csökkennek, sőt, az adatok többsége 40%-os „áresésen” ment keresztül egy év alatt.

Az alábbiakban összeszedtünk pár technikát, mellyel könnyen védekezhetünk az adathalász emailek (phishing), az adathalász telefonok (vishing), valamint SMS-ek és egyéb üzenetek (smishing) ellen:

Phishing elleni védekezés:

• Legyen körültekintő: Ne kattintson gyanús e-mailekre vagy linkekre. Ellenőrizze az e-mailek és linkek hitelességét, és legyen óvatos az ismeretlen feladóktól érkező üzenetekkel szemben.
• Ellenőrizze az URL-t: Mindig ellenőrizze az URL-t, mielőtt személyes adatokat vagy bejelentkezési információkat megad. Győződjön meg róla, hogy a webhely biztonságos és megbízható.

Vishing (telefonhíváson keresztüli adathalászat) elleni védekezés:

• Soha ne adja ki a személyes vagy pénzügyi információit telefonon keresztül, kivéve, ha Ön indította a hívást egy megbízható szolgáltatóhoz vagy bankhoz.
• Legyen gyanakvó: Kérjen visszaigazolást a hívás eredetiségéről, például a szolgáltató vagy bank hivatalos ügyfélszolgálati számán keresztül.
• Ne hagyjon üzeneteket: Ha valaki telefonon keresi, és kér személyes adatokat, ne hagyjon üzenetet válaszban. Ehelyett saját maga hívja vissza a hivatalos telefonszámon, hogy ellenőrizhesse a kérés valódiságát.
• Soha ne válaszoljon külföldi, ismeretlen hívásra: A csalók sokszor külföldi számokról próbálkoznak (például: +44).

Smishing (SMS-en keresztüli adathalászat) elleni védekezés:

• Legyen óvatos az SMS-ekkel: Ne kattintson a gyanús SMS-ekre/egyéb üzenetekre vagy azokban szereplő linkekre, illetve ne válaszoljon rájuk. Ellenőrizze az üzenet forrását és a tartalmát, mielőtt bármilyen információt megad.
• Ne ossza meg személyes adatait: Sose küldjön személyes vagy pénzügyi információkat SMS-ben, hacsak nem biztos a feladó hitelességében.

De a legfontosabb, minden esetben legyen kétkedő. A csalók általában valami hihető, sokszor ijesztő és nyomás alá helyező történettel állnak elő, mely minden emberben hasonló reakciókat váltana ki (például veszélyben van az élete, a teljes megtakarítása, etc.). Ilyenkor a gondolkodásunk beszűkül, azonban ekkor is próbáljuk megőrizni a hidegvérünket és gondolkodjunk el a helyzet valódiságán, hihetőségén.

Minden vállalat számára fontos, hogy vagyontárgyait biztonságban tudhassa. Ezek közül kiemelkedő lehet az adatokat, információkat tartalmazó eszközeinek védelme, hiszen azokon olyan kényes, szenzitív adatok lehetnek, melyek nyilvánosságra jutását a vállalatok szeretnék megelőzni. Ennek érdekében az ilyen rendszereket tartalmazó létesítményekbe való bejutást ellenőrizniük kell, többek között ezért is kell kártyákat, kódokat és kulcsokat birtokolnunk a bejutáshoz. Az objektumok védelme mellett érdemes az egyes zónák megközelíthetőségét is korlátoznia a vállalatoknak, hiszen lehetnek olyan terek, melyekbe való bejutás nem minden munkavállalónak szükséges. Hasonlóan kell eljárnunk az otthonunkban is, hiszen nem célszerű, ha a vendégeink hozzáférhetnek a számítógépünkhöz, adattárolóinkhoz.  

A vállalatoknak érdemes megszervezniük a be- és kiszállítás ellenőrzését is, hiszen sok esetben a támadók álcázva próbálnak bejutni az objektumokba, ellenőrzött területekre. Tipikusan ilyen álca lehet a futár (étel, csomag, stb.), mivel ezen személyek esetében a portaszolgálatnak eszébe sem jut, hogy akár ártó szándékú hekkerek ölthetik fel az egyenruhát. Az ilyen személyek egyes adathordozókat vihetnek ki az épületből, de akár adathordozókat, kártékony kódokat tartalmazó eszközöket juttathatnak be az épületekbe. Ugyanígy érdemes eljárnunk otthoni környezetben is, hiszen támadás nélkül, csak az eszközök puszta ellopásával is komoly kár érhet minket.

Az eszközökhöz és rendszerekhez való hozzáférés minden esetben kritikus, hiszen aki az eszközhöz hozzáfér, az gyakorlatilag bármit véghezvihet rajta, akár egy kártékony kódot tartalmazó eszköz csatlakoztathat hozzá, akár adatot lophat, de esetleg műveleteket is végezhet a nevünkben. Nemcsak vállalati, de otthoni környezetben is fontos, hogy korlátozzuk az eszközeinkhez való hozzáférést, kiváltképp, ha munkaeszközről van szó. Nem feltétlenül ártó szándékkal, de akár a gyermekünk, testvérünk vagy barátunk is okozhat komoly galibát (például adatok vétlen törlése, beállítás megváltoztatása, stb.). A COVID alatt történt, hogy egy amerikai ügyvéd egy videokonferencián tartott tárgyalásra jelentkezett be egy, a gyermeke által beállított macskás filterrel, melyet nem tudott kikapcsolni, nem kevés humoros percet okozva ezzel a résztvevőknek (forrás: Telex: „Nem vagyok macska” – mondta a texasi ügyvéd, aki véletlenül macskás filterrel csatlakozott egy online bírósági tárgyaláshoz)

A fizikai eszközeink biztonságát mindenkor biztosítanunk kell, azonban kimondottan fontos azon esetekben, mikor azok kikerülnek a birtokunkból. Különösen szükség lehet erre olyan esetekben, ha mi magunk nem tartózkodunk az eszközök közelében, például mert éppen nyaralunk, s erről számtalan posztot osztunk meg a közösségi médiában. Érdemes ezeket kerülni, valamint a megosztásokat csak később, a nyaralás végeztével megejteni, hiszen ilyen esetben konkrétan kiírjuk, hogy minden vagyontárgyunk őrizetlenül hagyva pihen otthon, miközben mi száz és ezer kilométerekre vagyunk tőlük.

A hordozható vagy mobileszközök olyan informatikai eszközök, melyek adatok tárolására vagy adatok feldolgozására használatosak, továbbá alkalmasak arra, hogy azokat nem helyhez kötött módon használjuk (például laptopok, mobiltelefonok, tabletek stb.).

A mobileszközökben rejlő legnagyobb veszély, hogy hordozhatóságuk, valamint méretük és értékük okán azok elveszhetnek vagy azokat eltulajdoníthatják. Ez önmagában is komoly probléma, azonban, ha az azokon tárolt adatok nincsenek megfelelően védve, a bűnözők nem csak magát az eszközt szerezhetik meg, de az azokon tárolt adatokat, így fényképeket, dokumentumokat is. Ezek egy része lehet személyes felhasználású, de lehetnek köztük szervezeti információk vagy pénzügyi információk is. Emellett a kompakt funkcionalitásukban is lehetnek veszélyek, például egy okostelefon kamerájával káros kódokat tartalmazó weboldalakra mutató QR kód is beolvasható.

A megtalálók vagy bűnözők számtalan módon visszaélhetnek az eszközön található adatokkal. Szervezeti adatok esetében azokat direkt módon felhasználva pénzügyi műveleteket végezhetek, más szervezetekkel kapcsolatban csalásokat követhetnek el. Személyes információk esetén szintén a tárolt adatokhoz kapcsolódik a lehetőség, de bizonyos információk esetén a zsarolás vagy a csalás lehetősége is felmerülhet.

