Papp Petra Anna
Papp Petra Anna
Tetszett a cikk?

A munkahelyünk ellen is felhasználhatják a kiberbűnözők mindazt, amit a Facebook-profilunkon találnak. A módszer sikeressége abban is rejlik, hogy szívesen osztunk meg tartalmakat a kutyánkról.

Kiállítási tárgyként porosodik már az internet múzeumában az az e-mail, melyben nemrég elhunyt nigériai bácsikánk ügyvédje szeretné felvenni velünk a kapcsolatot, hogy átutalhassa a mesés örökségünket. Hogy a tört magyarsággal írott, nem túl igényesen szerkesztett scam felett eljárt az idő, az annak a technológiának köszönhető, mellyel a személyre szabott hirdetéseinket is kapjuk.

A közösségimédia-aktivitásunk monitorozása ugyanis nemcsak azt teszi lehetővé, hogy élethelyzetünknek és érdeklődési körünknek megfelelően kapjunk vásárlási ajánlatokat cégektől. A The Wall Street Journal méretes cikkben szedte össze, hogyan segítik a hackereket a könnyelműen kezelt közösségi profiljaink, amelyeket akár személyesen bogarászva vagy az információkat automatizáltan kinyerve később felhasználhatnak a munkahelyünk ellen is.

Mindenki jelszavához a szívén keresztül vezet az út

A lap által megszólaltatott internetbiztonsági szakértő, Rachel Tobac, a SocialProof Security vezérigazgatója szerint egy megfelelően felépített adathalász e-mail megírásához szükséges adatok 60 százaléka általában már az Instagramunkon is megtalálható. Egy ilyen adatlapot az erre szakosodott hacker körülbelül 30 perc alatt fésül át használható adatok után kutatva.

Ha az áldozatnak kutyái vannak, egy „Helló, kutyabarát!” kezdetű levéllel bizalmat lehet ébreszteni benne egy hamis, kutyás termékekre szakosodott webáruház nevében. Az abban található linkek rosszindulatú programokkal vannak teletűzdelve vagy „csak” a bankkártyaadatokra kíváncsi.

Az sem kell, hogy aktívan saját tartalmat osszunk meg, a hackereknek már az is elég, ha látják, mit lájkolunk. Az Instagramon dupla koppintással elszórt szivecskék és a Facebookon kisorozott hüvelykujjak könnyen összeköthetőek a felhasználói fiókokon keresztül, még precízebb képet festve rólunk. Ha mindez nem elég, a modern technológia is a hackerek kezére játszik. Hiába ügyelünk egyes fiókjaink tudatos szétválasztására – más e-mail-cím vagy felhasználónév használata, különböző profilképek –, a nagyteljesítményű algoritmusok játszi könnyedséggel kapcsolják össze arcunk, felvett ismerőseink és érdeklődési körök alapján azokat.

Leolvassák rólunk
AFP / Frank Rumpenhorst

De nem kell ennyire messzire menni, ennél sokkal egyszerűbben is kijátszhatóak vagyunk – mutat rá a Fast Company üzleti magazin cikkében, melyben egy etikus hacker meséli el személyes tapasztalatait. Szerinte szeretteink személyes adatai, háziállatunk vagy a régi középiskolánk neve beszédes, ugyanis mind-mind megfelelő jelszóalapanyag vagy az „elfelejtett jelszó” funkció kijátszása esetén biztonsági kérdésekre adható helyes válaszok. De ugyanígy hamis bizalmat kelthet bennünk egy idegen, aki egy rég nem látott osztálytársunknak adja ki magát. Érdemes tehát magunkra úgy tekintenünk, mint egy egyedül közlekedő kisiskolásra.

Hiába vagyunk felvértezve a klasszikus átverések elhárítására, ha egy ismeretlen az interneten az ismerősünknek próbálja kiadni magát az alapján, amilyen személyes információnkat mi magunk adtunk át neki. Ezzel jó előre garantáljuk, hogy hamis bizalmat fog kelteni bennünk.

A klasszikus megelőzési módszer, hogy kerüljük az oversharing jelenséget, azaz a személyes információk „túlosztását”. Utazási tervek megosztásával és pontos földrajzi címkék használatával belesétálhatunk a hazaérkezésünk után egy, a hotel értékelési kérésének álcázott rosszindulatú e-mailbe. A WSJ cikke emellé egy bizarr példát is hoz a családi kapcsolatrendszerünkkel és a nyilvános gyászunkkal kapcsolatban. Ebben az érzékeny időszakban ugyanis sokkal könnyebb bedőlni egy-egy megható sornak egy álgyászolótól, aki régi közös fényképekkel kecsegtet elhunyt szerettünkről, miközben valójában ártó programot tartalmazó csatolmánnyal látta el a levelét.

Aki még ezek után is nehezen veszi rá magát a személyes tartalmú posztok ritkítására, legalább a láthatóságot állítsa át: publikusról a csak ismerősök által láthatóra.

A munka és a magánélet szétválasztása

Ne fotózzuk túl közelről a munkaállomásunkat – hívja fel a figyelmet Rachel Tobac –, ugyanis észrevétlenül adhatunk ki érzékeny információkat a munkahelyünkről. Ha a munkaállomásunk felhasználónevekkel és jelszavakkal van kitapétázva post-iteken, akkor amatőr hiba kitenni az internetre.

Igaz, már a felhasználónevek és jelszavak bárhova felírása is óriási hiba, amit kár elkövetni.

Ugyanilyen könnyű préda a munkára használt szoftver vagy a levelezőprogram nyilvános megosztása, az ezekre vonatkozó, frissítésnek palástolt adathalász levelek ugyanis gyakran hatékonynak bizonyulnak betörni a céges felületekre. Azok az idők ugyanis elmúltak, amikor a vállalat informatikai rendszerét csak úgy „találomra hackelik”, sokkal eredményesebb a gyanútlan munkavállalókon keresztül próbálkozni. Fontos, hogy a céges e-mail-címünket ne használjuk másra a munkahelyi levelezésen kívül, és válasszunk hozzá a személyes címünktől eltérő jelszót, mely nem referál a magánéletünkre.

Beszélő fejek
AFP / Nikolay Doychinov

Nem meglepő, hogy a koronavírus-járvánnyal együttjáró otthoni munka a céges informatikusok rémálma volt. A félelmük nem volt alaptalan, a Zerofox kiberbiztonsági cég elemzése szerint 2020 júniusában jelentősen megugrottak a cégek elleni kibertámadások. Az online munkavégzés alatt a csekély személyes kapcsolattartás miatt könnyebben bedőlhetünk egy, a céges rendszerhez használt jelszavunk frissítését kérő rosszindulatú e-mailnek. Az sem volt ideális, hogy az ebben az időszakban frissen felvett munkatársak már hozzáférést kaptak a céges rendszerhez, ráadásul sebezhetőek voltak a magukat ismeretlen új kollégáknak kiadó hackerekkel szemben, akik gyanús, sürgető e-mailekkel próbálkoznak adatok kiadására bírni az újoncokat.

[Végezze el ezt a néhány beállítást a Facebookján, ha nem akar meglepetéseket]

Itt a megoldás a The Wall Street Journal szerint a drasztikus zéró bizalmi modell, mely során konzekvensen ragaszkodnunk kell a személyes azonosításhoz a céges kommunikáción belül, illetve a másik jó tipp, hogy legyünk jóban a cég IT-s dolgozóival és segítsünk aktívan nekik kiszűrni a csaló, adathalász próbálkozásokat.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.