Időzített bomba ketyeg a zsebünkben?

A 21. században szinte nincs olyan ember, akinek ne lenne telefonja, számítógépe, sőt, sokszor azt is mondják, aki nincs a világhálón regisztrálva valamelyik közösségi oldalon, az nem is létezik. Az utóbbi kijelentésen talán el is mosolyodunk, viszont sokkal komolyabban kell venni az „interneten való létezésünket”, hiszen rengeteg adatot kiadunk magunkról, másokról, ami legfőképpen a kiberbűnözőknek kedvez.

Az adatvédelem nemzetközi napja alkalmából lapunk felkereste Makay Józsefet, a Makay Kiberbiztonsági Kft. vezetőjét, akitől megtudhattuk, hogyan védhetjük meg magunkat az adathalászokkal szemben, mire képesek egyes technikai eszközök, továbbá hogyan ismerhetjük fel a „hamis weblapokat”. – Az adatvédelemről muszáj beszélni, ugyanis manapság minden korábbinál több adatot rögzítünk magunkról, és rögzítenek mások rólunk. Ezeket kulcsfontosságú védeni a jogosulatlan felhasználástól és az adatlopástól, ha nem szeretnénk áldozatul esni kibertámadásoknak és biztonsági incidenseknek.

„Általánosságban a felhasználók nincsenek tisztában azzal, hogy a kütyüiken minden elkészített fotót, leütött billentyűt, elküldött üzenetet, megtekintett tartalmat és lényegében minden tevékenységet (még a séták útvonalát is) rögzítik és feldolgozzák nagyvállalatok sokszor nagyon gyengén védett szerverein”

– nyilatkozta a Naplónak.

Bankkártyaadatok

Sokszor azzal sem vagyunk tisztában, hogy milyen adatokat adhatunk meg az interneten, kattintgatunk folyamatosan a „Tovább”, illetve a „Rendben” gombra, mert mihamarabb túl akarunk lenni a regisztráción, de vajon milyen árat fizethetünk? – A felhasználóknak jelenleg nincs könnyű dolga ilyen téren, ugyanis sokszor az is rejtély, hogy egy adott alkalmazás milyen adatokat „figyel” automatikusan, a hozzájárulásunk nélkül. Ráadásul arról sem egyszerű nyilatkozni, miket nem szabad megadni sehol, ugyanis az online fizetési felületeken kérhetik a bankkártyaadatainkat, a regisztrációk alkalmával az e-mail-címünket, a hivatalos online ügyintézésnél pedig lényegében bármit, tehát inkább arra kell figyelnünk, hogy tudatosan adjuk meg az adatainkat, és mindig az „igazi” felületeken. Például bármennyire is szeretné egy telekommunikációs szolgáltatótól vagy a NAV-tól kapott e-mail, hogy kattintsunk a linkre, és adjuk meg a bankkártyaadatainkat, inkább írjuk be manuálisan az adott rendszer hivatalos webcímét, és győződjünk meg az e-mail állításairól a biztosan igazi helyen – hangsúlyozta.

Kétfaktoros hitelesítés

A szakértő hozzáfűzte, manapság a felhasználói bejelentkezési adatok, valamint a bankkártyaadatok lopása a leg­gyakoribb, így mindig érdemes alaposan megnézni az adott online felület webcímét, és ha fennáll a gyanú, hogy nem az, aminek kiadja magát, hagyjuk el a weboldalt, és ne adjuk meg semmilyen adatunkat.

„Javasolt minden internetes szolgáltatásban más (nagyon erős) jelszót használni, és ezeket jelszókezelő alkalmazásban tárolni, továbbá (amennyiben erre lehetőség van az adott szolgáltatásnál) bekapcsolni a kétfaktoros hitelesítést is, valamint a bankok már lehetőséget biztosítanak úgynevezett (korlátozott) virtuális bankkártya létrehozására is, amivel megvédhetjük a fizikai bankkártyákat és a pénzünket”

– mondta.

Kiberbiztonsági szakma

Egy internetes regisztráció alkalmával legtöbbször a jelszóra fektetjük a legnagyobb hangsúlyt, tudjuk, használnunk kell számokat, kisbetűket, nagybetűket, a terjedelem is adott, de akkor miért hallani annyi fiókfeltörésről? – Sajnos a kiberbiztonsági szakma gyakran tesz ajánlásokat naivan olyan jelszókövetelményekre, amiket a felhasználók nem akarnak teljesíteni, vagy csak egyszerűen figyelmen kívül hagyják ezeket a javaslatokat, vagy ha technikailag is megkövetelik tőlük, elkezdenek trükközni, aminek eredményeként az ajánlás célja sem teljesül. Tanulva abból, hogy mostanában hetente értesülünk valamilyen adatszivárgási botrányról, én leginkább a jelszókezelő alkalmazások (például a KeePass), mindenütt más, akár 20-30 karakteres, teljesen véletlenül generált jelszavak vagy számokkal és speciális karakterekkel tarkított jelmondatok használatát, valamint az SMS-kódos/appos megerősítős kétfaktoros hitelesítés bekapcsolását javasolnám. Felhasználóként jómagam is aktívan élek ezekkel a lehetőségekkel, és egy idő után mindenki számára teljesen rutinná válik a biztonságos jelszókezelés gyakorlata – ismertette.

