Internetes csalók, adathalászok – így védekezz a kibertérben!

VPN, https, social media, digitális felhők, zsarolóvírus, adathalászat: megannyi kifejezés, amivel találkozhatsz, ha alámerülsz a virtuális világ – mára megkerülhetetlen – tengerében, amely sokszor félelmetesnek, de legalábbis 
misztikusnak tűnik. A Ripost7 Frész Ferencet hívta segítségül. A kibervédelmi szakértő támogatásával mutatjuk pontokba szedve a legfontosabb tudnivalókat, eloszlatva számos tévhitet is.

1. Alapvető tudnivalók
2. A jelszóadás művészete
3. Többfaktoros azonosítás
4. A védekezés módszerei
5. Tipikus trükkök
6. A közösségi oldalak csapdái
7. Wifi-biztonság
8. Zsaroló vírusok
9. Megmentőink: a felhő és a telefonkövető

A tartalomjegyzék után most nézzük a fenti kérdéseket egyesével!

1. Ki tud többet rólad, a Facebook vagy a házastársad?

A kibertérben nem „megfigyelnek”, hanem az adatainkra pályáznak. A Facebook többet tudhat rólad, mint a saját párod. A személyes adatokat védi ugyan az európai uniós szabályozás, a sokat emlegetett GDPR, de a szolgáltatóknak
– bizonyos korlátok között – van lehetőségük arra, hogy adatokat gyűjtsenek és ezeket elemezzék. Nem árt, ha az eszedbe vésed: az ingyenes szolgálatatások sem ingyenesek, ott magad vagy az árucikk: személyes adataiddal fizetsz, amiket célzott reklámok révén értékesítenek.

• Használj vírusirtót! Mindegy, hogy ingyenes vagy fizetős, a semminél minden jobb. A biztonságos kapcsolat „https”-sel kezdődik, és ott van előtte a kis lakat. Ha nincs lakat, a kapcsolat nem biztonságos – olyan, mint amikor a megírt képeslapot nem teszed borítékba, bárki elolvashatja.
• Mielőtt bármit megosztanál, alaposan ellenőrizd! Sokszor előfordul, hogy egy otthoni szelfiről vagy videós bejelentkezésből illetéktelenek láthatják a számítógép mellé kiragasztott jelszavaidat.
• A munkahelyen használj képernyővédőt, amikor felállsz a géped mellől!

2. Miért lehet veszélyes József Attila?

Ha a szolgáltatód engedélyez hosszú jelszót, erős védelmet nyújt a jelmondat, amit megtanulsz. Ez lehet akár egy vers vagy dalszöveg részlete is, de ne a kedvenc költődtől idézz! Ha a Facebook-profilból és a megosztásokból a támadó tudja például, hogy nagy József Attila-fan vagy, akkor könnyebb helyzetben van.

• A jó jelszó legalább 12 karakter hosszú, ezt már nagyon nehéz kitalálós módszerekkel feltörni. Semmiképp ne tartalmazzon hozzád köthető szavakat: például az autód rendszámát, a születési dátumod, a gyereked vagy a háziállatod nevét!
• A legjobb, ha nincs benne szótári szó, mert a kiberbűnözők gyakran használnak szótárakat. Sőt, vannak olyan adatbázisok, amelyek tartalmazzák a világon legtöbbször használt jelszavakat. A biztonsági cégek minden évben kiadják a top 100 jelszót, ezt érdemes megnézni, hogy tudd, mit ne használj semmiképp.
• A jelszóban ne legyen benne az adott szolgáltatás neve, például Linkedin, Twitter, Facebook és hasonlók!
• Legyen benne kisbetű, nagybetű, szám és különleges karakter is!
• A jelszó legyen mindig „kevert”, tehát ne legyen mondjuk szó-szám vagy két szám-négy betű, mert ezeket a jelszótörők – külön-külön részekre bontva – könnyen megfejtik.
   

3. Hogyan trükköznek az arcképünkkel?

Az arcfelismeréses azonosítást a szakértő nem javasolja, ez a technológia még nagyon gyerekcipőben jár, simán átverhető egy fényképpel. Praktikus módszer egyetlen fiókot nagyon erősen megvédeni, és az összes többi szolgáltatást ezen keresztül használni, úgy nem kell annyiféle jelszót megjegyezni. Ez lehet akár a Facebook- vagy a Google-fiókod, de inkább az utóbbit javasolják. Ezzel az is elkerülhető, hogy kizárd magad a ritkán használt fiókjaidból.

