Adathalászat

Az adathalász-támadások egyre kifinomultabbá váltak, és gyakran átláthatóan tükrözik a célzott webhelyet, lehetővé téve a támadó számára, hogy mindent megfigyeljen, miközben az áldozat navigál a webhelyen, és átléptessen minden további biztonsági korlátot az áldozattal. 2020-tól az adathalászat messze a leggyakoribb támadás, amelyet a kiberbűnözők hajtanak végre, az FBI internetes bűnügyi panaszközpontja több mint kétszer annyi adathalász bejelentést regisztrált, mint bármely más típusú számítógépes bűncselekményt.

A „phishing” szó első feljegyzett használata a Koceilah Rekouche által 1995-ben létrehozott AOHell cracking toolkitben volt, azonban lehetséges, hogy a kifejezést már ezt megelőzően használták a 2600 hacker magazin nyomtatott kiadásában. A szó a halászat leetspeak változata (a ph az f gyakori helyettesítője), valószínűleg a phreaking elnevezés után, és arra utal, hogy egyre kifinomultabb csalik segítségével "halásznak" a felhasználók érzékeny adataira.

Az adathalász esetek megelőzésére vagy hatásainak mérséklésére tett kísérletek közé tartoznak a jogszabályok, a felhasználók képzése, a nyilvánosság tudatosítása és a technikai biztonsági intézkedések.

E-mail halászat

A legtöbb adathalász üzenetet e-mailben kézbesítik, és nem személyre szabottan vagy egy adott személynek vagy vállalatnak címezve – ezt nevezik „tömeges” adathalászatnak. A tömeges adathalász üzenetek tartalma a támadó céljától függően széles körben változik – a megszemélyesítés gyakori célpontjai közé tartoznak a bankok és pénzügyi szolgáltatások, az e-mail és a felhőszolgáltatók, valamint a streamingszolgáltatások. A támadók a megszerzett hitelesítő adatokat felhasználhatják arra, hogy közvetlenül pénzt lopjanak az áldozattól, bár a kompromittált fiókokat gyakran használják inkább kiindulópontként más támadások végrehajtásához, például tulajdonosi információk ellopásához, rosszindulatú programok telepítéséhez vagy a célpont szervezetén belül más személyek "szigonyozásához". A kompromittált streaming szolgáltatási fiókokat általában közvetlenül a fogyasztóknak adják el a darknet piacokon.

Szigonyozás

A szigonyozás más néven spear phishing során a támadó közvetlenül egy adott szervezetet vagy személyt céloz meg személyre szabott adathalász e-mailekkel. Ez lényegében e-mailek létrehozását és elküldését jelenti egy adott személynek, hogy az illető azt higgye, az e-mail neki szól személyesen. A tömeges adathalászattal ellentétben a szigonyozást használó támadók gyakran gyűjtenek és használnak fel személyes információkat a célpontjukról, hogy növeljék a támadás sikerének valószínűségét. A szigonyozás jellemzően olyan vezetőket vagy pénzügyi osztályokon dolgozókat céloz meg, akik hozzáféréssel rendelkeznek a szervezet érzékeny pénzügyi adataihoz és szolgáltatásaihoz. Egy 2019-es tanulmány kimutatta, hogy a könyvelő- és könyvvizsgáló cégek gyakori célpontjai a szigonyozásnak, mivel alkalmazottaik hozzáférnek olyan információkhoz, amelyek a bűnözők számára értékesek lehetnek.

A Threat Group-4127 (Fancy Bear) szigonyozásos adathalász taktikát alkalmazott, hogy Hillary Clinton 2016-os elnökválasztási kampányához kapcsolódó e-mail fiókokat célozzon meg. Több mint 1800 Google-fiókot támadtak meg, és az accounts-google.com domaint vezették be a célzott felhasználók megtévesztésére.

Bálnavadászat és CEO csalás

A bálnavadászat avagy whaling a kifejezetten felsővezetők és más kiemelt célpontok ellen irányuló szigonyozásos támadásokra utal. A tartalom úgy van kialakítva, hogy a célzott személy vagy szerepkör számára érdekes legyen – például egy idézés vagy egy ügyfélpanasz.

A CEO csalás gyakorlatilag a bálnavadászat ellentéte: hamisított e-maileket küldenek felsővezetőktől azzal a szándékkal, hogy a szervezet más alkalmazottait rávegyék egy adott művelet elvégzésére, általában pénz átutalására egy offshore számlára. Bár a CEO csalás viszonylag alacsony sikerességi aránnyal rendelkezik, a bűnözők igen nagy összegeket nyerhetnek a kevés sikeres próbálkozásból.

Klónozott adathalászat

A klónozott adathalászat egy olyan típusú adathalász-támadás, amelynek során egy legitim, korábban kézbesített, mellékletet vagy linket tartalmazó e-mail tartalmát és a címzett címét (címeit) megszerezték, és egy majdnem azonos vagy klónozott e-mail létrehozásához használták fel. Az e-mailben található mellékletet vagy linket egy rosszindulatú változattal helyettesítik, majd egy olyan e-mail címről küldik el, amelyről úgy tűnik, hogy az eredeti feladótól származik. A levél azt állíthatja, hogy az eredeti vagy az eredeti frissített változata. Ehhez általában az szükséges, hogy vagy a feladó vagy a címzett fiókját már korábban feltörték, hogy a rosszindulatú harmadik fél megszerezze a személyes e-mailt.

