Antivírus blog

vírusok, férgek, botnetek, kártevők

Majdnem mindenki átverhető adathalászattal

2013. augusztus 09. 10:10 - Csizmazia Darab István [Rambo]

Persze vannak ebben fokozatok, akadnak, akik a gyengébb kísérleteket is azonnal kiszúrják, de valamilyen mértékig szinte mindenki belesétálhat ilyenbe.

Általában mindenki úgy vélekedik, hogy remekül ért a focihoz és őt aztán abszolút nem tudják adathalász oldalak átverni. Egy a North Carolina State University által végzett vizsgálat azonban merőben más eredményeket mutatott e témában. Bár a megkérdezettek 89 százaléka a teszt előtt biztosra állította, hogy őt aztán nem lehet becsapni adathalász e-mail üzenettel, ám a próba során azok aránya, akik a támadóktól jövő phishing üzeneteket valóban nagy biztonsággal képesek voltak megkülönböztetni a valódi, legális levelektől a gyakorlatban már mindössze csak 7.5% volt.

Az eredmények amiatt lehetnek riasztóak, hogy évről évre egyre növekszik a bankok, légitársaságok, csomagküldő szolgálatok és egyéb a kormányzati szervek nevével visszaélő személyre szabott adathalász támadások száma, ahol a csalók már nem a korábbi, helyesírási hibáktól hemzsegő primitív megoldásokkal rukkolnak elő, hanem megpróbálják a felderített személyt, vagy célcsoportot kreatívan rávenni az egyre jobb minőségű átverésekben személyes és bizalmas információk begépelésére.

A social engineering, azaz megtévesztés nem véletlenül kedvelt módszer. A kíváncsiság, érdeklődés felkeltése nagyon sok esetben célravezető. Gondoljunk arra a tavaly előtti felmérésre, amely szerint a felhasználók 9-16%-a egyenesen kikapcsolja a vírusírtóját, hogy egy gyanúsnak vagy fertőzöttnek jelzett, de számára valami miatt mégis érdekes linket megnézzen, vagy ilyen állományt a számítógépén lefuttasson.

Érdemes még megemlíteni, hogy mennyire jelentős szerepe van a jól egyénre, illetve célcsoportra szabott csalinak. Kínai hackerek a tavalyi New York Times szerkesztőség elleni incidensben például az ASEAN (Délkelet-ázsiai Nemzetek Szövetsége) és az USA közötti kereskedelmi kapcsolatokkal kapcsolatos egyezmény tervezetét használtak fel. A támadók nagy számú magánszemélynek, újságírónak és ügynökségnek küldték szét azokat az e-maileket, akiket ez a bizonyos szakmai téma érdekelhetett, és amely sikeresen fel is keltette az általuk kiszemelt célpontok érdeklődését. Természetesen ezek rosszindulatú hivatkozást tartalmazták, és ezzel elérték, hogy rákattintsanak, és több hónapig rejtett kémprogram futhasson a szerkesztőség gépein.

16 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr335453373

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.08.09. 10:13:44

Hogy megnyissam a kommenteket, itt van mindjárt a "Steve Jobs is megvolt" című :-)
antivirus.blog.hu/2009/05/15/steve_jobs_is_megvolt

Kinai cuccok blog · http://kinaicuccok.blog.hu 2013.08.09. 20:55:14

Nem értem ezeket, a kéretlen leveleket automatikusan törlöm, nem érdekel mi van benne, pláne nem kattogtatok rajta.
Tudom normális cég ilyen leveleket nem küld így mindegyik spam.

a fene tudja még · http://hatker.blog.hu 2013.08.09. 21:39:34

ez kacsa, csak hogy címlapos lehessen a poszt.
még az ostoba amerikaiknál is biztosan magasabb az arány 7,5%-nál.

Don Quixote de la Ferko 2013.08.09. 22:23:37

Haverokat is szó nélkül spamre vágok, ha vicces videókat, vagy egyéb baromságokat kezdenek küldözgetni. Idegen levélnek esélye nincs.

Joaquin 2013.08.10. 04:46:20

Off:
@Don Quixote de la Ferko: Ezt mondjuk ne tedd, mert félretanítod a spamszűrőt, aztán szidhatod amikor fontos dolgot vág ki emiatt.

