Mi az adathalászat? A valódi horgászathoz hasonlóan nem szórakoztató a horog végén lenni. De valószínűleg minden modern webfelhasználó itt találja magát az interneten töltött idő egy pontján. Legyen szó egy milliókat ígérő hamis e-mailről, egy telefonálóról, aki azt állítja, hogy az Ön bankja, vagy egy hamisított webhely-bejelentkezési űrlapon keresztül, az adathalászat mindenhol jelen van. Az ijesztő dolog? Jövedelmezőbb, mint valaha.
Tartalom
- Szociális tervezés
- Hamis formák
- Célzott adathalászat
A digitális énünket fenyegető számos modern fenyegetéstől eltérően azonban az adathalász csalások igen évszázadok óta létezett klasszikusabb formában és évtizedekben a legutóbbi. Napjainkban új módszerek és támadási vektorok játszanak, de csak kihasználják az új kommunikációs médiumokat, hogy ugyanazokat az ősi csalásokat hajtsák végre, amelyek örökké megtévesztik az óvatlan embereket.
Ajánlott videók
Szociális tervezés
Minden adathalász csalás fő összetevője az szociális tervezés. Ez az a gyakorlat, amikor elhitetik a felhasználóval, hogy az általa kezelt személy, e-mail vagy weboldal legitim. A csalás elkövetése pszichológiai manipuláció. A klasszikus bizalmi trükkök digitális formája a személyes adatok nyilvánosságra hozatalának ösztönzésére.
A social engineering legklasszikusabb felhasználása az adathalászatban az e-mail. A nigériai herceg átverése jól ismert, de van benne több is modern formák a közösségi médiában. A témára vonatkozó egyéb változatok közé tartoznak a telefonhívások, e-mailek vagy közösségi hálózati üzenetek, amelyek állítólag az Ön bankjától származnak amelyek azt akarják, hogy rákattintson egy linkre vagy egy e-mailre, amely úgy tűnik, hogy egy kollégájától érkezett, akinek égetően szüksége van rá, hogy nyisson meg egy mellékletet. Egyes esetekben ez olyan rosszindulatú webhelyekhez vezet, amelyek folytatják az adathalász támadást, de olyan rosszindulatú szoftvereket is letölthetnek, amelyek kombinált támadást hajtanak végre a rosszindulatú programokban.
A közösségi manipulációra épülő adathalász támadások minden esetben arra ösztönzik a felhasználót, hogy vegyen részt olyan műveletben, amely nem tanácsos. Használhatnak nyelvezetet, hogy azt sugallják, hogy az idő nagyon fontos, a jó természetre hivatkozhatnak, vagy ismerősséget sugallhatnak, hogy további nyomást gyakoroljanak a potenciális áldozatra.
Egy jó hüvelykujjszabály az ilyen csalások elkerülésére, hogy vegyük figyelembe a régi közmondást: „túl szép, hogy igaz legyen”, és soha ne kattintsunk az e-mailekben található hivatkozásokra. Ami a mellékleteket illeti, biztonságosabb és kevésbé megkérni a kollégákat, hogy osszák szét őket fájlmegosztó platformokon érzékenyek a manipulációra, mint az e-mailek, amelyeket könnyen meg lehet hamisítani, hogy úgy nézzenek ki, mintha valahonnan származnának jogos.
Hamis formák
Az adathalászat praktikusabb formája nem csak egy e-mail meghamisítását jelenti. Egyes esetekben teljes webhelyeket – vagy legalábbis bejelentkezési oldalaikat – hamisítják meg, hogy további legitimitásérzetet keltsenek. A hamisítás összetettségétől függően hasonlónak tűnő webcímeket, másolt grafikákat és tervezési lehetőségeket, sőt biztonsági tanúsítványokat is használhatnak.
