szerző:
hvg.hu
Tetszett a cikk?

A Symantec szakemberei nemrégiben felfigyeltek arra, hogy az egyik igen kártékony adathalász-átverés eseteinek száma komoly növekedést mutat. A módszer lényege, hogy a támadók a levelezőrendszerek jelszó-helyreállítási funkcióját használják fel az áldozatok emailfiókjához való hozzáféréshez.

A leghatékonyabb átverések általában nagyon egyszerűek – gondoljunk csak arra az esetre, amikor valaki rendőrnek adja ki magát, és felszólítja az áldozatot, hogy adja át autója kulcsát, amit sokan meg is tesznek, hiszen azt gondolják, hivatalos személlyel állnak szemben. A Symantec által bemutatni kívánt csalás két okból sikeres: a becsapás egyszerű, a felhasználók döntő többsége pedig megbízik a hivatalosnak látszó dolgokban. Ez a két tulajdonság a kiberbűnözés világában is jól működik, és erre az alábbi eset is jó példával szolgál.

A Symantec szakértői nemrégiben megfigyelték, hogy jelentősen emelkedik az egyik adathalász-átverés eseteinek száma, amelynek célja az áldozatok emailfiókjai fölötti kontroll megszerzése. A pszichológiai manipulációs (social engineering) támadások nagy részét a Gmail, Hotmail és a Yahoo Mail felhasználóinál észlelték.

©

A támadás kivitelezéséhez a bűnözőknek tudniuk kell az áldozatok emailcímét és mobiltelefonszámát – ezek megszerzése egy ilyen csoportnak nem jelent komoly feladatot. A támadók a levelezőszolgáltatások jelszó-helyreállítási funkcióját használják fel, amely segít a felhasználóknak, hogy elfelejtett jelszó esetén is hozzáférjenek fiókjaikhoz (leginkább azt a típust, amely a mobiltelefonra küld azonosító kódot). Egy Gmail-felhasználónál például az alábbi módszerrel lehet megszerezni a belépési adatokat:

  • Az áldozat regisztrálja a mobiltelefonszámát a Gmail rendszerében, így ha elfelejti jelszavát, akkor a Google küld számára egy azonosító kódot, amelynek segítségével hozzáférhet a fiókjához.
  • A támadó meg akarja szerezni az áldozat fiókját, de nem tudja a jelszót, azonban ismeri a felhasználó emailcímét és mobilszámát. A Gmail belépőoldalán megadja az áldozat emailcímét, és a „Kér segítséget?” linkre kattint, amelyet a felhasználók általában akkor használnak, ha elfelejtik belépési adataikat.
  • A felkínált lehetőségeket elutasítva a támadó kivárja, amíg megjelenik a mobiltelefonra küldött azonosító kód lehetősége, majd elfogadja az opciót, amely hatjegyű azonosítót küld az áldozat telefonszámára.
  • A felhasználó mobiltelefonjára megérkezik a hatjegyű kód.
  • A támadó szintén küld az áldozat telefonjára egy hivatalosnak látszó szöveges üzenetet: „A Google gyanús tevékenységet észlelt a fiókjában. Kérjük, válaszként küldje el hatjegyű azonosítókódját, hogy megakadályozzuk az illetéktelen tevékenységet fiókjában.”
  • Az áldozat azt gondolja, hogy az üzenetet a Google küldte, így válaszában elküldi a kódot közvetlenül a támadó telefonjára, aki az ideiglenes jelszó birtokában belép a felhasználó fiókjába.

A Symantec szakemberei néhány esetben további párbeszédet is észleltek a támadó és az áldozat között, ha esetleg az azonosító kód nem működik: „Továbbra is illetéktelen belépési kísérletet észleltünk fiókjában. A Google újra elküldte önnek az azonosító kódot, kérjük, fiókjának biztonsága érdekében válaszoljon üzenetünkre.”

A támadó a belépés után többek között egy másodlagos emailfiókot is létre tud hozni, amelyre a feltört postaláda automatikusan elküld minden üzenetet. Mindezek után a hacker elküldi az ideiglenes jelszót az áldozatnak is, aki nem tudja, hogy a leveleit illetékteleneknek továbbítja a rendszer: „Köszönjük, hogy elküldte Google-fiókjának azonosító kódját. Az ön ideiglenes jelszava [IDEIGLENES JELSZÓ].” Ez a lépés még hihetőbbé teszi az adathalász-támadást, mivel a felhasználó azt gondolja, hogy hivatalos üzeneteket kapott és fiókja biztonságban van.

A Symantec szakembereinek megfigyelései szerint a kiberbűnözők általában nem pénzügyi visszaélésekhez (például bankkártyaadatok ellopásához) használják ezt az átverést, és nem tömegesen támadják a felhasználókat, hanem pontosan kiválasztott áldozatokat választanak. Ez a módszer nagyban hasonlít azokra az átverésekre, amelyeket az APT-csoportok (advanced persistent threat, célzott támadás) használtak korábban. Az átverés sokkal hatékonyabb és olcsóbb, mint egy megtévesztő domain regisztrálása és egy weboldal létrehozása, mivel ebben az esetben csak egy SMS árába kerül a fiókadatok megszerzése.

A probléma kezelése

A felhasználóknak gyanúsnak kell tekinteniük minden olyan üzenetet, amely azonosító kódot kér, különösen akkor, ha ők maguk nem kezdeményezték ennek elküldését. Ha bizonytalanok vagyunk egy kéretlen üzenettel kapcsolatban, akkor nézzük meg a szolgáltató oldalát, hogy megbizonyosodjunk az üzenet valódiságáról. A hivatalos üzenetek csak a kódot tartalmazzák, sosem kérik, hogy válaszoljunk valamilyen módon ezekre.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

VELETEK VAGYUNK – OLVASÓKKAL, ÚJSÁGÍRÓKKAL!

A hatalomtól független szerkesztőségek száma folyamatosan csökken, a még létezők pedig napról napra erősödő ellenszélben próbálnak talpon maradni. A HVG-ben kitartunk, nem engedünk a nyomásnak, és minden nap elhozzuk a hazai és nemzetközi híreket.

Ezért kérünk titeket, olvasóinkat, hogy tartsatok ki mellettünk, támogassatok bennünket, csatlakozzatok pártolói tagságunkhoz, illetve újítsátok meg azt!

Mi pedig azt ígérjük, hogy továbbra is minden körülmények között a tőlünk telhető legtöbbet nyújtjuk a számotokra!
Hogyan fogyhatok le? Segít a közgazdaságtan!

Hogyan fogyhatok le? Segít a közgazdaságtan!

Ezerféleképp szeletelik fel az amerikai társadalmat a demokraták és a republikánusok

Ezerféleképp szeletelik fel az amerikai társadalmat a demokraták és a republikánusok

A német egyesítés sem állította meg a nyugatra vándorlást – 1990. október 24.

A német egyesítés sem állította meg a nyugatra vándorlást – 1990. október 24.