A biztonsági kutatók szerint a bűnözők a következő TP-Link modelleket használták ki:

• TP-Link Archer AX21 (AX1800): a modell a CVE-2023-1389 nevű távoli kódfuttatási (RCE) sérülékenység miatt vált célponttá. A botnet, amely a Ballista nevet kapta, már több mint 6 000 ilyen eszközt fertőzött meg, főként az Egyesült Királyságban, Lengyelországban, Bulgáriában, Törökországban és más európai országokban.
• TP-Link WR841N: ez az egyik legelterjedtebb belépő szintű router. Régebbi firmware-verzióin keresztül a támadók távoli parancsokat futtathattak, így ez is több botnet – köztük a Quad7 és CovertNetwork – célpontjává vált.

Hogyan történik a fertőzés?

A támadók automatizált eszközökkel keresik az internetre kötött, gyárilag konfigurált vagy elavult firmware-t futtató routereket. Amint egy sebezhető példányt találnak, akkor:

• kihasználják a biztonsági rést,
• telepítik a botnet-kliens szoftvert,
• majd az eszközt parancsokra várakozó „zombiként” használják fel további támadásokhoz.

Egyes esetekben a routerek képesek továbbfertőzni más eszközöket is ugyanazon a hálózaton belül (pl. okostévék, NAS-ok, IP kamerák).

Milyen veszélyekkel jár a fertőzés?

• A fertőzött routereken keresztül adatlopás történhet, például jelszavak, hitelesítési adatok, banki információk vagy céges VPN-hozzáférések kiszivárgása.
• A támadók DDoS-támadásokat indíthatnak más célpontok ellen – a te internetkapcsolatodat használva.
• A fertőzés teljesen észrevétlen lehet, hiszen a router általában nem jelez külső beavatkozást.

Mit lehet tenni a fenyegetés ellen?

• Ha WR841N routered van: Érdemes fontolóra venni a cserét, mivel a készülék több éve nem kap hivatalos frissítést.
• Firmware-frissítés: lépj be a router adminfelületére, és ellenőrizd, hogy a legújabb szoftververzió fut-e.
• Admin jelszó cseréje: sose használd a gyári jelszót! Használj hosszú, egyedi jelszót az adminisztrációhoz.
• Távoli elérés kikapcsolása: ha nem használod, tiltsd le a WAN-on keresztüli hozzáférést (Remote Management, Telnet, UPnP).

A TP-Link-routerek ezrei kiberbűnözők kezében bejegyzés először Infovilág-én jelent meg.

Nem erotikus oldal, nem is letöltéseket népszerűsít, hanem gyermekeknek kínál lovasterápiás foglalkozásokat a weboldal, nemrég feltehetően orosz hackerek törték föl – elavult WordPress-bővítmények sérülékenységei által. 

Az első tanulság, amit az esetből rögtön levonhatunk, hogy bármilyen weboldalon találkozhatunk kártevőkkel, kártékony és adathalász-linkekkel, legyen az akár egy gyerekekkel kapcsolatos oldal. 

Ez a tény a szakemberek körében már régóta ismert: a legnépszerűbb webes tartalomkezelő rendszereket – köztük elsőként a WordPresst – folyamatosan vizsgálják a hackerek, és ha egy szolgáltató hosszabb időn keresztül elmulasztja a rendszer és a bővítmények frissítéseinek telepítését, akkor számíthat rá, hogy kiberbűnözők feltörik a weboldalát, majd játszótérként a saját tartalmaik terjesztésére használják. 

Ebben az esetben a kártevők telepítése mellett például orosz nyelvű linkeket is elhelyeztek a magyar szövegben, ezzel népszerűsítve az általuk támogatott weboldalakat. 

Böngészés közben szükség van tehát aktív vírusvédelemre, ami képes blokkolni a fertőzött, kártékony linkeket tartalmazó weboldalakat – ebben az esetben a G DATA megfelelő riasztást adott, és megakadályozta az oldal felkeresését. (Azóta pedig már felvettük a kapcsolatot az oldal üzemeltetőjével, aki eltávolította a fertőzött WordPress bővítményeket.)

