fbpx
+36 1 781 4842 info@fortix.hu
NIS 2 – négy nélkül

NIS 2 – négy nélkül

NIS2 négy nélkül

Nézünk, mint a moziban, vagy tudatában vagyunk a feladatinknak?

Nincs a távolba sem ISMS a fegyvertárban?! Nem foglalkozott a szervezeted eddig eléggé a kiberbiztonsággal?! Kapjátok a pofonokat a kiberbűnözőktől?! Meg kellene úszni valahogy a kiberbiztonsági tanúsításra vonatkozó elvárásokat?! – Gratulálok, szervezeted kellően éretlen, hogy a NIS2-re való felkészítésre vonatkozó felhívással alanya legyen számos megkeresésnek, de el foglak szomorítani: Nem a NIS2 miatt kellene ezzel foglalkozni.

Az mindenkinek megvan, aki a témában olvasott már pár cikket, bejegyzést, hogy az EU tavaly decemberben elfogadta a korábbi, 2016-os Network and Information Security irányelv módosítását a NIS2-t, kötelezően magasabb felkészültséget írva elő a kiberbiztonság területén az Uniós országokban. A tagállamok neki is álltak a jogalkotásnak: Magyarországon 2023.05.15-én megjelent a 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, továbbá a 10/2023. (V. 15.) SZTFH rendelet az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról. Illetékes seriff a Szabályozott Tevékenységek Felügyeleti Hatóság (SZTFH), alanyai a hazai közép- és nagyvállalkozások, meghatározott ágazatokban, illetve létszám és éves árbevétel alapján.

De mit akart tőlünk a korábbi NIS?! Semmi extrát, csak megfelelő és kockázatarányos kibervédelmet írt elő bizonyos szolgáltatók részére, mint az energia, közlekedés, digitális szolgáltatások és más kiemelt, kritikus infrastruktúra. A NIS2 szélesíti a kört, bevonva ezzel számos egyéb, létfontos területet, mint a hulladékkezelés, szélesebb digitális és közösségi szolgáltatások (ICT), gyártás, fejlesztés, de nem is áll meg itt, mivel a beszállítókkal kapcsolatban is megfogalmaz elvárásokat. Ha nem vagy a NIS2 alanya most, majd leszel, ha partnerévé válsz, vagy válnál egy érintett szervezetnek.

Tudom, kemények vagyunk, mint Bud Spencer, és nem esünk hanyatt az alábbi célok elérésétől, amit a NIS2 meghatároz nekünk:

  • Információbiztonsági szabályozási rendszer
  • Kockázatelemzési gyakorlat módszertana
  • Védelmi intézkedések megvalósítása
  • Incidenskezelés folyamata, kommunikációja
  • Üzletmenet folytonosság kialakításának kockázatarányossága
  • Ellátási láncban szereplő partnerek IT biztonsági megfelelése

Állj! Ezeket csak most akarjuk elérni? Nincs szabályzatunk, kockázatelemzésünk, cselekvési tervünk baj esetére?! Akkor ugyan gáz van, de nem a rendelet, vagy az előírások, hanem az informatikai rendszereinket érintő fenyegetések miatt. Nem a NIS2, hanem az adataink biztonsága, a rendszereink megfelelő működése miatt kell kialakítanunk a biztonsági környezetet.

A hatósági megfeleléshez van azért extra feladat is, de ne ez legyen a kapkodás tárgya:

  • Önazonosítás, nyilvántartásba vételre bejelentkezés – 2024.01.01-től 06.30-ig.
  • Biztonsági osztályba sorolás – 2024.01.01-től, de nem ugrik a nyakunkba senki, hiszen a részletszabályok még nem ismertek.
  • Elektronikus információs rendszerek biztonságáért felelős személy kijelölése – 2024.01.01-től, de most komolyan, eddig nem foglalkozott vele senki?!
  • Védelmi intézkedések bevezetése biztonsági osztály függően, de mint az előbb, itt is várjuk meg a pontos elvárásokat, ha már tudjuk és van kockázatarányos védelmünk, akkor ne kapkodjunk új megoldások felé.
  • Felügyeleti díj megfizetése Hatóság felé – 2024.10.18-tól. Ez fájt, de ha kap a szervezet olyan jógyakorlatokat, értelmezhető biztonsági osztályokat, amik valóban javítják a szervezet kibervédelmét, akkor akár meg is érheti.
  • Első kiberbiztonsági audit vonatkozásában szerződéskötés auditorral (tanúsítóval?) – 2024.12.31-ig – kell valaki aki a körmünkre néz, de figyeljünk rá, hogy ne egy önbecsülésünket és korábbi intézkedéseinket porig alázó ellenőr, hanem egy racionális, kockázatarányos intézkedéseket elváró és szükség esetén arra gazdaságos javaslatot tévő partnert válasszunk.
  • Első kiberbiztonsági audit lefolytatásának határideje – 2025.12.31-ig – szabad egy táncra? A Sheriff jöhet, jönni is fog, de nem lő le azonnal.

