From Wikipedia, the free encyclopedia
Az adathalászat egyfajta pszichológiai manipuláció (social engineering), amikor a támadó hamis („hamisított”) üzenetet küld, amelynek célja, hogy áldozatot rávegye arra, hogy érzékeny információkat fedjen fel a támadónak, vagy rosszindulatú szoftvert, például zsarolóprogramot telepítsen az áldozat eszközére. Az adathalász-támadások egyre kifinomultabbá váltak, és gyakran átláthatóan tükrözik a célzott webhelyet, lehetővé téve a támadó számára, hogy mindent megfigyeljen, miközben az áldozat navigál a webhelyen, és átléptessen minden további biztonsági korlátot az áldozattal.[1] 2020-tól az adathalászat messze a leggyakoribb támadás, amelyet a kiberbűnözők hajtanak végre, az FBI internetes bűnügyi panaszközpontja több mint kétszer annyi adathalász bejelentést regisztrált, mint bármely más típusú számítógépes bűncselekményt.[2]
A „phishing” szó első feljegyzett használata a Koceilah Rekouche által 1995-ben létrehozott AOHell cracking toolkitben volt, azonban lehetséges, hogy a kifejezést már ezt megelőzően használták a 2600 hacker magazin nyomtatott kiadásában.[3][4] A szó a halászat leetspeak változata (a ph az f gyakori helyettesítője), valószínűleg a phreaking elnevezés után, és arra utal, hogy egyre kifinomultabb csalik segítségével "halásznak" a felhasználók érzékeny adataira.[4][5][6]
Az adathalász esetek megelőzésére vagy hatásainak mérséklésére tett kísérletek közé tartoznak a jogszabályok, a felhasználók képzése, a nyilvánosság tudatosítása és a technikai biztonsági intézkedések.[7]
A legtöbb adathalász üzenetet e-mailben kézbesítik, és nem személyre szabottan vagy egy adott személynek vagy vállalatnak címezve – ezt nevezik „tömeges” adathalászatnak.[8] A tömeges adathalász üzenetek tartalma a támadó céljától függően széles körben változik – a megszemélyesítés gyakori célpontjai közé tartoznak a bankok és pénzügyi szolgáltatások, az e-mail és a felhőszolgáltatók, valamint a streamingszolgáltatások.[9] A támadók a megszerzett hitelesítő adatokat felhasználhatják arra, hogy közvetlenül pénzt lopjanak az áldozattól, bár a kompromittált fiókokat gyakran használják inkább kiindulópontként más támadások végrehajtásához, például tulajdonosi információk ellopásához, rosszindulatú programok telepítéséhez vagy a célpont szervezetén belül más személyek "szigonyozásához".[4] A kompromittált streaming szolgáltatási fiókokat általában közvetlenül a fogyasztóknak adják el a darknet piacokon.[10]
A szigonyozás más néven spear phishing során a támadó közvetlenül egy adott szervezetet vagy személyt céloz meg személyre szabott adathalász e-mailekkel.[11] Ez lényegében e-mailek létrehozását és elküldését jelenti egy adott személynek, hogy az illető azt higgye, az e-mail neki szól személyesen. A tömeges adathalászattal ellentétben a szigonyozást használó támadók gyakran gyűjtenek és használnak fel személyes információkat a célpontjukról, hogy növeljék a támadás sikerének valószínűségét.[12][13][14][15] A szigonyozás jellemzően olyan vezetőket vagy pénzügyi osztályokon dolgozókat céloz meg, akik hozzáféréssel rendelkeznek a szervezet érzékeny pénzügyi adataihoz és szolgáltatásaihoz. Egy 2019-es tanulmány kimutatta, hogy a könyvelő- és könyvvizsgáló cégek gyakori célpontjai a szigonyozásnak, mivel alkalmazottaik hozzáférnek olyan információkhoz, amelyek a bűnözők számára értékesek lehetnek.[16]
A Threat Group-4127 (Fancy Bear) szigonyozásos adathalász taktikát alkalmazott, hogy Hillary Clinton 2016-os elnökválasztási kampányához kapcsolódó e-mail fiókokat célozzon meg. Több mint 1800 Google-fiókot támadtak meg, és az accounts-google.com domaint vezették be a célzott felhasználók megtévesztésére.[17][18]
A bálnavadászat avagy whaling a kifejezetten felsővezetők és más kiemelt célpontok ellen irányuló szigonyozásos támadásokra utal.[19] A tartalom úgy van kialakítva, hogy a célzott személy vagy szerepkör számára érdekes legyen – például egy idézés vagy egy ügyfélpanasz.[20]
A CEO csalás gyakorlatilag a bálnavadászat ellentéte: hamisított e-maileket küldenek felsővezetőktől azzal a szándékkal, hogy a szervezet más alkalmazottait rávegyék egy adott művelet elvégzésére, általában pénz átutalására egy offshore számlára.[21] Bár a CEO csalás viszonylag alacsony sikerességi aránnyal rendelkezik, a bűnözők igen nagy összegeket nyerhetnek a kevés sikeres próbálkozásból.[22]
A klónozott adathalászat egy olyan típusú adathalász-támadás, amelynek során egy legitim, korábban kézbesített, mellékletet vagy linket tartalmazó e-mail tartalmát és a címzett címét (címeit) megszerezték, és egy majdnem azonos vagy klónozott e-mail létrehozásához használták fel. Az e-mailben található mellékletet vagy linket egy rosszindulatú változattal helyettesítik, majd egy olyan e-mail címről küldik el, amelyről úgy tűnik, hogy az eredeti feladótól származik. A levél azt állíthatja, hogy az eredeti vagy az eredeti frissített változata. Ehhez általában az szükséges, hogy vagy a feladó vagy a címzett fiókját már korábban feltörték, hogy a rosszindulatú harmadik fél megszerezze a személyes e-mailt.[23][24]
A hangalapú adathalászat vagy vishing[25] a telefonálás (gyakran VoIP-telefonálás) felhasználása adathalász-támadások végrehajtására. A támadók nagyszámú telefonszámot tárcsáznak, és olyan – gyakran szövegből beszédszintetizátorok segítségével készült – automatizált felvételeket játszanak le, amelyek hamis állításokat tesznek az áldozat bankszámláján vagy hitelkártyáján végzett csalásról. A hívó telefonszámot úgy hamisítják meg, hogy az a megszemélyesített bank vagy intézmény valódi számát mutatja. Az áldozatot ezután arra utasítják, hogy hívjon fel egy, a támadók által ellenőrzött számot, amely vagy automatikusan arra kéri, hogy adjon meg érzékeny adatokat a feltételezett csalás „megoldása” érdekében, vagy pedig élő személyhez kapcsolja, aki megpróbál pszichológiai manipuláció segítségével információkat szerezni.[25] A hangalapú adathalászat kihasználja, hogy a lakosság kevésbé ismeri az olyan technikákat, mint a hívószám-hamisítás és az automatikus tárcsázás, mint az e-mailes adathalászat megfelelői, és ezáltal sokan eredendően bíznak a hangalapú telefonálásban.[26]
Az SMS adathalászat[27] vagy smishing[28] koncepcionálisan hasonló az e-mail adathalászathoz, azzal a különbséggel, hogy a támadók mobiltelefonos szöveges üzeneteket használnak a "csali" célba juttatására.[29] A smishing támadások jellemzően arra kérik a felhasználót, hogy kattintson egy linkre, hívjon fel egy telefonszámot, vagy lépjen kapcsolatba a támadó által SMS üzenetben megadott e-mail címmel. Az áldozatot ezután arra kérik, hogy adja meg személyes adatait; gyakran más webhelyek vagy szolgáltatások hitelesítő adatait. Ráadásul a mobilböngészők jellegéből adódóan az URL-címek nem mindig jelennek meg teljes egészében; ez megnehezítheti a jogtalan bejelentkezési oldal azonosítását.[30] Mivel a mobiltelefon-piac ma már telített okostelefonokkal, amelyek mindegyike gyors internetkapcsolattal rendelkezik, egy SMS-ben küldött rosszindulatú link ugyanolyan eredményt hozhat, mintha e-mailben küldenék. A smishing üzenetek érkezhetnek olyan telefonszámokról, amelyek furcsa vagy váratlan formátumúak.[31]
A webhely eltérítése a weboldalak kompromittálását jelenti, hogy a felhasználókat cross site scripting segítségével rosszindulatú weboldalra vagy exploit kitre irányítsák át. Egy hacker kompromittálhat egy weboldalt, és beilleszthet egy exploit kitet, például az MPack-et, hogy veszélyeztesse a törvényes felhasználókat, akik meglátogatják az immár fertőzött webszervereket. Az oldal eltérítésének egyik legegyszerűbb formája az, hogy egy weboldalt úgy módosítanak, hogy az tartalmazzon egy rosszindulatú inline keretet, amely lehetővé teszi egy exploit kit betöltését. Az oldal eltérítését gyakran használják a vállalati szervezetek elleni watering hole támadással együtt, hogy kompromittálják a célpontokat.
