Prim Hírek

Az elmúlt hónapokban Magyarországon is számos felhasználó találkozott köztes felületet alkalmazó adathalász kísérlettel a kibertérben, még ha nem is tudott róla, hogy ez egy újfajta, minden eddiginél szofisztikáltabb phishing módszer. A támadók jellemzően valamilyen online piactéren próbálják behálózni áldozataikat. Úgy tesznek, mintha meg akarnák venni a terméket, ám valójában egy adathalász oldalra csalogatják az eladót, ahol arra próbálják meg rávenni valamelyik nagyobb bank weboldalának megjelenését lemásolva, hogy megadja személyes információit vagy a bankkártyaadatait, esetleg engedélyezze a hozzáférést a netbankjához. 

Ezt hívják a kiberbiztonsági szakemberek „3rd party phishing” támadásnak, amikor a kiberbűnözők egy harmadik félnek adják ki magukat, így próbálják meg megtéveszteni egy szervezet, jellemzően egy pénzintézet felhasználóit. A BlueVoyant friss jelentése szerint drámai mértékben megnőtt az ilyen jellegű incidensek száma, és számos ágazatot érint a pénzintézetektől kezdve az e-kereskedelemig és szállítmányozáson át egészen a telekommunikációs és állami szektorig. A kiberbiztonsági vállalat egyik nagy európai ügyfelének tapasztalatai szerint míg tavaly mindössze 2% volt az ilyen módszer az adathalász esetek között, 2023-ra ez az arány már 21%-ra nőtt.

Freepik

Régi trükk új csavarral

2020-ban azonosították először ezt a típusú támadást, és napjainkra már világszerte elterjedt, mivel sokkal hatékonyabb, mint a „hagyományos” adathalászat. A támadók ugyanis így szélesebb „hálót” vethetnek ki, vagyis több felhasználót tudnak megcélozni, ezáltal a potenciális zsákmány is nagyobb. Ráadásul a módszer annyira összetett és szofisztikált, hogy könnyebben megtéveszti a gyanútlan ügyfeleket, mint egy egyszerű, a bank nevében küldött e-mail, ami napjainkban már egyre több felhasználóban gyanút kelt.

A BlueVoyant elemzése szerint a támadók összesen több száz globális pénzintézet ügyfeleit célozzák meg olyan közvetítő weboldalakon keresztül, amelyek egy megbízható márkát imitálnak. Ez többnyire a megtévesztésig hasonlít az eredetire mind a megjelenés, mind a domainnév tekintetében. A kiberbűnözők így a „hagyományos” adathalászathoz képest beiktatnak egy plusz lépést, és egy látszólag független cégnek adják ki magukat. Ezáltal könnyebben el tudják kerülni a leleplezést, miközben rengeteg vállalat ügyfelétől tudnak hitelesítő adatokat és személyes információkat begyűjteni. Ezután a kapott adatokat összegyűjtik, és vagy maguk használják fel illegális tevékenységre, vagy eladják.

A BlueVoyant adatai szerint a támadási módszert a világ minden pontján alkalmazzák, ám a megszemélyesített „harmadik fél” oldalak régiónként eltérőek. Európában és az Egyesült Királyságban jellemzően postai szolgáltatóknak, e-kereskedelmi platformoknak, adófizetési platformoknak, mobilszolgáltatóknak és állami szerveknek adták ki magukat a támadók. Az USA-ban és Kanadában szállítmányozó cégek és e-kereskedelmi oldalak voltak a leggyakoribb „digitális álruhák”, míg az ázsiai és csendes-óceáni térségben szintén a logisztikai vállalatok és a kormányzati oldalakat használták fel a csaláshoz. A közös pont az volt, hogy ezeken keresztül minden esetben pénzintézetek céloztak, ezeket utánzó oldalakra irányították az ügyfeleket. 

A kibervédelmi vállalat szakértői számára különösen sok információt szolgáltattak a magyarországi esetek. Egy nagy hazai banknál tapasztalták, hogy az ügyfeleiket e-kereskedők és csomagküldők hamis oldalán keresztül célozzák. Ezeket az eseteket megvizsgálva jutottak hozzá fontos információkhoz a támadókkal, a módszereikkel és a mögöttük álló infrastruktúrával kapcsolatban.

Nehéz a védekezés, de nem lehetetlen

Megnehezíti a védekezést, hogy nem is közvetlenül a pénzintézetek ügyfeleit célozzák a támadók, hanem egy köztes felületet használnak. Ezért különösen fontos a kockázatok csökkentéséhez, hogy minden érintett szektorban edukálják a vállalatok a felhasználóikat, ügyfeleiket és alkalmazottaikat az újfajta támadásokról. 

Emellett az is hatékonyan csökkenti a kockázatokat, ha folyamatosan monitorozzák a világhálót a hasonló domainek, illetve a márkaelemek engedély nélküli használata után, majd az azonosított, rosszindulatú domaineket minél hamarabb eltávolíttatják. Ezek jellemzően olyan feladatok, amelyeket a szervezetek nem saját hatáskörben oldalnak meg, hanem a hatékonyság és a költségek optimalizálása érdekében egy külső DRP (Digital Risk Protection) szolgáltatóra bízzák, amely a folyamat elejétől a végéig, azaz a detektálástól a validáláson át az eltávolításig gondoskodik a kockázatok minimalizálásáról, segítve a vállalat és az ügyfelek adatainak védelmét.