A jelenleg még nem ismert részletszabályok és a kapkodás elkerülése miatt vegyünk egy nagy lélegzetet mielőtt a NIS2 totemoszlopa előtt rettegve várjuk a Seriff bírság formájában megjelenő bilincsét. Az előírt feladatok elvégzésére, némi extra adminisztráción kívül akkor is szükség van a számítógéppel vezérelt, adatközpontú világunkban, ha senki sem szórná tele a kockázatokra való felhívás füstjeleivel az eget. Lehet nem egy hatóság, vagy az EU, hanem a zsarolóvírusok, vagy az adatszivárgások miatti NAIH bírságok okoznák nekünk az igazán nagy fejvakarást.

Szerzők:

Szabó Zoltán, szakértő tanácsadó

Panyi Zsolt, vezető tanácsadó

Iratkozzon fel hírlevelünkre!

    (*)

    ISO 27001 tanúsítvány

    ISO 27001 tanúsítvány

    ISO 27001 tanúsítvány

    Büszkék vagyunk az újonnan szerzett ISO 27001 tanúsítványunkra, amely az elkötelezettségünk záloga

    A FORTIX számára nem csupán egy tanúsítványt, de a biztonság és megbízhatóság garanciáját is jelenti az ISO 27001 tanúsítvány megszerzése. Az ISO 27001 nemzetközi sztenderd biztosítja, hogy a cégünk által nyújtott szolgáltatások a legmagasabb biztonsági követelményeknek felelnek meg, ezzel is garantálva ügyfeleink adatbiztonságát és az információk védelmét.

    Az információbiztonsági menedzsment rendszert (ISMS) irányító standard megszerzésével a FORTIX tovább erősíti piaci pozícióját és bizonyítja, hogy képes megfelelni a legmodernebb és legmagasabb követelményeknek egyaránt. A tanúsítvány a vállalatunk belső folyamatainak hatékonyságát és a felelősségteljes működését is igazolja.

    Iratkozzon fel hírlevelünkre!

      (*)

      Jelszó mentes élet? Lehetséges ez?

      Jelszó mentes élet? Lehetséges ez?

      Jelszó mentes élet?

      Lehetséges ez?

      A cikk megjelenésének szakmai támogatója a CyberCamp
      Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen a cikk szerzője is oktat.
      www.cybercamp.hu

      junior kiberbiztonsági szakember képzés

      A rövid válasz az, hogy igen, de még gyerekcipőben jár, és nem minden eszköz támogatja egyelőre.

      2023. május 3-tól kezdve létre lehet hozni úgynevezett passkey-eket a személyes Google-fiókokhoz. Ez a Google „Advenced Protection Program” részeként jött létre. A Google nem fog jelszót kérni vagy kétlépcsős azonosítást a bejelentkezéskor. Az ilyen passkey-ek kényelmesebb és biztonságosabb alternatívát jelenthetnek a jelszavakhoz képest. Működnek minden jelentős platformon és böngészőben, és lehetővé teszik a felhasználók számára, hogy bejelentkezzenek a számítógépükbe vagy mobil eszközükbe ujjlenyomatuk, arcfelismerésük vagy PIN-kódjuk segítségével.

      Miért biztonságosabb, mint a jelszó?

