Virtuális tereink tavaszi nagytakarítását javasolta nemrég a kiberbiztonsági igazgatóság, arra figyelmeztetve, hogy egy hatékony digitális rendrakással kiküszöbölhetjük a kiberkockázatokat és megvédhetjük személyes adataidat, kódjainkat és jelszavainkat, amelyekre egyre kifinomultabb módszerekkel vadásznak a csalók, hogy aztán jól megszabadítsanak a pénzünktől, vagy a felhasználói fiókjainkon keresztül becsapjanak másokat is. Az egyes tanácsok mentén – azokat bővítve példákkal és tippekkel – Székely Barnabás minősített adatvédelmi és információbiztonsági szakemberrel beszéltük át, hogy mit tehetünk adataink megvédéséért, honnan tudjuk meg, ha ezekhez hozzáfértek, és mire számíthatunk ilyen esetben. Megtudtuk azt is, van, hogy hiába törekszünk maximális biztonságra, ha maga az eszköz, például egy okosóra nem biztonságos „gyárilag”, az AI segítségével pedig a csalók akár hitelt is felvehetnek a nevünkben, ha hozzáférnek a megfelelő adatokhoz.

Egy sor tanácsot adott nemrég a kiberbiztonsági igazgatóság (DNSC) adataink védelmére – tavaszi nagytakarítás címén –, és ezek közül az egyik, amire rögtön felkaphatjuk a fejünket, hogy azt javasolják, ellenőrizzük, kiszivárogtak-e az e-mail-címeink és a hozzájuk tartozó jelszavaink. Miben is segíthet az e célra ajánlott haveibeenpwned oldal, és mi van, ha kiderül, hogy kiszivárogtak az adataink? – kérdeztük Székely Barnabás minősített adatvédelmi és információbiztonsági szakembert, a Privacy Pro alapítóját.

A darkwebre is kerülhetnek

„A haveibeenpwned oldalon ellenőrizni lehet, hogy adataink érintettek-e szivárogtatásban, lopásban, sőt fel lehet iratkozni értesítésekre is. Ha kapunk ilyen értesítést, azt jelenti, hogy a darkwebre vagy egyszerűen nyilvánosságra kerültek olyan adatbázisok, amelyekben szerepel a mi e-mail címünk is, és ha ezekben a jelszavaink is szerepelnek, az nagyon komoly figyelmeztető jel. Már akkor is a jelszó megváltoztatását javaslom – minden érintett fióknál –, ha csak az e-mail címünk szerepel egy ilyen adatlopásban. Mivel nagyon sok felhasználó sajnos ugyanazt a jelszót használja több fiókjánál is, ilyen esetben minden fióknál érdemes megváltoztatni a jelszót” – sorolta tanácsait Székely Barnabás.

A kibertámadásokkal foglalkozó csoportok egy ilyen adatszivárgás, -lopás után elkezdik felhasználni az adatokat, és célzott támadásokat hajtanak végre, mondta el a szakember, az Orange szolgáltatót idén februárban ért kibertámadást hozva fel példaként, amikor személyes adatok, e-mail címek, személyi számok szivárogtak ki többek között.

„A csalók ezt az adatbázist használhatják, és az Orange nevében küldhetnek e-maileket, Whatsapp-üzeneteket, SMS-eket, és próbálnak további adatokat kicsikarni, akár a pénzüktől megfosztani az ügyfeleket” – mutatott rá, mire is kell figyelmes lenni.

Abból is észrevehetjük, hogy kiszivárgott a jelszavunk, ha az e-mail-fiókunkban vannak olyan levelek, amiket nem mi küldtünk, a beérkezők között szintén vannak gyanúsak, az online banking esetében pedig árulkodók a tranzakciók, a számlakivonatok – tette még hozzá az adatvédelmi és információbiztonsági szakember.

Kapcsolódó

Kiberbiztonsági igazgatóság: Legyenek óvatosak az Orange-ügyfelek!

Kormányzati intézmények, polgármesteri hivatalok, iskolák, kórházak, bankok, biztosítók, közlekedési és energiacégek, valamint magánszemélyek is érintettek az Orange Románia kiberbiztonsági incidensben, figyelmeztet a kiberbiztonsági igazgatóság (DNSC).  

kibertámadás Orange Románia figyelmeztetés kiberbiztonság

„A közösségimédia-fiókjainknál megjelenhet olyan, amit nem mi posztoltunk, üzenet, amit nem mi küldtünk. Sokszor, ha a csalók egy Facebook- vagy Instagram-fiók fölött megszerzik az irányítást, akkor kiposztolják például, hogy gyűjtenek beteg személynek vagy állatmenhelynek, és ha az ismerőseink tudják, hogy magas a szociális érzékenységünk, és ha sokan megbíznak bennünk, lehet, hogy utalnak ezeknek a csalóknak, mert elhiszik, hogy valóban mi posztoltuk ki, és hitelesnek tűnik az is, hogy egy külföldi számlaszámra kell utalni a támogatást” – magyarázta el a szakember.

