Adatszivárgásos átverési értesítések: hogyan ismerd fel és állítsd meg őket
Amikor egy nagy adatszivárgás a hírekbe kerül, a kiberbűnözők élénken figyelnek. Egy nyilvános bejelentést követő órákon belül a csalók hamis értesítések hullámait indítják, amelyeket úgy terveztek, hogy megtévesztésig hasonlítsanak az igaziakra. Az internetet használók számára ma már alapvető elvárás, hogy megértsék, hogyan működnek ezek az átverési értesítések, és mely eszközök védenek valóban ellenük.
Hogyan használják ki a csalók a valódi adatszivárgásokat, hogy meggyőző hamis figyelmeztetéseket készítsenek
A valódi adatszivárgások tökéletes fedőtörténetet nyújtanak a csalásnak. Amint egy adatszivárgás megjelenik a hírekben, a bűnözők már tudják, hogy emberek milliói aggódnak, értesítést várnak, és hajszolt döntéseket hozhatnak, amikor megérkezik egy üzenet.
A forgatókönyv mindig ugyanaz: a csalók e-maileket, SMS-eket vagy automata hívásokat küldenek, amelyekben az érintett cég vagy egy hitelmonitoring-szolgáltató nevében lépnek fel. Az üzenet arról tájékoztat, hogy a személyes adataid kiszivárogtak, és sürget, hogy kattints egy linkre, igazold a személyazonosságod, vagy hívj fel egy számot azonnal. A sürgetés szándékos. A pánik lerövidíti azt az időt, amit a részletek alapos ellenőrzésére szánnál.
Ezek a hamis értesítések egyre kifinomultabbak lettek. A bűnözők ma már valódi céglogókat használnak, lemásolják a hivatalos kommunikáció hangnemét, és még a hírekben látott pontos szivárgási dátumokra is hivatkoznak. Egyesek nem is a vállalatot, hanem harmadik fél adatszivárgás-értesítő szolgáltatókat személyesítenek meg, így nehezebb nyomon követni őket. A valós kártérítési egyezségeket – például a Krispy Kreme 1,6 millió dolláros adatszivárgási megállapodását – gyorsan lemásolják, és a csalók hamis kárbejelentő űrlapokat küldenek olyan embereknek, akik soha nem tartoztak az érintett ügyfélkörbe.
Hogyan különböztessük meg a valódi adatszivárgási értesítéseket az adathalász kísérletektől
A jogszerű adatszivárgási értesítések jól megjósolható mintákat követnek, amelyek élesen eltérnek a csaló üzenetektől. E különbségek ismerete az első védelmi vonalad.
A cégektől származó valódi értesítéseket komoly adatszivárgás esetén – különösen, ha pénzügyi vagy kormányzati adatokról van szó – általában postai levélben küldik. Ha e-mailben érkeznek, egy olyan ellenőrzött domainről jönnek, amelyet a cég korábban is használt, nem pedig egy hasonló kinézetű címről, amely extra karaktereket vagy eltérő legfelső szintű domaint tartalmaz. A hiteles értesítések pontosan leírják, milyen adatok kerültek nyilvánosságra, mit tesz a cég az ügy érdekében, és milyen ingyenes forrásokat (például hitelmonitoringot) ajánl fel. Soha nem kérik, hogy erősítsd meg a jelszavad, a társadalombiztosítási számod vagy a fizetési adataid.
Az adathalász kísérletek ezzel szemben szinte mindig tartalmaznak egy olyan felszólítást, amely érzékeny adatok megadását követeli. Mesterséges határidőket szabnak. Azzal fenyegethetnek, hogy felfüggesztik a fiókodat, vagy jogi következményekkel jár, ha nem cselekszel. Az ilyen üzenetekben található linkek hamis weboldalakra vezetnek, amelyek begyűjtik mindazt, amit beírsz.
Annak áttekintéséhez, hogyan néz ki egy valódi kormányzati szintű adatszivárgási nyilvános nyilatkozat, a francia ANTS adatszivárgás, amely 12 millió fiókot érintett hasznos hivatkozás. Az ilyen léptékű hivatalos bejelentéseket nyilvános közlemények, sajtóhírek és hatósági útmutatások kísérik, nem pedig pánikkeltő e-mailek, amelyek arra kérnek, hogy 24 órán belül igazold a személyazonosságod.