      A passkey-ek, ellentétben a jelszavakkal, csak saját eszközökön tárolódnak. Ez azt jelenti, hogy a passkey-ek védelmet nyújthatnak a phishing támadások, jelszó újrahasználás, vagy adatszivárgások ellen. Ez erősebb védelmet jelent, mint amit a legtöbb kétfaktoros módszer kínál ma, ezért a kétfaktoros azonosítást is kihagyhatod, amikor passkey-t használsz. A meglévő bejelentkezési módszerek, mint például a jelszavak, még mindig működni fognak, ha szükség van rájuk, például olyan eszközök használatakor, amelyek még nem támogatják a passkey-t. A passkey-ek még újnak számítanak, és időbe telik, amíg minden eszközön működni fognak.  Ha új eszközön szeretnél először bejelentkezni, vagy ideiglenesen másvalaki eszközét szeretnéd használni, használhatod a telefonodon tárolt passkey-t erre. Ha elveszítesz egy olyan eszközt, amelyen van egy passkey a Google-fiókodhoz, és úgy gondolod, hogy más fel tudja azt oldani, azonnal visszavonhatod a passkey-t a fiókbeállításokban.

      De hogyan is működik?

      A passkey fő összetevője egy kriptográfiai privát kulcs, amely a készülékeiden tárolódik. Amikor létrehozol egyet, azzal a hozzá tartozó publikus kulcsot feltöltik a Google-rendszerbe. Amikor bejelentkezel, a Google kéri az eszközödet, hogy a privát kulccsal aláírjon egy egyedi hívást. Az eszköz csak akkor teszi ezt meg, ha ezt jóváhagyod, ezután ellenőrzi a publikus kulcsoddal az aláírást. Az eszközöd továbbá biztosítja, hogy az aláírás csak a Google weboldalain és alkalmazásain keresztül legyen megosztva. Az aláírás bizonyítja a Google számára, hogy az eszköz a tied, mivel rendelkezik a privát kulccsal, hogy jelen voltál annak feloldásakor, és hogy valóban a Google-be szeretnél bejelentkezni. Ehhez csak a publikus kulcsot és az aláírást osztod meg a Google-lel. Egyik sem tartalmaz semmilyen információt a biometrikus adataidról. Mivel minden passkey csak egyetlen fiókhoz használható, nincs kockázata annak, hogy ugyanazt újrahasználod más szolgáltatásokhoz, így a jelszó újra használást ki lehet zárni.

      Miért nem szerezhetik meg távolról a bejelentkezési információkat?

      Amikor egy másik eszközön szeretnél először bejelentkezni a telefonodban tárolt passkey segítségével, az első lépés az, hogy beolvasd a másik eszközön megjelenő QR-kódot. Az eszköz ezután ellenőrzi, hogy a telefonod közel van-e egy kis, anonim Bluetooth-üzenet segítségével, majd egy végponttól végpontig titkosított kapcsolatot hoz létre az interneten keresztül a telefonnal. A telefon ezt a kapcsolatot használja a kért egyszeri passkey aláírásának elküldésére, amelyhez jóváhagyásod és a telefonon található biometrikus vagy képernyőzárolási lépés szükséges. Sem maga a passkey, sem a képernyőzárolási információ nem kerül elküldésre az új eszközre. Az Bluetooth-közelség ellenőrzés biztosítja, hogy távoli támadók ne szerezhessenek meg semmilyen infomációt.

      Miért bízhatunk benne?

      A passkey-ek a FIDO Alliance és a W3C WebAuthn munkacsoport által létrehozott protokollokra és szabványokra épülnek. Ez azt jelenti, hogy a passkey támogatás működik az összes platformon és böngészőn, amelyek elfogadják ezeket a szabványokat. Ugyanezek a szabványok és protokollok biztosítják a biztonsági kulcsokat, amelyek erős védelmet nyújtanak. A passkey-ek sok erős fiókvédelmi intézkedést örökölnek a biztonsági kulcsoktól, de kényelmesek mindenki számára.

      Ez még egy új eljárás, és technikai korlátai is vannak, mert nem minden eszköz tud úgynevezett Bluetotth Low Enegry-t észlelni, de izgalmas látni, hogy a Google hogyan próbálja kiváltani a jelszavak használatát, és növelni a fiókok biztonságát.

      Iratkozzon fel hírlevelünkre!

        (*)

        AI megint, megint és megint…

        AI megint, megint és megint…

        AI megint, megint és megint…

        Hónapok óta megy az AI körüli buli. Olvastam valahol, hogy mindenki mesterséges intelligencia szakértővé vált az utóbbi időben, és ez milyen igaz. A diákok helyett megírja a dolgozatot, a tanár helyett a kérdéseket, tanácsot ad a bírósági ítélethez, lerajzolja a pápát pufidzsekiben, elhozza a világvégét, meg feltöri a jelszavainkat… Én meg most adok még egy lökést az infarktushoz…

        Ha mi ilyen technológiához férünk hozzá, akkor vajon hol tartanak az APT-k (Advanced Persistent Threat – fejlett erőforrással rendelkező fenyegetések, kormányok támogatásával rendelkező hekkercsoportok), a kormányok és a különféle szakszolgálatok? Vajon mire átlagpolgárként látjuk az eredményét a fejlesztéseknek, mire „alufólia lesz a holdraszállásból”, holt tartanak a párbetűs nevek alatt dolgozó titkosszolgálatok? De nyugi, ettől sem kell, hogy megálljon a szívünk.

        Azt is vegyük végre tudomásul, hogy az AI még nem Ő. Bár a hatalmas tömegű információs bázis, és a nyelvi eljárások megfelelő programozása miatt a kapott válaszok olyanok, mintha egy tudattal, személyiséggel rendelkező entitástól kapnánk, nincs sem tudata, sem énképe és a kreativitása is egy jó véletlenszám generátorral megdolgozott statisztikai feldolgozó egység.

        Pár napja futott egy kört a médiában, hogy az AI az emberek elpusztítását akarja (ChaosGPT), de ha eltekintünk a kattintásvadász címtől, a teljesen laikus újságírói fordulatoktól, mást látunk. Ha egy program bemeneteként meghatározzuk az emberiség elpusztítását, mint cél, és irányba állítjuk az algoritmust, akkor a legerősebb tömegpusztító fegyver google keresésével (spoiler: Cár-bomba) akkor is csak egy ügyes ovis szintjét éri el a gonosznak titulált program, ha már ez is hihetetlen technológiai bravúr. Tény, ha a ChaosGPT lenne az atombombák megkérdőjelezhetetlen ura egy ilyen utasítás után, akkor bajban lennénk. De egyelőre maradjunk a szöveges játék szintjén.

        Egy másik, internetes éterbe kiáltott sikoly volt, hogy az AI pillanatok alatt fejti meg a jelszavainkat. A cikk mellé feltöltött táblázatból azonban csak annyi derül ki, ami már évekkel ezelőtt is igaz volt, hogy a rövid, könnyen kitalálható jelszavak nem érnek fabatkát sem, hiszen egy mai jelszótörésre szánt eszköz a 12 karakternél rövidebb komplex jelszavakat is percek alatt fejtheti vissza. Az megint nem került be a cikkbe egyértelműen, hogy ehhez nem kell AI. Szóval nem amiatt, hanem az informatikai eszközök általános fejlődése miatt kell többfaktoros hitelesítés, jelmondat és körültekintés a jelszavak használata közben. A kockázata azért ott van, hogy egy AI támogatott rendszer, a meglévő eszközök alkalmazásával vajon milyen sebességgel lesz képes sérülékenységeket kihasználni, hiszen már ma is optimalizálhatjuk akár a rosszindulatú programunk kódját a mesterséges intelligencia segítségével.

        Bár itt van a finisben a depressziót szövegfelolvasás alapján jelző alkalmazás, az AI nem feltétlenül fog orvosi szinten beszélgetni velem, ha az elmém és érzelmeim komplex problémájával oda fordulnék. Nem a gép miatt, hanem az embertelen és sokszor érzelemmentes társadalom miatt leszek öngyilkos. A felelős pedig nem a fejlesztő kell legyen. Ha felvágom az ereim, ott sem a penge lenne a hibás.

        Az egész dolog lényege, hogy a félinformációk, hangzatos címek ellopják a show-t. Ahelyett, hogy gondolkoznánk, hogy keresnénk és tanulnánk az AI használatának megfelelő formáit, csak szívjuk magunkba a pletykalapok hasábjain és a likevadász közösségi médiában megjelenő bejegyzéseket.