Amennyiben szervezeti eszközről van szó, úgy ennek technikai védelméről a szervezet gondoskodik (ez különböző programok feltelepítésével érhető el). Ön is sokat tud tenni az eszközök fizikai védelméért, mellyel meggátolhatja azok elhagyását vagy eltulajdonítását. Ilyenek lehetnek például, ha folyamatos felügyelet alatt vannak az eszközök, azokat mindig kézipoggyászban tárolva szállítja, továbbá azokat minden esetben zárolja, mikor nem használja. Emellett fontos, hogy a lehető legerősebb nyitás elleni védelemmel lássuk el, például biometrikus (ujjlenyomat vagy arcfelismerés) képernyőzárolással.

Érdemes az eszközökön teljes lemeztitkosítást eszközölni, így elhagyás vagy ellopás esetén az azokon tárolt adatokhoz illetéktelenek nem tudnak hozzáférni. Emellett eszközeinket minden esetben zároljuk, ha nem használjuk őket, még a családtagjainknak se engedjük meg használni a munkahelyi laptopunkat, mert akaratunkon kívül is veszélynek tehetjük ki a szervezetünk egészét, vagy a saját eszközünket.

A hordozható eszközeinkre napi szinten töltünk le programokat, applikációkat. Ezek nagyban megkönnyítik az életünket, azonban óvatosnak kell lennünk velük, mivel ezek a programok tartalmazhatnak úgynevezett káros kódokat, hétköznapi szóhasználatban „vírusokat”, melyek funkciója lehet az eszköz szándékos rongálása mellett adatlopás, vagy akár kripto bányászat is. Ilyen esetben az adataink rossz kezekbe kerülhetnek, akár az összes begépelt adatunkba (például a banki belépési azonosítóink, vagy a kapott banki megerősítő SMS is) bepillantást nyerhetnek a kiberbűnözők. Ezért soha ne töltsünk le programokat, applikációkat külső forrásból, kizárólag a dedikált szoftverboltot használjuk (Apple Store, Google Play, Huawei Store, Microsoft Store).  

Alapvetően a hivatalos szoftverboltokba nagyon ritkán kerülnek káros kódot (hétköznapi nevén vírust) tartalmazó programok, mivel azokat előtte a gyártók és a szoftverbolt is teszteli. Azonban néha felröppennek hírek, hogy ilyen applikációkat találtak, melyet akár több millióan is telepítettek addigra. Érdemes átgondolnunk, hogy milyen programot telepítünk, megbízható-e a gyártó (például egy honlap nélküli külföldi gyártó), szükségünk van-e valóban a programra (például az 56. Candy Crush szerű játék), olyan funkciót tölt-e be, amit a telefonunk operációs rendszere nem tud (például zseblámpa funkciók kínáló appok százával találhatóak, pedig minden gyártó beépítette ezt a funkciót már az alapprogramba). Árulkodó lehet az applikáció neve, vagy logója (például nagyon hasonlít egy sikeres appra, bár nem az), illetve az, hogy mihez kér hozzáférést telepítés után. Ezt mi is könnyen végig gondolhatjuk, például, ha arra gondolunk miért kér hozzáférést egy zseblámpa applikáció a telefonkönyvünkhöz. Egy szó, mint száz; kizárólag a hivatalos szoftverboltból telepítsünk bármit, továbbá ne telepítsünk felesleges és megjelenésében is „gagyi” applikációkat, programokat.

Amennyiben szervezeti eszközről van szó, azonnal értesítse az eszközök kezeléséért felelős személyt vagy szervezeti egységet. Amennyiben saját eszközről van szó, úgy próbálja meg megkeresni a fiókjába belépve. Ezt a funkciót a legtöbb okostelefon gyártója már alapértelmezetten támogatja. Emellett, amennyiben az adatok nem voltak biztonságosan tárolva, vagy bizalmas adatokat tárolt rajta, érdemes távolról törölni a készüléket, ezzel megsemmisítve azokat. Természetesen, amennyiben bűncselekmény okán (lopás, rablás) tűnt el a készülékünk, úgy tegyünk feljelentést.

Kártékony kód az összefoglaló neve minden ártó szándékú, rosszindulatú szoftvernek, futtatható programnak. A köznapi nyelv ezeket mind vírusnak hívja, úgy, mint „vírusos lett a számítógépem”, „talált egy vírust a vírusirtó”, stb. A vírus azonban csak egy típusa a kártékony kódoknak. Számtalan típusa van kártékony kódoknak, aszerint, hogy mi a célja (például kizárólag a rombolás, az adatlopás, az adatok titkosítása majd pénzért való feloldása, stb.) vagy aszerint, hogy milyen módon terjed, milyen módon fejti ki a hatását.

Lényegében a kártékony kódok minden esetben az alábbiak közül legalább egyet csinálnak:

• adatokat lopnak el,
• adatokat törölnek,
• adatokat titkosítanak,
• rendszereket, hálózatokat tesznek elérhetetlenné.

Tehát a kártékony kóddal fertőzött eszköz vagy az azon található adatok elérhetetlenek lehetnek, valamint a fertőzés terjedésével a hálózatba kötött eszközök mindegyike, sőt akár a szerverek esetén is elképzelhető a fenti mechanizmus.

A kártékony kódok önmagukban futtatható állományok (például .exe, .bat, stb.), vagy más fájlokban (például .docx, .xlsx) rejtőzhetnek.

A kártékony kódok leggyakrabban az alábbi módokon terjednek:

• fertőzött csatolmányok (email, üzenetküldő alkalmazás, stb.)
• ismeretlen forrásból származó fertőzött fájlok letöltésével (például kalóz szoftverekben, linkről megnyitott webről letöltött szoftver, stb.)
• egyéb, sokkal szofisztikáltabb módon (például fertőzött weboldalon keresztül a weboldal megnyitásával, stb.)

A kártékony kódok nem csak a számítógépünket fertőzhetik meg, de akár okostelefonjainkat, egyéb eszközeinket. A szervezetek számára különösen veszélyesek ezek a rosszindulatú szoftverek, mert akár a szervezet működését biztosító szervereket is megfertőzhetik, megbénítva ezzel a teljes szervezeti infrastruktúrát, vagy ellehetetlenítve a szervezet által nyújtott szolgáltatást.

A kártékony kódok legismertebb pár fajtája (annak függvényében, hogy miként terjednek, miként fertőznek) az alábbi:

• vírus (olyan kártevő program, amely saját másolatait helyezi el más programokban vagy dokumentumokban. Itt számtalan dolgot csinálhat; lemásolhat fájlokat, azokban kárt tehet, letörölheti őket, mellyel megakadályozza vagy lelassítja a rendszer működését),
• féreg vagy angol nevén worm (egy önsokszorosító számítógépes program, amely képes arra, hogy önállóan működjön. A férgek gyakran a számítógép-hálózatokat használják fel terjedésükhöz és számos tevékenységre beprogramozható (pl.: fájlok törlésére)),
• adware (olyan szoftverek, amelyek bevételt generálnak fejlesztőnek. Egyes hirdetések kémprogramként (spyware) is működnek és adatokat gyűjtenek és továbbítanak a felhasználóról, hogy aztán eladják vagy felhasználják őket célzott reklámozáshoz, vagy felhasználói profilalkotáshoz),
• trójai (olyan program, ami látszólag hasznos, de vagy önmagában kártékony, vagy káros programok számára kaput nyit az általunk használt eszközön),
• kémprogram vagy angolul spyware (olyan, főleg az interneten terjedő számítógépes program, amelynek célja, hogy a felhasználó tudomása nélkül megszerezze a megfertőzött számítógép felhasználójának személyazonosító, banki vagy más személyes adatait),
• zsarolóprogram vagy angolul ransomware (olyan kártékony szoftver, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Elsődleges célja az anyagi haszonszerzés. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet vagy titkosítással elérhetetlenné a rajta lévő adatokat, és csak pénzért (pl.: bitcoin) vásárolható meg az a feloldókód, aminek segítségével visszaállíthatjuk az eredeti állapotot),
• makrovírus (különböző makró nyelveken íródó kártékony kód. A makró nyelvek egyszerű programozási nyelvek más programokba ültetve (pl. Word szövegszerkesztő). Mikor a szöveges fájl megnyílik, a makró kód a háttérben, észrevétlenül lefut. Ezt használják ki a makróvírusok és ezért veszélyes ismeretlen forrásból származó e-mail csatolmányokat megnyitni, hiába van szó csak egy egyszerű Word vagy Excel dokumentumról).