Hangalapú adathalászat

A hangalapú adathalászat vagy vishing a telefonálás (gyakran VoIP-telefonálás) felhasználása adathalász-támadások végrehajtására. A támadók nagyszámú telefonszámot tárcsáznak, és olyan – gyakran szövegből beszédszintetizátorok segítségével készült – automatizált felvételeket játszanak le, amelyek hamis állításokat tesznek az áldozat bankszámláján vagy hitelkártyáján végzett csalásról. A hívó telefonszámot úgy hamisítják meg, hogy az a megszemélyesített bank vagy intézmény valódi számát mutatja. Az áldozatot ezután arra utasítják, hogy hívjon fel egy, a támadók által ellenőrzött számot, amely vagy automatikusan arra kéri, hogy adjon meg érzékeny adatokat a feltételezett csalás „megoldása” érdekében, vagy pedig élő személyhez kapcsolja, aki megpróbál pszichológiai manipuláció segítségével információkat szerezni. A hangalapú adathalászat kihasználja, hogy a lakosság kevésbé ismeri az olyan technikákat, mint a hívószám-hamisítás és az automatikus tárcsázás, mint az e-mailes adathalászat megfelelői, és ezáltal sokan eredendően bíznak a hangalapú telefonálásban.

SMS adathalászat

Az SMS adathalászat vagy smishing koncepcionálisan hasonló az e-mail adathalászathoz, azzal a különbséggel, hogy a támadók mobiltelefonos szöveges üzeneteket használnak a "csali" célba juttatására. A smishing támadások jellemzően arra kérik a felhasználót, hogy kattintson egy linkre, hívjon fel egy telefonszámot, vagy lépjen kapcsolatba a támadó által SMS üzenetben megadott e-mail címmel. Az áldozatot ezután arra kérik, hogy adja meg személyes adatait; gyakran más webhelyek vagy szolgáltatások hitelesítő adatait. Ráadásul a mobilböngészők jellegéből adódóan az URL-címek nem mindig jelennek meg teljes egészében; ez megnehezítheti a jogtalan bejelentkezési oldal azonosítását. Mivel a mobiltelefon-piac ma már telített okostelefonokkal, amelyek mindegyike gyors internetkapcsolattal rendelkezik, egy SMS-ben küldött rosszindulatú link ugyanolyan eredményt hozhat, mintha e-mailben küldenék. A smishing üzenetek érkezhetnek olyan telefonszámokról, amelyek furcsa vagy váratlan formátumúak.

Webhely eltérítés

A webhely eltérítése a weboldalak kompromittálását jelenti, hogy a felhasználókat cross site scripting segítségével rosszindulatú weboldalra vagy exploit kitre irányítsák át. Egy hacker kompromittálhat egy weboldalt, és beilleszthet egy exploit kitet, például az MPack-et, hogy veszélyeztesse a törvényes felhasználókat, akik meglátogatják az immár fertőzött webszervereket. Az oldal eltérítésének egyik legegyszerűbb formája az, hogy egy weboldalt úgy módosítanak, hogy az tartalmazzon egy rosszindulatú inline keretet, amely lehetővé teszi egy exploit kit betöltését. Az oldal eltérítését gyakran használják a vállalati szervezetek elleni watering hole támadással együtt, hogy kompromittálják a célpontokat.

Link manipuláció

Az adathalászat legtöbb típusa valamilyen technikai megtévesztést alkalmaz, amelynek célja, hogy az e-mailben található linket a támadók által megszemélyesített szervezethez tartozónak tüntessék fel. Az adathalászok által gyakran használt trükkök közé tartoznak a rosszul írt URL-címek vagy az aldomainek használata. A következő példa URL-címén, http://www.yourbank.example.com/, a gyakorlatlan szem számára úgy tűnhet, mintha az URL-cím a yourbank weboldal példa szakaszára vezetné a felhasználót; valójában ez az URL-cím a "yourbank" (azaz adathalász) weboldal példa szakaszára mutat. Egy másik gyakori trükk az, hogy a link megjelenített szövege megbízható célpontot sugall, miközben az valójában az adathalászok oldalára vezet. Sok asztali e-mail kliens és webböngésző megjeleníti a link cél URL-címét az állapotsorban, ha mutatót a link fölé viszik. Ezt a viselkedést azonban bizonyos körülmények között az adathalász felülbírálhatja. Az ezzel egyenértékű mobilalkalmazások általában nem rendelkeznek ezzel az előnézeti funkcióval. Az előnézeti funkciót az adathalászok általában nem használják.

A nemzetköziesített domainnevek (IDN-ek) támadhatók IDN-hamisítással vagy homográf támadásokkal, hogy olyan webcímeket hozzanak létre, amelyek vizuálisan megegyeznek egy létező oldallal, de ehelyett rosszindulatú verzióhoz vezetnek. Az adathalászok hasonló kockázatot használtak ki, amikor nyílt URL-átirányítókat használtak megbízható szervezetek weboldalain, hogy a rosszindulatú URL-eket megbízható domainnel álcázzák. Még a digitális tanúsítványok sem oldják meg ezt a problémát, mivel könnyen előfordulhat, hogy egy adathalász megvásárol egy érvényes tanúsítványt, majd a tartalmat megváltoztatva hamisít egy valódi weboldalt, vagy egyáltalán SSL nélkül tárolja az adathalász webhelyet.

