Adathalászaton (vagy ahogy az internetes zsargon mondja: phishing) azt értjük, amikor valaki vagy valakik magukat megbízható forrásnak álcázva megpróbálják a gyanútlan felhasználóktól személyes adataikat, jelszavaikat megszerezni. Tipikusan e-mailben igyekeznek rávenni áldozataikat a csalók, hogy előbbiek egy megtévesztő weboldalon adják meg adataikat, de előfordul telefonos megkeresés is. Az angolban social engineering-nek nevezik ezeket a technikákat, amelyek nem a technológiát, hanem az emberek hanyagságát vagy tudatlanságát hívják segítségül, hogy hitelkártyaszámokat, felhasználói neveket és jelszavakat csaljanak ki bűncselekmények végrehajtásához.
Az adathalász sztori
A phishing sajnos már régóta velünk van. Az első közismert adathalászatot 1996. január 2-án jegyezték fel az AOL Usenet hírcsoportjában - bár igaz, hogy a fogalom már korábban is ismert volt. Az első támadás során a hackerek AOL-adminisztrátornak kiadva magukat azonnali üzeneteket küldtek a felhasználóknak. Ezekben a jelszavukat kérték olyan hivatalosnak tűnő fordulatokat használva, mint a „regisztráció megerősítése" vagy a „számlázási információ megerősítése", az AOL-hozzáférések birtokában azután az adathalászok garázdálkodhattak a gondatlan felhasználók hitelkártya-információival. Az AOL-ról elég hamar áttértek a bűnözők a pénzintézetek ügyfeleinek támadására. 2004-re az adathalászat a szervezett bűnözés egyik legjobban jövedelmező iparágává nőtte ki magát.
A másik közösség, amelyet előszeretettel támadnak az adathalászok, a közösségi oldalak felhasználói, mivel a személyes adatok megszerzésével úgynevezett identity theft, azaz személyazonosság-lopás hajtható végre - ennek veszélyeit pedig valószínűleg nem kell ecsetelni. 2006-ban történt egy nagyobb lopás: a MySpace egyes oldalait helyettesítették hackerek kártékony lapokkal, és megváltoztatták az onnan elvezető linkeket, hogy a felhasználók belépési információit megszerezzék. Mivel a közösségi oldalakon még a szokásosnál is gondatlanabbak az emberek, az ilyen típusú támadások is sokkal sikeresebbek. Egy felmérés szerint a halászok 70 százalékban eredményesek itt.
Sajnos hazánkban is egyre nagyobb a veszély, hiszen 1,3 millió embernek van internetes banki hozzáférése - ekkora piacra pedig már érdemes rámozdulni. Eleinte angol nyelvű, majd rossz magyarsággal írott levelekkel próbálták meg lépre csalni a felhasználókat, mára viszont már tökéletes magyar nyelven megfogalmazott, profi adathalász leveleket is olvashatunk. Több magyar bankot is támadtak már, az OTP, az Erste és az MKB bank ügyfelei is kaptak adathalász leveleket.
Az adathalászat nemzetközi jellege egyre nyilvánvalóbb. Az RSA Security jelentése 70 országban több mint 10 ezer támadásról számol be, ezek 40 százaléka már az adott ország nyelvén próbálta kicsalni a címzettektől személyes adataikat.
2007 júniusában az Index weboldala 61 iWiW-et és 92 MyVIP-et másoló adathalász oldalról számolt be. A weblapok az Extra tárhelyszolgáltatón voltak olyan címekkel, mint ingyeniwiw vagy turbomyvip. Nagyobb támadásra - valószínűleg a cikk miatt - nem került sor, az illető weboldalakat nemsokára megszüntették.
Hogyan csinálják?
A legtöbbször az adathalászok egy e-mailben elhelyezett linkkel csalogatják az embert egy oldalra, amely tökéletes másolata egy pénzintézet, közösségi portál, vagy bármely célba vett oldal nyitólapjának. Ha valaki nem ellenőrzi a webcímet, nem is veheti észre, hogy átverték. Aldomainek vagy az eredetitől csak pár karakterben különböző címek a leggyakoribbak a felhasználók megtévesztésére. Az OTP Bank oldalát így például a http://www.otp.becsaplak.hu imitálhatná (a becsaplak szó jelentsen mondjuk egy potenciálisan adathalász URL-t). Az is előfordulhat, hogy a link, amely a csalók oldalára vezet, nem szöveg, hanem URL, de természetesen az eredeti oldal címe. Így van, aki ellenőrzés nélkül rákattint majd.