Természetesen igen. Az internet (és néha még a hivatalos szoftverboltok is) tele vannak olyan programokkal, melyek látszólag hasznos tevékenységet végeznek (például zseblámpa applikáció telefonra vagy memóriát tisztító, számítógépet „felgyorsító” szoftver). Amit tehetünk ezek elkerülése érdekében, hogy tudatosan használjuk a készülékeinket:

• nem töltünk le felesleges programokat (például zseblámpa applikációt a telefonra, mikor van beépített megoldás rá, stb.)
• szoftvert csak a hivatalos weboldalról vagy a szoftverboltból töltünk le (például Microsoft Store, App Store, Play Store, stb.)
• nem nyitunk meg ismeretlen küldő által küldött üzenetben (például email vagy közösségi médiás és egyéb chat üzenet) kapott fájlt,
• nem nyitjuk meg az ismeretlen forrásból származó linkeket, onnan nem töltünk le semmilyen ismeretlen szoftvert.

A zsarolóvírusok olyan programok, melyek általában adathalász levelek csatolmányaiként, vagy adathalász levelekben található linkekről letöltött programok által kerülnek a felhasználók gépére és ott az azon található (de akár a teljes hálózaton található) adatokat titkosítják, majd a feloldó kulcsokért pénzt követelnek. A feloldás a mai technikai körülmények mellett kizárólag a kulcsok birtokában lehetséges, tehát gyakorlatilag vagy fizetünk vagy (biztonsági mentés hiányában) búcsút is mondhatunk az adatainknak.

A zsarolóvírus támadások (ransomware) száma ijesztő mértékben növekszik évről évre. Mára már 13 másodpercenként történik egy ransomware fertőzés a világon.

A támadások az egyes államok és állami szolgáltatók (például Costa Rica kormánya, az ír nemzeti egészségügyi szolgáltató, stb.) mellett már nem csak a nagyvállalatokat (például Nvidia, Toyota, Colonial Pipeline, JBS, Acer, stb.) érintik, hanem mára közepes- és kisvállalatok is célpontokká váltak. Emellett áldozatul eshetnek az egyszerű felhasználók, így mi magunk is.

Munkavállalóként ilyenkor az alábbi teendőink vannak:

• azonnali jelzés az illetékeseknek (IT üzemeltetés),
• hálózatról történő leválasztás (amennyiben lehetséges),
• együttműködés és transzparencia (mivel már megtörtént a baj, úgyis mindegy, ezért célszerű a lehető legőszintébben kommunikálni az IT üzemeltetéssel, mondjuk meg mikor, honnan, mit szedtünk le, telepítettünk, futtattunk, stb., mert ez sokat segíthet a fertőzés felszámolásában).

Otthoni felhasználás esetén jobb elkerülni a bajt, mert a legtöbbünk nem rendelkezik profi és drága, a fertőzést valóban megszüntetni képes szoftverekkel. Arra mindenképpen figyeljünk, hogy ha már megtörtént a fertőzés, akkor ne súlyosbítsuk a helyzetet azzal, hogy mindenféle ingyenes vagy kalóz vírusirtó szoftvereket próbálunk beszerezni az internetről, mert elképzelhető, hogy azokban is kártékony kód lakozik.

A következő tanácsok betartásával lényegesen csökkenthető a fertőzés valószínűsége:

• email érkezése esetén minden esetben azonosítsuk (ellenőrizzük) a küldőt,
• ismeretlen küldőtől származó csatolmányt (email, üzenetküldő alkalmazás) ne nyissunk meg,
• ne kattintsunk linkekre vagy hivatkozásokra ellenőrzés nélkül,
• kalóz programokat, vagy az interneten fellelhető programokat ne telepítsünk, amennyiben valamilyen program telepítését szeretnénk, azt mindenképpen a hivatalos weboldalról vagy a szoftverboltból (Microsoft Store, App Store, Play Store, stb.) tegyük meg.

Sokszor halljuk, hogy biztonsági mentést/mentést kell végeznünk a fontos fájljaink esetében, de honnan tudjuk melyik fájl fontos, vagy hogyan végezzük el a biztonsági mentést? A biztonsági mentések olyan, az éles rendszertől elkülönülő helyen tárolt adatmentések, melyek segíthetnek visszaállítani a mentéskori állapotot olyan esetben, ha a rendszereink sérülnének (pl. kártékony kód miatti adatvesztés vagy hardveres hiba miatti adatvesztés). Egy adóbevallás vagy egy pótolhatatlan családi emléket megörökítő fotó megőrzése nagyon fontos lehet számunkra, ezért minden esetben készítsünk biztonsági mentést azokról a fájlokról, melyeket elvesztésük esetén nem vagy nehezen tudnánk pótolni.

Számtalan olyan eset lehet, mikor az eredeti adathordozó, melyen a fájlokat tároljuk elérhetetlenné (olvashatatlanná) válik. Ilyen lehet egy kártékony kód (hétköznapi olvasatban vírus) támadás, egy zsarolóvírus támadás vagy egy egyszerű hardveres hiba. A merevlemezek, kiváltképp a HDD-k bizonyos idő után kevésbé hatékonyak, ami miatt lassan, de biztosan elromlanak. Ilyen esetben a rajtuk tárolt adatokat nem tudjuk többé visszanyerni, azok elveszhetnek.

A szervezetek, vállalkozások nap mint nap rengeteg adattal dolgoznak, melyek elvesztése beláthatatlan következményekkel járhat a vállalkozás számára. A termelési adatok, a szállítási adatok vagy a pénzügyi adatok elvesztése sokszor pótolhatatlan, kézzel később nem, vagy csak nagy nehézségek árán bevihető adatok. Ezért – hasonlóan az otthoni felhasználáshoz – érdemes ezekről minél gyakrabban biztonsági mentést készítenie a vállalatoknak. Könnyen belátható, hogy egy rendszer, melybe havonta két sort viszünk fel, könnyen feltölthető adattartalommal utólag is, azonban egy rendszer, mely automatikusan másodpercként több ezer sornyi adatot rögzít, nagyon nehezen tölthető fel adatokkal utólag. Ezeket pedig egy kártékony kód bármikor elérhetetlenné teheti.