        Én úgy gondolom, hogy a felelősségen áll vagy bukik majd a kérdés. Ha tudom, hogy milyen tevékenységért ki a felelős, ha tudom, hogy egy eszköz, jelen esetben az AI használata közben a társadalmi normák betartásra kerülnek, ha ismerem a működésének környezetét, a lehetőségeit – de ez igaz akár simán az internetre ugyanúgy –, akkor olyan lesz ez is, mint a kenyérvágókés… Ledöfhetném vele a szomszédot, de általában csak eszek egy jó szelet vajaskenyeret.

        Szerző: Szabó Zoltán

        Iratkozzon fel hírlevelünkre!

          (*)

          Etikus hackelés: A kiberbiztonság fehér lovagjai 

          Etikus hackelés: A kiberbiztonság fehér lovagjai 

          Etikus hackelés

          A kiberbiztonság fehér lovagjai

          A cikk megjelenésének szakmai támogatója a CyberCamp
          Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amely során az etikus hackelés alapjai is megtanulhatók.
          www.cybercamp.hu

          junior kiberbiztonsági szakember képzés

          Etikus hackelés története: Az 1960-as évektől napjainkig

          Talán senki nem gondolt rá a ’60-as években, amikor az MIT (Massachusetts Institute of Technology) mérnöki karán először használták az „ethical hack” (azaz etikus hackelés) kifejezést, hogy 60 év múlva mennyire ismert – és talán sokszor félreismert – kifejezés lesz ez az információbiztonság területén. 

          Hackereknek kezdetben azokat a nagy tudással bíró szakembereket nevezték, akik talán néha „favágó” módszerekkel, például egy csákánnyal, vagy kalapáccsal, de technikai problémákat oldottak meg. Innen ered maga a kifejezés is, a „hack” ige egyik jelentése csapkod, míg a „hacker” csákányozót is jelent. 

          Mivel a múlt század közepén még nem voltak internetet érintő problémák, mai tudásunk szerint, komolynak mondható informatika rendszerek, így az első hackerek sem köthetők közvetlenül az internethez. Talán még néhányan emlékeznek arra az időre, amikor csak utcai telefonfülkékből, pénzérmékkel, majd később telefonkártyával lehetett telefonálni. Az első hacker akciók is az érmés telefonálás „hackelésére” irányultak.

          etikus hackelés történeteForrás: Az MIT Museum engedélyével

          Misztikum, romantika, és a nem olyan rideg valóság

          Mint korábban, napjainkban is a hackereket, etikus hackereket mindig valamilyen romantikus, misztikus kép lengte körül, melyhez képest a valóság sokkal szakmaibb. 

          Az etikus hackerek valójában információbiztonsági szakemberek. Feladatuk egy informatikai rendszer vizsgálata abból a célból, hogy megelőzzék a rendszerben lévő esetleges sérülékenységek „rosszszándékú” támadók általi kihasználását. A vizsgálatok során feltárják a rendszer gyengeségeit, rámutatnak a felfedezett gyengeségek kihasználásának következményeire, és javaslatokat adnak egy esetleges támadás kivédésére. Mindezt abból a célból, hogy megelőzzék a nagyobb anyagi kárt, illetve reputációs (jó hírnévet érintő) veszteségeket egy szervezet életében. 

          Mitől etikus egy hacker?

           

          Bár a vizsgálatok során az etikus hackerek is hackerként viselkednek, ugyanazokat az eszközöket használják, a legfőbb különbség a vizsgálat motivációjában, és eredmények átadásában keresendő.  

          Míg a hackerek valamilyen anyagi, vagy egyéb haszonszerzési célból, esetleg szórakozásból végzik tevékenységüket, az etikus hackerek ezzel szemben mindig az adott rendszer tulajdonosának megbízásából dolgoznak, céljuk a biztonsági hibák felderítése, a károkozás megelőzése. 

          A „fekete kalapos” hackerek nincsenek tekintettel a vizsgálat által esetlegesen okozott károkra, és a megszerzett információkat vagy saját céljaikra használják fel, vagy anyagi ellenszolgáltatás fejében adják át, utólag. Az etikus hackerek mindig a megbízójuknak közvetlenül tartoznak beszámolással, és szánt szándékkal sohasem okoznak kárt a vizsgált rendszerekben. 

          tények és tévhitek az etikus hackelésről

          Tévhitek és valóság az etikus hackerek világában

          Az a bizonyos „fekete kapucni”: 

          • Nem szükséges kellék ???? A filmekkel ellentétben, általában nem egy elsötétített szobában, sötét, kapucnis pulóverben dolgoznak a hackerek, etikus hackerek. Bárkiből lehet etikus hacker, nemtől, kortól függetlenül. 

