Gyorsabbnak kell lennünk az adathalászoknál. De hogyan?

Milyen átalakuláson ment keresztül a kiberbűnözés az elmúlt évtizedekben?

Azt szokták mondani, hogy az adat az új olaj. Alapvetően egy óriási kincs lett mára az, hogy az adatainkkal mit lehet csinálni, és azt honnan lehet megszerezni. Annak idején egy az egyben történt a dolog: valaki fogta, hátravitte a bankkártyát egy étteremben, lemásolta a mágnescsíkot egy arra alkalmas géppel, majd máshol költött vele – ám manapság ez a módszer itthon már egyáltalán nem működik. Ez alakult át odáig, hogy ma már konkrétan adathalászatra szakosodott cégek működnek, akiknek van HR-esük, ösztönző rendszerük, kiválasztási módszerük, illetve belső etikettjük. Cégszerűen felépítve, végiggondolva próbálják meg kicsalni az ügyfelek adatait, és általában olyan hétköznapi helyzetekben, ahol nem számítunk rá. Nem a bankból próbálják elvinni az adatot, hanem olyan helyekről, ahol gyanútlanul, sokkal könnyebben tudják azokat megszerezni, legyen szó egy fiktív lejárt streamingelőfizetésről vagy kamu csomagról. A legjobban őrzött adataink általában a banknál vannak, ők a legjobban felkészültek a csalók ellen, akik pedig abban változtattak, hogy iparszerűen űzik az adathalászatot. Megváltozott a gondolkodásuk, amivel a fogyasztók kénytelenek lépést tartani.

Mindig egyből észrevehetjük, ha kiberbűnözés áldozatai lettünk?

Nem. Más kérdés, hogy mire használják az adatokat és mikor. Nem is feltétlenül a magánszemélyek esetében fontos ez, hanem a céges adathalászatnál vagy zsarolószoftvernél, amikor beépül egy kód az adott cég rendszerébe, ott ül, és vár akár hat-nyolc-tíz hónapot. Megvárja, mikor fáj a cégnek legjobban, ha leáll működése.

Magánszemélyeknél azért általában hamar észreveszi az ember a csalást: a mostani trendek alapján a magánszférában tényleg a hétköznapi esetekben nem tűnik fel elsőre, mert természetesnek tartjuk, hogy egy streamingszolgáltató megkérdezi tőlünk az adatainkat, mi pedig válaszolunk. Holott alapvető dolog, hogy egy bank vagy szolgáltató soha nem kér tőlünk PIN-kódot, vagy más személyes adatokat, amik nekik nem kellenek. Ha ezt az ember megjegyzi, akkor a mai adathalászat nagy részét el lehetne kerülni, csak ez nem része az oktatási rendszerünknek, a pénzügyi tudatosságunknak, kultúránknak, és van egy természetes bizalmunk egy-egy szolgáltató felé. Ennek viszont az lehet az ára, hogy belecsúszunk egy-egy nagyobb adathalász csalásba.

Tud olyan szektorokat említeni, ahol különösen nagy a kockázat?

Ezt a kérdést megfordítanám. A csalások története onnan indul, hogy a bankból és a bankoktól érdemes lopni. Erre mi történt? A bankok rendkívül komoly erőket mozgattak meg és A csalók érzékelték a megerősödött védelmet, ezért fordultak el inkább a magánszemélyek felé, ahol alacsonyabb a biztonsági tudatosság. Másrészről pedig csomó adatunk van olyan helyen, ahol sokkal kevésbé figyelnek rá, és a nagy kérdés az, hogy máshol hogy vigyáznak rájuk. Ezért is személy szerint arra számítok, hogy mivel a bankok elől haladnak a csalásmegelőzés területén, ezért a csalók helyettük elfordulnak az állami cégek, energetikai- vagy egészségügyi vállalatok felé, ahol kifejezetten szenzitív adatokat tárolnak, és amikkel vissza lehet élni.

Ezek szerint még nem minden vállalat építi be a kiberbűnözés elleni védekezést a költségvetésébe?

Szerintem mindenki beépíti, ami a kérdés, hogy milyen szinten. Az IT biztonsági beruházásokat fel lehet fogni egy biztosításként, és egy ezzel foglalkozó menedzser arra kér pénzt, amit el fog kerülni: akkor sikeres, hogyha nem történik csalás. Honnan tudjuk, hogy egyébként történt volna? Nehéz lehet felmérni. A csalásmegelőzési munka során egy biztosítást vásárolunk azért, hogy minimalizáljuk a kockázatát annak, hogy a vállalkozásunkat egy sikeres támadás érje, és nem egyszerű előre megítélni, hogy ennek mekkora a valószínűsége. Mi pedig abban tudunk segíteni, hogy rengeteg olyan eszköz érhető el, amivel szimulálni lehet egy tesztkörnyezetben – éles környezetben, de nem valós hatással –, hogy mi történne, ha egy csaló megtámadná a cég rendszerét. Képesek vagyunk imitálni, hogy mekkora és milyen típusú támadásokat tudna egy adott rendszer megállítani vagy milyen adatokat tudna valaki ellopni anélkül, hogy ez ténylegesen megtörténne. Ez óriási segítség abban, hogy a menedzsment lássa, mennyire vannak kitéve hasonló veszélyeknek.

Akár magánemberként, akár egy cég alkalmazottjaként elég a védekezéshez néhány alap biztonsági intézkedés ismerete? Ilyen lehet az, hogy nem adjuk ki senkinek a jelszavunkat vagy az, hogy kétfaktoros bejelentkezést használunk.