Az adathalászat legtöbb típusa valamilyen technikai megtévesztést alkalmaz, amelynek célja, hogy az e-mailben található linket a támadók által megszemélyesített szervezethez tartozónak tüntessék fel.[32] Az adathalászok által gyakran használt trükkök közé tartoznak a rosszul írt URL-címek vagy az aldomainek használata. A következő példa URL-címén, http://www.yourbank.example.com/
, a gyakorlatlan szem számára úgy tűnhet, mintha az URL-cím a yourbank weboldal példa szakaszára vezetné a felhasználót; valójában ez az URL-cím a "yourbank" (azaz adathalász) weboldal példa szakaszára mutat. Egy másik gyakori trükk az, hogy a link megjelenített szövege megbízható célpontot sugall, miközben az valójában az adathalászok oldalára vezet. Sok asztali e-mail kliens és webböngésző megjeleníti a link cél URL-címét az állapotsorban, ha mutatót a link fölé viszik. Ezt a viselkedést azonban bizonyos körülmények között az adathalász felülbírálhatja. Az ezzel egyenértékű mobilalkalmazások általában nem rendelkeznek ezzel az előnézeti funkcióval. Az előnézeti funkciót az adathalászok általában nem használják.[33]
A nemzetköziesített domainnevek (IDN-ek) támadhatók IDN-hamisítással[34] vagy homográf támadásokkal,[35] hogy olyan webcímeket hozzanak létre, amelyek vizuálisan megegyeznek egy létező oldallal, de ehelyett rosszindulatú verzióhoz vezetnek. Az adathalászok hasonló kockázatot használtak ki, amikor nyílt URL-átirányítókat használtak megbízható szervezetek weboldalain, hogy a rosszindulatú URL-eket megbízható domainnel álcázzák.[36][37][38] Még a digitális tanúsítványok sem oldják meg ezt a problémát, mivel könnyen előfordulhat, hogy egy adathalász megvásárol egy érvényes tanúsítványt, majd a tartalmat megváltoztatva hamisít egy valódi weboldalt, vagy egyáltalán SSL nélkül tárolja az adathalász webhelyet.[39]
Az adathalászok néha képeket használtak szöveg helyett, hogy megnehezítsék az adathalászat elleni szűrők számára az adathalász e-mailekben általánosan használt szöveg felismerését.[40] Válaszul a kifinomultabb adathalászat elleni szűrők optikai karakterfelismerés (OCR) segítségével képesek a képekben elrejtett szöveget visszanyerni.[41] Ez leggyakrabban az áldozatok bank- vagy biztosítási számláival fordul elő.[42]
Az adathalászat legtöbb típusa valamilyen pszichológiai tevékenységet foglal magában, amelynek során a felhasználókat pszichológiai manipulációval ráveszik egy művelet elvégzésére, például egy linkre való kattintásra, egy melléklet megnyitására vagy bizalmas információk átadására. Egy megbízható szervezet nyilvánvaló megszemélyesítése mellett a legtöbb adathalászat a sürgősség érzetét kelti – a támadók azt állítják, hogy a számlákat leállítják vagy lefoglalják, ha az áldozat nem tesz valamilyen lépést.[43] Ez is leggyakrabban az áldozatok bank- vagy biztosítási számláival fordul elő.[44]
A megszemélyesítésen alapuló adathalászat alternatív technikája a felháborodást kiváltani hivatott hamis hírek használata, amelyek arra késztetik az áldozatot, hogy rákattintson egy linkre anélkül, hogy megfelelően átgondolná, hová vezethet az. Ezeket a linkeket úgy tervezték, hogy egy professzionálisnak tűnő weboldalra vezessenek, amely pontosan úgy néz ki, mint a létező szervezet weboldala. A támadó weboldalára érve az áldozatokat hamisított "vírus"-értesítésekkel láthatják el, vagy olyan oldalakra irányíthatják át, amelyek a webböngésző sebezhetőségét próbálják kihasználni rosszindulatú programok telepítésére.[44]
