Az adathalászat a kiberbűnözés egyik leggyakoribb formája, de annak ellenére, hogy azt hisszük, mennyit tudunk ezekről az átverésekről, még mindig túl gyakran bukunk le.

A Proofpoint 2022-es State of the Phish Report című jelentése szerint tavaly a szervezetek 83%-a vált adathalász-támadás áldozatává.

Eközben a Verizon 2021-es adatbetörés-vizsgálati jelentése szerint az összes adatbetörés 25%-a adathalászatból ered.

Ezek a számadatok segítenek megmagyarázni, hogy az adathalászatot miért tartják a szervezeteket fenyegető legnagyobb kiberbiztonsági kockázatok között. A bűnöző hackerek egyetlen e-maillel ellophatják személyes adatainkat vagy megfertőzhetik eszközeinket rosszindulatú szoftverekkel.

Szerencsére e támadások megelőzése olyan egyszerű lehet, mint tudni, hogyan lehet felismerni az adathalász e-maileket.

Ebben a blogban öt valós példán keresztül mutatjuk be, melyek a leggyakoribb jelei annak, hogy valaki át akarja verni Önt.


Az üzenetet egy nyilvános e-mail tartományból küldték

Egyetlen törvényes szervezet sem küld e-mailt olyan címről, amelynek a vége “@gmail.com”.

Még a Google sem.

Néhány kisebb vállalkozástól eltekintve a legtöbb vállalatnak saját e-mail domainje és e-mail fiókja van. Például a Google-től származó valódi e-mailek címe “@google.com”.

Ha a domainnév (az @ szimbólum utáni rész) megegyezik az e-mail látszólagos feladójával, akkor az üzenet valószínűleg legitim.

Ezzel szemben, ha az e-mail olyan címről érkezik, amely nem kapcsolódik a látszólagos feladóhoz, akkor szinte biztosan átverésről van szó.

A legnyilvánvalóbb módja a hamis e-mail kiszűrésének, ha a feladó nyilvános e-mail tartományt használ, például “@gmail.com”.


Forrás: Pickr

Ebben a példában látható, hogy a feladó e-mail címe nem egyezik az üzenet tartalmával, amely látszólag a PayPal-tól származik.

Maga az üzenet azonban valósághűnek tűnik, és a támadó úgy alakította ki a feladó névmezőjét, hogy az a címzettek postaládájában “Account Support” néven jelenjen meg.

Más adathalász e-mailek kifinomultabb megközelítést alkalmaznak, és a domain helyi részében a szervezet nevét is feltüntetik. Ebben az esetben a cím lehet “[email protected]”.

Első pillantásra talán meglátja a “PayPal” szót az e-mail címben, és azt feltételezi, hogy a levél legitim. Ne feledje azonban, hogy a cím fontos része az, ami a @ szimbólum után következik. Ez azt a szervezetet jelöli, ahonnan az e-mailt küldték.

Ha az e-mail az “@gmail.com” vagy más nyilvános domainről érkezik, akkor biztos lehet benne, hogy személyes fiókból érkezett.

A domain név el van írva

Van egy másik, a domainnevekben elrejtett nyom, amely erős jelzést ad az adathalász csalásokra – sajnos, ez megnehezíti az előző nyomot.

A probléma az, hogy bárki vásárolhat domainnevet egy regisztrátortól. És bár minden domainnévnek egyedinek kell lennie, rengeteg módja van annak, hogy olyan címeket hozzanak létre, amelyek megkülönböztethetetlenek a hamisított címtől.

Nézze meg ezt a példát:



Itt a csalók a “microsfrtfonline.com” tartományt regisztrálták, amely a felületes olvasó számára a “Microsoft Online” szavakat utánozza, ami jogosan tekinthető legitim címnek.

Eközben egyes csalók még kreatívabbak. A Gimlet Media ‘Reply All’ podcast ‘What Kind Of Idiot Gets Phished?’ című epizódjában ezt mutatta be.

Phia Bennin, a műsor producere felbérelt egy etikus hackert, hogy különböző alkalmazottakat phisheljen. Megvette a “gimletrnedia.com” domainnevet (ez r-n-e-d-i-a, nem pedig m-e-d-i-a), és Benninnek adta ki magát.

Átverése olyan sikeres volt, hogy a műsor házigazdáit, a Gimlet Media vezérigazgatóját és elnökét is becsapta.

Ahogy Bennin a továbbiakban kifejtette, még csak áldozatul sem kell esnie egy bűnöző hackernek ahhoz, hogy létfontosságú információkhoz jusson.

Ebben az átverésben az etikus hacker, Daniel Boteanu láthatta, hogy mikor kattintottak a linkre, és az egyik példában azt is, hogy azt többször is megnyitották különböző eszközökön.

Arra következtetett, hogy a célszemélyt a kíváncsisága vezette vissza a linkhez, de elég gyanakvó volt ahhoz, hogy ne kövesse annak utasításait.

Boteanu kifejtette:

Gondolom, [a célpont] látta, hogy valami történik, és elkezdett egy kicsit mélyebbre ásni, és […] megpróbálta kideríteni, mi történt […].

És gyanítom, hogy ezután [a célszemély] talán küldött egy belső e-mailt, amelyben azt írta: “Hé, srácok! Ezt kaptam. Csak legyetek óvatosak. Ne kattintsatok erre az […] e-mailre.

Boteanu elmélete pontosan ez történt. De miért segít ez a hackernek? Bennin részletezi:

Daniel azért gondolta, hogy [a célszemély] tette ezt, mert ugyanazt az e-mailt küldte el a csapat egy csomó tagjának, és miután [a célszemély] negyedszer is megnézte, senki más nem kattintott rá.

És ez Daniel számára rendben is van, mert kipróbálhat mindenféle módszert a csapat adathalászatára, és többször is megpróbálkozhat vele. [És] mivel [a célpont] riadót fúj, valószínűleg nem fogja bevonni [őt] a következő adathalász kísérletbe.

Ezért a bűnöző hackerek gyakran még akkor is nyernek, ha meghiúsította az eredeti kísérletüket.

Vagyis az adathalász-csalás kiszűrésében mutatkozó határozatlanság nyomokat ad a csalónak arról, hogy hol vannak az Ön szervezetének erősségei és gyenge pontjai.

Az ezeket az információkat felhasználó további csalások elindítása minimális erőfeszítést igényel, és ezt addig folytathatják, amíg nem találnak valakit, aki áldozatul esik.

Ne feledje, hogy a bűnöző hackereknek elég egy alkalmazott egyetlen hibája ahhoz, hogy műveletük sikeres legyen. A szervezetében mindenkinek bíznia kell abban, hogy első látásra felismeri az átverést.

Az e-mail rosszul van megírva

Gyakran meg lehet állapítani, hogy egy e-mail átverés-e, ha rossz helyesírást és nyelvtant tartalmaz.

Sokan azt mondják, hogy az ilyen hibák egy “szűrőrendszer” részei, amelyben a kiberbűnözők csak a leghiszékenyebb embereket veszik célba.

Az elmélet szerint, ha valaki figyelmen kívül hagyja az üzenet megírására vonatkozó nyomokat, akkor kisebb valószínűséggel veszi észre a csaló végjáték során a nyomokat.

Ez azonban csak az olyan szokatlan csalásokra vonatkozik, mint a sokszor kigúnyolt nigériai hercegi csalás, amelynek csak hihetetlenül naiv ember válhat áldozatává.

Ez, és a hozzá hasonló csalások kézi vezérlésűek: ha valaki bekapja a csalit, a csalónak válaszolnia kell. Így a csalóknak előnyös, ha a válaszadók között csak olyanok vannak, akik elhiszik a csalás többi részét.

Ez azonban nem vonatkozik az adathalászatra.

Az adathalászattal a csalóknak nem kell figyelniük a postaládákat és személyre szabott válaszokat küldeniük. Egyszerűen csak több ezer összeállított üzenetet küldenek a gyanútlan embereknek.

Így nincs szükség a potenciális válaszadók kiszűrésére. Ez csökkenti a potenciális áldozatok számát, és segít azoknak, akik nem estek áldozatul, hogy figyelmeztessenek másokat az átverésre, ahogy azt a Gimlet Media korábbi példájánál láttuk.