Miért nem mentenek meg a VPN-ek és az adatvédelmi eszközök a social engineeringtől
Ez az a rész, amely sok biztonságtudatos felhasználót meglep. A VPN titkosítja az internetes forgalmat, és elrejti az IP-címed. A jelszókezelők erős hitelesítő adatokat hoznak létre és tárolnak. Ezek az eszközök valódi, mérhető védelmet nyújtanak bizonyos fenyegetésekkel szemben. Ám egyikük sem tudja megakadályozni, hogy átverjenek, és önként átadd a saját adataidat.
A social engineering alapú támadások az emberi pszichológiára, nem pedig technikai sebezhetőségekre építenek. Amikor egy meggyőző hamis értesítést kapsz, és önként rákattintasz egy linkre, vagy felhívsz egy csaló számot, a VPN-nek semmi szerepe nincs. A támadás minden technikai védelmi réteget kikerül, mert te vagy az, aki kinyitja az ajtót.
Hasonlóképpen, az adatszivárgás-figyelő szolgáltatások jelzik, ha az e-mail-címed megjelenik valamilyen ismert szivárgási adatbázisban. Ez valóban hasznos a tudatosság szempontjából, de nem állítja meg a csalót abban, hogy egy olyan adatszivárgásról küldjön hamis riasztást, ami teljesen mással történt, vagy amit még nyilvánosan meg sem erősítettek.
A védelmi hiányosság itt jelentős. A technikai eszközök a technikai támadásokra adnak választ. A social engineering másfajta védekezést igényel: szkepticizmust, ellenőrzési szokásokat és annak világos megértését, hogy a valódi intézmények hogyan kommunikálnak.
Ami valóban működik: konkrét lépések, hogy megvédd magad egy adatszivárgás után
Ha úgy gondolod, hogy az adataid esetleg kiszivárogtak, a következő lépések tükrözik, amit a biztonsági szakemberek valóban ajánlanak.
Ellenőrizd, mielőtt cselekszel. Ha értesítést kapsz, közvetlenül a cég hivatalos weboldalára menj, úgy, hogy te gépeled be a címet. Ne kattints az üzenetben található linkre. Keresd a cég sajtószobáját vagy hivatalos közösségimédia-csatornáit az adatszivárgási bejelentések miatt. Ha az adatszivárgás valós volt, ott megtalálod a megerősítést.
Ellenőrizd a kártérítésre való jogosultságot hivatalos csatornákon keresztül. A valódi kártérítési egyezségeknek hivatalos egyezségkezelő weboldaluk van, amely a bírósági dokumentumokban és a sajtóközleményekben szerepel. Ha valaki megkeres, és felajánlja, hogy segít a kárigény benyújtásában, kezeld gyanúsan, amíg függetlenül nem ellenőrizted.
Fagyaszd le a hiteledet. A hitelezés befagyasztása mindhárom nagy hitelinformációs ügynökségnél ingyenes, visszavonható, és valóban hatékonyan akadályozza meg, hogy a csalók új számlákat nyissanak a nevedben. Ez azon kevés lépések egyike, amely attól függetlenül működik, hogy milyen adatok kerültek nyilvánosságra.
Használj egyedi jelszavakat és kapcsold be a kétfaktoros hitelesítést. Ha az érintett szolgáltatásnál használt jelszót máshol is felhasználtad, változtasd meg mindenhol. A kétfaktoros hitelesítés gondoskodik arról, hogy egy ellopott jelszó önmagában ne legyen elég a fiókodba való belépéshez.
Jelentsd a gyanús értesítéseket. Az adathalász e-maileket továbbítsd a Szövetségi Kereskedelmi Bizottságnak (FTC) és a megszemélyesített cégnek. Ez segíti a hatóságokat a csalási kampányok nyomon követésében, és más potenciális áldozatokat is védhet.
Az adatszivárgásos átverési értesítések azért hatékonyak, mert pontosan abban a pillanatban érkeznek, amikor az emberek már valós fenyegetés miatt aggódnak. A legjobb ellenszer, ha lelassítasz, önállóan ellenőrzöl, és észben tartod, hogy a törvényes szervezetek soha nem fognak kéretlen üzenetben azonnali cselekvésre kényszeríteni. Ennek a szokásnak a kialakítása nagyobb védelmet nyújt, mint bármelyik egyetlen szoftver.