Ha a jelszó mellett van egy másodlagos megerősítés, például sms-kóddal, az megsokszorozza a védelmet. Három faktor van:

• amit tudsz (például a jelszavad),
• amid van (például a mobilod),
• amilyen vagy (például az ujjlenyomatod).

Ha ebből a háromból legalább kettőt kombinálsz, az már elég erős védelmet ad.
 

4. Milyen fegyverrel támad az adathalász?

Az adathalászat egyik formája, amikor az általad megosztott információk elemzéséből felépítik a profilodat. Például nézik a Facebookon, hogy merre jársz, mit csinálsz, miket osztasz meg, és ez alapján próbálnak hozzáférni a dolgaidhoz. A másik módszer a célzott adathalász-támadás, ez a gyakoribb.

• Legtöbbször tömegesen küldenek ki olyan e-maileket, amikben kamuszöveg van. Ezeket általában könnyű felismerni, mert magyartalan, bár az utóbbi időben már tökéletes magyarsággal megírt adathalászlevelek is érkeznek, amikben van egy melléklet vagy link. Ha rákattintasz, azzal lefuttatsz egy olyan programkódot a gépeden, ami megfertőzi azt, ezután pedig akár távolról is hozzáférhetnek a rajta tárolt információidhoz.
• Kémprogramot el tudnak rejteni bármilyen Office-dokumentumban, képfájlban, PDF-ben. Ha .exe, .dll, .bat, .cms vagy .ps végződésű csatolmányt tartalmaz az üzenet, soha ne kattints rá, azonnal dobd ki!
• Figyelj, hogy megbízható feladótól kaptad-e a levelet! Mielőtt megnyitsz egy e-mailt, érdemes átgondolnod, hogy ki küldte, mi a tartalma és számítottál-e ilyen levélre.
• Ha egy kívülről kapott Word-, Excel- vagy Powerpoint-fájl dokumentumfuttató kódot (makrót) tartalmaz, ne engedélyezd!
   

5. Hogyan csapják be az agyunkat?

Az adathalászok másik ravasz húzása az úgynevezett misspelling domain, vagyis egy ismert webcím „elgépelése”. A szemünk átfut a hibán: például google.com helyett qoogle.com. A támadók trükkje, hogy beregisztrálnak ismert webcímekhez hasonló, egy betűvel eltérő címeket, mert tudják, hogy az agyunk automatikusan kijavítja a rossz címet.

• A támadók ma már tökéletes másolatokat csinálnak a banki bejelentkező oldalakról vagy a levelezőrendszerek bejelentkezési felületéről. De az adathalászat kivédhető, ha megnézed, hogy a link hova mutat. Ha az egeret a link fölé viszed, akkor a hozzá tartozó webcím megjelenik a képernyő alján, és láthatod, hogy a feladó például nem otpbank.hu, hanem otpbank.freeweb.hu, vagyis tuti csalókkal van dolgod.
• A bank e-mailben biztosan nem kér jelszót.
• Ha kapsz egy értesítést, hogy valamelyik csomagküldő szolgálatnál nyomon tudod követni a küldeményed, vagy jön egy üzenet, hogy a csomag elakadt, mert vámot kell fizetni, mielőtt kattintasz, érdemes végiggondolnod, rendeltél-e bármit is.

6. Miért vesztik el egyes sztárok a rajongótáborukat?

A Facebook-fiókod különösen védeni kell, mert ha mondjuk egy jelszómódosítással kizárnak a profilodból, a Facebook nem fog rajtad segíteni: elveszíted a fiókot és az azon keresztül kezelt oldalaidat is. Mondhattak már így búcsút ismert zenészek több százezres rajongótáboruknak. Ugyanez érvényes persze a többi közösségi oldalra (Instagram, Google, Twitter, LinkedIn, TikTok stb.) is.

• Meg kell gondolni, mit osztasz meg magadról vagy a családodról. Előfordult, hogy valaki kiposztolta, hogy külföldön nyaral, és mire hazajött, kirámolták a lakását.
• Használj zárt profilt! Érdemes beállítani, hogy a megosztásokat csak az ismerőseid láthassák, azokból ugyanis fel lehet építeni egy támadási profilt.
• Ha nyilvánossá teszel egy bejegyzést, ne felejtsd el a következő posztnál visszaállítani a beállításokat!

7. Hogyan hallgatnak le a kávézóban?

Ha egy mód van rá, ne használj szabadon hozzáférhető wifit! Ezek a hálózatok könnyen lehallgathatók. 

• Egy kávézóban például nagyon sokan ezt használják, és aki akar, „belehallgathat” abba, amit csinálsz. Lehet, hogy egy jól szituált úr leül melléd egy laptoppal, megvárja, amíg bejelentkezel a netbankodba, és akcióba lép. Az ott lementett belépési adataiddal azután bármikor szabad bejárása lesz a bankszámládra, és ha óvatos duhaj, talán észre sem veszed, hogy meg-megcsappantja a pénzedet.
• Ha mégis free wifit használsz, kapcsold be a VPN-t! Ez a szolgáltatás titkosítja az adatforgalmat. Néhány mobiltelefonban ez már eleve bekapcsolható, ilyenkor a megjelölt nyilvános wifiknél automatikusan védett üzemmódba kapcsol, de vannak VPN-szolgáltatók és letölthető alkalmazások is.
• Az otthoni hálózatnál se felejtsd el megváltoztatni a gyári hálózati nevet és jelszót, különben az is úgy viselkedik, mint egy free wifi.

8. Honnan tudhatod, hogy megfigyel-e a Nagy Testvér?

A titkosszolgálatoknak nincs kapacitásuk arra, hogy a világ összes felhasználóját szemmel tartsák és feldolgozzák az adataikat. Ők célzott adatgyűjtést és megfigyelést végeznek, úgyhogy nyugi, nem figyel a Nagy Testvér. A kiberbűnözőktől kell inkább tartanod.

• Ha lassul a géped, esetleg a böngésződ elkezd kéretlen tartalmakat földobálni vagy reklámoldalakra irányít, akkor a gép jó eséllyel megfertőződött.
• Különösen veszélyesek a zsarolóvírusok. Egyszer csak azt veszed észre, hogy nem férsz hozzá a fájljaidhoz, mert „zárolták” azokat, és fölugrik a zsaroló üzenet: fizess, ha vissza akarod kapni, ami a tiéd! Ilyenkor semmiképp ne engedelmeskedj, mert ha pénzt utalsz a támadónak, akkor visszaállítja mondjuk az első 100 fájlt, de utána újra megzsarol, csak tízszer akkora összegre. Ilyenkor jobb, ha tudomásul veszed, hogy azok a fájlok bizony elvesztek.

9. Miért nem jó, ha a farzsebedben tartod a mobilod?

Ma már minden a telefonunkon van, ezért nagyon kell rá vigyázni. Ne tartsd olyan helyen, például a farzsebedben, ahonnan könnyen ellophatják! Kapcsold be a telefonkövető szolgáltatást, ami segít megtalálni az elvesztett vagy ellopott készüléket!

• Az Androidnál és az Apple-nél is van Find My Phone szolgáltatás, illetve be lehet állítani azt is, hogy ha ellopják a telefont, távolról le lehessen törölni róla minden adatot (wipe).
• Az okosóra jelzi, ha a telefon túl távol kerül tőle.
• Sok telefonon van olyan beállítás, hogy nemcsak be-, de kikapcsolni is jelszóval lehet a készüléket. Ezt is érdemes
  beállítani, mert akkor a tolvaj nem tudja kikapcsolni, így láthatod, hogy éppen merre van a készülék.
• A biztonsági mentést mindig be kell kapcsolni! Ha van mentés és wipe-olni kell a telefont, akkor egy másik készülékre azonnal visszatölthetők az adatok.
• A legfontosabb információidat időnként érdemes lementeni külső adathordozóra, külső winchesterre vagy USB-stickre. Ezeket csak addig hagyd a gépre dugva, amíg le nem mented az információkat! De tárolhatod a dokumentumaidat saját személyes felhőfiókban is, akkor még külső adathordozó sem kell.
• Az e-mailek fenn vannak a Google- vagy a Microsoft-felhőben, a cégek szerverein, ahol nagyobb biztonságban vannak, oda nem tudnak betörni a zsarolók sem.