Egy űrben feledett űrhajósnak is küldtek már pénzt. Az emberi hiszékenység határtalan, mondja egy banki IT-biztonsági szakértő

Éppen az emberek hiszékenységét és naivitását használják ki azok a támadók, akik különböző  phishing-kampányokkal próbálják meg ellopni a pénzüket. Egyáltalán nem ritka, hogy olyan e-maileket vagy sms-eket kapunk, amelyek által a csalók a bankszámláinkhoz vagy bankkártya-adatainkhoz próbálnak meg hozzáférni.

Zeman szerint ezeknek bárki bedőlhet, kortól és műveltségtől függetlenül. Az idősebb generációt leggyakrabban az érzelmes történetekkel lehet tőrbe csalni, ami szólhat egy sebesült katonáról vagy akár egy űrben feledett űrhajósról is. A fiatalok ezzel szemben a technológiákba vetett túlzott bizalmukra fizetnek rá, és képesek fejetlenül rákattintani a mellékelt linkekre. „Még mindig nem vagyunk elég informáltak” – mondja.

Úgy tűnik, hogy a phishing-kampányok már havonta jelennek meg a bankokban, és szinte már természetes jelenségnek számítanak. Valóban annyi van belőlük, hogy lassan hozzászokunk? 

A phishing egy olyan támadási típussá vált, amivel az emberek rendszeresen találkoznak. A bankokban is, de nem csak a bankokat érinti. Sokszor más cégeket is célba vesznek, például a Szlovák Postát. A phishing elleni védelem a banki alkalmazottak napi feladatai közé tartozik. Azonban még mindig nem rendelkezünk elég információval, és még a gyerekeket sem készítjük fel erre.

Ha kisgyerekünk van, egyéves korától tanítjuk a biztonságos közlekedésre. Azt mondjuk neki: ne menj ki az útra, mert ott autók vannak. A zebrán csak akkor megyünk át, ha világít a zöld figura. Fogd meg a kezem, szétnézünk mindkét irányba, balra is, jobbra is. A digitális sztrádával azonban senki sem foglalkozik. Nem mondjuk neki, hogy ide ne kattints, ezt ne csináld. Emellett viszont nagy mennyiségű adat áramlik ott, és sokkal nagyobb gyorsasággal.

Miért becsülik alá az emberek a biztonságot és az adataik védelmét?

Az egész a bizalomban gyökerezik. Ha valaki küld nekem egy e-mailt, amit Bin Ladenként ír alá, akkor megértem, hogy ez valami rossz dolog, mert egy terroristáról van szó, aki már egyébként nem is él. Ez egy egyértelmű hazugság, nem is kell vele foglalkozni. Viszont ha valaki Ján Krasko főorvosként írja magát alá, nem érdekel, hogy létezik-e ilyen nevű ember. Hogy az Antolská utcai kórház idegsebészetének főorvosa-e vagy nem,  vagy hogy van-e ott egyáltalán idegsebészet vagy sem, az sem érdekli őket. A lényeg az, hogy főorvos, tehát megbízható ember.

Az emberek nincsenek hozzászokva ahhoz, hogy ellenőrizzék a kapott információkat. Az újságokban ezt megteszik helyettük az újságírók, ugyanezt feltételezik a tévéről és a rádióról is. Úgy vannak beállítva, hogy minden nyomtatott anyag ellenőrzésen esett át. A munkában azt szokták meg, hogy amit leírnak, azért felelősséggel tartoznak. Ha valamit virtuális formában, tehát e-mailben kapnak meg, annak automatikusan hisznek.

A csalónak tehát nem kell nagyon kifinomultnak lennie, elegendő az emberek hiszékenysége?

A hiszékenységük határtalan. Mielőtt nyaralni mennének, odaadják valakinek a házkulcsot, hogy öntözze a növényeket. A lakást tökéletesen kitakarítják, az iratokat elteszik, a szekrényeket kulcsra zárják. Viszont amikor a mobiljukat vagy a notebookjukat adják oda valakinek, azokkal nem tesznek semmit. Kiveszik a SIM-kártyát és leadják az eszközt. Arra, hogy milyen adatokat tartalmaz, egyáltalán nem gondolnak. Ezzel gyakran problémánk van az ügyfeleknél. Nem éreznek igazán felelősséget a saját adataikat illetően.

A bankban észreveszik, ha valakinek lenullázzák a csalók a számláját egy ilyen eszközből származó adatok segítségével?

