Egy történettel szeretném kezdeni, ami az egyik cégvezető barátomról szól. Az anonimitása megőrzése érdekében, nevezzük őt Kornélnak. Kornél egy nap békésen telefonozgatott otthon, amikor kapott egy SMS-t. Ebben az SMS-ben az állt, hogy:

„Netflix : Legutobbi befizetését elutasitottak,kérjük, er sitse
meg fizetési adatait, különben fiokjat felfüggesztjük: <link>”

Több sem kellett neki, „fogta” a képen található linket és rákattintott. Egy Netflix-nek tűnő bejelentkezési felület volt ott. Meg is adta a bejelentkezési adatait (e-mail cím + jelszó). Majd miután „bejelentkezett” a (kamu) weboldalba, már kérték is tőle a bankkártyaadait.

Sajnos, ezeket is megadta, de akkor még nem tudta mi vár rá. El is felejtette a dolgot, azzal a gondolattal, hogy ezt a teendőt is letudta és minden mehet tovább a régi kerékvágásban. Ha nagyon drámaian akarnánk fogalmazni, azzal folytatnám, hogy akkor még nem is gondolta , mit okozott ezzel a pár kattintással.

Másnap délután hívja a felesége, hogy baj van, mert a Facebook-on megváltozott a profilképe, valamilyen közép-kelet országban élő úriember képére, aki egy AK47-et tart az ég felé. A Facebook-nak több sem kellett ez a kép pár percig volt „élő”, majd tiltották is a barátom profilját. Eközben elindult más támadás is a háttérben, Kornél látta, hogy valaki próbálkozik a bankkártyaadataival és szeretné a rajta található összeget leemelni.

Itt kerültem én a képbe, amikor „SOS” akciót végrehajtva tiltottunk mindent (is) és elkezdtük feltérképezni mi a baj, hol történt a behatolás.

Hamar kiderült, hogy a barátom kedves Kornél a Netflix-átverés áldozata lett és minden adatot megadott a bűnözőknek, akiknek több sem kellett, hogy feltörjék a fiókjait.

Tehát az SMS, amit kapott teljes mértékben átverés volt, és mivel kitöltötte az adatait, áldozatul esett ő is ennek.

De mi volt a fő probléma? Mi köze van a Netflix jelszavának és e-mailjének a Facebook-feltöréshez?

Az, hogy mindenhol egy jelszót használt. Nem viccelek, mindenhol. A PayPal-jától kezdve a Facebook-on, Netflix-en át a bankjáig.

Szerencséje volt, hogy a „komolyabb” platformokat kétfaktoros autentikációval védte.

Mit kell tenned, hogy te ne járj így?

Először is a legfontosabb, hogy mindenhol külön/egyéni jelszavakat használj.

A barátomnál, 89(!) weboldalon kellett megváltoztani a jelszavakat és a bejentkezéseket, mivel ezen az egy helyen megszerezték a jelszavát.

Alapesetben, ha nem kattintott volna rá és nem szerzik meg, nem lett volna akkora probléma. Viszont mivel kompromitálódtak a bejelentkezései nem kellett több a bűnözőknek, hogy egyből megpróbálják a legnépszerűbb, Európában is használatos appokat/bejelentkezéseket, hogy belépjenek (Revolut, Wise, PayPal, Stripe [ezek a pénzügyi intézetek], Facebook, Instagram, X [ezek pedig a közösségi oldalak]). Ezen kívül rengeteg más kárt is okoztak, még rendőrségi feljelentést is kellett tenni.

A történet, első tanulsága, hogy minden fontos bejelentkezésnél használjunk más jelszót. M i n d e n h o l . 🙂

Különben benne van a pakliban, hogy figyelmetlen vagy (mindenkivel megesik) és te is így jársz.

Amit, még szoktam javasolni, hogy minden jelszónál legyen meg az „alaperősség”, ami a az alábbi szabályok betartását jelenti:

1. Tartalmazzon kisbetűt a jelszavad
2. Tartalmazzon nagybetűt
3. Legyenek benne számok
4. Legyen benne speciális karakter (‘”+!%/=()_:?,)
5. Legyen legalább 12 karakter hosszúságú (ez soknak tűnik, de mivel sokan évekig nem változtatják a jelszavukat az AI segítségével a 8 évvel ezelőtt generált jelszavakat már „nevetve” feltörik ezek a rendszerek (neked van olyan jelszavad, amit soha nem változtattál meg, vagy több mint 8 éve?)
6. Ha szeretnéd, hogy megjegyezhető legyen a jelszavad mert nem akarod tárolni egyéb helyen, vagy felírni – javaslom, hogy lehetőleg magyar szavakat vagy mondatokat kreálj. Ez megelőzi azt, hogyha külföldről akarják „brute force”* támadással feltörni, akkor kisebb eséllyel fogják tudni, mivel alapesetben ilyenkor vagy angol szavakkal vagy a legnépszerűbb magyar jelszavakkal próbálkoznak

*A brute force támadás leegyszerűsítve azt jelenti, hogy valaki vagy valami elkezd próbálkozni a fiókod feltörésével és összes létező jelszó-lehetőséget kipróbálja, hogy feltörje a fiókodat. Valótlan példa: ül egy „hacker” Thaiföld-ön és megpróbál a te Facebook-odba bejelentkezni, ha már megszerezte az e-mail címedet. Próbálgatja egyesével a lehetséges jelszavakat. Természetesen ezt már nem így szokták csinálni, vannak erre célszoftverek.