Szűrő megkerülése

Az adathalászok néha képeket használtak szöveg helyett, hogy megnehezítsék az adathalászat elleni szűrők számára az adathalász e-mailekben általánosan használt szöveg felismerését. Válaszul a kifinomultabb adathalászat elleni szűrők optikai karakterfelismerés (OCR) segítségével képesek a képekben elrejtett szöveget visszanyerni. Ez leggyakrabban az áldozatok bank- vagy biztosítási számláival fordul elő.

Pszichológiai manipuláció

Bővebben: Pszichológiai manipuláció (informatika)

Az adathalászat legtöbb típusa valamilyen pszichológiai tevékenységet foglal magában, amelynek során a felhasználókat pszichológiai manipulációval ráveszik egy művelet elvégzésére, például egy linkre való kattintásra, egy melléklet megnyitására vagy bizalmas információk átadására. Egy megbízható szervezet nyilvánvaló megszemélyesítése mellett a legtöbb adathalászat a sürgősség érzetét kelti – a támadók azt állítják, hogy a számlákat leállítják vagy lefoglalják, ha az áldozat nem tesz valamilyen lépést. Ez is leggyakrabban az áldozatok bank- vagy biztosítási számláival fordul elő.

A megszemélyesítésen alapuló adathalászat alternatív technikája a felháborodást kiváltani hivatott hamis hírek használata, amelyek arra késztetik az áldozatot, hogy rákattintson egy linkre anélkül, hogy megfelelően átgondolná, hová vezethet az. Ezeket a linkeket úgy tervezték, hogy egy professzionálisnak tűnő weboldalra vezessenek, amely pontosan úgy néz ki, mint a létező szervezet weboldala. A támadó weboldalára érve az áldozatokat hamisított "vírus"-értesítésekkel láthatják el, vagy olyan oldalakra irányíthatják át, amelyek a webböngésző sebezhetőségét próbálják kihasználni rosszindulatú programok telepítésére.

1980-as évek

Egy adathalász technikát részletesen leírtak egy 1987-ben az Interex nevű nemzetközi HP felhasználói csoportnak tartott előadásban és prezentációban.

1990-es évek

Az "adathalászat" kifejezést állítólag a 90-es évek közepén a jól ismert spammer és hacker, Khan C. Smith alkotta meg. A kifejezés első feljegyzett említése az AOHell nevű hackereszközben található (a készítője szerint), amely tartalmazott egy olyan funkciót, amellyel megpróbálták ellopni az America Online felhasználók jelszavait vagy pénzügyi adatait.

Korai AOL adathalászat

Az AOL-on történő adathalászat szorosan kapcsolódott a warez közösséghez, amely licenc nélküli szoftvereket cserélt, valamint a fekete kalapos hackerekhez, akik hitelkártyacsalásokat és más online bűncselekményeket követtek el. Az AOL végrehajtó szervei figyelték az AOL csevegőszobákban használt szavakat, hogy felfüggesszék a szoftverhamisításban és a lopott accountok kereskedelmében részt vevő személyek fiókjait. A kifejezést azért használták, mert a "<><" a HTML egyetlen leggyakoribb tagje, amely természetesen minden chat-átiratban megtalálható volt, és mint ilyen, az AOL munkatársai nem tudták felismerni vagy kiszűrni. A <>< szimbólumot minden olyan megfogalmazásnál helyettesítették, amely lopott hitelkártyákra, számlákra vagy illegális tevékenységre utalt. Mivel a szimbólum úgy nézett ki, mint egy hal, ezért az adathalászat népszerűsége miatt "Phishing" néven adaptálták. Az 1995 elején megjelent AOHell egy olyan program volt, amelyet az AOL felhasználók feltörésére terveztek, lehetővé téve a támadó számára, hogy az AOL munkatársának adja ki magát, és azonnali üzenetet küldjön a potenciális áldozatnak, amelyben arra kéri, hogy fedje fel jelszavát. Annak érdekében, hogy az áldozatot érzékeny adatok kiadására csábítsa, az üzenet olyan felszólításokokat is tartalmazhatott, mint "ellenőrizze a fiókját" vagy "erősítse meg a számlázási adatait".

Miután az áldozat felfedte a jelszót, a támadó hozzáférhetett az áldozat fiókjához, és főként illegális célokra használhatta azt. Mind az adathalászathoz, mind a warezinghez az AOL-on általában egyedi fejlesztésű programokra volt szükség, például az AOHellre. Az adathalászat annyira elterjedt az AOL-on, hogy az összes azonnali üzenethez hozzáadtak egy sort, amely szerint: "az AOL-nál senki sem fogja elkérni a jelszavát vagy a számlázási adatait". Az AIM-fiókot és egy internetszolgáltatótól származó AOL-fiókot egyszerre használó felhasználó viszonylag büntetlenül tudott adathalászni az AOL-tagok adataira, mivel az internetes AIM-fiókokat nem-AOL-tagok is használhatták, és nem lehetett ellenük intézkedni (azaz jelenteni az AOL TOS osztályának fegyelmi eljárás céljából), hangzott el. 1995 végén az AOL crackerek a törvényes fiókok adathalászatához folyamodtak, miután az AOL 1995 végén intézkedéseket vezetett be annak megakadályozására, hogy hamis, algoritmikusan generált hitelkártyaszámokat használjanak a fiókok megnyitásához. 1995 végén az AOL irányelvek betartatása miatt a szerzői jogok megsértése miatt az AOL szerverekről lekerültek a fiókok, és az AOL azonnal deaktiválta az adathalászatban érintett fiókokat, gyakran még mielőtt az áldozatok reagálhattak volna. Az AOL warez leállítása a legtöbb adathalászt a szolgáltatás elhagyására késztette.