Mindenképpen olyan tárhelyet kell választanunk, mely az eredeti adathordozótól elkülönült, így egy váratlan hardveres hiba vagy kártékony kód lefutása esetén a mentésre használt tárhelyen lévő adatok nem sérülnek. Érdemes lehet otthoni felhasználóként felhő alapú tárhelyen (OneDrive, Google Drive, Dropbox, stb.) vagy külső merevlemezen (külső SSD, HDD, pendrive) tárolni az adatainkat. Könnyen belátható, ha mondjuk a C:/ meghajtón kreálunk egy biztonsági mentések mappát, akkor a C:/ meghajtót megfertőző kártékony kód természetesen a biztonsági mentés mappában is kárt okoz, ezért nem jó ötlet azonos helyen kezelni a mentéseket.

Az otthoni felhasználó könnyen el tudja dönteni, hogy mikor végez biztonsági mentést, hiszen például a nyaralási fotókat elég a nyaralás(oka)t követően feltöltenünk a biztonságos tárhelyre. A vállalatok esetén nem ilyen egyszerű a képlet, azonban minden vállalat a saját üzleti folyamatainak felmérését követően el tudja dönteni, hogy az egyes rendszerekben tárolt adatok visszatöltése mennyi időt, energiát vagy éppen pénzt emésztene fel. Ennek tudatában képes lehet eldönteni, hogy a mentések milyen gyakorisággal fussanak le, figyelembe véve a legrosszabb forgatókönyveket.

Hardveres hiba esetén az adatokat már számtalan hazai és nemzetközi cég képes lehet teljesen vagy részlegesen visszaállítani, azonban igen borsos áron. Ezek sokszor a milliós összegeket is elérhetik, azonban ez számtalan faktortól függ. Egy zsarolóvírus támadás esetén – amennyiben nem fizetünk a feloldókulcsokért – a visszaállítás a jelenlegi technikai környezetben lehetetlen. Egy kártékony kód esetén a visszaállítás ugyan lehetséges, de kérdéses, függően a kártékony kód típusától. Egyszóval, ha biztosan biztonságban akarjuk tudni az adatainkat, úgy érdemes biztonsági mentést készíteni róluk.

Ma már életünk szerves részét képezik az elektronikus levelek. Ezen keresztül bonyolítjuk az üzleti megrendelések mellett az esküvői meghívók kiküldését, de akár a hétvégi grillpartyt is itt szervezzük meg. Az email azonban kiváló eszköze a kiberbűnözőknek is, hogy adathalász leveleket küldjenek nekünk, ahogy azt már a korábbiakban láttuk. Elektronikus levelezésünk során azonban mi is követhetünk el jogsértéseket, például adatvédelmi incidenst, vagy üzleti titok megsértését, amennyiben nem vagyunk kellően figyelmesek. Ezért a levélküldés gomb megnyomása előtt mindig gondolkodjunk, vegyük számba a lehetséges következményeket.

Egy email esetén három veszélyes pont lehet:

• csatolmány, mely lehet fertőzött,
• link, mely mutathat fertőzött weboldalra, vagy adathalász weboldalra,
• maga a szöveg, mely lehet megtévesztő, de az is elképzelhető, hogy a szöveg maga valósíthat meg jogsértést, például adatvédelmi incidenst.

A levélszemét (spam) mára már egy mindenki által látott és tapasztalt dolog. A világ email forgalmának fele (!) kéretlen levél, mely sok esetben adathalász eszköz is. Az adathalász kéretlen levelek jó része (mentális) egészséggel, nyereményekkel, álláslehetőségekkel kapcsolatos ajánlatokat tartalmaz, így legyünk különösen óvatosak velük. A mai modern levelező rendszerek a kéretlen levelek jó részét kiszűrik, így ma már sokkal ritkábban találkozhatunk velük. Ezeket a rendszereket spamszűrőnek nevezzük, melyek között már jó pár mesterséges intelligencián és számítógépes tanulási algoritmusokon alapuló rendszerek is fellelhetők.

Legelőször gondoljuk át, hogy vártunk-e ilyen levelet, vagy racionális indokból érkezhetett-e ilyen levél. Ez követően mindenképp vegyük szemügyre a feladót, konkrétan a feladó email címét, mert mint láthattuk, a feladó névként bármit megadhat (például egy csomagküldő cég nevét), ám az email címből rögtön kiderül, ha csalárd levéllel állunk szemben. Ezt követően minden esetben vizsgáljuk meg a levél tárgyát, mert sok esetben a csalók, kiberbűnözők hívogató tárgymegjelöléseket használnak, melyek általában valamilyen aktuális trendi dologra utalnak (ilyen volt például a COVID válság első szakaszában az ingyenes oltás regisztrációra felhívó levél, mely már tárgyában hivatkozott a WHO-ra). Nézzük meg, hogy tartalmaz-e valamilyen csatolmányt az email. Általában itt is igaz, hogy a rosszindulatú felhasználók olyan csatolmányneveket adnak meg, mely felkelti a figyelmünket, kíváncsiságunkat (például nyertesek listája.xlsx, nyereményátvételi lap.docx, bírsághatározat.pdf). Tudnunk kell, hogy szinte minden fájlformátum veszélyes lehet, de a futtatható állományok (például a .exe, .bat, .apk) különösen kerülendőek, mivel ezek programok, melyek települhetnek a számítógépünkre vagy az okostelefonunkra, így ezeket ne futtassuk. Emellett figyelmesen olvassuk el szövegezést, nézzük meg az aláírást, s amennyiben az hibás, rossz magyarsággal íródott, azonnal töröljük a levelet.

Először is minden esetben ellenőrizzük a címzettek listáját, mivel elképzelhető, hogy az információ, amit küldeni vagy továbbítani szeretnénk, nem tartozik minden címzettre. Ügyeljünk a válasz mindenkinek gomb használatára, és küldés előtt gondoljuk át, hogy az összes címzett jogosult-e megismerni az emailünk, válaszunk tartalmát. A továbbítás során kiemelt figyelmet kell fordítanunk a kényes üzleti adatokra, személyes adatokra. Soha ne továbbítsunk ellenőrzés nélkül levelet, hiszen számtalan, akár személy adatot is tartalmazó információ juthat ki a címzettnek, ami komoly fejtörést okozhat, de akár adatvédelmi bírságot vonhat maga után.

Ez nagyban függ az email tartalmától, de általánosságban elmondható, hogy a nevek, email címek alapvetően minden esetben személyes adatnak minősülnek, így a jogosulatlanok felé való továbbítással (például egy továbbított levélben a tartalma mellett ott vannak a főnökeink, beosztottjaink email címei, az üzenet tárgya is) adatvédelmi incidenst követhetünk el. De az is elképzelhető, hogy egy üzleti titok tárgyát képező információcsomag, lista, vagy egy fegyelmi eljárás anyaga kerül továbbításra helytelen vagy jogosulatlan személynek. Ezért mindig gondoljuk át kinek és mit küldünk, a csatolmányokat, melyek nem szükségesek, töröljük.

Személyes adat lehet bármi, amiből az érintett (természetes személy) beazonosítható. Így nem feltétlenül csak nevek, de akár rendszámok, email címek vagy egy kontextusban felmerülő jelző is beazonosíthatóvá teheti az illetőt. Például, ha hárman leveleznek, melyből kettő nő, úgy a „az a fura, csak azért, mert kopaszodó pocakos pasi” megfogalmazás azonosíthatóvá teszi az érintettet.

Nem kell mindenre egyszerre figyelnünk. Az első pár figyelmes email olvasáskor, megnyitáskor és küldéskor könnyen elsajátíthatjuk az alapvető sorrendet, a vizsgálandó részeket, melyek helyes alkalmazása után rutinszerűvé válik a folyamat.