„Ez engem nem érdekel! Én tuti nem kattintok olyan linkre, amitől megszerezhetnék a jelszavam, mert soha nem kattintok semmire!”

Akkor mondok egy másik példát. Biztos szoktál találkozni a hírekben, hogy ekkora meg akkora adatszivárgások történtek a Facebook-nál / Microsoft-nál / Adobe-nál / különböző kormányzati szerveknél / … (ez a lista akár végtelen is lehetne, de mellékelek egy linket IDE, hogy szemléltessem gyakorlatilag nincs olyan ország vagy szervezet, akinél még nem történt ilyen). Ja és ez csak a nyilvánosságra hozott. Biztos vagyok benne, hogy van egy ugyanekkora anonim lista a kisebb webshopokról, akik ugyanúgy tárolják a felhasználók bejelentkezési adatait és feltörték őket.

A lényeg, amire ki akarok lyukadni: ha nem téged vernek át vagy fertőzik meg a géped, akkor ugyanúgy a cégeken keresztül is történhet ilyen feltörés, ha hozzájuk törnek be. Ezért kell mindenhol más jelszót használni, és legalább évente változtatni.

Akkor mi teljes védelem? Hogyan tudom 100%-ig bebiztosítani a fiókom?

100%-os védelem nincs az informatikában. Maximum, ha kikapcsolod a géped, bedobod a tengerbe és soha többet nem használsz semmit, ami digitális eszköz. Valljuk be ez elég szürreális. Csak növelni tudjuk a védelmet, de sosem lesz semmi 100%-os. Ha szeretnéd növelni, akkor a fenti tanácsokat betartva már jó esélyekkel indulsz. Viszont még mindig védtelen leszel azzal szemben, ha megszerzik a jelszavadat (akár téged átverve akár egy adatbázisból kinyerve). Ezek ellen, hogyan lehet védekezni?

A kétfaktoros autentikációval.

Biztos neked is volt már olyan nem egyszer, hogy léptél be a bankodba, Google-be, Apple-be és a jelszavad beírása után kért még egy plusz hitelesítést (biztonsági SMS kódot, telefonhívást, esetleg a képernyőn be kellett pipálni, hogy „Én vagyok az”).

Ez a kétfaktoros hitelesítés (2FA). Többféle neve is kering az interneten multifaktor autentication (mfa), többfaktoros hitelesítés, stb… A lényeg, hogy valamilyen formában telefonon vagy e-mailen keresztül megbizonyosodik róla a weboldal, hogy valóban te akarsz bejelentkezni nem pedig valaki más a nevedben. Mert ugye, a fenti szabályokat betartva, hiába szerzi meg bárki távolról az adataidat, a telefonodhoz jó eséllyel nem fér hozzá. Ebben az esetben már beszélhetünk 90%-os védelemről, nyilván ennek is különféle típusai és sebezhetőségei vannak, amire itt most nem fogunk kitérni, de a lényeg, ha már ezeket beállítod, nagyrészt biztonságban tudhatod a fiókjaid.

Érdekesség, fun fact: Múltkor egy cégnél egy felhasználóváltás történt és az iPad-ra való bejelentkezés közben már nem is kétfaktoros autentikációt kért, hanem 3FA-t, három különböző helyről! Ami biztonságtechnikailag szívmelengető, de felhasználókat szétszivatja. Így nézett ki a 3FA:

1. Küldött egy e-mailt egy megerősítő kóddal
2. Küldött egy SMS-t még egy megerősítő kóddal
3. Majd be kellett írnom az új felhasználónak a MacBook-jának(!) a jelszavát

Szóval nem viccel az Apple a bejelentkezéseket illetően. Ja és persze kérte a jelkód-ot, amivel feloldod az iPad-et.

Jogosan merülhet fel a kérdés, hogy miért is beszélünk erről? Te egy bankkártyalopás-elleni kurzust vásároltál, erre miért jelszavakról van szó?

Ez a legelső lépés a teljes biztonsághoz. Ha nincsenek rendben a jelszavaid, akkor azokon keresztül könnyen feltörhetik a fiókod. Későbbiekben még lesz szó erről (Google fiók védelme, AppleID).

ui.: Érdekel mi lett a barátommal Kornéllal? Nagyon érdekes eset történt. Az ő privát felhasználóján keresztül hirdettek a Facebook-on különböző átverő hirdetéseket. Hozzáadtak rengeteg külföldi „arcot” a hirdetési profiljához és egy idegen bankkártyát, amiről nem tudtuk kié. Sajnos az illetőnek 800.000 Ft-ja bánta, mivel ennyit elhirdettek róla.