Igen, elég hamar kiderítjük egy előre elkészített kérdéssor segítségével. Az ügyfelek sokszor azt mondják, hogy az adott mobilt már régen eladták a Bazošon. Csakhogy nem tették meg, amit kellett volna. A telefont gyári állapotúra kellett volna visszaállítani, és kivenni a memóriakártyát, kitörölni az adatokat. Fontos, hogy kitöröljünk minden biztonsági kódot és képernyőzár-kódot. Emellett nagy a valószínűsége, hogy ha valaki a régi Androidos telefonján egy “Z” betűt használt a képernyőzár feloldására, akkor az újon is azt fogja.

Hol vannak a legnagyobb rések, amiken keresztül az emberek kiadják a személyes adataikat a potenciális támadóknak?

Az emberek szokása, hogy a közösségi médiában kitöltenek mindent, amit kérnek tőlük. Nem gondolkodnak azon, hogy szükségesek-e, automatikusan megadják a születési dátumukat, a házasság előtti vezetéknevüket, a címeiket és az élerhetőségeiket. Mindezt nyilvánosan. Nem gondolkodnak azon, mihez kezdenek ezek a cégek az adataikkal. Sok tapasztalatunk van a visszaéléses esetekkel. Az embereket bosszantja, hogy valaki ismeretlenül felhívja őket vagy ír nekik. A közösségi médiában pedig elég tudnunk egy nevet és két percnyi kattintás után számos, nagyon privát adathoz is hozzájuthatunk.

Ezalatt a személyes fotókat érti?

Amikor a személyes adatok védelméről tartok előadást, azt mondom az embereknek, hogy képzeljék el, hogy végigmennek az utcán és szétosztogatják a házukról, berendezéseikről készült képeket, amiken ideális esetben még emberek is vannak. Erre rögtön rávágják, hogy hiszen ez hülyeség, sohasem tennének ilyet. Na de az interneten mégis megtették, válaszolom erre. A Facebookra felteszitek a karácsonyi díszeket, a bejárati ajtót, a karácsonyfát, már nincs olyan dolog, amit nem fényképeznétek le. Tudom, hol laktok, és azt is, hogy néz ki belülről a lakás. Ha én tudom, mekkora adatforrás lehet ez egy rabló számára?

Talán nem könnyű mindenkinek elképzelni, hogyan lehet visszaélni a személyes adatokkal, aminek valóban fennáll a veszélye. Milyen esetekkel találkozott már?

Az iskolában, ahol tanítok, egy zsarolós esettel foglalkoztunk. A támadók létrehoztak egy virtuális valóságot, egy teljes történetet. Pontosan tudták, mi van a házban, ki mit csinál ott. Képesek voltak egy olyan virtuális valóság létrehozására, amiben a zsaroló mintha csak a lakásban járt volna. Azt állította például, hogy otthagyott egy tollat. Csak az alapján, hogy valahol látta. Képes volt arra, hogy félelmet keltsen a családban, és csak a facebookos képeket használta fel hozzá.

Egy másik eset elemzésében is részt vettem. A rabló pontosan meghatározta az útvonalat, hogy megy át a házon, és honnan mit kell elvennie. Ezt is csak a facebookos képek alapján hozta létre. Csak arra várt, mikor tesz ki a család a közösségi médiába képet arról, hogy Horvátországban nyaral. Az anyuka aktív volt, rögtön, ahogy megérkeztek, feltöltött egy képet a csodás apartmanról. Nem csak a három vagy tíz legközelebbi ismerősével osztotta meg, hanem mindenkivel.

A harmadik leggyakoribb veszély a digitális identitás eltulajdonítása. Könnyű valaki mássá válni, amikor annyi lehetőség van rá. Az iskolában például azt tanítjuk, hogyan kell úgy fényképeket készíteni a közösségi médiába, hogy a támadók ne tudják azonosítani, kik vagyunk és mit csinálunk. Hogy ne legyen egyértelmű, hol van a házunk, és végképp nem az arcunk részletei. Máskülönben annyi digitális nyomot hagyunk magunk után, hogy ha valaki elkezd utánunk érdeklődni, nagyon sok mindenre rájön.

Elkerülhető, hogy digitális nyomokat hagyjunk?

Csak azt vagyunk képesek kontrollálni, amit közzéteszünk. Azonban vannak olyan közvetett digitális nyomok is, amikről nem is tudunk. A támadók ezeket is kihasználják. Például amikor a posta küld nekünk egy üzenetet, hogy megérkezett a csomagunk, és mi azonnal kapunk egy phishing üzenetet arról, hogy 6,70 eurónyi vámot vagy postaköltséget kell befizetnünk. Mi pedig csak csodálkozunk, hogy honnan tudják.

Honnan tudják?