          A hacker csak oda ül a számítógépéhez, és percek alatt feltör egy rendszert: 

          • Néha lehet így van, de valójában hosszas kutatómunka kellhet az előkészületekhez, miután maga a behatolás lehet, hogy tényleg gyorsan, akár percek alatt megtörténik. 

          A hacker „magányos farkas”: 

          • Ritkán, de előfordulhat, hogy valaki annyi tudással rendelkezik, hogy egymaga végez el egy vizsgálatot, vagy hajt végre egy támadást, de általában csoportban, egymást kiegészítve dolgoznak. Ekkor érvényesülhet az a mindenre kiterjedő látásmód, sokoldalú tudás, ami akár egy komplex vizsgálathoz, akár egy rosszindulatú támadáshoz elengedhetetlen.  

           

          Jövőkép: A mesterséges intelligencia hatása az etikus hackelésre

          Bár a jövőt nem ismerhetjük, a mesterséges intelligencia rohamos fejlődése láttán csak kapkodjuk a fejünket, nem valószínű, hogy teljes mértékben át tudja majd venni az etikus hackerek, információbiztonsági szakemberek szerepét. Az MI nagy mértékben segíthet az információk gyors összegyűjtésében, de mindig kelleni fog maga az ember, aki esetleg észre vehet olyan kapcsolatokat az információk között, amire egy mesterséges intelligencia nem képes. Valamint ne felejtsük el, hogy lehet bármennyire biztonságosan kialakítva egy rendszer, a támadások döntő többsége még mindig az emberi figyelmetlenségből indul ki, így az emberi tényezőt soha nem fogjuk tudni kihagyni a megelőzésből sem.  

          És, hogy miért is végtelen az etikus hackelés története? 

          Az internet megjelenése óta, egyre gyorsabban fejlődik a technológia. Az már régóta tudott – és vannak, akik ezt meg is tapasztalják –, hogy egyre kevesebben üzemeltetnek egyre nagyobb, komplexebb rendszereket. Valamint, hiába a szinte naponta megjelenő hír a hackerek okozta károkról, még mindig kevés az olyan tudatos vezető, akik nagyobb figyelmet fordítana a rendszerei biztonságára. A hackerek (bármi legyen is a motivációjuk) mindig azon fognak dolgozni, hogy kihasználják ezen rendszerek sérülékenységeit, így az etikus hackereknek, kiberbiztonsági szakembereknek, mindig előrébb kell járjanak, hogy megvédjék a rendszereiket.   

          Ez a folytonos versengés bár arra készteti a rendszerek fejlesztőit, hogy minél jobban törekedjenek a biztonságra, de mint egy macska-egér harcban, soha nem lehetünk biztosak abban, hogy ki jár éppen előrébb. 

          Szerző: Balogh Renáta

          Iratkozzon fel hírlevelünkre!

            (*)

            Az adathalászat veszélyei

            Az adathalászat veszélyei

            Hogyan védjük meg magunkat?

            A cikk megjelenésének szakmai támogatója a CyberCamp
            Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen az adathalászat elleni védekezés alapjai is megtanulhatók.
            www.cybercamp.hu

            junior kiberbiztonsági szakember képzés

            Az adathalászat és az emberi tényező

            Az adathalászattal már régóta együtt élünk. Emlékszem az első ilyen típusú támadásra.  Az e-mail, amit a csalók küldtek nagyon magyartalan és érthetetlen volt. Természetesen a levélben volt egy link, ami egy adathalász oldalra vitt. A szövegezése inkább vicces volt, mint fenyegető, nem is lehetett igazán komolyan venni. A levélnek a tárgy részét és a benne lévő tartalmat Google fordítóval fordították le.

            Azóta sok minden változott az adathalászat során, de egy dolog továbbra is megmaradt, még pedig az, hogy a csalók az emberek hiszékenységét, jóindulatát használják ki arra, hogy kicsalják a pénzüket. Hiszen ha belegondolunk, akkor csak is mi vagyunk azok, akik ráklikkelünk egy linkre, megadjuk az adatainkat, vagy engedjük hogy feltelepítsenek valamilyen programot az eszközünkre, stb. Azért, mert elhisszük azt, amit olvasunk vagy hallunk, azon egyszerű ok miatt, mert figyelmetlenek vagyunk.

