Kiberbiztonsági szakértő: Még a közismert webshopokban és a böngészőkben se mentsük el a bankkártyánk adatait
Kedd este több ezer OTP Simple-fiókot törhettek fel. Nem közvetlenül az online fizetési szolgáltatás rendszerébe jutottak be a támadók, hanem olyan felhasználók fiókjaihoz fértek hozzá, akik más weboldalakon is a Simple-ben megadott felhasználónevet és jelszót használták. Mivel azonban a CVV/CVC-kódokat nem ismerték a kiberbűnözők, ezért tranzakciót sem tudtak indítani, így szerencsére anyagi kár úgy tűnik, hogy senkit sem ért.
Az online támadások és csalások az utóbbi időben érezhetően egyre gyakoribbá váltak. A szakértők nem győzik felhívni a figyelmet arra, hogy lehetőleg egyedi és különböző jelszavakat használjunk minden felületen, ami növelheti a biztonságot. Ugyanakkor az sem várható el az átlagos felhasználótól, hogy az egyre gyarapodó, nem ritkán 20-30 vagy még ennél is több interneten elérhető szolgáltatáshoz valamennyi belépési kódot fejben tartsa. De akkor mi lehet a megoldás? Többek között erről is kérdeztük Makay Józsefet, a Makay Kiberbiztonsági Kft. ügyvezetőjét, etikus hackert.
– Ön mit javasolna a jelszavainkkal kapcsolatban?
– Ami nagyon biztonságos megoldás, az kényelmetlen, ami pedig nagyon kényelmes, az már nem biztonságos. A legtöbb esetben ezért érdemes valamilyen középutat keresni, amit még a felhasználók hajlandók elviselni és alkalmazni a gyakorlatban, de ebben a kérdésben inkább a biztonság felé próbálunk terelni mindenkit. Az átlagos internetező esetében ugyanis még mindig a felhasználónév és a jelszó számítanak kulcsfontosságú információnak a kibertérben. A helyzet azonban valóban nem egyszerű:
Vannak már ennél finomítottabb ajánlások is, ahol viszont megkövetelik a többlépcsős azonosítást. Azonban hiába a multifaktoros autentikáció, ha a felhasználót célzottan ráveszik a csalók valamilyen plusz kód megadására vagy egy extra gomb megnyomására.
– Mit jelent az, hogy meg kell feleni a kritikus követelményeknek?
– Még mindig az a legjobb egy jelszó esetében, ha kellően komplex, nem utal ránk semmilyen szempontból, és nem tartalmaz semmilyen számsorozatot vagy évszámot. Inkább generáltassunk például a böngészővel egy jelszót, amit aztán a jelszókezelőjében el is tudunk tárolni. Persze ez sem száz százalékos megoldás, mert bármikor kiderülhet a böngésző valamilyen sérülékenysége. Azonban a böngésző biztosan nem fogja beajánlani a felhasználónevet és a jelszót például egy hamis Gmail bejelentkezési felületen, hanem csak az eredeti esetében.
De ha nem bízunk kellően a jelszókezelőben, akkor választhatunk valamilyen felhőalapú online jelszómenedzsert is, aminek van beépülő böngészőmodulja, így be tudja írni a felhasználónevet és a jelszót a megfelelő lapon.
A harmadik lehetőség pedig az lehet, ha egy offline, erősen titkosított fájlban tároljuk a különböző online szolgáltatásokban használt felhasználóneveket és jelszavakat, ami viszont gyakran nagyon kényelmetlen lehet.
– Az átlagos felhasználók számára ezek közül melyik lehet a legpraktikusabb és mégis a legbiztonságosabb megoldás?
– Nem egyszerű a helyzet, de talán az első két megoldás jó lehet még a kevésbé gyakorlott és gyanakvó felhasználók számára is. De csakis abban az esetben, ha az ezekben tárolt felhasználónevek és jelszavak kellően komplexek és megfelelnek a védelmi követelményeknek. Hiába van egy böngészőnek megfelelően erős és védett beépített jelszókezelője, ha nagyon amatőr jelszavakat tárolnak benne. Egy-egy regisztrációnál inkább ajánlott a böngésző által véletlenszerűen generált, erős jelszót választani. Ha tisztában vagyunk azzal, hogy egy támadó kis kutatással összerakhatja a nem túl erős, jól bevált, saját jelszavunkat, akkor érdemes inkább szintén újat generáltatni a jelszókezelővel, majd frissíteni az adott szolgáltatásban.
– Ha valaki mégis úgy dönt, hogy nem tud vagy nem akar jelszókezelőkkel bíbelődni, a generálás pedig végképp meghaladja a képességeit, akkor mire figyeljen, mi ne szerepeljen a saját maga által kitalált jelszóban?
– Sok ilyen kiszivárgott adatbázist láttam már. Ezek alapján a gyenge jelszavak közös jellemzője, hogy gyakran szerepel bennük a felhasználókhoz köthető becenév, vagy családtag, netán háziállat neve, egy évszámmal vagy egyszerűbb számsorozattal kiegészítve.