2000-es évek

• 2001
  • Az első ismert, fizetési rendszer elleni közvetlen támadás 2001 júniusában érte az E-goldot, amelyet nem sokkal a szeptember 11-i World Trade Center elleni támadások után egy "post-9/11 id check" követett.
• 2003
  • Az első ismert, lakossági bank elleni adathalász támadásról a The Banker számolt be 2003 szeptemberében.
• 2004
  • Becslések szerint 2004 májusa és 2005 májusa között az Egyesült Államokban körülbelül 1,2 millió számítógép-felhasználó szenvedett el adathalászat okozta veszteségeket, összesen körülbelül 929 millió dollár értékben. Az Egyesült Államok vállalkozásai évente becslések szerint 2 milliárd dollárt veszítenek, mivel ügyfeleik áldozatokká válnak.
  • Az adathalászatot a feketepiac teljesen szervezett részeként ismerik el. Világméretekben olyan szakosodások alakultak ki, amelyek fizetség ellenében adathalász szoftvereket biztosítottak, amelyeket szervezett bandák állítottak össze és valósítottak meg adathalász kampányokban.
• 2005
  • Az Egyesült Királyságban az internetes banki csalásokból – főként adathalászatból – származó veszteségek a 2004-es 12,2 millió angol fontról 2005-ben majdnem megduplázódtak, 23,2 millió angol fontra, míg minden 20. számítógép-felhasználóból 1 állította, hogy 2005-ben adathalászat miatt vesztett.
• 2006
  • 2006-ban az adathalász támadások csaknem felét a szentpétervári székhelyű Russian Business Networkön keresztül működő csoportok követték el.
  • A bankok vitatkoznak az ügyfelekkel az adathalász veszteségek miatt. Az APACS brit banki szervezet álláspontja szerint „az ügyfeleknek is észszerű óvintézkedéseket kell tenniük, hogy ne legyenek kiszolgáltatottak a bűnözőknek.” Hasonlóképpen, amikor 2006 szeptemberében az első adathalász-támadássorozat elérte az Ír Köztársaság bankszektorát, a Bank of Ireland kezdetben elutasította az ügyfelei által elszenvedett veszteségek fedezését, bár 113 000 euró értékű veszteséget sikerült megtéríteni.
  • Az adathalászok a bankok és az online fizetési szolgáltatások ügyfeleit veszik célba. Állítólag az adóhivataltól érkező e-maileket használtak arra, hogy érzékeny adatokat gyűjtsenek össze amerikai adófizetőktől. Míg az első ilyen példákat válogatás nélkül küldték el, arra számítva, hogy néhányat egy adott bank vagy szolgáltatás ügyfelei kapnak majd, a legújabb kutatások szerint az adathalászok elvileg képesek lehetnek meghatározni, hogy a potenciális áldozatok mely bankokat használják, és ennek megfelelően célozzák meg a hamis e-maileket.
  • A közösségi oldalak az adathalászat elsődleges célpontjai, mivel az ilyen oldalakon található személyes adatok felhasználhatók a személyazonosság-lopáshoz. 2006 végén egy számítógépes féreg átvette a MySpace oldalait, és a linkeket úgy módosította, hogy a szörfözőket bejelentkezési adatok ellopására szolgáló weboldalakra irányította.
• 2007
  • 3,6 millió ember 3,2 milliárd dollárt veszített a 2007 augusztusával végződő 12 hónapban. A Microsoft azt állítja, hogy ezek a becslések erősen túlzóak, és 60 millió dollárra teszi az éves adathalász veszteséget az Egyesült Államokban.
  • A támadók, akik betörtek a TD Ameritrade adatbázisába, és 6,3 millió e-mail címet szereztek meg (bár társadalombiztosítási számokat, számlaszámokat, neveket, címeket, születési dátumokat, telefonszámokat és kereskedési tevékenységet nem tudtak megszerezni), a számlák felhasználóneveit és jelszavait is akarták, ezért egy további szigonyos támadást indítottak.
• 2008
  • A RapidShare fájlmegosztó oldalt adathalászok célozták meg, hogy prémium fiókot szerezzenek, amely megszünteti a letöltések sebességkorlátozását, a feltöltések automatikus eltávolítását, a letöltésekre való várakozást és a feltöltések közötti kötelező időt.
  • Az olyan kriptovaluták, mint a Bitcoin, megkönnyítik a rosszindulatú szoftverek értékesítését, mivel biztonságos és anonim tranzakciókat tesznek lehetővé.
• 2009
  • 2009 januárjában egy adathalász-támadás következtében 1,9 millió USD jogosulatlan átutalása történt az Experi-Metal online bankszámláin keresztül.
  • 2009 harmadik negyedévében az Adathalászat Elleni Munkacsoport arról számolt be, hogy 115 370 adathalász e-mail bejelentést kapott a fogyasztóktól, és az USA és Kína ad otthont az adathalász oldalak több mint 25%-ának.

2010-es évek

• 2011
  • 2011 márciusában az RSA belső munkatársait sikeresen átverték, ami az összes RSA SecurID biztonsági token mesterkulcsának ellopását jelentette, majd ezt követően az amerikai védelmi beszállítókhoz való betöréshez használták fel őket.
  • Kínai adathalászkampányok az Egyesült Államok és Dél-Korea kormányának és hadseregének magas rangú tisztviselőinek, valamint kínai politikai aktivistáknak a Gmail fiókjait célozták meg.
• 2012
  • Ghosh szerint 2012-ben "445 004 támadás történt, szemben a 2011-es 258 461 és a 2010-es 187 203 támadással".
• 2013
  • 2013 augusztusában az Outbrain hirdetési szolgáltatás szigonyos támadást szenvedett el, és a SEA átirányításokat helyezett el a The Washington Post, a Time és a CNN weboldalain.
  • 2013 októberében ismeretlen számú címzettnek az American Express-től származónak mondott e-maileket küldtek.
  • 2013 novemberében 110 millió ügyfél- és hitelkártyaadatot loptak el a Target ügyfeleitől, egy hamisított alvállalkozói fiókon keresztül. Ezt követően a vezérigazgatót és az IT-biztonsági személyzetet elbocsátották.
  • 2013 decemberére a Cryptolocker zsarolóprogram 250 000 számítógépet fertőzött meg. A Dell SecureWorks szerint a fertőzöttek legalább 0,4%-a valószínűleg beleegyezett a váltságdíjkövetelésbe.
• 2014
  • 2014 januárjában a Seculert Research Lab egy új célzott támadást azonosított, amely az Xtreme RAT-ot használta. Ez a támadás spear phishing e-maileket használt, hogy izraeli szervezeteket célozzon meg és telepítse a fejlett malware-t. Tizenöt gépet támadtak meg, köztük a Júdea és Szamaria polgári közigazgatásához tartozó gépeket.
  • 2014 augusztusában kiderült, hogy a hírességek fotóinak iCloud kiszivárgása az áldozatoknak küldött adathalász e-maileken alapult, amelyek úgy tűntek, mintha az Apple-től vagy a Google-től érkeztek volna, és arra figyelmeztették az áldozatokat, hogy a fiókjukat veszélyeztethetik, és a fiókadataikat kérték.
  • 2014 novemberében az ICANN elleni adathalász-támadások során adminisztratív hozzáférést szereztek a központi zónaadatrendszerhez; a rendszerben lévő felhasználókról szóló adatokat is megszerezték – és hozzáférést az ICANN nyilvános kormányzati tanácsadó bizottságának wikihez, blogjához és whois információs portáljához.
• 2015
  • Charles H. Eccleston bűnösnek vallotta magát, egy spear-phishing kísérletben, amikor az Energiaügyi Minisztérium 80 alkalmazottjának számítógépét próbálta megfertőzni.
  • Eliot Higgins és más újságírók, akik a Bellingcat nevű, a Malaysia Airlines 17-es járatának Ukrajna feletti lelövését kutató csoporttal állnak kapcsolatban, számos spear phishing e-mail célpontjai voltak.
  • 2015 augusztusában a Cozy Bear-t a Pentagon e-mail rendszere elleni spear-phishing kibertámadással hozták összefüggésbe, ami a vizsgálat idejére a teljes vezérkar nem titkosított e-mail rendszerének és internet-hozzáférésének leállítását okozta.
  • 2015 augusztusában a Fancy Bear a Java egy nulladik napi exploitját használta fel egy spear phishing támadásban, amely az Electronic Frontier Foundationt hamisította meg, és támadást indított a Fehér Ház és a NATO ellen.
• 2016

Februárban az osztrák FACC AG repülőgépipari cégtől 42 millió eurót csaltak ki egy támadással – ezt követően kirúgták a pénzügyi igazgatót és a vezérigazgatót is.

• • A Fancy Bear 2016 első negyedévében szigonyozásokat hajtott végre a Demokratikus Nemzeti Bizottsággal kapcsolatos e-mail címeken.
  • A Wichita Eagle beszámolója szerint "A kansas-i egyetemi alkalmazottak adathalász átverés áldozatául estek és elveszítették a fizetésüket".
  • A gyanú szerint a Fancy Bear áll a 2016 augusztusában a Bundestag tagjai és több politikai párt, például a Linken-frakció vezetője, Sahra Wagenknecht, a Junge Union és a Saar-vidéki CDU ellen indított spear phishing támadás mögött.
  • 2016 augusztusában a Nemzetközi Doppingellenes Ügynökség arról számolt be, hogy adatbázisának felhasználóinak adathalász e-maileket küldtek, amelyek azt állították, hogy a WADA hivatalos tagjai. Azonban a Fancy Bear nevű orosz hackercsoport tagjai voltak
  • A 2016-os amerikai választási eredmények után néhány órával orosz hackerek hamisított Harvard Egyetemi e-mail címekről küldtek e-maileket, az adathalászathoz hasonló technikákat alkalmazva hamis híreket tettek közzé, amelyek az egyszerű amerikai szavazókat célozták meg.
• 2017
  • 2017-ben a szervezetek 76%-a tapasztalt adathalász támadást. A megkérdezett információbiztonsági szakemberek közel fele szerint a támadások aránya 2016-hoz képest nőtt.
  • Katarban 2017 első felében három hónap alatt több mint 93 570 adathalász támadás érte a vállalkozásokat és a lakosokat.
  • Egy Google- és Facebook-felhasználóknak küldött adathalász e-mail sikeresen rávette az alkalmazottakat, hogy pénzt – 100 millió dollár értékben – utaljanak egy hacker ellenőrzése alatt álló tengerentúli bankszámlákra. A férfit azóta letartóztatták.
  • 2017 augusztusában az Amazon ügyfelei szembesültek az Amazon Prime Day adathalász-támadással, amikor hackerek látszólag legitim ajánlatokat küldtek az Amazon ügyfeleinek. Amikor az Amazon ügyfelei megpróbáltak vásárolni az "ajánlatok" segítségével, a tranzakció nem zárult le, így a kiskereskedő ügyfelei olyan adatok megadására kényszerültek, amelyek kompromittálódhattak és ellophatták őket.
• 2018
  • 2018-ban az EOS.IO blokkláncot kifejlesztő block.one vállalatot megtámadta egy adathalász csoport, amely adathalász e-maileket küldött minden ügyfélnek, azzal a céllal, hogy elfogja a felhasználó kriptopénz tárca kulcsát; egy későbbi támadás pedig az airdrop tokeneket célozta meg.