Az e-mailes csalásokhoz hasonlóan az adathalász webhelyek célja, hogy arra ösztönözzék az áldozatot, hogy adja meg személyes adatait. Egy hamis banki webhely vagy közösségi hálózat ellophatja bejelentkezési adatait. Egy hamis Bitcoin-tőzsde megpróbálhatja ellopni a kriptovalutáját.
Bár kevésbé elterjedt, a webhelyhamisítás legkifinomultabb formája az, hogy egy legitim webhelyen lévő biztonsági rést használnak a webhely eltérítésére. Amikor az áldozatok megpróbálnak bejelentkezni, valójában egy hamis bejelentkezési űrlapba helyezik el adataikat, vagy lehetővé teszik a támadók számára, hogy velük egy időben jelentkezzenek be az adott webhelyre.
Az ilyen támadások elkerülésének legjobb módja, ha mindig megbizonyosodik arról, hogy valóban a megfelelő webhelyen tartózkodik – nem pedig egy hasonló URL-lel rendelkező oldalon –, és gyanakodni kell a váratlan bejelentkezési kérésekre. Ha kétségei vannak, linkek használata helyett írja be azt a webcímet, amelyről tudja, hogy biztonságos.
Célzott adathalászat
Az adathalászat általában meglehetősen általános, amikor a támadók szélesre akarják vetni hálójukat, hogy megpróbálják a lehető legtöbb potenciális áldozatot tőrbe csalni. Ez különösen fontos most, amikor a legtöbb modern webböngésző adathalászat elleni biztonsági intézkedéseket alkalmaz. A leghatékonyabb adathalász támadások némelyike azonban sikeres volt, mert célzottak voltak. Az egyénekre vonatkozó konkrét információk felhasználásának gyakorlatát, amelyeket esetleg egy korábbi social engineering vagy rosszindulatú programtámadás során gyűjtöttek össze, adathalászatnak nevezik.
A lándzsás adathalászat ugyanúgy öltheti fel az e-mailek, telefonhívások vagy azonnali üzenetek álcáját, mint az általánosabb támadások. Lefegyverzési taktikákat alkalmaznak, például keresztnévhasználatot vagy olyan preferált személyes adatokat, amelyek úgy tűnik, hogy csak törvényes forrásból származnak. Ez történhet pénzbeli haszonszerzés céljából, de arra is volt példa, hogy ilyen célra használták fel ipari kémkedés és politikai manipuláció.
szerint a 2017-es Keepnet tanulmány, A vállalkozásokat ért átlagosan sikeres lándzsás adathalász támadás 1,6 millió dollárt tesz ki a támadóknak, így sokkal jövedelmezőbb, mint a többi digitális támadás.
Az adathalászat egy másik szűkebb formája, az úgynevezett „bálnavadászat”, még jövedelmezőbb lehet. Kifejezetten a magas vagyonú magánszemélyeket és vállalkozásokat célozza meg azzal a céllal, hogy pénzt csaljanak ki tőlük, vagy magas szintű digitális hozzáférést kapjanak egy szervezethez.
A lándzsás adathalász támadásokat természetüknél fogva sokkal nehezebb észrevenni és elkerülni. Fontos azonban megjegyezni, hogy ugyanazokra a manipulációs technikákra támaszkodnak, mint más adathalász csalások. Az Ön információit akarják. Ha nagyon óvatos a kiadott információkkal és a kontextussal kapcsolatban, akkor viszonylag biztonságosnak kell lennie az adathalászat minden formájától.
Tovább mérsékelheti az adathalász támadásokkal kapcsolatos problémákat, ha egyedi jelszavakat használ az összes szolgáltatáson, és tárolja azokat erős jelszókezelő.
Szerkesztői ajánlások
- USB-C töltésű laptopok: Íme, amit tudnod kell
- Mi az a RAM? Itt van minden, amit tudnia kell
- Minden, amit a GPU vásárlásáról tudni kell 2023-ban
- Meta Quest 3: minden, amit tudnod kell
- A Microsoft most új módszert kínált a vírusok elleni védelemre
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.