Tetszett a cikk?

Az interneten a személyes információkra leselkedő legújabb veszély az adathalászat. Az egyre kifinomultabb módszerekkel dolgozó csalók hamis banki és egyéb szolgáltatói honlapok révén hitelkártya- és számlaszámokat, illetve az azokhoz tartozó kódokat és jelszavakat oroznak el.

"Kérve kérek mindenkit, védje meg magát, a számítógépét meg a hitelkártyáját, és ne dőljön be ennek a csalásnak!" - óvja honlapján a Harry Potter-rajongókat J. K. Rowling írónő, arra utalva, hogy alaposan átverhetik az érdeklődőket azok a szélhámosok, akik máris az interneten kínálják a még csak július 16-án megjelenő hatodik kötet állítólagos elektronikus változatát. És nem csupán az a veszély fenyeget, hogy a varázslótanonc újabb kalandjaira áhítozók nem kapnak semmit az átutalt pénzükért - aminek igen nagy a valószínűsége, elvégre a Harry Potter-történetekből eddig egy sem jelent meg online változatban -, sokkal inkább az, hogy a csalárd módon megszerzett név és hitelkártya-információk birtokában nagyobb összeggel is megkárosítják az óvatlanokat.

Az angol számítógépes szlengben az efféle adathalászatot phishingnek hívják. A trükk célja rávenni az interneten pénzügyi tranzakciókat végzőket, hogy megadják hitelkártyájuk és bankszámlájuk számát és a hozzájuk kapcsolódó kódokat, illetve jelszavakat. A gyakorlat mintegy tíz éve, viszonylag ártalmatlanul kezdődött az Egyesült Államokban, ahol a legnagyobb internetszolgáltató, az America Online (AOL) akkor még óránkénti díjat számlázott a kapcsolatért. Néhány élelmes fiatal úgy akarta megspórolni ezt a díjat, hogy elektronikus levélben - például adategyeztetésre hivatkozva - arra kérte a célba vett előfizetőket, adják meg a felhasználói nevüket és a jelszavukat. Az 1990-es évek közepén ez még nemigen keltett gyanút, így a potyázók viszonylag könnyedén megszerezték mások azonosító adatait, hogy aztán az ő kontójukra internetezzenek - a gyanútlan áldozatok legfeljebb utólag, a számla láttán kaptak észbe.

HVG
A havi díjas internetkapcsolat beköszöntével a phishing átmenetileg háttérbe szorult, de aztán az 1990-es évek végén - az online kereskedelem és bankolás divatba jöttével, valamint a kéretlen levélszemét (spam) terjedésével - újraéledt. Ekkor jelentek meg azok az e-mailek, amelyek egy-egy internetes kereskedőre vagy online számlakezelési lehetőséget is nyújtó bankra hivatkozva azt kérték a felhasználótól, hogy - biztonsági ellenőrzés vagy éppen az adatok "sajnálatos elvesztése" miatt - közöljék újra pénzügyi információikat. Ugyanebben az időben tűntek föl az interneten a "nigériai levelek", amelyek egy valamilyen okból "bennragadt" nagy összegű követelés felszabadításához kértek pénzt és mellé esetleg számlaszámot is a hiszékeny címzettől. A csali időtállóságára jellemző, hogy efféle ajánlatok az ázsiai szökőár nyomán is megjelentek, ezúttal a természeti katasztrófa következményeivel magyarázva, hogy a felcsillantott vagyon csakis az ebben a szerencsében részeltetett delikvens közbeavatkozásával mobilizálható.

Az adathalászat evolúciójának újabb szakasza mintegy két éve kezdődött. Az "új generációs" csalárd e-mailek már olyan hivatkozásokat tartalmaztak, amelyek az internetes kereskedő vagy bank honlapjának másolatára terelték a gyanútlan áldozatot, akiből ily módon próbálták kiszedni a pénzéhez való hozzáféréshez szükséges információkat. A címsorban a hitelesség kedvéért a hivatkozott cég honlapjáéhoz hasonló domainnév jelent meg, amelyet az adathalászok előrelátóan lefoglaltak (mint például a valódi billing.yahoo.comot utánzó yahoo-billing.comot). A módszer apránként tovább csiszolódott. A főleg angol nyelvű levelekben eleinte nem volt ritka a nyelvtani vagy stilisztikai hiba - a bűnüldözők gyanúja szerint az adathalászat nagyrészt ázsiai és oroszországi bűnbandák műfaja; utóbbiak előszeretettel vetik ki a hálójukat a kelet-európai netezőkre -, ám a csalók nyelvtudása irigylésre méltó tempóban csiszolódott. Magyarországon először 2003 őszén az Inter-Európa Bank Rt. ügyfeleit próbálták rászedni a pénzintézet weboldalának lemásolásával, majd tavaly novemberben az OTP Bank Rt. "nevében" próbálták egy hamisított honlapra irányítani a címzetteket.