APWG Phishing Attack Trends Reports. (Hozzáférés: 2019. május 5.)

Vannak olyan adathalászat-ellenes weboldalak, amelyek pontosan azokat az üzeneteket teszik közzé, amelyek a közelmúltban az interneten keringtek, például a FraudWatch International és a Millersmiles. Az ilyen oldalak gyakran konkrét részleteket közölnek az egyes üzenetekről.

Még 2007-ben is alacsony volt az adathalászat elleni stratégiák elfogadása a személyes és pénzügyi információk védelmét igénylő vállalkozások körében. Ma már számos különböző technika létezik az adathalászat elleni küzdelemre, köztük a jogszabályokat és a kifejezetten az adathalászat elleni védelemre létrehozott technológiákat. Ezek a technikák olyan lépéseket tartalmaznak, amelyeket az egyének és a szervezetek is megtehetnek. A telefonos, weboldali és e-mailes adathalászatot ma már lehet jelenteni a hatóságoknak, az alábbiakban leírtak szerint.

Felhasználói képzés

 

Az embereket ki lehet képezni az adathalászkísérletek felismerésére, és arra, hogy különböző megközelítésekkel kezeljék őket. Az ilyen oktatás hatékony lehet, különösen ott, ahol a képzés a fogalmi ismeretekre helyezi a hangsúlyt, és közvetlen visszajelzést biztosít. Ezért bármely szervezet vagy intézmény adathalászat elleni stratégiájának lényeges része a felhasználók aktív oktatása, hogy azok habozás nélkül felismerjék az adathalász-csalásokat, és ennek megfelelően tudjanak cselekedni.

Sok szervezet rendszeresen szimulált adathalászkampányokat futtat a munkatársait megcélozva, hogy mérjék a képzés hatékonyságát.

Az emberek a böngészési szokásaik kismértékű módosításával is tehetnek lépéseket az adathalászkísérletek elkerülésére. Amikor egy fiók „ellenőrzésére” vonatkozó megkeresés (vagy bármely más, az adathalászok által használt téma) esetén észszerű elővigyázatosság, hogy kapcsolatba lépjenek azzal a céggel, ahonnan az e-mail látszólag származik, és ellenőrizzék, hogy az e-mail valós. Alternatív megoldásként a böngésző címsorába be lehet írni azt a címet, amelyről az egyén tudja, hogy a vállalat valódi honlapja, és nem szabad megbízni a feltételezett adathalász üzenetben található hivatkozásokban.

A vállalatok által az ügyfeleiknek küldött szinte minden törvényes e-mail üzenet tartalmaz egy olyan információt, amely az adathalászok számára nem könnyen hozzáférhető. Egyes vállalatok, például a PayPal, az e-mailekben mindig a felhasználónevükkel szólítják meg ügyfeleiket, így ha egy e-mail általános módon szólítja meg a címzettet ("Kedves PayPal-ügyfél"), az valószínűleg adathalász kísérletnek minősül. A PayPal továbbá különböző módszereket kínál a hamisított e-mailek meghatározására, és azt tanácsolja a felhasználóknak, hogy a gyanús e-maileket továbbítsák a [email protected] címre, hogy kivizsgálják és figyelmeztessék a többi ügyfelet. Nem biztonságos azonban azt feltételezni, hogy a személyes adatok jelenléte (például a fent említett, felhasználónéven való megszólítás) önmagában garantálja, hogy egy üzenet biztonságos, és egyes tanulmányok szerint a személyes adatok jelenléte nem befolyásolja az adathalász-támadások sikerességi arányát; ami arra utal, hogy a legtöbb ember nem figyel oda az ilyen részletekre.

A bankoktól és hitelkártya-társaságoktól érkező e-mailek gyakran tartalmaznak részleges számlaszámokat. A legújabb kutatások azonban kimutatták, hogy a lakosság jellemzően nem tesz különbséget a számlaszám első és utolsó néhány számjegye között – ez jelentős probléma, mivel az első néhány számjegy gyakran ugyanaz egy adott pénzintézet minden ügyfele számára.

Az Anti-Phishing Working Group, aki a világ egyik legnagyobb adathalászat elleni szervezete, rendszeresen jelentést készít az újabb adathalász-támadások trendjeiről.

A Google közzétett egy videót, amely bemutatja, hogyan lehet azonosítani és megvédeni magát a felhasználóknak az adathalász csalásoktól.

Adathalász levelek kiszűrése

A speciális spamszűrők csökkenthetik az adathalász e-mailek számát, amelyek eljutnak a címzettek postaládájába. Ezek a szűrők számos technikát használnak, többek között gépi tanulási és természetes nyelvi feldolgozási megközelítéseket az adathalász e-mailek osztályozására és a hamisított címekkel ellátott e-mailek visszautasítására.