Miért van tehát sok adathalász e-mail rosszul megírva? Ebben az esetben a legkézenfekvőbb válasz a helyes: a csalók nem nagyon tudnak írni.

Ne feledje, hogy sokan közülük nem angolul beszélő országokból és olyan háttérrel rendelkeznek, ahol csak korlátozottan van lehetőségük vagy lehetőségük megtanulni a nyelvet.

Ezt szem előtt tartva sokkal könnyebb lesz észrevenni a különbséget egy legitim feladó által elkövetett elírás és egy átverés között.

Az adathalász üzenetek elkészítésekor a csalók gyakran használnak helyesírás-ellenőrzőt vagy fordítógépet, így minden szót helyesen, de nem feltétlenül a megfelelő szövegkörnyezetben adnak meg.

Vegyük ezt a példát a Windows-t imitáló csalásra:


Forrás: KnowBe4

Egyetlen szó sincs elírva, de az üzenet olyan nyelvtani hibákat tartalmaz, amelyeket egy anyanyelvi beszélő nem követne el, mint például: “Valami szokatlant észleltünk egy alkalmazás használatához”.

Hasonlóképpen vannak kihagyott szósorok, mint például “egy rosszindulatú felhasználó megpróbálhat hozzáférni” és “Kérjük, lépjen kapcsolatba a biztonsági kommunikációs központtal”.

  • Ezek megfelelnek azoknak a hibáknak, amelyeket az emberek az angol nyelvtanulás során elkövetnek. Bármely így megírt, állítólagosan hivatalos üzenet szinte biztosan átverés.
  • Ez azonban nem jelenti azt, hogy minden hibás e-mail átverés. Időnként mindenki hibázik, különösen, ha siet.
  • Ezért a címzett felelőssége, hogy megnézze a hiba kontextusát, és megállapítsa, hogy az nem valami baljóslatúbb dologra utal-e. Ezt úgy teheti meg, hogy megkérdezi:
  • Ez egy tipográfiai hiba gyakori jele (például egy szomszédos billentyű leütése)?
    Olyan hiba, amelyet egy anyanyelvi beszélőnek nem szabadna elkövetnie (nyelvtani összefüggéstelenség, rossz szövegkörnyezetben használt szavak)?
    Ez az e-mail egy sablon, amelyet meg kellett volna szerkeszteni és szövegszerkeszteni?


Összhangban van a korábbi üzenetekkel, amelyeket ettől a személytől kaptam?
Ha kétségei vannak, keressen más, itt felsorolt nyomokat, vagy lépjen kapcsolatba a feladóval más kommunikációs csatornán keresztül, akár személyesen, telefonon, a weboldalán, egy alternatív e-mail címen vagy azonnali üzenetküldő programon keresztül.

Gyanús mellékleteket vagy linkeket tartalmaz

Az adathalász e-maileknek számos formája van. Ebben a cikkben az e-mailekre összpontosítottunk, de kaphat átverő szöveges üzeneteket, telefonhívásokat vagy a közösségi médiában közzétett bejegyzéseket is.

De függetlenül attól, hogy az adathalász e-maileket milyen módon kézbesítik, mindegyik tartalmaz egy hasznos adatot. Ez vagy egy fertőzött melléklet, amelyet le kell töltenie, vagy egy hamis weboldalra mutató link.

E hasznos terhek célja az érzékeny adatok, például bejelentkezési adatok, hitelkártyaadatok, telefonszámok és számlaszámok megszerzése.

A következő részben elmagyarázzuk, hogyan működnek ezek mindegyike.

Fertőzött mellékletek

A fertőzött melléklet egy látszólag jóindulatú dokumentum, amely rosszindulatú programot tartalmaz.

Egy tipikus példában, mint például az alábbiakban, az adathalász azt állítja, hogy egy számlát küld:


Forrás: MailGuard

Nem számít, hogy a címzett számlát vár-e ettől a személytől vagy sem, mert a legtöbb esetben nem tudja biztosan, hogy mire vonatkozik az üzenet, amíg meg nem nyitja a mellékletet.

Amikor megnyitja a mellékletet, látni fogja, hogy a számla nem neki szól, de akkor már túl késő lesz. A dokumentum rosszindulatú programot szabadít az áldozat számítógépére, amely számos aljas tevékenységet végezhet.