Szintén népszerű az @ jel használata, amelyet egyes helyeken a felhasználónév elválasztására használnak. Például a gyanútlan felhasználó a http://www.otp.hu@felhasznalo.becsaplak.hu címről első pillantásra azt hiheti, hogy az otp.hu egyik oldalát fogja meglátogatni, pedig így a becsaplak.hu-ra fog érkezni. Segítség, hogy a legtöbb böngésző már szűri ezeket a webcímeket, és figyelmeztetnek minket, ha veszélyes területre merészkednénk.
Az utóbbi időben megemelkedett a képeket használó adathalász levelek száma is, hiszen így könnyedén kicselezik a szűrőket, amelyeket a tipikus phishing szövegek észlelésére programoztak be. Problémát jelent a nemzetközi domainek használata is; előfordulhat, hogy nem vesszük észre, amikor a jól ismert .hu helyett .eu vagy .com végződésű az URL, ahol járunk. Ugyanilyen veszélyt jelentenek az URL-átirányítással ellátott oldalak - gyakran észre sem vesszük, hogy nem abban a domainben vagyunk, ahol a munkát elkezdtük.
Azzal persze még nem ért véget az adathalászok munkája, hogy az áldozat meglátogatta a csaló által létrehozott weboldalt. Itt a lehető legjobban el kell rejteni az esetleges különbségeket az eredeti és a hamis oldal között. A legnyilvánvalóbb árulkodó jel az URL, amit JavaScript parancsokkal meg lehet változtatni egy megfelelő képet helyezve a cím fölé. Megnövekedett a Flash-oldalak száma is, hiszen egy multimédia-objektumban elhelyezett szöveget az adathalász-szűrők nem fognak felfedezni. Meg kell azonban jegyezni, hogy néha nincs szükség technológiai segítségre, a csalóknak elég az emberi hiszékenységet kihasználni. Az is bejáratott út, hogy a felhasználót megpróbálják rávenni: hívjon fel egy bizonyos telefonszámot, ott pedig üsse be számlaszámát és PIN-kódját. A technológia persze segíthet a bűnözőknek, hiszen a hívó telefonszámát is el lehet rejteni, illetve felül lehet írni úgy, mintha valóban a bank telefonálna.
Mibe kerül ez nekünk?
Az adathalászok által okozott kár lehet jelentéktelen - például egy nem használt e-mail cím eltulajdonítása esetén -, de felmérhetetlen károkat okozhatnak hitelkártya-adataink ellopásával. Személyes adataink - édesanyánk nevétől a TAJ-számunkig - megszerzése pedig a személyazonosság-lopás legváltozatosabb formáit teszik lehetővé, új bankszámlák nyitásától akár hitel felvételéig - ezekhez persze már egyéb bűncselekményeket is el kell követni, például okirat-hamisítást.
A phishing által okozott kár évről évre emelkedik. 2004-ben csak az Egyesült Államokban a becslések szerint körülbelül 1,2 millió számítógép-használó esett adathalászok áldozatául, és megközelítőleg 929 millió dollár kárt szenvedtek. 2007-ben ez a szám 3,6 millió felhasználóra és 3,2 milliárd dollárra emelkedett. Az Egyesült Királyságban 2007-ben 23,3 millió fontot szereztek csalók adathalászat segítségével, és ha ez önmagában nem lenne rémisztő, érdemes azt is tudni, hogy 2006-ban ez a szám 12,2 millió font volt, tehát egy év alatt a csalók megduplázták jövedelmüket.
Hihetetlen mértékben növekednek az adathalász oldalak! 2007 első negyedévében 784 százalékkal emelkedett az adataink megszerzését célzó, valamilyen pénzügyi tranzakciót bonyolító szolgáltatók oldalát imitáló lapok száma.
A következő részben tanácsokkal szolgálunk adathalász-támadások elkerülésére, és megszólaltatunk egy szakértőt is.