Egy adathalász technikát részletesen leírtak egy 1987-ben az Interex nevű nemzetközi HP felhasználói csoportnak tartott előadásban és prezentációban.[45]
Az "adathalászat" kifejezést állítólag a 90-es évek közepén a jól ismert spammer és hacker, Khan C. Smith alkotta meg.[46] A kifejezés első feljegyzett említése az AOHell nevű hackereszközben található (a készítője szerint), amely tartalmazott egy olyan funkciót, amellyel megpróbálták ellopni az America Online felhasználók jelszavait vagy pénzügyi adatait.[47]
Az AOL-on történő adathalászat szorosan kapcsolódott a warez közösséghez, amely licenc nélküli szoftvereket cserélt, valamint a fekete kalapos hackerekhez, akik hitelkártyacsalásokat és más online bűncselekményeket követtek el. Az AOL végrehajtó szervei figyelték az AOL csevegőszobákban használt szavakat, hogy felfüggesszék a szoftverhamisításban és a lopott accountok kereskedelmében részt vevő személyek fiókjait. A kifejezést azért használták, mert a "<><" a HTML egyetlen leggyakoribb tagje, amely természetesen minden chat-átiratban megtalálható volt, és mint ilyen, az AOL munkatársai nem tudták felismerni vagy kiszűrni. A <>< szimbólumot minden olyan megfogalmazásnál helyettesítették, amely lopott hitelkártyákra, számlákra vagy illegális tevékenységre utalt. Mivel a szimbólum úgy nézett ki, mint egy hal, ezért az adathalászat népszerűsége miatt "Phishing" néven adaptálták. Az 1995 elején megjelent AOHell egy olyan program volt, amelyet az AOL felhasználók feltörésére terveztek, lehetővé téve a támadó számára, hogy az AOL munkatársának adja ki magát, és azonnali üzenetet küldjön a potenciális áldozatnak, amelyben arra kéri, hogy fedje fel jelszavát.[48] Annak érdekében, hogy az áldozatot érzékeny adatok kiadására csábítsa, az üzenet olyan felszólításokokat is tartalmazhatott, mint "ellenőrizze a fiókját" vagy "erősítse meg a számlázási adatait".
Miután az áldozat felfedte a jelszót, a támadó hozzáférhetett az áldozat fiókjához, és főként illegális célokra használhatta azt. Mind az adathalászathoz, mind a warezinghez az AOL-on általában egyedi fejlesztésű programokra volt szükség, például az AOHellre. Az adathalászat annyira elterjedt az AOL-on, hogy az összes azonnali üzenethez hozzáadtak egy sort, amely szerint: "az AOL-nál senki sem fogja elkérni a jelszavát vagy a számlázási adatait". Az AIM-fiókot és egy internetszolgáltatótól származó AOL-fiókot egyszerre használó felhasználó viszonylag büntetlenül tudott adathalászni az AOL-tagok adataira, mivel az internetes AIM-fiókokat nem-AOL-tagok is használhatták, és nem lehetett ellenük intézkedni (azaz jelenteni az AOL TOS osztályának fegyelmi eljárás céljából),[49] hangzott el. 1995 végén az AOL crackerek a törvényes fiókok adathalászatához folyamodtak, miután az AOL 1995 végén intézkedéseket vezetett be annak megakadályozására, hogy hamis, algoritmikusan generált hitelkártyaszámokat használjanak a fiókok megnyitásához.[50] 1995 végén az AOL irányelvek betartatása miatt a szerzői jogok megsértése miatt az AOL szerverekről lekerültek a fiókok, és az AOL azonnal deaktiválta az adathalászatban érintett fiókokat, gyakran még mielőtt az áldozatok reagálhattak volna. Az AOL warez leállítása a legtöbb adathalászt a szolgáltatás elhagyására késztette.[51]
Februárban az osztrák FACC AG repülőgépipari cégtől 42 millió eurót csaltak ki egy támadással – ezt követően kirúgták a pénzügyi igazgatót és a vezérigazgatót is.[98]
