Vadászat a mesterjelszóra

2026. január 22. 11:31 - Csizmazia Darab István [Rambo]

Ha frappánsan akarjuk megfogalmazni a jelszószéfek lényegét, ezek segítségével bátran használhatunk hosszú, erős és teljesen egyedi jelszavakat minden egyes belépési helyünkön, az ilyenek generálásához, login esetén az automatikusan előhíváshoz, és mindeközben a biztonságos tároláshoz elég mindössze egyetlen egy mesterjelszót megjegyeznünk.

Nyilván erre viszont érdemes jól vigyázni, különösen ha felhős szinkronizációt is használunk, és nem csak saját helyi gépünkön tárolunk mindent.

És itt jönnek a képbe a csalók a mostani próbálkozásukkal. A LastPass nevű jelszómenedzser szolgáltató nevében érkezik az a sürgető e-mail, amelyben szokatlan módon karbantartásra hivatkozva látszólag arra kérik az ügyfeleket, hogy a következő 24 órában készítsenek biztonsági mentést a trezorjaikról, amit mellékelt linkre kattintva tehetnek meg.

Már itt gyanúsnak kellene lenni a dolognak, nem is beszélve az e-mail feladójáról, ami nyomokban földimogyorót lehet hogy tartalmaz, de hivatalos feladói címet azt nyilvánvalóan biztosan nem, miközben a feladónál egy thaiföldi domaint látunk.

Ahogy a bankunk sosem kéri el a banki belépési jelszavunkat vagy a PIN kódunkat sem e-mailben, sem telefonon, úgy egy ilyen karbantartós sztorinak is eleve gyanút keltő redflag-nek kéne lennie. A megtévesztő levelek többféle tárgysor variációban, különböző hamis feladóktól érkeznek január 19-e óta.

Nyilván a folytatás kitalálható: egy hasonmás adathalászoldalra irányít a link, amivel a gyanútlan felhasználó mattot ad önmagának. Természetesen a mellékelt link is teljesen idegen hely, még csak hasonlítani sem próbál a hivatalos URL címre.

És ha valaki itt szolgaian begépeli mesterjelszavát, azzal a legérzékenyebb adatait: felhasználóneveket, jelszavakat, hitelkártyaadatokat és biztonságos jegyzeteket kínál tálcán a bűnözőknek.

Már egyetlen egy kompromittálódott helyszínen is munkás a helyreállítás (jelszócsere, 2FA beállítás, idegen hozzáférések kiléptetése), de ha az összes létező belépési adatunk kerül veszélybe, az már szinte tragédia.

A TheRegister próbálta megkeresni a LastPass-t, hány ügyfél kapott ilyen adathalász e-mailt, és hány esett áldozatul a csalásnak, de erre egyelőre nem kaptak választ.

A LastPassra folyamatosan rájár a rúd, legutóbb például tavaly októberben egy halálesetre hivatkozva próbálkoztak adathalász csalók jelszavakat megszerezni, de egyébként is rendszeres célpontnak számítanak. Ám az igazi durva gyomros a 2022-es incidensük volt, amelynél a támadók hatalmas mennyiségű ügyféladatot loptak el tőlük, beleértve a jelszótárolók adatait is. Emiatt jogosan sokan elfordultak tőlük, és más megbízhatóbb alternatívát kerestek.

Ha mindössze egyetlen ökölszabályba kellene belesűríteni az adathalász bajokat megelőző varázs okosságot, ez lenne: soha ne kattintsunk semmilyen e-mailben küldött linkre! Persze segíthet ebben a vírusirtó és a kellő biztonságtudatosság is.

Szólj hozzá!
Címkék: e-mail csalás átverés támadás megtévesztés adathalászat lastpass welivesecurity.com jelszómenedzser jelszószéf

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása