Online biztonság vállalkozóknak
Egyre több marketinges és vállalkozó számol be arról, hogy feltörték a Facebook vagy Google hirdetési fiókjukat, majd több százezret, akár 7 számjegyű összeget emeltek le a számlájukról. A támadók erős jelszó használat ellenére, SMS-es kétlépcsős azonosítás mellett jutottak be a hirdetési rendszerekbe és kezdtek őrült költésbe. Mit tehetünk, ha az általunk vélt legnagyobb biztonság alkalmazása esetén is megtörténik ez?
Kétkulcsos azonosítás
Mi az a kétkulcsos azonosítás? Egy plusz védelmi vonalat biztosít az online fiókok részére. Beállításával kód érkezik a mobiltelefonodra, hitelesítő alkalmazásba vagy SMS-ben kapod meg a generált karakter-/számsort. Ezzel fogsz tudni belépni az adott felületre. Ha valaki ellopja a jelszavad, de neked aktív a kétlépcsős hitelesítés, akkor a megszerzett password-el nem megy semmire, hisz a te eszközödre fog érkezni a biztonsági kód.A kétlépcsős azonosítást használni kell, mert jelentősen növeli az online biztonságot, azonban nem mindegy milyen formában alkalmazzuk. Első ránézésre az SMS-es kétfaktoros azonosítás tűnhet a legtutibb megoldásnak. Viszont van egy rossz hírünk! A hackereknek ma már gyerekjáték kijátszani az SMS-es belépést. Az autentikátor alkalmazások sokkal megbízhatóbbak. Mindenképp ezt állítsuk be a Facebookon, az Instagramon, a Google fiókban és minden online platformon, ahol erre van lehetőség. Az SMS kódos beléptetést felejtsük el egy életre!
Az autentikátor vagy hitelesítő alkalmazás offline generál belépőkódokat. Az appot társíthatod a főbb hirdetési platformokhoz. A maximális biztonság érdekében érdemes egyszerre többet használni belőle, és nem egy alkalmazásra bízni az összes marketinghez köthető platformot.
Autentikátor mobilalkalmazások:
• Google Authenticator
• 2FA Authenticator (2FAS)
• LastPass Authenticator
Extra tipp az extra védelemhez: használd a hitelesítő appot egy internettől teljesen elzárt telefonon vagy táblagépen! Ezzel bebiztosíthatod, hogy valóban senki ne férhessen hozzá a kódgenerátorodhoz. Extra tipp az extra védelemhez: használd a hitelesítő appot egy internettől teljesen elzárt telefonon vagy táblagépen! Ezzel bebiztosíthatod, hogy valóban senki ne férhessen hozzá a kódgenerátorodhoz.
Ezt ne tedd! Bejelentkezés online felületekre Google vagy Facebook fiókkal
Biztos te is találkoztál már azzal, hogy egy alkalmazásba, webáruházba vagy bármilyen online szolgáltatásba bejelentkezhetsz a Facebook vagy a Google fiókod segítségével. Ez gyors és kényelmes megoldást kínál, azonban ezzel hatalmas veszélynek tesszük ki az adatainkat és a hirdetési fiókjainkat. Amikor a Facebook fiókot csatlakoztatjuk egy másik alkalmazáshoz, – pl. Spotify bejelentkezés – akkor az app hozzáférést kér bizonyos adatokhoz, funkciókhoz. Ilyen lehet a Facebook idővonal, kedvelések, telefonszámok, naptár. Ezek ártalmatlannak tűnnek első ránézésre, viszont vannak olyan weboldalak és alkalmazások, melyeknek mi magunk adunk hozzáférést a telefonunkra érkező SMS-ekhez, az e-mailjeinkhez, a Facebook vállalkozáskezelőjéhez vagy hirdetési fiókjához azzal, hogy Fb account-tal léptünk be. Ugyanígy működik ez a Google fiókos csatlakozással is. Ezzel pedig már meg is adtuk a hozzáférést az SMS-ben vagy az e-mailben beérkező kódokhoz a hackerek számára.
Tehát bármilyen kényelmesnek és praktikusnak tűnik, soha ne jelentkezz be semmilyen online szolgáltatásba a Facebook vagy a Google fiókoddal!