Év | Jan | Feb | Mar | Apr | May | Jun | Jul | Aug | Sep | Oct | Nov | Dec | Össz |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2005 | 12 845 | 13 468 | 12 883 | 14 411 | 14 987 | 15 050 | 14 135 | 13 776 | 13 562 | 15 820 | 16 882 | 15 244 | 173 063 |
2006 | 17 877 | 17 163 | 18 480 | 17 490 | 20 109 | 28 571 | 23 670 | 26 150 | 22 136 | 26 877 | 25 816 | 23 787 | 268 126 |
2007 | 29 930 | 23 610 | 24 853 | 23 656 | 23 415 | 28 888 | 23 917 | 25 624 | 38 514 | 31 650 | 28 074 | 25 683 | 327 814 |
2008 | 29 284 | 30 716 | 25 630 | 24 924 | 23 762 | 28 151 | 24 007 | 33 928 | 33 261 | 34 758 | 24 357 | 23 187 | 335 965 |
2009 | 34 588 | 31 298 | 30 125 | 35 287 | 37 165 | 35 918 | 34 683 | 40 621 | 40 066 | 33 254 | 30 490 | 28 897 | 412 392 |
2010 | 29 499 | 26 909 | 30 577 | 24 664 | 26 781 | 33 617 | 26 353 | 25 273 | 22 188 | 23 619 | 23 017 | 21 020 | 313 517 |
2011 | 23 535 | 25 018 | 26 402 | 20 908 | 22 195 | 22 273 | 24 129 | 23 327 | 18 388 | 19 606 | 25 685 | 32 979 | 284 445 |
2012 | 25 444 | 30 237 | 29 762 | 25 850 | 33 464 | 24 811 | 30 955 | 21 751 | 21 684 | 23 365 | 24 563 | 28 195 | 320 081 |
2013 | 28 850 | 25 385 | 19 892 | 20 086 | 18 297 | 38 100 | 61 453 | 61 792 | 56 767 | 55 241 | 53 047 | 52 489 | 491 399 |
2014 | 53 984 | 56 883 | 60 925 | 57 733 | 60 809 | 53 259 | 55 282 | 54 390 | 53 661 | 68 270 | 66 217 | 62 765 | 704 178 |
2015 | 49 608 | 55 795 | 115 808 | 142 099 | 149 616 | 125 757 | 142 155 | 146 439 | 106 421 | 194 499 | 105 233 | 80 548 | 1 413 978 |
2016 | 99 384 | 229 315 | 229 265 | 121 028 | 96 490 | 98 006 | 93 160 | 66 166 | 69 925 | 51 153 | 64 324 | 95 555 | 1 313 771 |
2017 | 96 148 | 100 932 | 121 860 | 87 453 | 93 285 | 92 657 | 99 024 | 99 172 | 98 012 | 61 322 | 86 547 | 85 744 | 1 122 156 |
2018 | 89 250 | 89 010 | 84 444 | 91 054 | 82 547 | 90 882 | 93 078 | 89 323 | 88 156 | 87 619 | 64 905 | 87 386 | 1 040 654 |
2019 | 34 630 | 35 364 | 42 399 | 37 054 | 40 177 | 34 932 | 35 530 | 40 457 | 42 273 | 45 057 | 42 424 | 45 072 | 475 369 |
APWG Phishing Attack Trends Reports. (Hozzáférés: 2019. május 5.)
Vannak olyan adathalászat-ellenes weboldalak, amelyek pontosan azokat az üzeneteket teszik közzé, amelyek a közelmúltban az interneten keringtek, például a FraudWatch International és a Millersmiles. Az ilyen oldalak gyakran konkrét részleteket közölnek az egyes üzenetekről.[116][117]
Még 2007-ben is alacsony volt az adathalászat elleni stratégiák elfogadása a személyes és pénzügyi információk védelmét igénylő vállalkozások körében.[118] Ma már számos különböző technika létezik az adathalászat elleni küzdelemre, köztük a jogszabályokat és a kifejezetten az adathalászat elleni védelemre létrehozott technológiákat. Ezek a technikák olyan lépéseket tartalmaznak, amelyeket az egyének és a szervezetek is megtehetnek. A telefonos, weboldali és e-mailes adathalászatot ma már lehet jelenteni a hatóságoknak, az alábbiakban leírtak szerint.
Az embereket ki lehet képezni az adathalászkísérletek felismerésére, és arra, hogy különböző megközelítésekkel kezeljék őket. Az ilyen oktatás hatékony lehet, különösen ott, ahol a képzés a fogalmi ismeretekre helyezi a hangsúlyt,[119][120] és közvetlen visszajelzést biztosít.[121] Ezért bármely szervezet vagy intézmény adathalászat elleni stratégiájának lényeges része a felhasználók aktív oktatása, hogy azok habozás nélkül felismerjék az adathalász-csalásokat, és ennek megfelelően tudjanak cselekedni.[122]
Sok szervezet rendszeresen szimulált adathalászkampányokat futtat a munkatársait megcélozva, hogy mérjék a képzés hatékonyságát.
