A black friday akciókkal már javában tart az év végi ünnepi kereskedelmi szezon, ilyenkor a pezsgő online térben a kibertámadások is megszaporodhatnak. Mint az InfoRádióban Bor Olivér kiberbiztonsági szakértő, az Ernst & Young munkatársa, szakértője elmondta, mi magunk jelentjük a legnagyobb fenyegetést, mert a kibertámadásoknak még mindig nagyjából a 90 százaléka emberi mulasztáshoz köthető.

Vagy egy gyenge jelszó, vagy egy figyelmetlen kattintás, vagy egy álhír olyan feldolgozása, ami alapján én azt fogom hinni, hogy ez igaz és tovább terjesztem – mindig kell valamilyen emberi interakció általában ahhoz, hogy az adott szervezet, az adott felhasználó áldozattá váljon.

Ráadásul a koronavírus-járvány által felgyorsított digitalizációs folyamat magával hozta azt, hogy a kibertámadások, az online csalások egyre jobbak és jobbak, és borzasztóan nehéz ellenük védekezni.

Egy stabil fegyverünk van: a kritikus gondolkodás

- emelte ki Bor Olivér. Egyre hihetőbbek ezek a kamu üzenetek, hamis weboldalak. Régebben ha kapott valaki egy adathalász e-mailt – így hívják azt, hogyha valamire rá akarnak minket venni, valamilyen befolyásolással hirdetnek valamit, vagy éppen riogatnak például azzal, hogy elmaradásom van, és rá akarnak venni, hogy kattintsak egy linkre, csatolmányt töltsek le, és az adataimra pályáznak vagy a pénzemre - akkor ezek tipikusan rossz magyarsággal íródtak, tele voltak helyesírási hibával.

„Szia, én menni enni, te fizetni nekem; kattint link, mert elmaradt az E.ON számla, köszi. Mondjuk ez 2017-16-ban volt jellemző” – még ennek is nagyon-nagyon sokan bedőltek. Ám mostanra a stilisztika, a külcsín nagyon durván megváltozott, most már ott tartunk 2025-ben, hogy egy mail nemhogy magyartalan nem lesz, de nem nagyon fogunk benne helyesírási hibát találni. De ha jól is van összerakva egy mail vagy sms, gyanakodhatunk.

„Azt javaslom, és ez a másik fő fegyverünk, hogy nyugodjunk le, dőljünk hátra, vegyünk egy mély levegőt, és nyissuk meg az interneten azt a weboldalt, amit mi igaznak gondolunk. Ne az sms-ből, ne az e-mailből érjük el, hagyjuk az ott szereplő linket, hanem mi nyissunk egy új böngészőt, üssük be, hogy például.de, és nézzem meg, hogy vannak-e ilyen sms-ek, van-e ilyen akció, ott vannak kapcsolattartási adatok, hívjam fel, írjak nekik, hogy nézzétek, kaptam tőletek egy ilyen e-mailt, sms-t, ezek tényleg ti vagytok? Tényleg van tartozásom? És meg fogják mondani a hivatalos csatornákon. Nagyon-nagyon fontos, hogyha telefonon érkezik ilyen hívás, és azt látom a telefonomon kijelzve, hogy ez akár az én szolgáltatóm, akkor se dőljek be neki, mert ezeket a telefonszámokat is könnyen lehet már hamisítani manapság” – emelte ki

Minél több biztonsági faktort pakolunk bele, annál jobb - mondta a szakértő, hozzátáve: ez olyan, mint egy hagyma, minél több réteg veszi körül a közepét, annál biztonságosabb.

A legtöbb készülék most már alkalmas arra, hogy valamilyen szinten kiszűrje ezeket a spam- vagy kamuhívásokat, de nem mindegyik és nem tökéletes biztonsággal. Ezért, hogyha ilyen hívás érkezik, láthatólag attól a szervezettől, amelyiknél tényleg a bankszámla van, vagy amelyik a villany- vagy gázszolgáltató – és itt fontos átgondolni, hogy valóban annál a szolgáltatónál vagyunk-e, mert bár szürreálisnak tűnhet, de az emberek, amikor megijednek, nem feltétlenül gondolják át, hogy melyik cég ügyfelei, nagyon hamar be lehet dőlni –, akkor nézzek utána más forrásokban az információknak. Tegye le a kagylót, és hívja fel a weboldalon talált számon a szolgáltatót.

Vagy például

kérhet keresztazonosítást, bankok esetében mindenképpen.