Ez sok mindentől függ természetesen, de a legalapvetőbb veszélyek a következők:

• kiberbűnözők, csalók és csalások,
• veszélyes, fertőzött weboldalak vagy programok,
• nem megfelelő használatból eredő hibák

A fenti veszélyeknek komoly hatása lehet a szervezetünk életére, amennyiben szervezeti eszköz vagy szervezeti email cím kompromittálódik, de a saját eszközeink, illetve saját email címünk is veszélyben lehet. A fenti veszélyeknek való kitettség a felhasználói tudatosság növelésével csökkenthető. Ha tudjuk minek ne dőljünk be, milyen programokat ne telepítsünk, illetve hogyan használjuk biztonságosan az internetet, akkor sokkal kisebb veszélynek leszünk kitéve.

Az internet nagyon leegyszerűsítve hálózatba kötött számítógépeket jelent, melyhez hozzáférés (internetelőfizetés) birtokában bárki, egy egyszerű böngésző (például Edge, Chrome, Firefox, Opera, stb.) segítségével csatlakozhat. Az internet alapvetően három jól elkülöníthető részből áll:

• nyílt internet (surface web), mely az általunk is ismert, sima böngészőkkel kereshető weboldalakat tartalmazza. Ennek része például a magyarorszag.hu weboldal;
• a mély internet (deep web), mely a nyílt internetről nem érhető el, vagy csak hozzáférés birtokában érhető el. Ilyen lehet például az EESZT kórházak és szolgáltatók által elérhető része, vagy egy szervezet VPN-en keresztül elérhető belső oldala;
• sötét web (dark web), melyről már biztosan sokan hallottunk, általában illegális cselekményekkel kapcsolatos hírekkel összefüggésben. A sötét web egyszerű böngészőkkel nem érhető el, ehhez külön böngésző telepítése, valamint az oldalak pontos elérhetősége szükséges.

Az egyes weboldalak elérhetősége a valóságban egy úgynevezett IP cím, mely számok és pontok összessége. Annak érdekében, hogy ez megjegyezhető legyen, egy szolgáltatás (DNS) segítségével összekötötték őket a már könnyen megjegyezhető webcímekkel. A webcímek, vagy más néven URL-ek a weboldalak könnyebb elérhetőségét lehetővé tevő, könnyen megjegyezhető, egyedi elérési utak. Domain névnek hívjuk a weboldal nevét (a .hu-ig), míg URL-nek a weboldal címét, elérési útvonalát, mely akár a weboldalon belül is mutathat valamire (például .hu/contact). Minden domain egyedi, nem jegyezhető be belőle kettő azonos, azonban más tartományban ez már nem igaz. Tehát magyaroszag.hu-ból több nem létezhet, de magyarorszag.com már igen.

Ahogy láthattuk, nem jegyezhető be két ugyanolyan domain. Ez azért is fontos, mert az egyes domain nevekhez tartozó email címekről érkezhetnek üzenetek. Mivel egy domain név csak egyszer osztható ki, így a csalók például az otpbank.hu domainhez tartozó email címről nem tudnak keresni minket, ezért létre kell hozniuk egy ahhoz hasonlót, például [email protected]. Ugyanígy a weboldalak elérhetőségei is csak egyszer oszthatóak ki, így a hamis weboldalak esetén az elérhetőségek is legjobb esetben csak nagyon hasonlóak tudnak lenni az eredetihez, de sosem egyezhetnek meg azzal. Ilyen bevett trükk szokott lenni, mikor a csalók az eredeti weboldal arculati elemeivel hoznak létre egy csaló, adathalász weboldalt, de annak elérhetőségét álcázzák például azzal, hogy létrehozzák az otpbank-hu.com, vagy az otpbank.hu.com domaint. Ezt azért roppant fontos megjegyeznünk, hogy egy adathalász levelet könnyen ki tudjunk szűrni.

A weboldalak elérhetőségei a négy fő részből állnak:

• protokoll (leggyakrabban http:// vagy https://)
• aldomain (www.)
• domain név (például magyarorszag), valamint
• tartomány (TLD) (például. hu vagy .com)
• + az elérési út (például /contatct)

tehát egy webcím (URL) név a következőképpen néz ki: https://magyarorszag.hu/szuf_szolg_lista?kategoria=OT. Itt minden, fenti URL részlet jól látható.

Számunkra azért nagyon fontos, hogy ezt megértsük, hogy:

• ne tévedjünk az eredeti weboldal arculati elemeivel ellátott, de hamis weboldalra, valamint
• ne nyissunk meg az eredetihez hasonló email címről érkező leveleket.

Amennyiben a fenti felépítést megértettük, már mi sem egyszerűbb. A weboldalak elérhetősége esetében azt figyeljük, hogy mi a pontos URL, mi a pontos tartomány. A tartomány az utolsó pont utáni, bejegyzés országára jellemző, 2 vagy 3 betű (.hu, .com, .io). Az az előtti összes pont megtévesztés, mivel az magának a domain-nek a része. Tehát ha meglátjuk az elérési útban a magyarorszag.hu.co.uk.com-ot, akkor a domain, amit bejegyeztek a csalók, az a magyarorszag.hu.co.uk, míg a tartomány a .comz, tehát az utolsó pont és az azt követő betűhalmaz. Hasonlóan trükkös a kötőjelek alkalmazása, például magyarorszag-hu.com, ahol a domain, amit a csalók bejegyeztek a magyarorszag-hu, a tartomány pedig a .com. Jól látható, hogy a megtévesztés igen ügyesen végbe tudna menni, ha nem figyelünk.

Az emailek esetén is hasonló a helyzet, mivel azok a domainekhez kapcsolódnak. Amennyiben emailt kapunk az [email protected]ól, még ha a csalók az email feladójának nevét „MAGYARORSZÁG”-ra is állították, tehát a feladónál csak ennyit látunk, az email cím árulkodik majd, hiszen tudjuk, hogy a domain név magyarorszag.hu helyett magyarorszag-hu.com.

A fentieken túl a számos veszély egyike, hogy figyelmetlenségből vagy a tudatosság hiányából káros programokat telepítünk. Tudnunk kell, hogy a fájloknak van egy úgynevezett kiterjesztésük. Ilyen lehet, csak a pár legismertebbet említve a .pdf, .doc, .xlsx, .exe. Szinte bármilyen fájlba „belecsempészhető” kártékony kód (köznapi nevén vírus), legyen az egy szöveges fájl, például egy dokumentum (.doc, .docx), vagy egy táblázat (.xls, vagy .xlsx). Azonban vannak látványosan veszélyesebb fájlok, ezeket futtatható fájloknak nevezzük (például .exe vagy .bat kiterjesztéssel), melyek programok telepítésére szolgálnak. Ezeket ne nyissuk meg, ha nem vagyunk biztosak benne, hogy megbízható helyről származnak. Sokszor a csalók ezeket megpróbálják álcázni, mondjuk azzal, hogy becsomagolják őket (tömörített állomány, például .zip, .rar, .7zip), vagy hamis fájlkiterjesztésre vonatkozó nevet adnak neki (például bérkimutatás.dox.exe).

Az azonosítás arról szól, hogy valaki vagy valami megmutatja, hogy ki vagy mi valójában. Amikor például egy felhasználó bejelentkezik egy számítógépes rendszerbe, megadja a nevét vagy azonosítóját. A rendszer ezen azonosító alapján felismeri, hogy ki vagy mi próbál hozzáférni. Ilyen lehet egy felhasználónév vagy email cím.

A hitelesítés azt jelenti, hogy a rendszer ellenőrzi, hogy az azonosított személy vagy dolog valóban az, aminek mondja magát. A hitelesítés célja, hogy megbizonyosodjunk arról, hogy az azonosított fél valóban jogosult arra, amit megpróbál elérni. Ehhez általában valamilyen bizonyítékot vagy titkos információt használnak, mint például jelszót, PIN-kódot, ujjlenyomatot vagy okostelefonra küldött kódot.