Az emberek a böngészési szokásaik kismértékű módosításával is tehetnek lépéseket az adathalászkísérletek elkerülésére.[123] Amikor egy fiók „ellenőrzésére” vonatkozó megkeresés (vagy bármely más, az adathalászok által használt téma) esetén észszerű elővigyázatosság, hogy kapcsolatba lépjenek azzal a céggel, ahonnan az e-mail látszólag származik, és ellenőrizzék, hogy az e-mail valós. Alternatív megoldásként a böngésző címsorába be lehet írni azt a címet, amelyről az egyén tudja, hogy a vállalat valódi honlapja, és nem szabad megbízni a feltételezett adathalász üzenetben található hivatkozásokban.[124]
A vállalatok által az ügyfeleiknek küldött szinte minden törvényes e-mail üzenet tartalmaz egy olyan információt, amely az adathalászok számára nem könnyen hozzáférhető. Egyes vállalatok, például a PayPal, az e-mailekben mindig a felhasználónevükkel szólítják meg ügyfeleiket, így ha egy e-mail általános módon szólítja meg a címzettet ("Kedves PayPal-ügyfél"), az valószínűleg adathalász kísérletnek minősül.[125] A PayPal továbbá különböző módszereket kínál a hamisított e-mailek meghatározására, és azt tanácsolja a felhasználóknak, hogy a gyanús e-maileket továbbítsák a spoof@PayPal.com címre, hogy kivizsgálják és figyelmeztessék a többi ügyfelet. Nem biztonságos azonban azt feltételezni, hogy a személyes adatok jelenléte (például a fent említett, felhasználónéven való megszólítás) önmagában garantálja, hogy egy üzenet biztonságos,[126] és egyes tanulmányok szerint a személyes adatok jelenléte nem befolyásolja az adathalász-támadások sikerességi arányát;[127] ami arra utal, hogy a legtöbb ember nem figyel oda az ilyen részletekre.
A bankoktól és hitelkártya-társaságoktól érkező e-mailek gyakran tartalmaznak részleges számlaszámokat. A legújabb kutatások azonban kimutatták,[128] hogy a lakosság jellemzően nem tesz különbséget a számlaszám első és utolsó néhány számjegye között – ez jelentős probléma, mivel az első néhány számjegy gyakran ugyanaz egy adott pénzintézet minden ügyfele számára.
Az Anti-Phishing Working Group, aki a világ egyik legnagyobb adathalászat elleni szervezete, rendszeresen jelentést készít az újabb adathalász-támadások trendjeiről.[129]
A Google közzétett egy videót, amely bemutatja, hogyan lehet azonosítani és megvédeni magát a felhasználóknak az adathalász csalásoktól.[130]
A speciális spamszűrők csökkenthetik az adathalász e-mailek számát, amelyek eljutnak a címzettek postaládájába. Ezek a szűrők számos technikát használnak, többek között gépi tanulási[131] és természetes nyelvi feldolgozási megközelítéseket az adathalász e-mailek osztályozására[132][133] és a hamisított címekkel ellátott e-mailek visszautasítására.[134]
Az adathalászat elleni küzdelem másik népszerű megközelítése az ismert adathalász webhelyek listájának vezetése, és a webhelyek ellenőrzése a lista alapján. Az egyik ilyen a Safe Browsing nevű szolgáltatás.[135] Az olyan webböngészők, mint a Google Chrome, az Internet Explorer 7, a Mozilla Firefox 2.0, a Safari 3.2 és az Opera mind tartalmaznak ilyen típusú adathalászat elleni funkciót.[136][137][138][139][140] A Firefox 2 a Google adathalászat elleni szoftverét használta. Az Opera 9.1 a Phishtank, a cyscon és a GeoTrust élő feketelistáit, valamint a GeoTrust élő fehérlistáit használja. E megközelítés egyes megvalósításai a meglátogatott URL-eket egy központi szolgáltatásnak küldik el ellenőrzésre, ami adatvédelmi aggályokat vetett fel.[141] A Mozilla 2006 végén készített jelentése szerint egy független szoftvertesztelő cég tanulmánya szerint a Firefox 2 hatékonyabbnak bizonyult a csaló oldalak felderítésében, mint az Internet Explorer 7.[142]
A 2006 közepén bevezetett megközelítés egy olyan speciális DNS-szolgáltatásra való áttérés, amely kiszűri az ismert adathalász tartományokat: ez bármely böngészővel működik,[143] és elvileg hasonló ahhoz, mintha egy hosts-fájlt használnánk a webes hirdetések blokkolására.