Már csomó app-ba Fb/Google-el vagyok belépve. Sosem késő! Ebben az esetben annyit kell tenned, hogy szétcsatlakoztatod az alkalmazásokat.
Facebook-hoz kapcsolt alkalmazások leválasztása
Google-hoz kapcsolt alkalmazások leválasztása
Elővigyázatosság a marketing felületeken: érdemes a Google és a Facebook hirdetői fiókokban több admint is tartani. Ha valamiért letiltják vagy feltörik az egyik profilt, ne zárjuk ki magunkat teljesen a fiókból!
A bankkártya használata
Külön bankszámláról bonyolítsd a marketing költéseket, mert az egyik legjellemzőbb támadás egy cég ellen, hogy bejutnak a Facebook vagy Google fiókba, belépnek az ehhez kapcsolt hirdetési rendszerekbe, majd átállítják a hirdetéseket, hogy maguknak hirdessenek. Ilyenkor annyit költenek amennyit tudnak vagy amíg a hirdetési fiókok le nem tiltják őket. Ekkor jellemzően a tulajdonosnak már nincs hozzáférése a fiókhoz, mert a behatolók első dolga, hogy a korábbi adminokat kitiltják és teljes mértékben átveszik az irányítást a fiók felett.
A számítógép és az okoseszközök védelme
Vírusok elleni védekezésMost már tudod, hogy az online felületeken milyen biztonsági intézkedéseket kell végrehajtanod. Ez azonban nem elég. Minden számítógépet, telefont és tabletet, bármilyen eszközt, amit munka célra használunk meg kell óvni az illetéktelen behatolóktól. Ez az alapja mindennek. A hackerek és adathalászok kivédése ellen vírusirtó szoftverrel védekezhetünk. Mi a Bitdefender nevű programot ajánljuk, amit letölthetsz asztali gépre, Androidos készülékekre és iOS alapú eszközökre egyaránt. Az előfizetéshez egyszerre 5 eszközt is hozzárendelhetsz.
Bitdefender hivatalos weboldal
Böngésző
Használj mostantól nyílt forráskódú böngészőt, ha eddig nem tetted! Jelenleg a Firefox ESR a legbiztonságosabb vállalati célokra. A Chrome is biztonságos böngészőnek számít, ha a külső behatolókkal szembeni védelmet nézzük, adatvédelmi szempontból viszont erőteljesen megkérdőjelezhető. A Google a saját szolgáltatásainak fejlesztésére hivatkozva gyűjt nagy mennyiségű adatot felhasználóiról, pl. helyadatok, webhelylátogatások, keresési előzmények, stb. Ezeket a gigantikus méreteket öltő adatokat valójában a marketing tevékenységükhöz használják fel. Te bízol a Chrome-ban ennek tudatában?
Böngésző bővítmények
A böngésző bővítmények - akárcsak a Facebook/Google bejelentkezést használó app-ok – hatalmas veszélynek teszik ki eszközeinket. A leleményes támadók hasonlóképp vehetik át az irányítást gépünk, okoseszközünk, marketing csatornáink felett, mint a kártékony alkalmazások esetében. Nem érdemes kockáztatni egy-egy jópofa extension miatt. Ráadásul jócskán lassítják a böngészőt.
Megbízható eszközök
Érdemes szétválasztani a magáncélú és a munkára használt fiókokat, eszközöket. Akár egy évekkel ezelőtt letöltött, Facebookhoz kapcsolt alkalmazás is okozhat adatszivárgást. Számos más szempontból is jó elkülöníteni a munkát a magánélettől ilyen formában. A személyes profilok és saját készülékek nagyobb biztonsági kockázatnak vannak kitéve, hiszen van, hogy felcsatlakozunk velük egy kávézó, bevásárlóközpont vagy szálloda nyílt wifijére. Az ingyenesen használható hálózatok hatalmas kockázatnak teszik ki, nem csupán a céges fiókjainkat, de a mobilunkon tárolt összes képet, videót, jelszót is. Sose adjunk meg semmiféle érzékeny adatot és ne regisztráljunk be sehová innen, hiszen könnyen adathalászok áldozataivá válhatunk egy ártalmatlannak tűnő wifire kapcsolódással. A vállalati feladatokra legyenek kijelölve olyan gépek, telefonok és tabletek, melyeket kizárólag megbízható, saját irodai vagy - home office esetén - otthoni internetkapcsolattal kötünk össze. Ezeken az eszközökön lehetőleg csak a céges feladatok elvégzéséhez szükséges fiókokba legyünk belépve. Lássuk el jelszóval magát a készüléket, hogy az érzékeny adatokhoz ne férhessen hozzá senki, akkor se, ha ellopják a gépet/okoseszközt.