Összefoglalva, az azonosítás arról szól, hogy megmutatjuk, kik vagyunk, míg a hitelesítés azt ellenőrzi, hogy valóban jogosultak vagyunk-e a kívánt hozzáférésre. Ezek a lépések segítenek megvédeni a rendszereket és az adatokat illetéktelen hozzáféréstől, és hozzájárulnak az információbiztonsághoz.

A rossz jelszó általában a következő okokból rossz:

• rövid (12 karakternél rövidebb),
• egyszerű (nem komplex, tehát csak kisbetűket, vagy kis- és nagybetűt, esetleg számot tartalmazó karaktersor),
• jellemző a jelszó alkotójára (vagyis olyan szavak, szórészletek alkotják, melyek a jelszó „gazdájának” valamely tulajdonságára utalnak. Ilyen lehet annak neve, születési dátuma, kutyájának neve, stb.),
• újra felhasznált (olyan jelszó, melyet a kreálója korábban már használt),
• könnyen kitalálható (ezek általában olyan jelszavak, melyek megváltoztatásakor a használója kizárólag egy karaktert – például a hónapra utaló számot – változtatja meg, míg a jelszó többi része azonos marad).

Ennek alapján egy rossz jelszó lehet a „Gabi19750301”, vagy a „jelszo202303”, esetleg a „cirmi11”.

A jó jelszónak legalább 5 ismérve van:

• hosszú (legalább 12 karakter vagy még több, mert minél hosszabb a jelszó, annál nehezebb feltörni),
• komplex (tartalmaz kis- és nagybetűket, számokat és speciális karaktereket – pl.: !, @, # –, ami növeli a jelszó bonyolultságát és nehezíti a feltörést),
• nem utal a jelszó birtokosára (nem tartalmaz könnyen megtippelhető dolgokat, mint a születési dátum vagy név, illetve egyszerű és gyakori szavakat),
• bonyolult (olyan szavakat vagy karaktereket tartalmaz, amik nem követik egymást logikusan, tehát nem követi a “jelszo123” típusú mintákat),
• egyedi és egyszeri (minden oldalon vagy szolgáltatásnál más jelszót célszerű használni, így – ha egy jelszó kompromittálódik – más helyek még védettek maradnak).

Ennek alapján egy jó jelszó lehet például egy random karaktersor: Jgk4+!0154_dE, illetve egy jelmondat szerű karaktersor is: #3zt,TordF3l@pAfei.

Az első kérdésre a válasz, hogy több módon is hozzájuthatnak a kiberbűnözők a jelszavainkhoz:

• kiszivárgott adatbázisokból (például korábban feltört szolgáltatók titkosítatlanul tárolt email cím és jelszó kombinációinak felhasználásával),
• úgynevezett brute force technikával, mikor a támadók ismerik az azonosító adatokat (például email cím), majd egy számítógép segítségével roppant gyorsan, automatikusan végig próbálják az összes lehetséges kombinációt. Minél hosszabb és bonyolultabb a jelszavunk, ez a technika annál több időt vesz igénybe.
• részleges információk felhasználásával, mikor a támadók tudják például a nevünket vagy a születési dátumunkat, melyekkel célzottabban tudnak próbálkozni, akár brute force mgoldással – ezért sem célszerű a személyes adatainkat használni a jelszavainkban,
• szótár alapú támadásokkal, mikor a brute force megoldáshoz korábban mások mások által már használt jelszavakkal próbálkoznak,
• egyszerűen mi adjuk át őket önként, általában megtévesztés után, például egy adathalász weboldalon.

Érdekesség, hogy egy csak kisbetűkből álló 14 karakter hosszú jelszót (pl.: mamakicsiszive) a támadók brute force megoldással nagyjából 5 másodperc alatt tudnak feltörni, míg egy ugyanilyen hosszúságú, de kis- és nagybetűkből, valamint számokból karaktersor feltöréséhez már 3000 évre lenne szükség. Amennyiben különleges karaktereket is tartalmaz az ugyanilyen hosszúságú jelszavunk, ez az idő 15000 évre hosszabbodik. Természetesen ezek a statisztikák a véletlenszerűen generált és nem a könnyen kitalálható, ránk jellemző, vagy mások által is használt jelszavak esetén értendők.

Ha csak a fejünkben tárolnánk a jelszavainkat, pláne, ha betartjuk, hogy azok legyenek hosszúak, komplexek, bonyolultak és ne legyenek szótár alapúak, valamint eltérőek legyenek mindenhol, úgy valószínűleg 2, esetleg 3 jelszót tudnánk megjegyezni. Ennek érdekében fejlesztették ki az úgynevezett jelszókezelő alkalmazásokat. Ezek a programok biztonságosan tárolják jelszavainkat egy titkosított adatbázisban. A fő előnyük az, hogy erősen titkosított környezetben tárolják a jelszavakat, így csak egy erős jelszó vagy biometrikus azonosítás segítségével férhetünk hozzájuk. Ilyen beépített funkciót minden ismertebb okostelefon gyártó, valamint az ismertebb böngésző gyártók is kínálnak ingyenesen, beépítetten. Persze vannak független, ingyenes és fizetős programok is, néhány ismert jelszókezelő: LastPass, 1Password, Bitwarden.

A jelszavakkal kapcsolatban fontos megjegyezni, hogy semmiképpen se:

• írjuk fel egy papírra, füzet hátuljába, stb.,
• számítógépen tárolt titkosítatlan jegyzetbe.

Amennyiben mégis fel akarjuk azokat írni, vagy digitálisan felmásolni egy USB-ra, mindenképpen biztosítsuk azok megfelelő titkosítását.

Lehetőség szerint senkivel. A jelszavakkal könnyen vissza lehet élni, hiszen ez hitelesít minket. Amennyiben a felhasználónevünket és jelszavunkat másnak kiadjuk, aki a rendszerbe vagy szolgáltatásba belép, úgy később nehéz lesz bizonyítani, hogy nem mi voltunk. Tehát ilyenkor a nevünkben bárki, bármit csinálhat az adott rendszeren belül. Tehát, ha egy kolléga a nyaralásunk előtt azzal áll elő, hogy egy cetlire írjuk ki a jelszavunkat, hátha be kell lépni a nevünkben egyes rendszerekbe, ezt utasítsuk el.

A szervezetek (például a cég, ahol dolgozunk vagy egyes szolgáltatások, például az ügyfélkapu) előírhatnak bizonyos jelszólejárati időt, mikor mindenképpen le kell cserélnünk a jelszavainkat. Ennek oka, hogy ha azok egyszer kiszivárogtak, akkor ne lehessen azokkal visszaélni hónapok vagy akár évek múlva. Otthoni környezetben, amennyiben erős jelszót használunk elég akkor lecserélni, ha esetleg azok kiszivárogtak. Ezt könnyen tudjuk ellenőrizni a https://haveibeenpwned.com/ weboldalon az email címünk megadásával.

A jelszó mára már nem egy biztonságos megoldás. Akkor sem, ha nagyon hosszú és bonyolult jelszavakat használunk, mivel azokat el lehet lopni, fel lehet törni, vagy ki lehet tőlünk csalni. Azokat ez után csak be kell gépelnie a kiberbűnözőknek és már bent is vannak a személyes fiókunkban, legyen az egy streaming szolgáltatás, egy email szolgáltatás vagy akár a netbankunk. Sokkal jobb, ha jelszavak helyett (és nem mellett) biometrikus azonosítási lehetőségeket használunk.