Hiába van például letiltva a születési dátum, ha a születésnapi fotókról össze tudja szedni a napot és az életkort, így pedig az évszámot is. Ha mégis mindenképpen saját magunk akarunk jelszót kitalálni, akkor igyekezzünk minden olyan szót kihagyni, ami valamilyen módon visszavezethető hozzánk, ránk utal, de kerüljük a nagyon általános kifejezéseket is, amiket első próbálkozásra beírhatnak a támadók. Azt javasolnám, hogy ebben az esetben egy értelmes szavakból álló, de véletlenszerű jelmondatot találjunk ki, amivel viszont sok helyen az lehet a probléma, hogy túl hosszú. Ennél is jobb megoldás lehet egy mindenféle értelemtől mentes, speciális karakterekkel, számokkal kiegészített összevisszaság. Bármennyire is próbáljuk azt elhinni, hogy a kétfaktoros beléptetés megoldja a gyenge jelszó problémáját, sajnos a gyakorlat azt mutatja, hogy ez nem így van. Csakis a biztonságtudatosság, a gyanakvás és a támadó fejével gondolkodás lehet az, ami segíthet.
– Milyen gyakran érdemes a jelszavakat cserélni?
– Erre többféle ajánlás van. Kritikus infrastruktúra esetében a szervezet által megadott rendszerességgel. Átlagos felhasználó esetében úgy gondolom, hogy ha nem tapasztalunk semmi olyat, ami valamelyik fiókunk feltörésére utal, akkor felesleges ezzel variálni. Addig úgysem fog kiderülni, hogy ellopták a jelszót, amíg nem kezdik használni. Akkor frissítsünk azonnal, ha az előbbiek alapján úgy érezzük, hogy nem kellően biztonságos a jelszavunk.
– Ha pénzügyeket kell intézni például online bankolás során, akkor a számítógépen egy böngészőn keresztül vagy az okostelefonos applikációban vagyunk nagyobb biztonságban?
– Egyértelműen a mobilapplikáció a legbiztonságosabb ilyen szempontból. A legtöbb esetben ugyanis a támadók arra szokták kérni a potenciális célpontokat, hogy az asztali gép vagy laptop operációs rendszerére telepítsenek egy olyan kémszoftvert, amivel folyamatosan figyelni tudják a képernyőt, vagy a program segítségével akár át is tudják venni felette az irányítást. Egy okostelefon esetében erre minimális az esély, és meglehetősen bonyolult is ezt megvalósítani.
Ilyenkor az szokott előfordulni, hogy a támadók ráijesztenek az áldozatra valahogyan, és arra kérik, hogy inkább a számítógépén folytassa velük az együttműködést a telefon helyett.
– Milyen jelei lehetnek annak, hogy távolról egy kémszoftvert telepítettek a számítógépünkre?
– Az a helyzet, hogy laikusok ezt nagyon nehezen tudják beazonosítani. Hiába nézi végig egy átlagos felhasználó a gépét, nem fogja tudni eldönteni, melyik szoftver jelenthet kockázatot. Jóval kevesebb ilyen eset lenne, ha az antivírus szoftverek mellett mindenki használna valamilyen internetvédelmi rendszert is.
– Nyakunkon a karácsony, egyre többen vásárolnak online ajándékokat. Mekkora rizikót jelent, hogy sokan egy-egy jó ajánlat reményében gondolkodás nélkül kiadják a bankkártyájuk adatait akár a kevésbé ismert oldalakon is?
– Azt javaslom, hogy ha nem egy közismert webshopban vásárolunk, akkor minden esetben az utánvétes fizetés lehetőségét válasszuk. Kisebb az esélye a bankkártya-adatok ellopásának azoknál a nagyobb áruházaknál, ahol valamilyen népszerű fizetési kaput alkalmaznak.
Utóbbi azért okozhat gondot, mert a felhasználó nem mindig tudja eldönteni, hogy az igazi webshopban jár, vagy csak egy jól sikerült hamisítványon költi épp a pénzét. Egy ilyen felületet pixelpontosan lemásolni a felkészült támadónak nem jelent gondot, legfeljebb a böngésző URL-sorában néhány karakteres eltérés ébreszthet gyanút, már ha ez éppen feltűnik a vásárlónak. Ha van rá lehetőség, akkor inkább fizessünk átutalással.
– Még a közismert üzletek mobilos applikációban se mentsük el a bankkártyánk adatait?
– Ez egy kényelmi funkció. Szerintem nem feltételezhetjük minden egyes internetes szolgáltatásról azt, hogy habár most tökéletesen működik, a jövőben sem tartalmaz majd olyan sérülékenységet akár az önhibáján kívül is, amit a támadók ki tudnak használni. Ne mi legyünk a tesztalanyok, hogy ez mennyire állja ki az idő próbáját.