Kerüld el: Nyilvános telefontöltő állomások
Rosszindulatú szoftverekkel fertőzhetik meg eszközeinket a nyilvános mobil töltők. A leleményes hackerek rájöttek, hogy a nyilvános USB portok is alkalmasak adatlopásra. Minden esetben a jól megszokott töltőkábelünket használjuk.
Jelszó
Naivan azt hisszük, hogy ma már mindenki tudja, hogy erős jelszót kell használni. Sajnos a gyakorlat és a statisztikák azonban azt mutatják, hogy nagyon sokan elhanyagolják a biztonságos jelszóválasztást. Rengetegen használnak gyenge jelszavakat vagy mindenhova ugyanazzal a jelszóval regisztrálnak. Ezt mi sem bizonyítja jobban, mint az, hogy a leggyakrabban használt rossz jelszavak listája évről-évre nem változik:
• 111111
• 123456
• 12345678
• Password
• Jelszójelszó
• jelszó123
• iloveyou
• abc123
• adminadmin
Az adatlopások 80%-a jelszó feltöréssel valósul meg. Mondjuk így nem nehéz.
Milyen a jó jelszó?
• Legalább 8-12 karakterből áll, tartalmaz kis- és nagybetűket, számokat valamint speciális karaktereket
• Nem szerepel benne értelmes szó vagy olyan kifejezés, ami rád vall, pl. születési dátum, telefonszám, kedvenc kocsid típusa, kisállatod neve
• Semmilyen körülmények között ne használd ugyanazt a jelszót több helyen, legyen mindenhol egyedi. Ne csinálj belőle variációkat! (pl. Facebookon jóZsik@1 a jelszavad, Instagramon pedig jóZsik@2)
• Viszonylag gyakran változtasd! Maximum fél évenként érdemes cserélni.
Jelszótároló
A jelszókezelő program lényege, hogy eltárolja az összes komplex jelszavunkat, amit képtelenség lenne fejben tartani. Főleg azoknak, akik online végzik a munkájukat. A legjobb választás, ha nyílt forráskódú szoftvert használunk. Az ilyen típusú jelszótárolók forráskódja ellenőrizhető, ami a jelszavak megfelelő titkosítását biztosítja. Ilyen megoldást nyújt például a KeePass.
FONTOS!
Jelszót, bankkártyaadatot soha ne osszunk meg vagy tároljunk sehol az interneten. Amennyiben rákényszerülünk, hogy elküldjünk egy jelszót az ügyfélnek vagy egy home office-ban dolgozó munkatársunknak, abban az esetben használjuk a Messenger vagy a Viber eltűnő üzenet funkcióját. Erre is léteznek trükkös megoldások. Pl. a jelszó egyik felét Messenger eltűnő üzenetben küldöd el, a másik felét Viberen.
Gyakori csalások
Online vagy telefonon egy bank / szolgáltató sem kéri a bankkártya adataidat! Ezt jegyezd meg! Bármi probléma adódna, az érzékeny adataid sosem kérik ki.Az adathalászok és csalók mára nagyon kreatívak lettek és egy minimális Photoshop tudással már bárki megtévesztheti a gyakorlatlan felhasználókat. A legnagyobb veszélynek a 16 év alatti fiatalok és az idősek vannak kitéve.
Így ismerd fel
Nem ritka eset, hogy pénz- vagy adatlopás céljából nagyobb cégek nevében írnak e-mailt. Lehet ez OTP, Media Markt, Telekom, Netflix vagy akár a NAV. Sokszor megtévesztőek ezek a levelek, mert az adathalászok sokszor az adott márka logóját is csatolják vagy brand elemeket - pl. fejléc, lábléc – helyeznek el az üzenetbe. A Gmail gyakran spamként vagy veszélyes üzenetként jelöli meg ezeket a hamis e-maileket, de nem minden esetben.