Régen ott tartottunk, hogy ne írjuk fel a PIN-kódunkat a bankkártyánkra, és ne négy darab nullát, az irányítószámunkat vagy a születési évünket válasszuk jelszónak. Valószínű, hogy ezek mára beépültek, de még mindig az emberi mulasztás az, ami az esetek jelentős százalékában lehetővé teszi a csalást. Ha valaki él a kétfaktoros azonosítással, a biometriát rendesen használja, akkor a csalások jó része elkerülhető.

A legtöbb esetben egyszerű, józan paraszti észről van szó. Ha valami olyat tapasztalunk valakitől, aki úgy viselkedik, mint amit nem szoktunk meg tőle, akkor legyünk óvatosak. Ha a bankom soha nem kérte el tőlem a PIN-kódomat, és hirtelen elkéri, akkor ne adjuk meg. Ha egy csomagküldő szolgálat megkér, hogy adjam meg a kártyaszámomat, akkor ne adjam meg. Azt se higgyük el, ha valaki a bankunkra vagy mondjuk a Mastercardra hivatkozva kéri el ezeket, hiszen sem a bankok, sem a fizetéstechnológiai szolgáltatók nem adják át harmadik félnek a személyes adatainkat. A legfontosabb, hogy legyen egy egészséges gyanakvás bennünk, és amikor olyasmit érzékelünk, ami eltér a korábban megszokottól, gondoljunk arra, hogy itt valami nincs rendben.

Tegyük fel, hogy megtörtént a baj, vagy a munkánk során felmerült a gyanú, hogy csalás áldozatai lettünk. Ilyenkor mi a teendő, elég az informatikusnak vagy a bankunknak szólni?

Magánemberként a bankhoz kell fordulni, akik ki fogják vizsgálni, hogy az eset milyen módon és hogyan történt. A vállalati oldalon pedig egyértelmű, hogy az adott vállalatnál az informatikai vezetőt vagy az ezzel foglalkozó kollégát értesítjük. Hogy utána mit tudnak ezzel kezdeni, az már egy teljesen másik kérdés, ezt az adott helyzetben nem az én kompetenciám megmondani. Nagyon sok függ attól, hogy milyen típusú adathalászat történt, és attól is, hogy korábban milyen preventív intézkedéseket tettek meg.

A vállalatoknál mennyire jellemző, hogy egy harmadik fél, egy beszállító kevésbé biztonságos rendszerén keresztül ér minket támadás?

A csaló mindig a leggyengébb láncszemet fogja keresni, és ha beszállítói lánccal rendelkezünk, ott lesznek olyan cégek, akik sokkal kevesebb figyelmet fordítanak a kiberbiztonságra. Vegyük példaként az autógyártást, ahol elég annyi, hogy a biztonsági öv feszítő csavarjának a gyártója megálljon, és az autót nem lehet átadni öv nélkül. És ez csak egy darab beszállító, úgyhogy óriási a kockázat. Éppen erre lesznek jók azok az új, a digitális térre vonatkozó szabályozások, amik pont azt hivatottak biztosítani, hogy a megrendelő átláthassa, hogy a beszállítói milyen IT védelmi intézkedéseket tettek meg. A Mastercardnál ebben is tudunk segíteni, és egy szolgáltatásunk keretein belül végig tudjuk nézni a komplett beszállítói láncot az említett szempontok alapján.

Az elmúlt években – főleg a világjárvány után – észrevehetően elterjedt a home office lehetősége. Mindez mennyivel könnyíti meg a csalók dolgát?

Az otthoni munkavégzésben – amikor valaki egy céges gépen keresztül VPN-t használ és a cég tűzfalai rendben vannak – alapvetően nem látok nagyobb kockázatot, mintha bent lenne a kolléga egy irodai környezetben. A távmunkával viszont együtt jöttek olyan szolgáltatások is, mint a csomagküldés vagy az ételrendelés, ahol több lehetőség nyílik arra, hogy a digitális térben csalják el az adatainkat.

Az egész nagyon gyorsan történt, és a csalással foglalkozó cégek is gyorsan fejlődtek. Ez a rabló-pandúr játék meg fog maradni, és az a kérdés, hogy mennyivel lehet megnehezíteni a csalók a dolgát.

Hogyan látja a digitális térben való mozgás és a kiberbűnözés elleni küzdelem jövőjét?

Az ember tanul, valaki a saját kárán, valaki a másén. A digitalizáció biztos, hogy elhozza azt, hogy sokkal több helyen hagyjuk ott az adatainkat: sokkal komplexebbé váltak a szolgáltatások, egyre hosszabbak az ellátási láncok, és több mindenki, akár nyolc-kilenc cég is részt vehet abban, hogy az ajtónk előtt landoljon egy megrendelés. Ez egy nagy tanulási folyamat lesz, hogy a lánc kevésbé felkészült tagjai hogy fognak felzárkózni.

A magánszemélyeknél pedig mindig azt mondjuk, hogy a pénzügyi oktatás és tudatosság lassan épül be, és azt nem lehet elég korán kezdeni. Ha valaki ezzel nem ismerkedett meg az iskolában valamilyen szinten, akkor nagyon nehéz egy bizonyos kor fölött tartani a lépést, hogy miért használjunk előre generált jelszót a gyerekünk nevének megadása helyett. A fiatalabb generációknál ez természetesebb, nekik ez nem lesz újdonság. Fontos, hogy a gyerekeket inkább segíteni kell az digitális- és adatbiztonság megértésében, és nem egyszerűen eltiltani őket egy-egy platform használatától.