            Az adathalászat fejlődése

            Természetesen nem csak a kontrolkörnyezet változott meg, hanem sajnos a támadások minősége is. Jobbnál jobbak lettek és már nem csak e-mailekről beszélünk hanem, sms, google kereső, telefonos hívások azok, amelyekkel próbálkoznak.

            Sajnos, ahogy nő a próbálkozások száma, úgy nő a veszteség is, amit sikerül elvinni az ügyfelek számláiról. Ezt az elméletet az MNB is alátámasztotta. A diagramon látszik, hogy évről évre nagyobb a veszteség.

            bankkártya és átutalási csalások által okozott kárérték magyarországon

            Az adathalászat két nagy terület ellen irányul:

            1,    Bankkártya

            2,    Utalási megbízás (internetbank, mobilapplikáció)

            2019-előtt az adathalász támadások nagyon nagy része a bankkártya adatok megszerzéséért folyt, ezt mutatja a táblázat is.

            Éppen ezért a fő cél a bankkártya, pontosabban a bankkártyán lévő adatok megszerzése. (Bankkártyaszám, lejárati dátum, CVC, vagy CVV kód.) A csalók ezekkel az adatokkal éltek vissza és okoztak veszteséget.

            Az elkövetett tranzakcióknak nagy része külföldi weboldalakon történő vásárlás volt. Ahogy nőt ezen tranzakciók száma, úgy nőtt a kontroll is ezeken a területeken. Rájöttek a bankok és az ügyfelek is, hogy fontos a kontroll, a tudatosság, a kommunikáció, mert csak úgy lehet megelőzni a csalásokat.

            Felsorolok néhányat azokból a kontrollokból, amelyek bevezetésre kerültek.

            • Bankkártya napi összeg limit
            • Bankkártya napi darabszám limit
            • Mobilbank használata (sms értesítések)

            A csalók egy idő után hiába szerezték meg ezeket az adatokat, nem érte meg nekik újabbnál újabb csalásokat kezdeményezni, mert egyre kisebb volt az az összeg, amit megnyertek, így más után néztek. Ez nem azt jelenti, hogy megszűnt az adathalászat a bankkártya adatok ellen, hanem hogy drasztikusan lecsökkentek az ilyen típusú tranzakciók darabszámban és összegben is.

            bankkártyás és átutalásos csalások magyarországon

            Ekkor jött be a számlás csalások kora, ami még mindig tart.

            Az okok pedig egyszerűek:

            • egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval
            • nem terméket visznek el, hanem pénzt
            • sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak
            • az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)
            • az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot

            Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.

            Az okok pedig egyszerűek:

            • egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval
            • nem terméket visznek el, hanem pénzt
            • sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak
            • az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)
            • az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot

            Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.

             Hogy megismerjük a csalók gondolkodását, és felismerjük időben az ilyen támadásokat, nézzük meg milyen típusai is vannak az adathalászatnak.

            Az adathalászat típusai

             E-mail Phishing:

            A csalók megírják az e-mailt, benne egy linkkel, ami egy adathalász oldalra mutat. Ezen az oldalon próbálják megszerezni az érzékeny adatainkat.

            Spear Phishing

            Célzott adathalász támadás. A csalók egy célszemélyt választanak ki, akire rászabják az üzenetet. Ezekben az üzenetekben már találhatók olyan elemek, amelyekkel könnyebben felismerhető a támadás.

            Smishing:

            A csalók sms-t küldenek benne egy linkkel, ami egy adathalász oldalra mutat, és az oldalon próbálják megszerezni az érzékeny adatokat.  A „Jófogás”-os csalásoknál találkozhatunk ezzel az elkövetési móddal.

            Whaling (bálnavadászat)

            A csalók nagy cégek vezetőit próbálják lehalászni, mert ők hozzáférhetnek a cégek érzékeny adataihoz. A nevükben utasítják a cég alkalmazottait nagy összegű utalási megbízás könyvelésére. 