Gyanakvásra adhat okot, ha az elektronikus levélben valamilyen adat megadására kérnek minket. A hivatalos szolgáltatók sosem tesznek ilyet! Intő jel lehet még a helyesírás. Bár manapság jobban odafigyelnek erre, mégis a csalók helyesírási hibákkal teli, sokszor magyartalan levelekkel bombáznak minket.
Bármilyen gyanús tevékenység esetén vizsgáljuk meg az e-mail címet! Egy nagyobb méreteket öltő cég sem használ gmail-es címet, magyar vállalat esetén csak a .hu végződést használják. A csalók sokszor használnak gmail-es, yahoo-s vagy egyéb e-mail címet. Nézzük meg, hogy néz ki a gyakorlatban egy ilyen üzenet:
Ebben a fake mail-ben több elem is van, amivel elárulja magát a kedves csaló. A legszembetűnőbb az e-mail cím, de ahogy a képernyőképen is látható, a levelező rendszer spamba helyezte az üzenetet. Nincs név szerinti megszólítás, a levél végén csupán annyi szerepel: RENDŐRKAPITÁNYSÁG. Hogy melyik kapitányság vagy ki írta, esetleg mik az elérhetőségei, annak nyoma sincs. Egy PDF kiterjesztésű csatolmányt tartalmaz a levél. Fontos, hogy se PDF-et, se linket, se fotót/videót, se semmit ne nyissunk meg ezekből!
Adathalászaink még egy kis energiát is belefektettek ebbe a projektbe, hiszen a csatolmány előnézeti képén jól látható, hogy logókat is elhelyeztek a dokumentumba, hátha hitelesebbek lesznek.
Nézzünk egy másik e-mail-es példát:
A Facebook nevével is sokan próbálnak visszaélni. Itt sem hivatalos e-mail címről jött a levél, nincs konkrét megszólítás, tele van helyesírási hibával, adatot kérnek be, amit sosem tenne a kék óriás, de más cég vagy szolgáltató sem. A végén a „Mark Zuckerberg úr”-on még el is nevettem magam.
Az SMS-eink sincsenek biztonságban, ott is támadnak az adathalászok! Sokan dőltek be pl. az alábbi Netflix-es SMS-nek.
Gyakori átverés még, hogy egy linkkel ellátott levél jön arról, hogy csomagunk érkezett. Az URL címen természetesen látszik, hogy csalásról van szó. A csomagküldő cégek kizárólag a várható érkezés idejét és a futár telefonszámát szokták beletenni az üzenetbe, illetve a csomagszámot. Az SMS-ben érkező gyanús linkekre is vonatkozik, hogy sose kattintsunk rá, mert könnyen az adathalászok áldozatává válhatunk.
A kedves csalók sokszor használnak sürgető hangnemet, pl. „Azonnal utalj el 120.000 Ft-ot az alábbi bankszámlára, különben a fiókodat véglegesen felfüggesztjük!”
Egy olyan ismerősöd írt rád Facebookon, akivel 10 éve beszéltél utoljára? Itt is kezdhetsz gyanakodni. A kibertámadások indítói ilyenkor általában egy téged felcsigázó üzenettel és linkkel próbálnak meg kattintásra venni téged. Példa: „Ez most komolyan te vagy a videón? Rád se ismerek! Link” Az ehhez hasonló üzeneteket nem csak távoli, de közeli ismerősöktől is megkaphatod.
Itt van a weboldalunk linkje:
https://keresoreklam.hu
Mielőtt rákattintanál, vidd felé az egered és nézd meg a böngésződ bal alsó sarkában, hogy milyen URL-t látsz! Ez nem is a weboldalunk linkje, hanem a Facebook oldalunké. Látod mennyire egyszerű megtéveszteni valakit? Ezt a trükköt rengetegen alkalmazzák. Te jóhiszeműen kattintasz, mert látod, hogy valid link van az e-mailben, miközben a kattintás teljesen máshová visz.
Teszteld a tudásod!
Te mennyire ismered fel az adathalász üzeneteket? Próbára teheted magad a Phishing Quiz oldalon! A kiberbűnözők gyakran változtatnak módszereiken, hogy minél hitelesebbek legyenek, ezért kell mindig naprakésznek lenni a témában.
https://phishingquiz.withgoogle.com/
A cikk megszületésében közreműködött: Sámi Imre - mérnök informatikus, Itsector.hu Kft.