Amellett, hogy a számítógépes bűnözői csoportok egyre prominensebb áldozatokat ejtenek világszerte, a támadások száma is szaporodik. A célba vett vállalkozások köre is lényegesen bővül azóta, hogy a szervezett bűnözés felfedezte magának ezt a jelentős, illegális jövedelemforrást. Tévedés azt hinni, hogy a támadásoknak Magyarországon működő cégek nem lehetnek célpontjai, vagy hogy a bűnözők bizonyos vállalatméret alatt nem látnak fantáziát egy-egy célpontban. A támadások felépítése és a célpontok kiválasztása szinte minden esetben tudatos, a döntő szempont pedig a megszerezhető adatok piaci értéke.

Ugyanakkor a külső hackertámadásoknál is nagyobb fenyegetést jelentenek a cégen belüli, emberi tényezők. Ilyen belső tényező lehet az akár véletlen, akár szándékos károkozás, de az adatszivárgás is. Ennek – sokszor vétlen – közreműködői szinte kivétel nélkül a saját alkalmazottak, még ha az értékes üzleti adatok megszerzésére irányuló támadás jó eséllyel a cégen kívülről indul is.

Pőrére vetkőzve?

Míg az emberek biztonsági okokra hivatkozva ódzkodnak az online vásárlástól, addig például a Facebookon szinte pőrére vetkőznek a nagy nyilvánosság előtt. A figyelmeztetések ellenére sokan még ma sem mérlegelik eléggé személyes adataik értékét. A legtöbben továbbra is minden korlátozás, beállítás nélkül, gyanútlanul – néha inkább óvatlanul – töltik fel az érdeklődési körüket érintő információkat vagy a nyaraláson készült fényképeiket. Ez azonban komoly veszélyeket rejthet, bizonyos esetekben ugyanis tudtunkon kívül segíthetik az adathalászok és egyes bűnözői körök munkáját.

Vigyázat, adathalászok!

Sokszor hangsúlyozták már, hogy manapság olyan mértékű reklámáradat vesz körül minket, hogy a legtöbbre már nem is figyelünk oda. Ha egy-egy hirdetés mégis kivétel ez alól, az általában egybevág érdeklődésünkkel. Ezt használják ki a közösségi médiában hirdetők is: például a Facebookon a cégek már a regisztráció során megadhatják kívánt célcsoportjuk adatait, és a közösségi oldal ennek megfelelően teríti a személyre szabott reklámokat. Sajnos az utóbbi időben megjelentek olyan kétes hátterű cégek is, amelyek továbbértékesítési céllal gyűjtenek személyes adatokat. Ezek az adathalász vállalkozások gyakran hoznak létre hamis Facebook-profilt, amelynek a segítségével hozzájuthatnak a felhasználók bizonyos adataihoz.

Ám a személyes adatok óvatlan kezelése sokkal súlyosabb veszélyeket is rejthet, mint a kéretlen reklámok okozta kellemetlenség. Léteznek olyan bűnözői körök, amelyek speciális szoftverek segítségével komoly felderítést végeznek, és a gyűjtött adatok alapján indítanak célzott támadást kiszemelt áldozatuk vagyona ellen. A felhasználók által közzétett fényképek és egyéb információk ugyanis megfelelő támpontot nyújthatnak a felhasználók anyagi helyzetének feltérképezéséhez. Akaratunkon kívül azzal is segíthetjük a bűnözőket, ha eláruljuk: mikor tartózkodunk huzamosabb ideig a lakásunkon kívül. Komoly veszélynek tesszük tehát ki magunkat, ha közzétesszük a nyaralásunk tervezett időpontját, időtartamát vagy akár helyét.

hvg.hu

Veszélyeztetett mobilrendszerek

Persze nem csak a fixen telepített rendszereket fenyegetheti a kibertámadás veszélye, a mobilrendszerek sincsenek biztonságban. Az alkalmazottak ugyanis okostelefonokon és tableteken olvassák a levelezésüket, intézik feladataik egyre nagyobb részét, és sokszor ugyanezeket az eszközöket használják a privát életben is. Ez a vállalatok számára komoly biztonsági kockázatot jelent. A tanulmány szerint a vállalatok több mint 60 százaléka nem is engedélyezi a magántulajdonban lévő eszközök céges felhasználását. Ugyanakkor a vizsgált vállalatok mindössze 40 százalékában ellenőrzik, követik nyomon, hogy milyen tevékenységeket végeznek a munkatársak az általuk használt mobilkészülékeken. A kontroll elterjedtebb azoknál a cégeknél, ahol nemcsak a vezetők, hanem a beosztottak is rendelkeznek céges mobilkészülékkel. Az ellenőrzés leginkább az adat- és hangforgalom mértékére vonatkozik, de a felhasználást ellenőrző cégek tizede minden eseményt figyel az alkalmazott mobilkészülékeken.