On:
El tudok képzelni olyan levelet ami engem is átverne de ennek a kutatásnak megnézném a módszereit, mert általánosságban lehet, hogy van olyan, amit nem tudok megkülönböztetni egy adathalász levéltől (mondjuk mert eleve nem is ismerem az oldalt, aminek a nevében írnak), de a való életben eléggé körülhatárolható azoknak a leveleknek a köre, amit kaphatok, ezért gyakorlatilag 100% bizonyossággal meg lehet mondani, melyik valós levél és melyik nem.
Nem használok vírusirtót, de múltkor biztos ami biztos alapon lefuttattam jópárat, de semmi érdemlegeset nem találtak, szóval eddigi tapasztalataim szerint lehet ésszel netezni (pár tracking cookie, hűha). Megj.: programozó vagyok de biztonságtechnikához csak érintőlegesen értek. Mondjuk lenyomozom, ha valami olyan task fut amiről nem tudom micsoda, de ez sem éppen bombabiztos módszer.

Online Távmunkás · http://onlinetavmunka.blog.hu 2013.08.10. 04:54:48

@Kínai cuccok tesztje: Az újságíróknak mindenki írogat kéretlenül, ők nehezebben szelektálnak. Persze ismeretlen feladó levelében linkre kattintani...

@a fene tudja még: Bármilyen hülyeség van egy levélben, mindig akad valaki, aki elhiszi. A nigériai csalók évtizedes csalásai is mennek a mai napig, hiába van teli helyesírási hibákkal a levél.

@Don Quixote de la Ferko: A profi adathalász levél ismertetőjele, hogy nem ismeretlen címtől jön, a témája számodra releváns. Például kapsz egy levelet a céged egyik rendszergazdájától, hogy elkészült a vállalatirányítási rendszer új mobilos felülete, a linken jelentkezz be a céges jelszavaddal, hogy leteszteld.

Online Távmunkás · http://onlinetavmunka.blog.hu 2013.08.10. 04:58:31

@Joaquin: Vírusirtó nélkül netezel? Akkor vagy teli van trójaival a géped vagy nem nézel meg semmilyen oldalt 1-2 nagyobb portálon kívül. Nem árt tudnod, hogy gyakran törnek fel megbízhatónak ismert oldalakat is, hogy a weblapot meglátogatva trójaival fertőzzék meg a géped. A fertőző weblapok 90%-a feltört weblap, 10% csak a direkt erre a célra létrehozott oldal.

womBATMAN 2013.08.10. 07:38:15

Azért elég egyszerűen kideríthető, hogy pl a bankod küld-e mailt, elhanyagolható annak az esélye, hogy mondjuk egy otpbank@citromail.hu címről kapjál fontos e-mailt :).
Ha esetleg a cég rendszergazdájától kapnék e-mailt, hogy elkészült aj vállalatirányítási rendszer mobilos felülete, akkor valószínűleg azonnal keresnék egy pszichiátert, hogy tudathasadásom van és a másik énem titokban mobilappokat fejleszt :)

Joaquin 2013.08.10. 07:52:04

@Online Távmunkás: Ha jobban belegondolok igazad van, csak pár ismertebb hírportált olvasok, ezekben lévő linkeknek megyek utána, esetleg szakfórumokat olvasok, ami ugyan mint fórum sokszor elég jó talaj lenne a trójaiknak, de gondolom az alacsony hatásfok miatt nem próbálkoznak ilyesmivel, inkább laikusokat próbálnak megszívatni. Nem azért mert programozót nem lehet, de biztos kisebb arányban, a vírust megírni meg ugyanannyi idő. Profitmaximalizálás van már a vírusgyártásban is, nah.

Inkább nem is adok (sugallok) ilyen rossz tanácsokat, mea culpa.

Online Távmunkás · http://onlinetavmunka.blog.hu 2013.08.10. 10:21:19

@Joaquin: Ha érdekel a téma, a Coursera-n van egy ingyenes kurzus erről: Malicious Software and its Underground Economy: Two Sides to Every Story.

