Az e-mailes kommunikáció szinte mindenki életének része, így valószínűleg találkoztál már olyan e-maillel, amely hivatalosnak tűnt, de valójában csalás volt. Ezek az üzenetek különböző formát ölthetnek:
Hivatkozásokat tartalmazhatnak
Csatolmányokat küldhetnek
Személyes vagy pénzügyi adatok megadására kérhetnek
Az ilyen e-mailek általában meggyőző érvekkel próbálnak rávenni a kért információk átadására. Lehet, hogy bírsággal, auditálással vagy letartóztatással fenyegetnek, esetleg pénzügyi nyereséggel kecsegtetnek. Máskor egyszerűen arra kérnek, hogy frissítsd vagy igazold a fiókadataidat. Szinte minden esetben, ha engedsz ezeknek a kéréseknek, komoly problémákat okozhat.
Az adathalászat (phishing) már több mint két évtizede fenyegetést jelent, és a folyamatos figyelmeztetések ellenére továbbra is aggasztóan hatékony. Bár azt gondolhatod, hogy elég körültekintő vagy, a valóság az, hogy 2022-ben több mint 300 000 panaszt jelentettek be csak az Egyesült Államokban, és az ebből származó anyagi veszteségek meghaladták a több 10 millió dollárt.
Az adathalász támadások sikerét az emberi természetre alapozzák: mindannyian hibázunk, elfoglaltak vagyunk, és néha lankad a figyelmünk. A támadók egyre kifinomultabb módszereket alkalmaznak, amelyek még a rutinos felhasználók számára is megtévesztők lehetnek.
Hogyan védekezzünk?
Az alapszintű védekezési módszerek közé tartozik:
Egyedi, erős jelszavak használata
Nyilvános Wi-Fi kerülése érzékeny adatok megosztásakor
Rendszeres vírus- és kártevőellenőrzés
Emellett azonban érdemes egy háromlépéses stratégiát is alkalmazni az adathalász támadások megelőzésére és a károk minimalizálására.
1. lépés: Kérdezd meg magadtól: „Ez nekem szól?”
Az első lépés, hogy megítéld, jogos-e a kérés. Ha például marketinges pozícióban dolgozol, és egy ismeretlen e-mail arra kér, hogy nézd meg a csatolt önéletrajzot, azonnal gyanúsnak kell lennie.
Vizsgáld meg az alábbiakat:
Jogos-e, hogy ezt az e-mailt kaptam?
Számítottam erre az üzenetre?
A szokásos csatornákon keresztül érkezett, vagy ismert forrásból származik?
Ha valami nem stimmel, lépj a következő lépésre.
2. lépés: Kérdezd meg másoktól: „Várunk ilyet?”
Ha például HR-esként dolgozol, és egy önéletrajzot tartalmazó e-mailt kapsz, tedd fel az alábbi kérdéseket:
Valóban számítottam erre a dokumentumra?
Szokásos eljárás, hogy közvetlenül nekem küldik, vagy először más osztályokon keresztül kellene érkeznie?
Ahelyett, hogy megnyitnád a csatolmányt vagy rákattintanál a hivatkozásra, keresd fel a felettesedet, és kérj tőle szóbeli megerősítést, hogy az e-mail valóban releváns és hiteles. Ha ő sem tudja egyértelműen igazolni az e-mail valódiságát, azonnal fordulj az informatikai osztályhoz.
Fontos: A szóbeli megerősítés kiemelten lényeges. Az esetek többségében a támadók feltörik valaki e-mail fiókját, és onnan küldenek meggyőző, belsőnek tűnő üzeneteket. Ha csak írásban válaszolsz az e-mailre, a támadó könnyen meggyőzhet arról, hogy a kérés valódi.
3. lépés: Jelentsd az esetet
Ha egy adathalász támadás áldozatául esel, a legrosszabb, amit tehetsz, hogy nem jelented az esetet. Nemrégiben például egy olyan adathalász e-mail került elő, amely egy IT-osztály nevében érkezett, és jelszó-változtatásra kért. A link egy hamis portálra vezetett, ahol az e-mailes hitelesítő adatokat próbálták megszerezni.
Ha ilyen támadás történik, az okozott kár jelentős lehet, de ha az esetet időben jelentik, a károk mérsékelhetők az alábbi módokon:
Az érintett hozzáférési adatok azonnali megváltoztatásával
Szűrők szigorításával a kéretlen levelek ellen
Olyan további biztonsági intézkedések bevezetésével, amelyek megelőzik a hasonló támadásokat.
Összegzés
Az adathalász támadások egyre kifinomultabbá válnak, ezért elengedhetetlen, hogy körültekintően járjunk el e-mailek kezelésekor. A háromlépéses megközelítés—önvizsgálat, szóbeli megerősítés és jelentés—segít megóvni személyes és vállalati adatainkat a támadásoktól. Legyünk éberek, és ne felejtsük: a biztonság mindig a megelőzésnél kezdődik.
Keresd szakértő csapatunkat, ha kérdésed merülne fel!
