Adathalászat – K&H IT akadémia

A héten abban a megtiszteltetésben részesültem, hogy előadóként részt vehettem a K&H IT akadémiáján. A meghívást Lakati Zsolttól kaptam, akivel az elmúlt 4 évben a bankban bevezetett MDM megoldással kapcsolatosan dolgoztam. Mivel az előadásnak a mobilitásról kellett szólnia, úgy döntöttem, hogy egy friss témával készülök: adathalászat a mobil készülékeken. A legújabb statisztikák szerint a sikeres adathalász támadások kevesebb, mint 1/5-e történt e-mailes csatornán keresztül, így a drága mail biztonságot adó szoftverek hatásosnak bizonyulnak. A legtöbb vállalatnál az adathalászattal kapcsolatos felhasználói tudatosságnövelés elsősorban a levelezést célozza, ez pedig a fentiek alapján már tévhit, amin túl kell lépni.

Maga az adathalászat témája nagyon érdekes, például egyes felmérések szerint kb. 20 másodpercenként hoznak létre új adathalász oldalakat, melyekből minden 6-dik rendelkezik hiteles SSL tanúsítvánnyal is és így HTTPS használatára is képes. Tehát a második tévhit, melyet el kell oszlatnunk, hogy a HTTPS szinonima a biztonságra.

A probléma ezekkel az oldalakkal, hogy a mobilokon sok alkalmazás képes önmagában megjeleníteni egy link mögött lévő weboldalt, és elrejti a böngészősáv tartalmát. A felhasználónak így esélye sincsen rá, hogy észrevegye, átverés az oldal. Az olvasók egy része biztosan azt gondolja, hogy az iOS platformon futó iPhone és iPad készülékek nem érintettek, vagy csak kevésbé. Sajnos ez a harmadik tévhit, minden mobil platform egyformán veszélyes ebből a szempontból.

Ahogy a felvezetőben írtam, az e-mail már lejárt lemez, helyette más csatornákat használnak előszeretettel az adathalászat céljával támadók. Legkedveltebbek az azonnali üzenetküldők, ezek közül is a Whatsapp vezeti a listát. Előkelő helyen vannak még a közösségi oldalak, online játékok, irodai jellegű alkalmazások.

A negyedik és egyben utolsó tévhit, hogy a kétfaktoros azonosítás majd megvéd bennünket. Persze nagyon fontos, sőt, ma már elengedhetetlen, hogy be legyen kapcsolva az összes általunk használt szolgáltatáson. Azonban egy jól konstruált, valós idejű támadás ezt is meg tudja kerülni, lássuk csak az itt bemutatott módszert.

Mi a konklúzió? Mint minden IT biztonsági jelenséget, ezt is lehet technológiai oldalról és humán oldalról megközelíteni. Technológiai oldalról vannak a mobil végpontvédelmi megoldások (egyes gyártók az APT-elleni védelmi portfóliójukban helyezik ezt el), melyek egy része már kínál megoldást kifejezetten a mobil adathalászat szűrésére. Ezt mesterséges intelligencia használatával, viselkedés-alapú analízis segítségével oldják meg. A humán faktort pedig úgy lehet leküzdeni, ha a felhasználóinkban tudatosítjuk, hogy bármi átverés lehet, amit kapnak, és kövessenek néhány alapvető szabályt (például hogy a webbankot úgy érjék el, hogy saját maguk beírják az URL-t, stb.). És mindeközben reménykedjünk, hogy a támadók azóta, hogy ezt megírtam, nem találtak ki már rengeteg sokkal körmönfontabb módszert, melyekre eddig még nem is gondolhattunk…

Egy gondolat a(z) “Adathalászat – K&H IT akadémia” című bejegyzésnél

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s