Ez azt jelenti, hogyha valaki felhív engem a banktól, és kéri, hogy azonosítsam magam – édesanyja neve, születési helye, születési dátuma stb. –, és elmondok neki egy csomó információt, de a születési dátumomnál csak az évet és a hónapot, mondja el ő a napot. És ha banki alkalmazott, látni fogja a rendszerben a választ, de ha csaló, akkor nem. Ez a keresztazonosítás” – mondta Bor Olvivér.

Beszélt arról is, hogy milyen a jó jelszó. Egy kis utánajárással meg lehet tudni, melyek a megbízható jelszótárolók, illetve jelszógeneráló eszközök. Bor Olivér szerint a böngészőbe beépített jelszómegjegyző alkalmazások bár már sokkal biztonságosabbak, mint korábban, de érdemes inkább megjegyezni a jelszavainkat. Az a szabály, hogy legalább 12 karakter legyen egy jelszó, és itt előnyös, ha a magyar nyelvet használjuk, mert relatív kevesebben beszélik, mint az angolt, tehát nehezebb rájönni, ha fel akarják törni, hogy mi a jelszó. Illetve vannak sajátos magánhangzóink (például az ö betű, az ü betű, stb.), ezek nem mindenhol használtak, ezért használatuk megnehezítheti a hackerek dolgát, még akkor is, ha nagyon durva számítási kapacitással rendelkező számítógépeket használnak.

„Tegyünk bele számokat, nagybetűket, kisbetűket, speciális karaktert – felkiáltójel, dollárjel, kötőjel, bármi ilyesmi, amit enged amúgy a weboldal –, vagy használjunk jelmondatokat. Ezek hozzánk nem köthető jelmondatok vagy például kedvenc verssorunk, idézetünk, vagy egy muzsikából egy kedvenc sorunk. Ezt még meg lehet bonyolítani. Ha kiválasztom, mondjuk, a Himnusz első sorát, hogy Isten, áldd meg a magyart jó kedvvel, bőséggel, ez lehet a jelszó, és az S betűt átváltom dollárjellé, vagy például az ő betűt átváltom egy nullává, az sokat hozzáad a biztonsághoz” – mondta a kiberbiztonsági szakértő, hozzátéve, hogy mindenhol más-más jelszót használjunk.

Azt is javasolja, hogy időközönként változtassuk meg a jelszavainkat.

Legalább negyedévenként ellenőrizzük, hogy kompromittálódott-e - a Have I Been Pwned nevezetű weboldalon meg lehet nézni, hogy ellopták-e, használták-e illetéktelenek az e-mail-címünket és a jelszavainkat.

Ne használjuk a korábban már használt jelszót, se annak semmilyen iterációját, egy másik weboldalon sem. Használhatók a jelszószéfek és kétfaktoros vagy multifaktoros azonosítási eljárások. Ez utóbbi azt jelenti, hogy a jelszó mellett még valamivel azonosítania kell magát a felhasználónak, vagy arcfelismerővel, vagy ujjlenyomat-olvasóval, vagy egy másik kóddal, amit sms-ben vagy e-mailben adnak, vagy egy autentikátor applikáció segítségével bemutatott kóddal.

Figyelni kell még arra, hogy mire használjuk a nyilvános wifit. Weboldalak megnézésére, hírek elolvasására, vagy például az InfoRádió online hallgatására jó, azzal nem lesz probléma. De olyan oldalakhoz, ahol meg kell adni a felhasználónevet, a jelszót, az e-mail címet, pláne a netbankolásos azonosítókat, semmiképpen se a nyilvános wifit használjuk. Kerüljük a haszálatát munkánál is, inkább használjuk a saját szolgáltatónk mobilinternetét.

„Például vonaton a telefonomról csatlakozzak fel a laptopra, onnan nyerjem az internetet, és így kezdjek el egy úgynevezett VPN hálózaton keresztül – ez a virtuális privát hálózat egy biztonságos csatorna, ami végponttól végpontig titkosítva van – internetezzek. Így ellenőrzöttebb az egész, ha már nagyon muszáj, mondjuk, vonaton dolgozni. Mert még az úgynevezett shoulder surfing-re is figyelni kell, ez a váll mögötti kukucskálást jelenti, amikor illetéktelenek rálátnak a laptopunkra, ilyenkor üzleti titkok kerülhetnek ki” – mondta Bor Olivér kiberbiztonsági szakértő, az Ernst & Young munkatársa.