A cégek mindössze negyedében van írásos szabályzat a mobileszközök használatáról, ami azt jelzi, hogy erre a területre nem fordítanak kellő figyelmet a hazai közép- és nagyvállalatok. Az írásos szabályzat hasonló tartalmú az egyes cégeknél: leginkább a céges levelezőrendszer és internet használatára, a jelszavak kezelésére, valamint a céges hálózathoz történő csatlakozásra terjed ki. A legvalószínűbb kockázatnak a készülékek elvesztését, ellopását tekintik, de az ezzel kapcsolatos félelmek sem nevezhetők erősnek, a készülékek feltörésére és az adatok elvesztésére a cégek döntő többsége nem lát reális esélyt.

A jó védelmi rendszer

A mai mobileszközök biztonsági felkészültsége is elég vegyesnek mondható. Biztonságosabbak a PC-knél, mégis sokkal védtelenebbek lehetnek egy hagyományos támadással szemben. Ráadásul egyre több felhasználónak van hozzáférése érzékeny vállalati forrásokhoz a személyes, vállalati ellenőrzésen kívüli okostelefonján keresztül. Ezekkel a készülékekkel csatlakoznak olyan, harmadik fél által működtetett szolgáltatásokhoz, amelyek szintén kívül esnek a vállalati ellenőrzésen.

A legnagyobb veszélyt itt is a saját munkatársak jelentik. A vállalatoknak a mobileszközök védelmét központilag kell(ene) menedzselniük, és erre a célra legalább ugyanakkora hatékonyságú rendszert kell kiépíteniük, mint korábban az asztali számítógépek, majd később a noteszgépek esetében. A helyzetet tovább nehezíti, hogy olyan megoldásra van szükség, amely nem csökkenti a felhasználói élményt, illetve a használatával nem kell lazítani a vállalati biztonságon.

Egy jó védelmi rendszer véd a vállalati adatszivárgásokkal szemben, segítséget nyújt a káros tartalmak távoltartásában, és egyaránt képes az Apple iOS, a Microsoft Windows Mobile, a Google Android operációs rendszerek felügyeletére. Telepítése után a mobileszközön virtuális magánhálózat jön létre fejlett titkosítással. A kliensen keresztül minden forgalom eljut a mobilbiztonsági szerverre, amely a beállításoknak megfelelően szűri, monitorozza és menedzseli a tartalmat. A leghasznosabb biztonsági funkció a távoli zárolás és adatmegsemmisítés lehetősége. Ekkor a rendszer támadás észlelésekor sms-t vagy e-mailt küld a felhasználónak, de például ellopás vagy elvesztés esetén törli magát az eszközt is a vállalat rendszeréből.

hvg.hu

Fenyegetett Android

A mobilfenyegetések egyik legfontosabb szeletét a rosszindulatú programok adják. A jelenlegi helyzet kialakulásában nagy szerepe volt az Android térhódításának, amely mára a legnagyobb tortát hasította ki magának a mobiloperációs rendszerek piacából. A jelentős mértékű piaci térhódításnak egyenes következménye, hogy ez az operációs rendszer is népszerűvé vált a kártékony programok íróinak körében.

A rosszindulatú programokat a támadók számos módon juttathatják el a felhasználó okostelefonjára. Az egyik legjobb lehetőség számukra az alkalmazás-letöltési dömping kihasználása. Ez különösen az Android világra igaz, ahol 2012 februárjáig viszonylag szabadon kerülhettek be az alkalmazások a piactérbe. Az Apple esetében a zárt rendszer és a kezdetektől alkalmazott szigorúbb ellenőrzés miatt nagyobb a biztonság, de nem szabad elfelejteni, hogy amennyiben a felhasználó feltöri a készülékét – és ezt sokan megteszik –, akkor nagyban növekedik a támadás kockázata.

