Az adathalászat az egyik leginkább frusztráló és elterjedt támadási módszer, amit a vállaltok ellen használnak a csalók. A legtöbben tudjuk, mi ez és hogyan működik, de még mindig beleesünk a bűnözők csapdáiba.

A módszer lényege, hogy a bűnözők olyan üzeneteket küldenek az Ön dolgozóinak, amelyben valamilyen legitim szervezetként tüntetik fel magukat. A probléma napi több millió céget érint 2020-ban is. Az adathalász üzenetek a fogadókat egy hamis webhelyre irányítják, amely a személyes adataikat rögzíti, vagy rosszindulatú mellékleteket tartalmaznak. Bár a csalók végső célja mindig ugyanaz, sokféle módot találnak a támadások végrehajtására.

1.E-mail „phising” adathalászat

A legtöbb adathalász támadást e-mailben hajtják végre. A csaló, egy hamis domaint regisztrál, amely nagyon hasonlít egy ismert szervezet valódi domain címére, majd az ehhez tartozó igazinak látszó címről küld emailt az Ön dolgozóinak. Amennyiben a dolgozók átkattintanak az emailből, már el is kezdődik az adathalászat.

2020-ban, gyakori módszerük a csalóknak, hogy az utánzott szervezet nevét és e-mail címét (például paypal@domainregistrar.com) részben használják fel, abban a reményben, hogy a feladó neve egyszerűen „PayPal ”-ként jelenik meg, a címzett beérkező leveleiben.

Az adathalász e-mailek észlelésének számos digitális módja van. Ennek ellenére ellenőriznie kell személyesen is egy üzenet e-mail címét, ha a levél tartalma átkattintásra vagy melléklet letöltésére szólít fel.

Két másik, kifinomultabb típusú adathalászati módszer van még, amit e-mailen keresztül használnak a bűnözők.

 2.„SPEAR” adathalászat

Az első, a „lándzsa” becenévre hallgat. Lényege, hogy a hacker egy kiszemelt dolgozónak, ugyanúgy rosszindulatú e-maileket küld, de már rendelkeznek az alábbi adatokkal a célszemélyről, így könnyebben bizalmukba tudnak férkőzni.

  • a munkavállaló neve
  • munkavégzés helye
  • munkakör megnevezése
  • email cím
  • konkrét információk munkakörükről

A közelmúlt egyik leghíresebb ilyen tipusú sikeres csalása, az Amerikai Democratic National Committee ellen történt. Ezen támadás, több mint 1000 e-mail címre küldött rosszindulatú mellékleteket tartalmazó üzeneteket. Sikeresen becsapta az amerikai választási bizottság tagjait, hogy jelszavaikat osszák meg a bűnözőkkel, ezzel befolyásolták a választások kimenetelét.

3.„Whaling” adathalászat

A „bálnavadászat” nevezetű támadási módszer abban különbözik a SPEAR-től, hogy még annál is célzottabb. Ebben az esetben csak a magas rangú vezetőkre irányul a támadás. Bár a bálnavadászat végső célja ugyanaz, mint bármely más adathalász támadásé, a technika sokkal kifinomultabb.

Az olyan alapvető trükkök, mint a hamis linkek és a rosszindulatú URL-ek küldése, ebben az esetben nem túl hatékonyak, mivel a bűnözők a szenior dolgozókat próbálják meg írásban imitálni. Jellemzően fontos dokumentumok kiküldésével operálnak a csalók, majd azok kitöltésén keresztül próbálnak meg adatokat kinyerni. Ezek lehetnek:

  • adóbevallások
  • pénzügyi riportok
  • képzési tervek
  • stb

amit, ha kitöltenek a dolgozók, a csalók már meg is szerezték a kívánt adatokat.

4.„Smishing” és a „Vishing” adathalászat

Ez a két módszer abban különbözik a többitől, hogy telefonon keresztül ér minket a támadás. A „Smishing” esetében, a bűnözők szöveges üzeneteket küldenek nekünk (amelyek tartalma nagyjából megegyezik az e-mail-es adathalászattal), a „vishing” pedig egy telefonos beszélgetést jelent, ahol a bűnöző minél többet akar megtudni rólunk.

A legtöbbször bankok, telekommunikációs vagy biztosítási cégek alkalmazottainak adják ki magukat a csalók. A bankszámláink pin és biztonsági kódjaik érdeklik őket, vagy átutalást akarnak tőlünk valamilyen ismeretlen bankszámlaszámra.

5.„Angler” adathalászat

A szocial média felületek, számos lehetőséget kínálnak a bűnözők számára az emberek becsapására. Hamis URL-ek, klónozott webhelyek és bejegyzések, nagyon gyors és széles körű elérést biztosítanak a csalóknak is.  A sima adathalászati módszerek mellett, alternatív megoldásként a bűnözők felhasználhatják azokat az adatokat, amelyeket az emberek szívesen tesznek közzé a közösségi médiában. Online profilozással, igen személyre szabott támadásokat tudnak létre hozni, amivel megszerezhetik adatainkat.

A legjobb védekezés az adathalászat ellen,  a dolgozók folyamatos képzése és olyan elektronikus rendszerek alkalmazása, amelyek segítik adataink védelmét. Ezen megoldásokat tmegtekintheti a következő linken.