Az amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) valamint az NSA, az FBI és az MS-ISAC közös útmutatót adott ki, amelyben részletesen ismertetik a leggyakrabban használt adathalász technikákat, továbbá ajánlásokat tesznek a támadások hatásának mérséklésére.

Adathalász támadások során a csalók ún. social engineering módszereket alkalmaznak annak érdekében, hogy az áldozatokat rábírják a hitelesítési adataik megadására vagy rosszindulatú weboldalak meglátogatására. Ezen weboldalak célja kártékony szoftverek telepítése és bejelentkezési adatok eltulajdonítása, amelyeket később a támadók felhasználhatnak vállalati hálózatokhoz vagy más erőforrásokhoz való hozzáféréshez.

Az útmutató szerint az adathalászat során az elkövetők általában megbízható forrásként mutatkoznak be, például az adott áldozat felettesének vagy a cég informatikai osztály munkatársának adják ki magukat annak érdekében, hogy meggyőzzék a címzetteket, hogy osszák meg velük a felhasználónevüket és jelszavukat.

Néhány tipp, hogyan kezeljük ezeket a hívásokat:

• Kezelje óvatosan, fenntartással a „vezetőjétől” érkező szokatlan telefonhívásokat!
• Tartsa be szigorúan a kifizetésekre és a beszerzésre vonatkozó biztonsági eljárásokat! Ne hagyjon ki eljárási lépéseket, és ne engedjen a nyomásgyakorlásnak!
• Mindig gondosan ellenőrizze a hívásokban, e-mailekben érkező kéréseket a bizalmas információk, pénzátutalások esetében!
• Az ellenőrzéshez ne használja a hívó által megadott telefonszámot! Ha van rá mód, hívja fel a felsővezetőt vagy annak asszisztensét, titkárságát!
• Ne az e-mailre válaszolva próbáljon meggyőződni annak valódiságáról, hanem inkább telefonáljon vagy más csatornán ellenőrizze a feladatot! Ha van rá mód, hívja fel a felsővezetőt vagy annak asszisztensét, titkárságát!
• Amennyiben kétségei vannak egy átutalási utasítással kapcsolatban, mindig kérdezzen meg egy kompetens munkatársat, még akkor is, ha a feladat diszkrét kezelésére kérték!
• Soha ne nyisson meg e-mailben kapott gyanús hivatkozásokat vagy mellékleteket! Különös körültekintéssel járjon el, ha vállalati számítógépeken nyitja meg személyes e-mail-fiókját!
• Korlátozottan terjessze az információkat, és kezelje óvatosan a közösségi médiát! Ne tegyen közzé semmilyen, a munkájával vagy a munkahelyével kapcsolatos tartalmat, információt! Ne osszon meg a vállalati hierarchiára, biztonságra és eljárásokra vonatkozó információkat!

Minden esetben értesítse a vezetőt, valamint a biztonsági és a csalásmegelőzési területet, ha gyanús e-mailt vagy telefonhívást kap!

ADATHALÁSZ TÁMADÁSOK MEGELŐZÉSÉRE VONATKOZÓ INTÉZKEDÉSEKRŐL A NEMZETI KIBERVÉDELMI INTÉZET HONLAPJÁN BŐVEBBEN IS TÁJÉKOZÓDHAT:

https://nki.gov.hu/it-biztonsag/hirek/hogyan-vedekezzunk-az-adathalaszat-ellen-az-amerikai-kormany-utmutatot-keszitett-a-temaban/