Online Távmunkás · http://onlinetavmunka.blog.hu 2013.08.10. 10:25:04

@womBATMAN: A rosszfiúk bármilyen e-mail címet megadhatnak feladónak. Tehát mondjuk OTP bankos e-mail cím lesz, a szövegben a link felirata otpbank.hu lesz, csak amikor rákattintasz, akkor egy másik oldalra kerülsz, aminek a kinézete megegyezik az OTP-vel. Az is megoldható, hogy a böngésződ címsorában is otpbank.hu szerepeljen...
Persze normális ember tudja, hogy nem küldözget a bankja olyan e-mailt, amiben adatokat kérnek tőle és ha éppen van például folyamatban lévő hiteligénylése, akkor tudja, ki az ügyintéző.

bunkó · http://bunko.blog.hu 2013.08.10. 10:57:26

Már az általános iskolában kellene tanítani: bárki bármilyen adat megadását kéri tőled, NE UGYANAZON a csatornán add meg, amelyen az adatot kérték. Tehát ha pl a bank email-ben jelzi, hogy cserélj jelszót, akkor nem a levélben megadott linkre kattintunk, hanem felmegyünk a bank honlapjára és onnan a jelszócserére. Ugyanez vonatkozik pl telefonon át megadott adatokra is: ha pl a bak telefonon kér ilyesmit, akkor visszahívod őket A HIVATALOS TELEFONSZÁMUKON, tehát a telefonáló adja meg a mellék számát.
...persze tudom, a lustaság nagy úr...

Dr_utcai_arcos 2013.08.10. 11:02:32

@Kínai cuccok tesztje: Nálad a pont. Biztos, hogy nem kértem, automatik kuka.

bunkó · http://bunko.blog.hu 2013.08.10. 11:05:14

@Don Quixote de la Ferko: "Haverokat is szó nélkül spamre vágok, ha vicces videókat, vagy egyéb baromságokat kezdenek küldözgetni. "

Spamre vágni havert mondjuk nem bölcs dolog,
de a nekem ilyeneket küldőknek ilyenkor olyan durva válaszokat küldök vissza, amit csak a barátságunk éppen hogy elbír. Akár még az anyázás is belefér, legfeljebb másnap elnézést kérek. Képzeld el a vörös fejjel ordítás email-es megfelelőjét :)
A legfontosabb: egy életre jegyezze meg azt, hogy nekem életveszélyes dolog vicces képeket/videókat küldeni.

womBATMAN 2013.08.11. 23:44:20

@Online Távmunkás: tényleg megadhatnak bármilyen e-mail címet, de attól még látszik, hogy meghatalmazással, vagy aliassal, vagy egyéb más módon, de nem az adott bank smtp szerverén keresztül jött az e-mail, jó nem egy fríméles,dzsíméles onlájn e-mail fiókban, de egy normálisabb levelezőkliensben már igen...
Csinálhatok egy linket, aminek a szövege tetszőleges, attól még a legbutább netes levelezésben is kiírja legalább a böngésző, hogy hova mutat a link. A böngésző címsorának moddolása sem kizárt elméletileg, de én csak java alapon tudok erre megoldást, azt meg szintén nem egy feltűnésmentes dolog, főleg mivel a legtöbb browser ezért a mókáért már simán blokkolná az oldalt, de minimum figyelmeztetne, hogy ne akard megnézni. Tisztán elméletileg igazad van, egy egységsugarú júzert simán ki lehet halászni, de, csak egy kicsit kell odafigyelni ahhoz, hogy ne te legyél a következő fogás...

Online Távmunkás · http://onlinetavmunka.blog.hu 2013.08.12. 09:10:26

@womBATMAN: Egy példa az egységsugarú userre: 2011-ben betörtek az RSA biztonsági cég rendszerébe és olyan adatokat loptak el, amivel több ezer cég informatikai rendszerébe vált lehetővé a bejutás. Azért sikerült nekik, mert az egyik alkalmazott megnyitott egy ilyen phising levelet, annak ellenére, hogy az a spam mappába került... Végül a Lockheed Martin hadiipari cég hálózatába törtek be a megszerzett titkosítási algoritmusokkal. Pár héttel később az USA bejelentette, hogy az ilyen támadásokat a jövőben háborús oknak veszi.