Azt tanácsoljuk, hogy soha ne nyisson meg csatolmányt, hacsak nem biztos benne, hogy az üzenet legitim féltől származik. Még ebben az esetben is figyelnie kell arra, hogy a csatolmányban nem talál-e valami gyanúsat.

Ha például felugró figyelmeztetést kap a fájl jogszerűségéről, vagy az alkalmazás a beállítások módosítását kéri, akkor ne folytassa.

Vegye fel a kapcsolatot a küldővel egy alternatív kommunikációs eszközön keresztül, és kérje meg, hogy ellenőrizze a levél jogszerűségét.

Gyanús linkek

A gyanús linket akkor ismerheti fel, ha a célcím nem illeszkedik az e-mail többi részének kontextusához.

Ha például a Netflix-től kap egy e-mailt, azt várná, hogy a link egy “netflix.com” kezdetű címre irányítja Önt.

Sajnos sok legitim és csaló e-mail elrejti a célcímet egy gombban, így nem látszik azonnal, hogy hová vezet a link.


Forrás: MailGuard

Ebben a példában a csalók azt állítják, hogy probléma van a címzett Netflix-előfizetésével. Az e-mailt úgy tervezték, hogy a Netflix weboldalának makettjére irányítja a címzettet, ahol a fizetési adatok megadására szólítják fel.

A csalók két dolgot érnek el azzal, hogy a linket egy “Fiók frissítése most” feliratú gombon belül helyezik el.

Először is, az üzenet így hitelesnek tűnik, mivel a gombok egyre népszerűbbek az e-mailekben és a weboldalakon. De ami ennél is fontosabb, hogy elrejti a célcímet, így az egy hiperhivatkozássá válik.

Annak érdekében, hogy ne dőljön be az ilyen módszereknek, meg kell szoktatnia magát arra, hogy mielőtt megnyitja a linkeket, ellenőrizze, hová vezetnek.

Szerencsére ez egyszerű: számítógépen vigye az egeret a link fölé, és a célcím megjelenik egy kis sávban a böngésző alján.

Mobileszközön tartsa lenyomva a linket, és megjelenik egy felugró ablak, amely tartalmazza a linket.

Az üzenet a sürgősség érzetét kelti

A csalók tudják, hogy legtöbbünk halogatja a dolgot. Kapunk egy e-mailt, amelyben fontos híreket közölnek velünk, és úgy döntünk, hogy majd később foglalkozunk vele.

De minél tovább gondolkodunk valamin, annál valószínűbb, hogy észreveszünk olyan dolgokat, amelyek nem tűnnek helyesnek.

Talán rájössz, hogy a szervezet nem azon az e-mail címen veszi fel veled a kapcsolatot, vagy beszélsz egy kollégával, és megtudod, hogy nem küldött el neked egy dokumentumot.

Még ha nem is jön el az a-ha pillanat, ha új szemmel tér vissza az üzenethez, akkor is segíthet felfedni annak valódi természetét.

Ezért kéri oly sok csaló, hogy most cselekedjen, különben már túl késő lesz. Ez minden eddigi példánkban nyilvánvaló volt.

A PayPal, a Windows és a Netflix rendszeresen használt szolgáltatásokat nyújtanak, és bármilyen probléma ezekkel a kimutatásokkal azonnali kellemetlenségeket okozhat.

A gyártott sürgősségérzet a munkahelyi csalásoknál is ugyanilyen hatékony.

A bűnözők tudják, hogy valószínűleg mindent félbehagyunk, ha a főnökünk e-mailt küld nekünk egy létfontosságú kéréssel, különösen akkor, ha állítólag más vezető beosztású kollégák is várnak ránk.

Egy tipikus példa így néz ki:


Forrás: MailGuard

Az ehhez hasonló adathalász csalások azért különösen veszélyesek, mert még ha a címzett gyanút is fogna, lehet, hogy nem merne szembeszállni a főnökével.

Elvégre, ha tévednek, azt sugallják, hogy a főnök kérésében volt valami szakszerűtlen.

A kiberbiztonságot nagyra értékelő szervezetek azonban elfogadnák, hogy jobb félni, mint megijedni, és talán még gratulálnának is az alkalmazottnak az óvatossághoz.