Mint láthattuk a jelszavak kora „leáldozóban van”, mivel annál sokkal egyszerűbb és biztonságosabb megoldás a biometrikus azonosítás. Könnyen belátható, hogy az ujjlenyomatunkat, az arcunkat nem tudják csak úgy „ellopni”, azokat véletlenül, figyelmetlenségből mi sem tudjuk kiadni a csalóknak. Az Apple és a Microsoft is bevezette már a jelszómentes bejelentkezés lehetőségét. Azonban ennek világszinten, minden szolgáltatás szintjén való elterjedése még várat magára.

A többfaktoros hitelesítés (angolul: Multi-Factor Authentication vagy MFA) egy olyan biztonsági eljárás, amely több lépésben ellenőrzi a felhasználó azonosítását egy adott rendszerben vagy szolgáltatásban. Ezzel a módszerrel a felhasználóknak nem csak egy jelszót kell megadniuk, hanem további, másodlagos azonosítási tényezőket is, amelyek hozzájárulnak a biztonsághoz.

Amikor egy felhasználó belép egy rendszerbe vagy szolgáltatásba, a többfaktoros hitelesítés lépései a következők lehetnek:

• Megadja a jelszavát, majd
• kap egy SMS-t vagy egy applikációban egy kódot, vagy kéri az ujjlenyomatát vagy arcfelismeréssel hitelesít

A többfaktoros hitelesítés biztonságosabb a hagyományos jelszónál, mert az illetékteleneknek nemcsak a jelszót, hanem a másodlagos azonosítási tényezőket is meg kellene szerezniük ahhoz, hogy hozzáférjenek egy fiókhoz vagy rendszerhez. Ez nehezíti a támadók dolgát, mivel még akkor sem juthatnak hozzá a fiókhoz, ha megszerzik a jelszót. Még ha a jelszó is kompromittálódik, a többfaktoros hitelesítés segíthet megvédeni az adatokat és a fiókokat.

Az online térben számtalan veszély fenyeget minket, az egyik és talán legfélelmetesebb az online térben elkövetett pénzügyi csalás vagy visszaélés. Minden nap egy agglomerációs családi ház ára kerül jogosulatlanul a csalókhoz hazánkban ennek a módszernek „köszönhetően”.

Két típusú visszaélést különíthetünk el élesen:

• bankkártyákhoz kötődő csalások, károkozások,
• bankszámlához (netbank) kötődő csalások, károkozások

A csalók általában:

• a kereskedelmi bankok által kiállított bankkártyákat (bankkártya adatokat)
• a kereskedelmi bankok netbankjába való belépési adatokat (felhasználónév, azonosítószám, jelszó, egyszer használatos megerősítő kód)
• a Magyar Államkincstárnál vezetett értékpapír számla adatait (felhasználónév, jelszó, egyszer használatos kód) célozzák meg.

Azt mondhatjuk, hogy mindennaposak a visszaélések, legyen szó bankkártyáról vagy bankszámláról. Szinte minden nap olvashatunk a hírportálokon újabb és újabb eseteket, meglepőbbnél meglepőbb technikákat a csalásokra, ezért érdemes észben tartani, hogy mi is bármikor áldozatul eshetünk.

A bankkártyát érintő csalások száma egy év alatt 74%-kal, míg értéke majdnem másfélszeresére nőtt.

A bankszámlát (netbank) érintő visszaélések (főként banki telefonos csalások) száma egy év alatt a duplájára, míg kárértéke a két és félszeresére nőtt.

A csalók minden esetben pénzre fenik a fogukat. Minél több és minél gyorsabb károkozás a céljuk.

A csalók két dologra utazhatnak:

• bankkártya adatokra (bankkártya számok, lejárati dátum, CVC kód)
• netbank belépési adatokra (felhasználónév, email cím, azonosítószám, jelszó, számlaszám, második faktoros azonosításhoz használható kód, melyet SMS-ben vagy push üzenetben küld meg a bank)

Bankkártyával kapcsolatos csalásoknak, visszaéléseknek nevezzük azokat, melyek esetén a csalók a bankkártya adatokkal élnek vissza. Tipikusan ilyenek lehetnek a megszerzett kártyaadatokkal történő jogosulatlan vásárlások, levonások, stb. A visszaélések száma 2022-ben 74 százalékkal nőtt, értéke pedig több mint megduplázódott (135 százalékos növekedés), mely összesített kárérték elérte a 4 milliárd forintot. A kártyakibocsátó cégek a teljes kibocsátói oldali veszteség 43 százalékát tovább terhelik az ügyfelekre, tehát az ilyen csalások áldozatainak majdnem fele búcsút is mondhat a pénzének.

Bankszámlához (netbank) kötődő csalásoknak, visszaéléseknek nevezzük azokat melyek esetén a csalók a bankszámlánkhoz (netbank) szereznek hozzáférést, ezzel a teljes bankszámlánk felett megszerzik az irányítást. Ilyenkor a nevünkben online igényelhető hiteleket, kölcsönöket vehetnek fel, a lekötéseinket is feloldhatják, a teljes vagyonunkat, egy élet munkáját egy mozdulattal átutalhatják a saját számlájukra. A visszaélések száma több, mint duplájára nőtt 2022-ben, értéke pedig 256 százalékkal növekedett (5971 visszaélési eset), mely összesen 9 milliárd forint kárt okozott az ügyfeleknek. Mivel azonban ez esetben szinte minden esetben közrejátszik az ügyfél súlyosan gondatlan magatartása (például a belépési adatok megadása, program feltelepítése a csalók nyomására), ezt a kárt szinte minden esetben a károsultnak kell fizetnie.

Látható, hogy a netbank belépési adatok megszerzése sokkal „jövedelmezőbb üzlet” a csalóknak, ezért is terjedt el ennyire ez az elkövetési forma, mivel rengeteget lehet vele „kaszálni”.

A fenyegetettségeket két fő kategóriába sorolhatjuk:

• fizikai térben megvalósuló fenyegetések (például a bankkártyánk elhagyása, melynek segítségével a megtaláló bármikor vásárolhat vele, hiszen minden adat, amelyre szükséges van a kártyán található)
• online térben megvalósuló fenyegetések (például a bankkártya adataink vagy a bankszámla belépési adataink megszerzése különböző technikákkal)

Ketté kell választanunk annak megfelelően, hogy bankkártya adatok megszerzését vagy bankszámla belépési adatok megszerzését célozzák a bűnözők.

Bankkártya adatok megszerzése esetén gyakori:

• hamis, de a valódira meglehetősen hasonlító weboldal „kártyás fizetési felülete”, ahova az áldozat begépeli a kártyaadatait, melyek így a csalóknál landolnak (ilyenek lehetnek ismeretlen webshopok, adathalász SMS-ekben, emailekben megküldött linkek, például csomagküldő szolgáltató nevében, rendőrség vagy NAV nevében, stb.),
• bankkártya adatok fizikai megszerzése (például az áldozat elhagyja),
• bankkártya adatok telefonos csalás útján való megszerzése, mely esetben valamilyen ürüggyel arra veszik rá a felhasználót, hogy olvassa be, vagy küldje el képként a kártya adatait.