Legjobb a jelszókezelő: a böngészőben, jegyzetben nincsenek biztonságban

A haveibeenpwned azt is javasolja, hogy használjunk jelszógenerátort, azonban amit ajánl, az előfizetős. Székely Barna szerint is ajánlott jelszógenerátort használni, amiből ingyenes is elérhető. „A LastPass-nek, a 1Password-nak és a Protonnak is vannak ingyenes jelszógenerátorai is. Ugyan egyedi, komplex és biztonságos jelszavakat generálnak, ám elég valószínű, hogy számunkra megjegyezhetetleneket, amelyeket nem tudunk kötni semmihez, nincs bennük egy mintázat, így ezeknek akkor van értelme, ha használunk jelszómenedzsereket is. A legelismertebbek közül három: a Bitwarden, a KeePass és a Proton Pass. Előnyös használni, mert így nem fogjuk például a böngészőnkbe menteni a jelszavainkat, hiszen van sok olyan kiterjesztés, amiben lehet olyan megoldás, amivel ellophatók a böngészőbe elmentett jelszavaink” – mutatott rá Székely Barnabás.

Felhívta a figyelmet, hogy e-mailbe vagy jegyzetek közé a telefonba elmenteni a jelszavakat szintén nem biztonságos, hiszen ezek is könnyen megszerezhetők, mivel szövegben vannak és nincsenek titkosítva.

Amennyiben mégsem élünk a jelszókezelővel, mindenképp alap, hogy használjunk legalább 12-16 karakter hosszúságú jelszavakat, ezekben legyen kisbetű, nagybetű, szám és speciális karakter is. Igaz, hogy ezeket megjegyezni nehezebb, mégis semmiképpen ne használjuk a könnyebbség kedvéért a születési dátumunkat, háziállatunk nevét vagy lakcímet, hisz ezek könnyen kikövetkeztethetők akár a közösségi médiában megosztott fotóink, meg a köszöntések alapján – figyelmeztet Székely Barnabás.

Ugyanakkor a felhasználói fiókjaink beállításánál keressük a két- vagy multifaktoros hitelesítés lehetőségét, állítsuk be, ez is nagyon sok kellemetlenségtől meg tud menteni, javasolja még az adatvédelmi szakértő.

Változtassuk meg az alapértelmezett jelszavakat!

Otthoni számítógépünk, az ott tárolt adatok és az internethasználat biztonságának erősítéséhez mindenképpen cseréljük le az alapértelmezett jelszavakat, telepítsünk vírusvédelmet.

„A routert vagy a modem alapértelmezett jelszavait – pl. felhasználó: admin, jelszó: password – sokan nem cserélik le, így könnyen célponttá válhatnak, hisz le lehet hallgatni az online kommunikációjukat, akár más jelszavaikhoz hozzá lehet férni, ezért fontos lecserélni. Amennyiben van megfelelő vírusvédelem, akkor, ha a valaki óvatlan és le akar tölteni egy zsarolóvírust, akkor a rendszer azt azonosítja és nem hagyja, hogy a számítógépen lévő adatait lemásolja, titkosítsa és emiatt zsarolópénzt kérjenek tőle” – mutatott rá a szakértő.

A biztonsághoz ezeken kívül fontos használni jelszókezelőt, a routernél tűzfalat, és ha munka céljából is használjuk a számítógépet, és ehhez belépünk olyan rendszerekbe, ahol érzékeny adatok vannak, akkor mindenképpen ajánlott a VPN (Virtual Private Network – virtuális magánhálózat) használata is, tette hozzá.

„Az okos otthonoknál használható különböző IoT eszközök alapértelmezett jelszavait is változtassuk meg, valamint a webcamerák, okosórák jelszavait. Nagyon fontos, hisz valaki esetleg átveheti az irányítást, és a webcamerán keresztül megfigyel, ezért javasolt okosóránkon, webkameránkon és hasonló eszközökön lecserélni a jelszavakat” – javasolta még Székely Barnabás.

Mentsünk el az adatainkat!

A szakértők szerint minden olyan digitális adatról érdemes biztonsági mentést készíteni, amely pótolhatatlan, vagy amelyet kellemetlen lenne elveszíteni, például fényképek és fájlok. „Van egy aranyszabály a szakmában, amit inkább vállalatok követnek, ez a 3-2-1-es szabály: azaz minden adatról legyen 3 másolat, ezeket tároljuk 2 különböző tárolóeszközön – ha számítógépen van, akkor a másolatok legyenek egy külső adathordozón –, az 1 pedig azt jelenti, hogy ebből a három másolatból egy legyen távol, hiszen, ha történik egy földrengés, tűzvész vagy akár lopás, az összes másolat elvesz, ha mind egy helyen van” – magyarázta el a szakember.  