A böngészők figyelmeztetése a hamis weboldalakra

Az adathalászat elleni küzdelem másik népszerű megközelítése az ismert adathalász webhelyek listájának vezetése, és a webhelyek ellenőrzése a lista alapján. Az egyik ilyen a Safe Browsing nevű szolgáltatás. Az olyan webböngészők, mint a Google Chrome, az Internet Explorer 7, a Mozilla Firefox 2.0, a Safari 3.2 és az Opera mind tartalmaznak ilyen típusú adathalászat elleni funkciót. A Firefox 2 a Google adathalászat elleni szoftverét használta. Az Opera 9.1 a Phishtank, a cyscon és a GeoTrust élő feketelistáit, valamint a GeoTrust élő fehérlistáit használja. E megközelítés egyes megvalósításai a meglátogatott URL-eket egy központi szolgáltatásnak küldik el ellenőrzésre, ami adatvédelmi aggályokat vetett fel. A Mozilla 2006 végén készített jelentése szerint egy független szoftvertesztelő cég tanulmánya szerint a Firefox 2 hatékonyabbnak bizonyult a csaló oldalak felderítésében, mint az Internet Explorer 7.

A 2006 közepén bevezetett megközelítés egy olyan speciális DNS-szolgáltatásra való áttérés, amely kiszűri az ismert adathalász tartományokat: ez bármely böngészővel működik, és elvileg hasonló ahhoz, mintha egy hosts-fájlt használnánk a webes hirdetések blokkolására.

Annak a problémának a mérséklésére, hogy az adathalász webhelyek az áldozat webhelyét annak képeinek (például logóinak) beágyazásával megszemélyesítik, több webhelytulajdonos megváltoztatta a képeket, hogy üzenetet küldjön a látogatónak arról, hogy az adott webhely csaló lehet. A képet áthelyezhetik egy új fájlnévre, és az eredetit véglegesen lecserélhetik, vagy a szerver észlelheti, hogy a képet nem a normál böngészés részeként kérték, és helyette egy figyelmeztető képet küld.

Jelszóval történő bejelentkezések kibővítése

A Bank of America honlapja egyike azon honlapoknak, amelyek arra kérik a felhasználókat, hogy válasszanak egy személyes képet (SiteKey néven említik), és ezt a felhasználó által kiválasztott képet jelenítik meg minden olyan űrlapon, amely jelszót kér. A bank online szolgáltatásainak felhasználói csak akkor kapnak utasítást a jelszó megadására, amikor az általuk kiválasztott képet látják. Több tanulmány szerint azonban kevés felhasználó tartózkodik a jelszó megadásától, ha a kép nem jelenik meg Emellett ez a funkció (a kétfaktoros hitelesítés más formáihoz hasonlóan) más támadásoknak is ki van téve, mint például 2005 végén a skandináv Nordea bankot és 2006-ban a Citibankot ért támadások.

Más pénzintézeteknél is használatban van egy hasonló rendszer, amelyben egy automatikusan generált "Identity Cue", -amely egy színes dobozban lévő színes szóból áll-, megjelenik minden weboldal felhasználójának.

A biztonsági skinek egy kapcsolódó technika, amelynek lényege, hogy a bejelentkezési űrlapra egy felhasználó által kiválasztott képet helyeznek vizuális jelként, hogy az űrlap biztonságos. A weboldal-alapú képsémáktól eltérően azonban maga a kép csak a felhasználó és a böngésző között kerül megosztásra, a felhasználó és a weboldal között nem. A rendszer egy kölcsönös hitelesítési protokollra is támaszkodik, ami kevésbé teszi sebezhetővé a csak a felhasználót érintő hitelesítési rendszereket érő támadásokkal szemben.

Egy másik technika a képek dinamikus rácsára támaszkodik, amely minden egyes bejelentkezési kísérletnél más és más. A felhasználónak azonosítania kell azokat a képeket, amelyek megfelelnek az előre kiválasztott kategóriáknak (például kutyák, autók és virágok). Csak miután helyesen azonosította a kategóriáinak megfelelő képeket, adhatja meg az alfanumerikus jelszót a bejelentkezés befejezéséhez. A Bank of America weboldalán használt statikus képekkel ellentétben a dinamikus képalapú hitelesítési módszer egyszeri jelszót hoz létre a bejelentkezéshez, aktív részvételt igényel a felhasználótól, és nagyon nehéz egy adathalász weboldalnak helyesen lemásolnia, mivel egy véletlenszerűen generált képekből álló, a felhasználó titkos kategóriáit tartalmazó, eltérő rácsot kellene megjelenítenie.

Nyomon követés és eltávolítás

Számos vállalat kínál bankoknak és más, az adathalász-csalásoknak valószínűleg kitett szervezeteknek éjjel-nappal működő szolgáltatásokat az adathalász weboldalak megfigyelésére, elemzésére és az adathalász weboldalak leállításában való segítségnyújtásra. A hamis tartalmak automatikus felismerése még mindig a közvetlen fellépéshez elfogadott szint alatt van, a tartalomalapú elemzés 80-90%-os sikert ér el, ezért a legtöbb eszköz manuális lépéseket tartalmaz az észlelés igazolására és a válaszadás engedélyezésére. Az egyének az adathalászatot önkéntes és iparági csoportok, például a cyscon vagy a PhishTank felé történő bejelentéssel járulhatnak hozzá Az adathalász weboldalakat és e-maileket a Google-nak is lehet jelenteni.