            Hamisított weboldalak

            A csalók bankok, szolgáltatók oldalait másolják le szinte tökéletesen azért, hogy a google keresőben ezek az oldalak elsőként jöjjenek fel találatként. Az ügyfelek ráklikkelnek a találatra, és máris egy hamis bank vagy szolgáltató oldalon találják magunkat.

            Voice Phishing (Vishing)

            Telefonon keresztüli adathalász támadás. A csalók telefonon próbálják lehalászni a pénzünket. A bankok nevében hívják fel az áldozatokat és meggyőzik őket, hogy adják meg az adataikat.  Nemrég az OTP Bank nevében történtek ilyen visszaélések.

            Tech support csalás:

            Távoli hozzáférést kérnek a csalók mindenféle ürügyre hivatkozva a célpont számítógépére. Ezt általában egy anydesk nevű programmal teszik meg, amit ha sikerül feltelepíteni, azon keresztül jutnak hozzá az érzékeny adatokhoz.

            A csalástípusok után összeszedtük azokat az eseteket, amelyek alapján felismerhető az adathalászati támadás.

            Gyanús feladó: A küldő neve kis mértékben eltér a valós feladó nevétől. A küldő pontos azonosításához be kell menni a levelező programba.

            Eltérések a megszokott formai jegyekben: nem a megszokott formátumú a levél tartalma (megszólítás, szöveg, aláírás)

            Nyelvtani vagy nyelvhelyességi problémák: magyartalan a levél (Google fordító), ami nyelvtani hibákat tartalmaz.

            Azonnali reakciók: Azonnali döntésre kényszerítés, valamilyen váratlan nagy veszély, vagy  valamilyen jó lehetőségről való lemaradás miatt.

            Bizalmas információk kérése: érzékeny adatokat kérnek az üzenetben, hívásban, amelyek megadásához ügyfélazonosítás szükséges. Pl: telefonos azonosító kód

            Hogyan védekezhetünk az adathalász támadások ellen?

             

            • Ne add meg a bankkártyád adatait, internetbank, mobilapplikációd jelszavát, azonosítóját vagy egyszer használatos SMS-ben kapott kódját! A bank ugyanis sosem kéri el ezeket az információkat, ha ilyet kérnek tőled, biztos lehetsz benne, hogy csalóval van dolgod.
            • Ne kattints e-mailen, sms-ben vagy egyéb üzenetben érkező linkekre, mert azok szinte biztos, hogy hamis, az eredetire megtévesztésig hasonló weboldalra irányítanak át és az ott megadott adatokkal már az elkövetők szabadon rendelkeznek a számládon.
            • Amennyiben fel akarjuk keresni bankunk vagy szolgáltatóink honlapját, mert átutalást akarunk végrehajtani, online vásárolni, akkor ne az internetes keresőbe gépeljük be a bankunk honlapját, hanem közvetlenül a menüsorba.
            • Minden esetben legyél óvatos, tegyél fel kérdéseket, ha nem a megszokott módon folyik a telefonbeszélgetés vagy elbizonytalanodsz hívás közben.
            • Amennyiben ismeretlen eredetű alkalmazás letöltését kérik – bármilyen okból -, akkor szakítsd meg a hívást.
            • A bankok nem kérik az internet vagy mobilapplikációhoz szükséges belépési kódokat, jelszavakat vagy a kártyaadatokat (PIN, CVC). Ha ilyet kérnek, azonnal meg kell szakítani a hívást.
            • Ne utalj pénzt telefonon érkező kérésre! A bankok sosem kérnek ilyet.
            • Gyanús megkeresés esetén szakítsd meg a telefonhívást, majd hívd a bank ismert, a saját weboldalán publikált ügyfélszolgálati telefonszámát a hívás valódiságának ellenőrzéséhez.
            • Ne használd a visszaellenőrzéshez azt a telefonszámot, amit megkaptál a hívó féltől! A szám hamis lehet, vagy kifejezetten erre a célra hozták létre.
            • Mobilapplikációi alkalmazásban az ismeretlen kártyás vásárlásokat vagy átutalásokat, csak abban az esetben hagyd jóvá amennyiben azt te hajtottad végre.
            • Legyen beállítva mobilbank (sms szolgáltatás) szolgáltatás a számlás és a kártyás tranzakciókra, hogy időben észleld a jogosulatlan tranzakciókat.

            Szerző: Csók Sándor

            Iratkozzon fel hírlevelünkre!

              (*)