Azt javasolja, használjuk a Windows backup-ot vagy készítsünk másolatokat, amiket a számítógép merevlemezéről fel tudunk tölteni a felhőbe. Ezenkívül, akinek van Gmail-fiókja, az ingyenesen használhatja a Google Drive-ot is, és „az biztos, hogy fizikailag nagyon távol van a számítógépünktől”. Hozzátette, a Mac operációs rendszerének is van alapértelmezett biztonsági mentése, de érdemes megnézni a beállításokat és módosítani, ahogy számunkra előnyös.

Van, hogy maga a kütyü nem biztonságos

Az eddigiek alapján úgy tűnik, egyre keményebb biztonsági intézkedéseket kell tenni, miközben sokszor magán az eszközön vannak biztonsági rések – hívta fel a figyelmet Székely Barnabás .

„Hatalmas a verseny abban, hogy ki dob hamarabb piacra egy újdonságot. A sietség miatt rövidül a fejlesztés, így a biztonságra kevesebb idő és figyelem jut, emiatt megtörténhet, hogy bár mi mindent megtettünk, amit lehet, az adataink nincsenek biztonságban, mert az eszköz biztonsága nem megfelelő. Például az autólopások esetében bebizonyították, hogy nagy arányban azért következnek be, mert az okosgarázsoknak – elsősorban – a szoftveres biztonsága nem megfelelő. Még sok eszközre igaz ez, akár okosórákra is, és így hozzá lehet férni olyan fiókokhoz, rendszerekhez, amikkel összekapcsoltuk az okosóránkat” – mutatott rá.

Az AI óta már nem magyartalan az üzenet

A generatív mesterséges intelligencia fejlődése a csalókat is segíti: az adathalász és egyéb csalási céllal küldött üzenetek már nincsenek tele helyesírási hibával, nem magyartalanok, hanem nagyon hitelesek mind kinézetben, mind szöveg szintjén, hangsúlyozta Székely Barnabás. Azt tanácsolja, „ne hagyjuk, hogy nyomást gyakoroljanak ránk. Mindenképp használjuk a józan paraszti eszünket, kérdőjelezzük meg: mennyire valószerű, hogy ilyen kéréseket kapjunk. Ne feledjük, hogy a bankok nem kérik el pl. a CCV kódot sem e-mailben, sem bankos felületen. Ezt azért szokták kérni a támadók, mert fel tudják használni vásárlásokhoz, kifizetésekhez.”

Javasolja, nézzük meg az e-mail címet, többnyire az a legárulkodóbb. „Ha hasonlít is a benne használt név például a bankéhoz, lesz mégis eltérés: volt olyan, hogy az OTP szóban az O helyett egy 0-t használtak, így próbálva megtéveszteni azokat, akiket megtámadtak” – mutatott rá.

Ugyanakkor a támadók a deepfake technológiát használva olyan okmányt, űrlapot generálnak, ami úgy néz ki, mint a valódi, de hitelesen utánozzák le bárki hangját, és így több céget ért komoly támadás, ahogy az AI által készített videóval is, tudtuk meg a szakértőtől.  

Ezeken kívül élnek még a hagyományosabb módszerek is, például a ransom zsarolóvírussal való támadás. „Akár a posta vagy a bank nevében a csalók küldenek egy csatolmányt, és amikor a fájlt letöltjük és megnyitjuk, azzal aktiváljuk a vírust, ami a számítógépen levő adatokat titkosítja, ha nem megfelelő a védelem. Akár az egész hálózatot megfertőzheti. Ilyenkor a támadók kriptovalutában szoktak pénzt kérni a titkosítás feloldására, azonban a tanulmányok azt mutatják, hogy az esetek kevesebb mint 8%-ában oldják fel, ha valaki fizet” – számolt be, hogyan zajlik egy ilyen támadás. Hozzátette, ráadásul a román büntetőjog szerint bűncselekményt követünk el, ha fizetünk ilyen csoportosulásoknak, mert ez kimeríti a szervezett bűnözés támogatását.

Bár többnyire céges, intézményi adatokra pályáznak az ilyen csalók, sokszor hallani, hogy személyes adataink is értékesek lehetnek, és eladhatják. Az adatvédelmi és információbiztonsági szakember szerint itt is az AI segítheti a csalókat.

„Az adat az új arany, és azért is lehet értékes bárkinek az adata, mert a generatív AI által valós személyazonosító adatokat felhasználva, személyazonossági lopást – identity theft – lehet végrehajtani. Ma a legtöbb azonosítás online történik szoftveres eszközökkel, amiben nincs ember, így amikor eljutnak a csalók az azonosításhoz, akkor akár deepfake technológiával generált képpel vagy videóval is meg tudják téveszteni a rendszert, ezek után a nevünkben felvesznek kölcsönt vagy bűncselekményeket követnek el” – fejtette ki, hogy mik a veszélyek. Székely Barnabás szerint, mivel nálunk még nem annyira előrehaladott a digitalizáció, egyelőre nyugaton jellemzőbb az a kockázat, hogy esetleg a nevünkben hitelt vesznek fel.