Annak a problémának a mérséklésére, hogy az adathalász webhelyek az áldozat webhelyét annak képeinek (például logóinak) beágyazásával megszemélyesítik, több webhelytulajdonos megváltoztatta a képeket, hogy üzenetet küldjön a látogatónak arról, hogy az adott webhely csaló lehet. A képet áthelyezhetik egy új fájlnévre, és az eredetit véglegesen lecserélhetik, vagy a szerver észlelheti, hogy a képet nem a normál böngészés részeként kérték, és helyette egy figyelmeztető képet küld.[144][145]
A Bank of America honlapja[146][147] egyike azon honlapoknak, amelyek arra kérik a felhasználókat, hogy válasszanak egy személyes képet (SiteKey néven említik), és ezt a felhasználó által kiválasztott képet jelenítik meg minden olyan űrlapon, amely jelszót kér. A bank online szolgáltatásainak felhasználói csak akkor kapnak utasítást a jelszó megadására, amikor az általuk kiválasztott képet látják. Több tanulmány szerint azonban kevés felhasználó tartózkodik a jelszó megadásától, ha a kép nem jelenik meg[148][149] Emellett ez a funkció (a kétfaktoros hitelesítés más formáihoz hasonlóan) más támadásoknak is ki van téve, mint például 2005 végén a skandináv Nordea bankot[150] és 2006-ban a Citibankot ért támadások.[151]
Más pénzintézeteknél is használatban van egy hasonló rendszer, amelyben egy automatikusan generált "Identity Cue", -amely egy színes dobozban lévő színes szóból áll-, megjelenik minden weboldal felhasználójának.[152]
A biztonsági skinek[153][154] egy kapcsolódó technika, amelynek lényege, hogy a bejelentkezési űrlapra egy felhasználó által kiválasztott képet helyeznek vizuális jelként, hogy az űrlap biztonságos. A weboldal-alapú képsémáktól eltérően azonban maga a kép csak a felhasználó és a böngésző között kerül megosztásra, a felhasználó és a weboldal között nem. A rendszer egy kölcsönös hitelesítési protokollra is támaszkodik, ami kevésbé teszi sebezhetővé a csak a felhasználót érintő hitelesítési rendszereket érő támadásokkal szemben.
Egy másik technika a képek dinamikus rácsára támaszkodik, amely minden egyes bejelentkezési kísérletnél más és más. A felhasználónak azonosítania kell azokat a képeket, amelyek megfelelnek az előre kiválasztott kategóriáknak (például kutyák, autók és virágok). Csak miután helyesen azonosította a kategóriáinak megfelelő képeket, adhatja meg az alfanumerikus jelszót a bejelentkezés befejezéséhez. A Bank of America weboldalán használt statikus képekkel ellentétben a dinamikus képalapú hitelesítési módszer egyszeri jelszót hoz létre a bejelentkezéshez, aktív részvételt igényel a felhasználótól, és nagyon nehéz egy adathalász weboldalnak helyesen lemásolnia, mivel egy véletlenszerűen generált képekből álló, a felhasználó titkos kategóriáit tartalmazó, eltérő rácsot kellene megjelenítenie.[155]
Számos vállalat kínál bankoknak és más, az adathalász-csalásoknak valószínűleg kitett szervezeteknek éjjel-nappal működő szolgáltatásokat az adathalász weboldalak megfigyelésére, elemzésére és az adathalász weboldalak leállításában való segítségnyújtásra.[156] A hamis tartalmak automatikus felismerése még mindig a közvetlen fellépéshez elfogadott szint alatt van, a tartalomalapú elemzés 80-90%-os sikert ér el,[157] ezért a legtöbb eszköz manuális lépéseket tartalmaz az észlelés igazolására és a válaszadás engedélyezésére.[158] Az egyének az adathalászatot önkéntes és iparági csoportok, például a cyscon vagy a PhishTank felé történő bejelentéssel járulhatnak hozzá[159] Az adathalász weboldalakat és e-maileket a Google-nak is lehet jelenteni.[160][161]
A szervezetek kétfaktoros vagy többfaktoros hitelesítést (MFA) alkalmazhatnak, amely megköveteli, hogy a felhasználó legalább két tényezőt használjon a bejelentkezéskor. (Például a felhasználónak egy intelligens kártyát és egy jelszót is be kell mutatnia). Ez némileg csökkenti a kockázatot, egy sikeres adathalász-támadás esetén az ellopott jelszó önmagában nem használható fel újra a védett rendszer további feltörésére. Sok olyan támadási módszer létezik azonban, amely számos tipikus rendszert képes legyőzni.[162] Az olyan MFA-rendszerek, mint a WebAuthn, képesek kezelni ezt a problémát.