Az adathalászat tavaly vett igazán lendületet. A brit MessageLabs internetbiztonsági cég 2003 szeptemberében még csak 279 ilyen csalárd e-mailt talált, tavaly novemberben már 4,5 milliót (lásd ábránkat). A Gartner informatikai piackutató cég becslése szerint az Egyesült Államokban az ilyesféle e-mailben megkeresettek 3 százaléka árulta el bizalmas pénzügyi adatait és nyugdíj-biztosítási számát - ami az USA-ban a személyi számmal egyenértékű azonosító -, a többség tehát óvatos, mégis milliókban mérhető a potenciális áldozatok száma. A phishingleveleket küldők költsége pedig minimális, hiszen a munkára fogott számítógépek pillanatok alatt tömegével küldik szét az e-maileket a világháló minden sarkába. Az okozott kárról pontos adatok egyelőre nem láttak napvilágot, egy becslés szerint tavaly mintegy 137 millió dollár vándorolt világszerte illetéktelenek számláira, ám vannak, akik az "orvhalász"-támadások megugrását látva az idei évre már több milliárd dolláros csalást valószínűsítenek.

Az internetes csalás egyre szervezettebbé válik. A csalárd weboldalak készítői olyan, jelszóval védett netes csevegőszobákban cserélik ki a módszereket és az információkat, amelyekbe a bűnüldöző hatóságok szerint a maffiáéhoz hasonló módszerrel lehet belépni: csakis ajánlóval és a képességek tesztelése után. Miközben a kezdő adathalászok a csalilevél megírásához és az álhonlap létrehozásához is feladatra szabott szoftverek között válogathatnak az internet dzsungelében, és potom pénzért vásárolhatják meg milliószám a valódi felhasználók elektronikuslevél-címét, a szervezett csoportok is mind nagyobb precizitással dolgoznak. A beugrató üzeneteket profi módon fogalmazzák; újabb trükk, hogy éppen a phishing veszélyére figyelmeztetve invitálják áldozatukat a hamis weboldalakra, amelyek manapság már csak néhány napig - esetleg óráig - működnek, ezzel is csökkentve a lebukás veszélyét. Egyre gyakoribb az is, hogy keresett árukat feltűnően olcsón kínáló (de azokkal persze nem rendelkező) kereskedelmi portálokat hoznak létre, amelyek néhány nap után megszűnnek - ám időközben begyűjtik az óvatlan vásárlók pénzügyi adatait.

A phishing technológiai fejlődése nem állt meg. Amikor megszaporodtak a hamis weboldalak veszélyére figyelmeztető felhívások, megjelentek azok a megoldások, amelyek, miközben a hivatkozásra kattintókat az álhonlapra irányították, egy szoftveres trükkel a valódi internetes kereskedő vagy bank címét jelenítették meg. Egy másik módszer a kémprogramok családjába tartozó - általában egy elektronikus üzenethez csatolt fájlba rejtett - trójai faló programot telepít a felhasználó számítógépére. Amikor a mit sem sejtő ügyfél rákapcsolódik bankja valódi honlapjára, a titkos szoftver aktivizálódik, és "leolvassa" a számlaszámot meg a felhasználói nevet.

Már a lopott adatok feketepiaca is kialakult. Tízezer hitelkártyaszámhoz akár 25-30 dollárért is hozzá lehet jutni, ám az ár alaposan megemelkedik, ha az információk között szerepel az online tranzakcióknál gyakran elkért, a plasztikkártya hátoldalán található technikai biztonsági szám, és az is árfelhajtó tényező, ha a tulajdonos vásárlási limitje magas.

Az internet biztonságával foglalkozó szakemberek attól tartanak, hogy az online kereskedelem fejlődésének lendülete is megtörhet, ha az adathalászoktól való félelem elbizonytalanítja a felhasználókat. Nem véletlen, hogy a Microsoft azt ígéri: böngészőprogramja, az Internet Explorer újabb változatába már phishingtámadás elleni védelmet is beépít. Patrick Leahy amerikai szenátor pedig néhány hete törvényjavaslatot nyújtott be a washingtoni kongresszusban a csalás céljára létrehozott hamis honlapok készítésének bűncselekménnyé minősítéséről.

NAGY GÁBOR

Pulzus: Megosztja a magyarokat a 13. havi nyugdíj visszaépítése

Pulzus: Megosztja a magyarokat a 13. havi nyugdíj visszaépítése

Visszatartja az osztalékot a Mol és nagy kiadáscsökkentésbe kezd

Visszatartja az osztalékot a Mol és nagy kiadáscsökkentésbe kezd

A Sony váratlanul megmutatta, mivel lesz irányítható a PlayStation 5

A Sony váratlanul megmutatta, mivel lesz irányítható a PlayStation 5