Túlélőkészlet webáruházi adatlopások ellen

2014. szeptember 22. 13:12 - Csizmazia Darab István [Rambo]

Úgy tűnik, nem pusztán arról van szó, hogy a 2013-as esztendő a gigantikus ügyféladat lopások éve volt, hanem egyre inkább fogalmazhatunk úgy, elkezdődött egy folyamat, ahol a kiszivárgott személyes, és banki információk mennyiségét tízmilliós nagyságrendben mérhetjük. Ilyenkor ugyan nem az ügyfél az incidens okozója, de mégis érdemes végiggondolni, mit tehetünk mi magunk is, ha már beütött a baj.

Bár a hírekből jobbára tengeren túli esetekről olvashatunk, ez csak azt jelenti, hogy az ottani nyilvánosságra hozatali kötelezettség rendben működik, de semmiképpen nem nyújt garanciát arra, hogy ez mással és máshol nem történhet majd meg (vagy már meg is történt, csak éppen nem tudunk róla). Mit tehetünk, ha tudjuk vagy gyanítjuk, hogy áldozatul estünk egy olyan áruházi rendszert ért adatsértésnek, mint amilyen a Target vagy a szeptember 8-i Home Depot barkácsáruház-lánc elleni támadás volt és veszélyben lehetnek a fizetési adataink?

Ez utóbbi esetben például rekord mennyiségű, 56 millió bankkártya adat került a feltehetően orosz illetőségű tolvajok kezébe, akik a privát adatokat már közzé is tették a neten a Rescator.cc weboldalon. A fizetési adatok kifürkészésével járó Home Depot támadásnak egyébként a veszteségeit is felbecsülték már, ez hozzávetőleg 62 millió dolláros kárt jelent, ami igen jelentős összeg.

1. Ellenőrizzük rendszeresen a számlamozgásokat
Ha egyenlegünkön akármilyen csekély összegű megmagyarázhatatlan terhelés tűnik fel, és teljesen biztosak vagyunk abban, hogy azt nem mi kezdeményeztünk, akkor haladéktalanul keressük fel bankunkat és kérjük, vizsgálják ki, mi történt, tegyünk bejelentést. Azt sem szabad elfelejteni, hogy amíg a bűnözők ilyen mennyiségű kártyaadatot piacra dobnak, az akár több hónapba is beletelhet. Érdemes tehát az elkövetkező időszakban is folyamatosan figyelni a banki pénzmozgásainkra.

2. Kártya és/vagy esetleg számlaszám csere
Ha biztosak vagyunk abban, hogy a számla adatokat ellopták, kérhetjük a kártya cseréjét, illetve a számla megváltoztatását is a banktól. Bankkártya esetén ha azt mi kezdeményezzük, akkor ez valamekkora többletköltséggel jár, de még mindig jobb, mint egy esetleges sokkal nagyobb veszteséget elszenvedni. Új számlaszám esetében érdemes észben tartani, hogy a korábbi esetleges automatikusan ütemezett fizetési megbízásokat (hitel, törlesztés, közüzemek) a kártya és/vagy számlaadatok változása után újra át kell vezessük azokat az új számlánkra.

3. Másik erősebb PIN kód választása
Bár a lehetőségek itt látszólag szűkebbek a 4 karakteres hossz miatt, de a változtatás itt is hasznos paranoiának számít, lévén hogy a tolvajok által kezdeményezett PIN próbálkozások száma szerencsére limitált. Ahogy a klasszikus jelszavak világában is léteznek egyszerű sémák: "abc123", "password", stb, úgy itt is érdemes elkerülni a könnyen megjegyezhető "1111", 1234", és hasonló primitív formákat, és valamilyen nehezebben kitalálható változatot beállítani.

4. Esetleges hitelkérelmek ellenőrzése
A csalók időnként nem csak a számlát igyekeznek megcsapolni, de a részletes személyes adatok birtokában további kellemetlenségeket is okozhatnak nekünk, például adót igényelnek vissza a nevünkben, vagy ami még rosszabb, hitelt vesznek fel az ellopott személyazonossággal. Ennek kezelése és ellenőrzése ország- és bankfüggő, mindenesetre például a Home Depot esetben az FTC, azaz a U.S. Federal Trade Commission is tud ebben segíteni az USA-ban élőknek.

5. Jelszó változtatás az adatsértést elszenvedett webáruházban
Itt egyszer már alaposan kiveséztük azokat a tudnivalókat, amelyek egy vélt vagy valós jelszó lopás utáni teendőket foglalta csokorba. Dióhéjban az új legyen "kellően" erős :-) és egyedi. Emellett pedig ha kapunk jelszóváltoztatást tanácsoló levelet a szolgáltatótól, akkor fogadjuk meg az ajánlást.

Egy korábbi felmérés eredménye ebben például siralmas képet festett, a felhasználók 18%-a sajnos egyszerűen figyelmen kívül hagyja a jelzést, ha az általa leggyakrabban használt online oldal jelszócserére figyelmeztető üzenetet küld neki. Érdemes nagyobb figyelmet szentelni a jelszavak kérdésének, mert sok esetben nem zseniális hackerek ügyködnek űrtechnológiával, hanem a felhasználók követnek szánalmas jelszóválasztási gyakorlatot.

6. Számítsunk utóhatásokra, testre szabott spamekre és célzott megtévesztésekre
Minden kikerült személyes adatnak lehet egy olyan utóélete is, amikor a bűnözők ezeket az információkat felhasználva éppen az incidenst elszenvedő cég nevében (Például Target, Adobe, LinkedIn, stb.) írnak levelet az áldozatoknak.

Ezekben nevükön szólítják őket, és különböző social engineering trükkökkel - például állítólagos új jelszó a kéretlen levél PDF mellékletében, vagy a számlája azonnali letiltásra kerül, kivéve ha a mellékelt linkre kattint az ügyfél, stb. - látszólag segítenek, ám valójában további kártevőre mutató linkeket, vagy kémprogramokat igyekeznek rájuk sózni. Emiatt érdemes minden kéretlen üzenetnél gyanakvónak lenni, és persze tartsuk frissen az elmaradhatatlan vírusvédelmi programunkat is.

+1 Virtuális bankkártya használata
Mi inkább azt tanácsolnánk, hogy ma már minden banknál létezik külön internetes vásárlásokhoz való elektronikus (unembossed card) virtuális kártya, amelynek a számát bátran megadhatjuk, akár még a három jegyű CVV ellenőrző kóddal együtt is. Ám erre az alszámlára csak a vásárlás előtt közvetlenül a netbankunkon vezessük át a vásárláshoz szükséges pontos összeget, ami csak pár percig legyen rajta, egyébként a számla nyugodtan legyen üres. Ezzel a módszerrel nem tudnak tőlünk lopni, és így az "igazi" bankkártyánk adatait sosem kell megadnunk.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Horvath Ernone 2014.10.15. 00:23:40

Internetes szokásaim több odafigyelést igényelnének, mert túl szabadon mozgok és túl kevés szabályt ismerek .

Ki tudna segíteni P.O. Box címek azonosításában?

Választ várok a zeneszerzo66@citromail.hu email címemre.

Köszönöm.
süti beállítások módosítása