Azok a szervezetek, amelyek a kényelem helyett a biztonságot helyezik előtérbe, megkövetelhetik a számítógépek felhasználóitól, hogy olyan e-mail klienst használjanak, amely az URL-címeket törli az e-mail üzenetekből, így lehetetlenné téve, hogy az e-mail olvasója (akár véletlenül is) rákattintson egy linkre, vagy másoljon egy URL-címet. Bár ez kellemetlenséggel járhat, de szinte teljesen kiküszöböli az e-mailes adathalász-támadásokat.
2004. január 26-án az Egyesült Államok Szövetségi Kereskedelmi Bizottsága benyújtotta az első pert egy feltételezett adathalász ellen. Az alperes, egy kaliforniai tinédzser, állítólag egy olyan weboldalt hozott létre, amely úgy nézett ki, mint az America Online weboldala, és azt használta hitelkártyaadatok ellopására.[163] Más országok is követték ezt a példát az adathalászok felkutatásával és letartóztatásával. Brazíliában letartóztattak egy adathalász-királyt, Valdir Paulo de Almeidát, aki az egyik legnagyobb adathalász-bűnszövetkezet vezetője volt, amely két év alatt 18 és 37 millió dollár közötti összeget lopott el.
Az Egyesült Államokban Patrick Leahy szenátor 2005. március 1-jén terjesztette elő a Kongresszusban a 2005. évi adathalászat elleni törvényt (Anti-Phishing Act of 2005). Ez a törvényjavaslat, ha törvénybe iktatták volna, akár 250 000 dollárig terjedő pénzbírsággal és öt évig terjedő börtönbüntetéssel sújtotta volna azokat a bűnözőket, akik hamis weboldalakat hoztak létre és hamis e-maileket küldtek a fogyasztók megtévesztése érdekében. Az Egyesült Királyság megerősítette az adathalászat elleni jogi arzenálját a 2006-os Fraud Act (csalásról szóló törvény),[164] amely bevezeti a csalás általános bűncselekményét, amely akár tízéves börtönbüntetéssel is sújtható, és tiltja az adathalász eszközök csalási szándékkal történő kifejlesztését vagy birtoklását.[165]
A vállalatok is csatlakoztak az adathalászat visszaszorítására irányuló erőfeszítésekhez. A Microsoft 2005. március 31-én 117 szövetségi pert nyújtott be a Washington nyugati kerületének amerikai kerületi bíróságán. A perek "John Doe" alpereseket vádolnak jelszavak és bizalmas információk megszerzésével. 2005 márciusában a Microsoft és az ausztrál kormány közötti partnerség keretében a bűnüldöző szervek tisztviselőit is kiképezték arra, hogyan küzdjenek a különböző kiberbűncselekmények, köztük az adathalászat ellen.[166] 2006 márciusában a Microsoft további 100, az Egyesült Államokon kívül tervezett pert jelentett be,[167] majd 2006 novemberétől 129, büntető- és polgári pereket vegyítő per indult.[168] Az AOL 2006 elején három perrel[169] erősítette meg az adathalászat elleni erőfeszítéseit,[170] amelyekben a Virginia Computer Crimes Act 2005-ös módosításai alapján összesen 18 millió dollárt követelnek,[171][172] és az Earthlink is csatlakozott, segítve hat férfi azonosítását, akiket később Connecticutban adathalász csalással vádoltak meg.[173]
2007 januárjában a kaliforniai Jeffrey Brett Goodin lett az első vádlott, akit a 2003-as CAN-SPAM törvény rendelkezései alapján az esküdtszék elítélt. Bűnösnek találták abban, hogy több ezer e-mailt küldött az America Online felhasználóinak, miközben az AOL számlázási részlege egyik munkatársának adta ki magát, ami arra késztette az ügyfeleket, hogy személyes és hitelkártyaadatokat adjanak meg. A CAN-SPAM-szabálysértésért és tíz másik vádpontért, köztük postai és távirati csalásért, a hitelkártyák jogosulatlan használatáért és az AOL védjegyével való visszaélésért kiszabható 101 év börtönbüntetéssel szemben 70 hónap letöltésére ítélték. Goodin azóta volt őrizetben, hogy nem jelent meg egy korábbi bírósági meghallgatáson, és azonnal megkezdte a börtönbüntetés letöltését.[174][175][176][177]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.