Többtényezős hitelesítés

A szervezetek kétfaktoros vagy többfaktoros hitelesítést (MFA) alkalmazhatnak, amely megköveteli, hogy a felhasználó legalább két tényezőt használjon a bejelentkezéskor. (Például a felhasználónak egy intelligens kártyát és egy jelszót is be kell mutatnia). Ez némileg csökkenti a kockázatot, egy sikeres adathalász-támadás esetén az ellopott jelszó önmagában nem használható fel újra a védett rendszer további feltörésére. Sok olyan támadási módszer létezik azonban, amely számos tipikus rendszert képes legyőzni. Az olyan MFA-rendszerek, mint a WebAuthn, képesek kezelni ezt a problémát.

E-mail tartalmának szerkesztése

Azok a szervezetek, amelyek a kényelem helyett a biztonságot helyezik előtérbe, megkövetelhetik a számítógépek felhasználóitól, hogy olyan e-mail klienst használjanak, amely az URL-címeket törli az e-mail üzenetekből, így lehetetlenné téve, hogy az e-mail olvasója (akár véletlenül is) rákattintson egy linkre, vagy másoljon egy URL-címet. Bár ez kellemetlenséggel járhat, de szinte teljesen kiküszöböli az e-mailes adathalász-támadásokat.

Jogi reakciók

2004. január 26-án az Egyesült Államok Szövetségi Kereskedelmi Bizottsága benyújtotta az első pert egy feltételezett adathalász ellen. Az alperes, egy kaliforniai tinédzser, állítólag egy olyan weboldalt hozott létre, amely úgy nézett ki, mint az America Online weboldala, és azt használta hitelkártyaadatok ellopására. Más országok is követték ezt a példát az adathalászok felkutatásával és letartóztatásával. Brazíliában letartóztattak egy adathalász-királyt, Valdir Paulo de Almeidát, aki az egyik legnagyobb adathalász-bűnszövetkezet vezetője volt, amely két év alatt 18 és 37 millió dollár közötti összeget lopott el.

Az Egyesült Államokban Patrick Leahy szenátor 2005. március 1-jén terjesztette elő a Kongresszusban a 2005. évi adathalászat elleni törvényt (Anti-Phishing Act of 2005). Ez a törvényjavaslat, ha törvénybe iktatták volna, akár 250 000 dollárig terjedő pénzbírsággal és öt évig terjedő börtönbüntetéssel sújtotta volna azokat a bűnözőket, akik hamis weboldalakat hoztak létre és hamis e-maileket küldtek a fogyasztók megtévesztése érdekében. Az Egyesült Királyság megerősítette az adathalászat elleni jogi arzenálját a 2006-os Fraud Act (csalásról szóló törvény), amely bevezeti a csalás általános bűncselekményét, amely akár tízéves börtönbüntetéssel is sújtható, és tiltja az adathalász eszközök csalási szándékkal történő kifejlesztését vagy birtoklását.

A vállalatok is csatlakoztak az adathalászat visszaszorítására irányuló erőfeszítésekhez. A Microsoft 2005. március 31-én 117 szövetségi pert nyújtott be a Washington nyugati kerületének amerikai kerületi bíróságán. A perek "John Doe" alpereseket vádolnak jelszavak és bizalmas információk megszerzésével. 2005 márciusában a Microsoft és az ausztrál kormány közötti partnerség keretében a bűnüldöző szervek tisztviselőit is kiképezték arra, hogyan küzdjenek a különböző kiberbűncselekmények, köztük az adathalászat ellen. 2006 márciusában a Microsoft további 100, az Egyesült Államokon kívül tervezett pert jelentett be, majd 2006 novemberétől 129, büntető- és polgári pereket vegyítő per indult. Az AOL 2006 elején három perrel erősítette meg az adathalászat elleni erőfeszítéseit, amelyekben a Virginia Computer Crimes Act 2005-ös módosításai alapján összesen 18 millió dollárt követelnek, és az Earthlink is csatlakozott, segítve hat férfi azonosítását, akiket később Connecticutban adathalász csalással vádoltak meg.

2007 januárjában a kaliforniai Jeffrey Brett Goodin lett az első vádlott, akit a 2003-as CAN-SPAM törvény rendelkezései alapján az esküdtszék elítélt. Bűnösnek találták abban, hogy több ezer e-mailt küldött az America Online felhasználóinak, miközben az AOL számlázási részlege egyik munkatársának adta ki magát, ami arra késztette az ügyfeleket, hogy személyes és hitelkártyaadatokat adjanak meg. A CAN-SPAM-szabálysértésért és tíz másik vádpontért, köztük postai és távirati csalásért, a hitelkártyák jogosulatlan használatáért és az AOL védjegyével való visszaélésért kiszabható 101 év börtönbüntetéssel szemben 70 hónap letöltésére ítélték. Goodin azóta volt őrizetben, hogy nem jelent meg egy korábbi bírósági meghallgatáson, és azonnal megkezdte a börtönbüntetés letöltését.

• Ez a szócikk részben vagy egészben a Phishing című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

• Anti-Phishing Working Group
• Center for Identity Management and Information Protection – Utica College
• Plugging the "phishing" hole: legislation versus technology Archiválva 2005. december 28-i dátummal a Wayback Machine-ben. – Duke Law & Technology Review
• Example of a Phishing Attempt with Screenshots and Explanations – StrategicRevenue.com
• A Profitless Endeavor: Phishing as Tragedy of the Commons – Microsoft Corporation
• Database for information on phishing sites reported by the public – PhishTank
• The Impact of Incentives on Notice and Take-down − Computer Laboratory, University of Cambridge (PDF, 344 kB)
• Digitális Fogalomtár – Digitális Jólét Program

• Informatikai biztonság