10 e-mail, amelybe jobb, ha nem kattint bele

A kiberbiztonsági kísérlet egy meglepően egyszerű és jól működő példából indult ki. Minden idők egyik legelterjedtebb e-mailes vírusa a HAPPY99, más néven Ska volt, amely 1999 elején jelent meg. Az email csak egy csatolmányból állt – nem volt benne tárgy vagy üzenet, így az egyetlen látható szöveg a levélben a csatolmány neve volt, azaz HAPPY99.EXE.

Aki megnyitotta a csatolmányt, annál egy újévi tűzijáték jelent meg a képernyőn, azonban az animáció csak álca volt – a vírus közben megfertőzte a számítógépet és a megnyitása után küldött e-mailek címzettjeinek mind elküldte saját maga egy példányát egy újabb levélben. A Sophos szerint a magyarázó szövegek teljes hiánya volt a siker egyik kulcsa: akkoriban az e-mail jóval kevésbé volt gyanús, mintha a tárgysorban található szavak között olyan idegen nyelvűek lettek volna, melyekre a fogadó nem számított. Önmagában a HAPPY99 fájlnév olyan aktuális és világszerte érvényes potenciállal bírt, mely majdnem biztosan milliókkal több felhasználót vett rá a kattintásra, mintha valamiféle marketingígéretet tartalmazott volna.

Hogy mi működik 2020-ban, azt vizsgálta a Sophos kísérlete, melyből a gyártó tíz rossz – működő – példát emelt ki közleményében. A lista egyik eleme sem volt igazán sürgős vagy rémisztő üzenet, és mind elég valószínűnek és egyszerűnek tűnt ahhoz, hogy az ember gyorsan le akarja tudni őket.

Magatartásra vonatkozó szabályok. Ez egy állítólagos HR levél volt, amely a cég új magatartásra vonatkozó szabályait vázolta fel. Világszerte megnőtt az igény a munkahelyi diverzitás növelésére és a zaklatás csökkentésére, ezért sok cég vizsgálja felül a foglalkoztatási alapelveit. A dolgozók legnagyobb része tudja, hogy el kellene olvasnia az új irányelveket és hogy a személyzeti osztálynak addig kell őket üldöznie, amíg meg nem teszik azt. Így a linkre kattintani egy olyan feladatnak tűnik, amit gyorsan le lehet tudni.

Késleltetett év végi adó összegzés. Ez arról értesítette a dolgozókat, hogy az adóügyi dokumentációjuk nem akkor fog megérkezni, amikor kellene.

Tervezett szerverkarbantartás. A Sophos szakemberei saját bevallásuk szerint meglepődtek azon, hogy ez a harmadik helyen szerepelt. Arra számítottak, hogy a legtöbben hajlamosak lesznek ignorálni az ilyen jellegű IT-üzeneteket, hiszen ezekkel semmi teendőjük nincs. De akik otthonról dolgoznak, vélik a helyzetet utólag elemző szakemberek, szeretik tudni, mikor lesznek kiesések, és így azok köré tudják szervezni az életük eseményeit. (Nem úgy, mint a munkahelyeken, ahol munkaidőben jó eséllyel akkor is bent kell maradni, ha közben karbantartás van.)

Kiosztott feladat. Ebben az üzenetben a támadó kiválasztja a projektütemező rendszert, melyet a címzett cége használ (például JIRA, Asana), hogy az e-mail ne tűnjön azonnal hamis próbálkozásnak. Ez ugyan részben célzott adathalász kísérletté teszi ezt a példát, de mivel a legtöbb nagyvállalatnál csupán néhány, komolyabb rendszer jöhet szóba, így nem is olyan nagy dolog beletalálni.

Új levelezőrendszer tesztje. Ki ne akarna segítőkész lenni, ha csak egy gyors kattintásba kerül az egész?

Szabadságolási irányelvek frissítése. A koronavírus okozta lezárások és karanténok miatt a foglalás és nyaralásra felhasználható szabadság igénybevétele trükkös kérdés napjainkban. Sok cég ennek megfelelően alakította át a nyaralásra vonatkozó irányelveit – és ki akarna lemaradni a szabadságról?

Égnek az autó lámpái. Ebben az üzenetben az épület felügyelője látszólag vidám segítőkészséggel hívta fel a figyelmet egy autóra, melynek égve maradtak a lámpái. A való életben gyanús lehet, hogy egy képet küldtek ahelyett, hogy leírták volna a rendszámot – de erre nem mindenki gondol azonnal.

A futárcég nem tudta kézbesíteni a küldeményt. Ez egy jól bevált trükk, melyet a csalók már évek óta használnak. Napjainkban különösen hihető a koronavírus miatt megnövekedett házhoz szállítások mértékének köszönhetően.

Biztonságos dokumentum. Ebben a támadási kísérletben egy állítólagos “biztonságos dokumentum” érkezett a személyzeti osztálytól, mely elfogadható okot biztosított ahhoz, hogy szokatlan módon tekintsék meg. Ezt a trükköt széles körben alkalmazzák az adathalász támadások mögött álló csalók arra vonatkozó indokként, hogy meggyőzzék a felhasználót a jelszó megadására ott, ahol egyébként nem szokta, vagy hogy módosítsa a számítógép biztonsági beállításait –látszólag a biztonság javításának érdekében, valójában viszont éppen a csökkentése céljából.

Közösségi médiás üzenet. Ez egy szimulált LinkedIn-értesítő, mely szerint “Olvasatlan üzeneteid vannak Joseph-től”. Csábító dolog rákattintani, hiszen a felhasználók tartanak attól, hogy lemaradnak valamiről.

Mit lehet tenni?

A szimulált támadások sikeressége után a Sophos szakértői több tanácsot is megfogalmaztak. Az első nem újdonság, de nem is hangsúlyozható elégszer: érdemes gondolkodni egy levél csatolmányára kattintás előtt. Még ha az üzenet első ránézésre ártatlannak is tűnik, vannak csalásra utaló nyomok, melyek egyértelműek, ha valaki végiggondolja őket. Például olyan helyesírási vagy nyelvhelyességi hibák, melyek elkövetését nem feltételezzük a küldőről. Kifejezések vagy szoftvernevek, melyek egyáltalán nincsenek használatban a cégnél.

Ha valami gyanús, érdemes rákérdezni a küldőnél. Persze nem e-mailben, hiszen annak feladója adathalász támadáskor a csaló. De ott a vállalati chat vagy a jó öreg telefonos megkérdezés.

Kattintás előtt érdemes alaposan átolvasni a linket, az adathalász támadások (vállalati és privát kontextusban is) gyakran az eredetihez hasonló url-ekre alapoznak. Ha a szerver címe csak majdnem jó – akkor az nem jó.

A gyanús e-maileket pedig érdemes azonnal jelenteni a vállalati informatikai csapatnak.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.