Jelszóvédelmi ajánlások

Makay József arra is kitért, mi történik akkor, ha a GPS-navigációt bekapcsoljuk, használjuk, és sajnos a válasza nem túl biztató, hiszen konkrétan „lekövethetővé” válunk. – Amennyiben egy alkalmazás hozzáfér a bekapcsolt helymeghatározási funkcióhoz, akkor nyomon követhetik a felhasználókat, de ha a felhasználó nem tartja be az előbb felsorolt jelszóvédelmi ajánlásokat, akár egy fiókfeltörés áldozatául is eshet, amikor például a myactivity.google.com weboldalról megszerezhetik minden tevékenységének (köztük a helyváltoztatásának) az előzményeit is. Éppen ezért javasolt csak akkor használni a GPS-funkciót, amikor arra szükség van, és csak azoknak az appoknak engedélyt adni a használatára, amelyeknek erre biztosan szüksége van. Például egy számológép nem ilyen – hívta fel a figyelmet.

„Ha regisztrálunk egy-egy internetes oldalra, akkor vállaljuk annak kockázatát, hogy az adott internetes portálra vagy szolgáltatásba feltöltött minden adatunkat (személyes adatok, fotók, videók, beszélgetések stb.) jogosulatlanul használhatják fel, vagy illetéktelenek (akár bűnözők) kezébe juthatnak, esetleg publikusan az internetre szivároghatnak azok”

– mondta.

Rögzített tevékenység

Ha eddig azon tanakodtunk, vajon mennyire lehet időzített bombaként tekintetünk korunk technikai vívmányaira, akkor a következők csak megerősítenek abban, hogy igenis el kell gondolkodnunk: mit osztunk meg, adunk ki magunkról, és mit nem! A szakértőnek a következő kérdést tettük fel: a telefonunk hall minket? – Ez a kérdés gyakran felvetődik, és technikailag manapság semmi akadálya nincs egy ilyen megvalósításának, mindenesetre úgy gondolom, hogy a minket körülvevő zaj miatt (például az alkalmazás nem tudhatja biztosan, hogy a 30 fős irodában ki is beszélt új autó vásárlásáról, és kinek kellene reklámoznia azt) ennek kevés az esélye, ugyanis a valóban rögzített online tevékenységünk bőven elegendő arra, hogy egy fejlett algoritmus kitalálja, mit szeretnénk vagy mire fogunk gondolni mondjuk 2 nap múlva. Ettől függetlenül persze semmi sem zárható ki, hiszen volt már példa arra, hogy egy-egy nagyvállalat titkos kísérleteket végzett új reklámlehetőségek után kutatva – tudhattuk meg.

Mit tudhatunk az adathalászokról?

– Ők olyan internetes kiberbűnözők, akik hamis (az eredetihez nagyon hasonlító), kifejezetten adatok jogosulatlan megszerzésére és rögzítésére kifejlesztett weblapokra csalják e-mailben vagy üzenetben az internetezőket. A leggyakrabban Facebook-, Telekom-, NAV- és banki felületek hamis, adatlopó másolataival találkozhatunk a mindennapokban. Ezért is fontos, hogy mindig manuálisan, a webcím kézi begépelésével látogassunk el egy-egy oldalra vagy bejelentkezési felületre. Így például ha a Facebook kéri váratlanul a bejelentkezési adatokat, ne dőljünk be, jó eséllyel már a webcím is árulkodó lesz – kezdte a szakember.

Majd hozzátette: – Sajnos nincs olyan rövid, univerzális javaslat, ami az élet minden területén alkalmazható lenne (minden oldalról védené a felhasználót), de én kifejezetten ajánlanám az internetről ingyenesen letölthető „IT biztonság köz­érthetően” című kiadvány legfrissebb verzióját (https://njszt.hu/hu/webform/it-biztonsag-kozerthetoen), amiben a szerzők minden fontos és életszerű témába belemennek az online biztonságtudatosságot illetően. És persze emellett is tele van az internet olyan cikkekkel, amikből nagyon hasznos praktikákat ismerhetünk meg akár a felhasználói fiókjaink, az adataink és a pénzünk védelmére – mondta végül.

Nagy Emese