Netbank belépési adatok megszerzése gyakori:

• hamis, de a valódira meglehetősen hasonlító weboldal „banki belépési felület”, ahova az áldozat begépeli a belépési adatait, melyek így a csalóknál landolnak (a nagy kereskedelmi bankok oldalait lemásoló hamis weboldalakra való átirányítás SMS-ben vagy emailben kapott linken keresztül)
• telefonos csalások, ahol a kereskedelmi bank bankbiztonsági osztálya nevében keresnek minket általában azzal az ürüggyel, hogy épp valahol (város, ország) egy gyanús tranzakciót észleltek és a pénzünk megóvása érdekében bizonyos banki műveleteket kell végeznünk. Ezek közül a leggyakoribbak:
  • applikáció feltelepítése (AnyDesk, vagy egyéb távoli asztal program),
  • netbanki belépési adatok bediktáltatása, többek között a második faktorként kapott SMS vagy push üzenet számsora),
  • vagy csak egyszerűen arra kéri az „ügyintéző” az áldozatot, hogy utaljon át összegeket egy bizonyos számlára valamilyen biztonsági céllal.

Mert mindenki félti a pénzét. Ha egy telefonhívást kapunk bárkitől, ami arról tájékoztat minket, hogy veszélyben a pénzünk, akár egy élet megtakarítása, akkor „beszűkül a világ”, nem tudunk helyesen, átgondoltan, megfontoltan dönteni. Erre a csalók több módszer egyszerre történő alkalmazásával még rá is játszanak:

• call center háttérzajt játszanak be a beszélgetés alatt,
• felkészültek a pénzügyi szakzsargonból,
• már kipróbált és működő scenariokat játszanak el, tehát nem kell improvizálniuk,
• sürgető hangnemben kommunikálnak,
• „mindenre van válaszuk” (például általában a legnagyobb kereskedelmi bank, az OTP nevében telefonálnak, mivel valószínűsíthetően ott vezeti a bankszámláját az áldozat. Amennyiben azt a választ kapják, hogy az áldozat másik banknál vezeti a számláját, úgy „átkapcsolják” a másik bank bankbiztonsági osztályához. Nyilván ilyen jellegű kapcsolat a bankok között nem áll és nem is állhat fent, tehát az egyik kereskedelmi bank ügyfelét a másik bank nem tudja azonosítani),
• használják a maszkolás technikáját, mellyel a hívószámukat „átalakítják”, így a fogadó fél oldalán akár a kereskedelmi bank valódi hívószáma is megjelenhet.

A csalók megkeresését könnyen felismerhetjük, ha figyelünk az intő jelekre és higgadtak maradunk.

SMS, email esetén:

• a küldő email címe, telefonszáma nem egyezik meg a valóssal, attól – akár csak kicsit is – eltér (például külföldi telefonszámról érkezik az SMS vagy @0tpbank.hu.com-ról érkezik az email, stb.),
• nem helyes magyarággal kerül megfogalmazásra az üzenet szövege,
• nem megfelelő az aláírás (például olyan osztályra hivatkozik, ami nem létezik, olyan személy „írja alá”, aki nem dolgozik az adott banknál, vagy a nem megfelelőek a külső megjelenési jegyei),
• a link nem a helyes honlapra mutat.

Telefonos megkeresés esetén:

• ijesztő megkereséssel kezdenek, valamely kereskedelmi bank (leggyakrabban OTP vagy MBH, mivel itt található a legtöbb hazai lakossági ügyfél), vagy a Magyar Nemzeti Bank (MNB) vagy az Államkincstár (ÁK) nevében (például általában olyan ürüggyel, hogy külföldön vagy belföldön adott városban használják a bankkártyánkat, vagy furcsa fizetési kérelmeket rögzítettek),
• olyan adatokat kérnek, melyeket a banki alkalmazottaknak tudnia vagy látnia kell (például megtakarítások összege, általános fizetési szokások, stb.) – alacsony összegek hallatán sokszor inkább elállnak a szándékuktól és megszakítják a hívást,
• olyan adatokat nem kérnek, melyeket a banki alkalmazottak kérni szoktak az azonosításhoz (például beazonosításhoz szükséges születési adatok, stb.)
• olyan adatokat kérnek, melyeket banki alkalmazott sosem kérhet el (például a netbank belépési adatokat, SMS-ben kapott másodlagos azonosítási kód, stb.)
• arra kérnek minket, hogy applikációt, szoftvert telepítsünk a készülékünkre, melyre például vírusírtóként hivatkoznak, azonban általában ezek vagy kártékony kódok vagy távoli asztal programok (például AnyDesk), mellyel átvehetik a készülék felett az irányítást,
• arra kérnek minket, hogy más bankszámlára, úgynevezett „biztonságos technikai számlára” utaljuk át a számlánkon lévő teljes összeget.

A fizikai térben megvalósuló fenyegetettségek ellen könnyen védekezhetünk az alábbi technikák alkalmazásával:

• ne adjuk ki a kezünkből a bankkártyánkat,
• soha ne fényképezzük le (pláne mindkét oldalát) és soha küldjük el a képet senkinek,
• ne írjuk fel a PIN kódot a kártyára, vagy a kártya mellé,
• állítsunk be készpénzfelvételi és költési limitet, így baj esetén is csak a limitösszegig kockáztatjuk a pénzünket.

Az online térben megvalósuló fenyegetettségek ellen könnyen védekezhetünk az alábbi technikák alkalmazásával:

• ne adjuk meg a bankkártya adatainkat olyan weboldalakon, amelyek nem biztonságosak,
• ne vásároljunk olyan webshopokban, melyeket nem ismerünk vagy feltűnően olcsón hirdetnek termékeket, szolgáltatásokat,
• amennyiben van lehetőségünk, fizessünk egyszer használatos webkártyával, PayPallal vagy GooglePay/ApplePay szolgáltatással,
• ne SMS-ben, emailben található linkről nyissuk meg a bank weboldalát,
• ne kattintsunk linkre melyet SMS-ben vagy email-ben találunk.

Telefonos megkeresés során megvalósuló fenyegetettségek ellen könnyen védekezhetünk az alábbi technikák alkalmazásával:

• ne fogadjuk el biztosnak a kijelzett telefonszámot, mivel az is „hamisítható”, így ha a kereskedelmi bank telefonszámát jelzi ki a készülék, attól még nem biztos, hogy valóban a bank keres minket. Ha meg akarunk bizonyosodni a hívás valódiságáról, bontsuk a vonalat és hívjuk fel a bankunkat a hivatalos elérhetőségén,
• maradjunk higgadtak, gondoljuk át, hogy a megkeresés mennyire életszerű (például, hogy az OTP hogyan lenne képes átkapcsolni minket az ERSTE bankbiztonsági osztályára, stb.),
• ellenőrizzük az állítást, ha azzal keresnek meg minket, hogy például Kecskeméten fizettek 7.500 forintot a kártyánkkal, akkor ellenőrizzük a netbankunkban vagy a banki applikációban. Ha nem történt ilyen terhelés, akkor nyilvánvalóan csalásról van szó,
• legyünk kicsit gyanakvóak a megkeresésekkel szemben, gondoljuk végig, hogy az elmúlt X évben hányszor keresett meg minket a bankunk telefonon, majd gondoljuk végig, hogy most éppen miért keresnének ilyen módon,
• ne utaljunk felszólításra semekkora összeget, pláne ne a teljes vagyonunkat, még akkor sem, ha a magukat banki ügyintézőknek kiadó személyek úgynevezett „technikai számlára” való átutaláshoz mindenféle kedvezményezetti nevet vagy közleményt diktálnak. Ilyet egyetlen banki alkalmazott sem kér soha. Jó, ha tudjuk, hogy hazánkban az egyetlen validációs pont a bankszámlaszám, tehát utalásnál, amennyiben a bankszámlaszám helyes, úgy a kedvezményezett neve bármi lehet,
• ne telepítsünk kérésre semmilyen szoftvert, applikációt a telefonunkra vagy a számítógépünkre. Ha ilyet kérne a magát banki alkalmazottnak kiadó személy, úgy biztosan csalásról van szó.