Kényelmes, de veszélyes

A netes bankolás kényelme is rendkívüli károkat okozhat, hiszen például az eddig tökéletesen biztonságosnak tartott, úgynevezett kétfaktoros banki azonosítást is képesek megkerülni egyes kártevők. Ehhez a banki azonosításhoz a szokásos azonosító mellett egy ideiglenes, csak pár percig élő azonosítót is használnunk kell a banki műveletek elvégzéséhez, amit sms-ben kapunk meg a banktól. Okostelefon használata esetén a két faktor szó szerint egy kézben egyesül, és a támadó szoftver mindkét azonosítót megszerzi a telefonból. A kémprogramok így gyakorlatilag a létező összes információt képesek kiolvasni és ellopni a telefonunkról.

A mobiltelefon után a bankkártya az az eszköz, amelynek a biztonságát a legfontosabbnak tartjuk. E téren jobban is állunk, mint a mobilok esetében, bár bankkártya-használatkor sem árt odafigyelni. A Magyarországon kibocsátott plasztiklapok és a hazai kártyaelfogadó rendszer európai összehasonlításban is magas szintű védelmet nyújt az ügyfeleknek. A bankok már 2009-ben elkezdték az átállást a biztonságosabb chipkártya technológiára, a kártyák 65-70 százalékán található biztonságot magas szinten garantáló chip.

A magyar bankok folyamatosan monitorozzák és szűrik a bankkártya-tranzakciókat. Ez azt jelenti, hogy ha a kártyabirtokos fizetési szokásaival nem egyező műveletet észlelnek, felhívják az ügyfelet telefonon és egyeztetik vele, valóban ő vásárolt-e, netán szükség van-e a kártya letiltására. Ilyen helyzetben a kártyabirtokosnak nem kell attól tartania, hogy az első jogosulatlan tranzakció veszteséget okoz, hiszen egy rövid vizsgálat eredményétől függően a bankok saját kárként könyvelik el az ilyen típusú kártyahasználatot. A kártyabirtokos is figyelemmel kísérheti saját kártyás költéseit. Hazánkban rendkívül elterjedt a bankkártya-tranzakciókról értesítő sms-szolgáltatás, amelyet a világon a magyarországi bankok vezettek be elsőként, 1998-ban.

A bankok igyekeznek az interneten létrejövő vásárlásokat is egyre biztonságosabbá tenni. Az elmúlt évek fejleménye például, hogy a magyar webáruházak túlnyomó többsége nem látja az ügyfél adatait, hiszen az internetes fizetés nem a kereskedő weboldalán, hanem a bank fizetési felületén történik. Az online fizetés biztonsága is napról napra fejlődik, például terjed az internetes fizetéseknél használt, a kártyát kibocsátó bank által a kártyabirtokos mobiljára sms-ben küldhető biztonsági kód.

HVG Archív

Mit tehet a kártyabirtokos?

Persze a kártyabirtokos is sokat tehet azért, hogy ne kerüljenek veszélybe az adatai és a pénze. Fontos, hogy a PIN kód sohase legyen egyszerűen kitalálható számsor, és ne tartsuk a bankkártya közelében, ne írjuk a kártyára. Ha lehet, egyáltalán ne jegyezzük le, inkább tartsuk fejben. Ha elveszítettük bankkártyánkat, ha a PIN kódunk illetéktelenekhez kerülhetett, azonnal tiltassuk le azt bankunk ügyfélszolgálatánál. Ha az automata elnyelte kártyánkat, és nem akarja visszaadni, akkor is tiltassuk le. Készpénzfelvételkor legyünk körültekintőek, ne fogadjuk el ismeretlenek segítségét. Ne válaszoljunk olyan állítólagos banki e-mailekre, amelyekben jelszavunk, bankkártyás és egyéb személyes adataink megadására kérnek. Ne ugorjunk be: internetes vásárlásoknál a PIN kód megadására soha nincs szükség!

Ha további cikkek is érdeklik azzal kapcsolatban, hogy milyen is lesz 2013-ban az IT-világ, lapozza fel a rovatunk támogatásával készített IT Plusz 2013 kiadványt, amelyet megvásárolhat az újságárusoknál vagy megrendelhet a HVG ügyfélpontján.