A weboldalakat üzemeltetők számára pedig tanulság, hogy rendszeresen frissíteni kell a tartalomkezelő rendszereket. WordPress, Drupal vagy Joomla, esetleg saját fejlesztés: mindenhol lehetnek sérülékenységek, amiket frissítésekkel foltoznak be a gyártók. A frissítések telepítése nélkül azonban hosszú távon védtelen marad a rendszer a betörési kísérletekkel szemben. 

Ha pedig tovább szeretné valaki növelni a weboldala biztonságát, használjon kétlépcsős bejelentkezést, és válasszon olyan hosting-szolgáltatót, amelyik folyamatosan frissíti a futtatáshoz szükséges környezetet.

A Ezért van szükség vírusirtóra bejegyzés először Infovilág-én jelent meg.

A kórház számítógépes rendszerébe behatolt zsarolóvírus titkosította a fájlokat, megakadályozta a hozzáférést az életmentő orvosi információkhoz és a betegek adataihoz. Az elkövetők váltságdíjat követeltek a titkosított adatok visszaállításáért cserébe, ami súlyos anyagi terhet rótt a kórházra, aminek jó hírneve ugyancsak csorbult a támadás miatt.

Az ilyen jellegű támadások különösen veszélyesek az egészségügyben, mivel az orvosi adatok és a rendszerek hozzáférhetősége létfontosságú a betegek ellátásában. A Lurie Gyermekkórház azonnal elkezdte az incidenskezelési folyamatokat, együttműködésben kiberbiztonsági szakértőkkel és a hatóságokkal a támadás kivizsgálása és az adatok helyreállítása végett. A kórházi vezetők hangoztatták: mindennél fontosabb számukra a betegadatok védelme és a számítógépes rendszer mielőbbi teljes helyreállítása és védelmének tökéletesítése. 

A pácienseket és érintetteket értesítették az adatvédelmi incidensről, és tanácsokat adtak a lehetséges következmények elkerülésére, beleértve a hitel- és identitásvédelmi lépéseket.

Ez a támadás is rávilágít az egészségügyi ágazat kiberbiztonsági sebezhetőségeire. A múlt években számos hasonló incidens történt, ami arra ösztönözte az intézményeket, hogy erősítsék meg védelmi rendszereiket, és növeljék a kiberbiztonsági tudatosságot.

Az ilyen támadásoknak súlyos következményei lehetnek nemcsak az érintett intézményekre, hanem a betegek személyes és egészségügyi adataira is, amik rendkívül érzékenyek, a kiberbűnözők számára pedig értékesek. A zsarolóvírus-támadások ráadásul súlyos anyagi és működési károkat is okozhatnak, ami hosszú távon is éreztetheti hatását.

A kiberbiztonsági szakértők hangsúlyozzák, hogy a megelőzés a legjobb védekezés. Azaz: nagy figyelmet kell fordítani a rendszeres adatmentésre, az erős tűzfalakra, a vírusirtó programokra és az alkalmazottak oktatására – ezek mind hozzájárulhatnak a hasonló támadások megelőzéséhez. Az incidens rávilágít arra, hogy az egészségügyi ágazat szereplőinek folyamatosan fejleszteniük kell biztonsági előírásaikat és módszereiket, hogy lépést tartsanak a gyorsan változó kiberfenyegetésekkel.

A G DATA zsarolóvírusok elleni egyedi technológiájáról itt olvashat bővebben.

A Gyermekkórház vált zsarolóvírus áldozatává bejegyzés először Infovilág-én jelent meg.

MrBeast igazán nagyszabású videókat készít a YouTube csatornájára: legutóbb egy Lamborghini és 100 ezer dollár készpénz megnyeréséhez a versenyzőnek többek között 10 ezer géppuska lövedéktől és egy felé száguldó vonattól kellett megvédeni az autót és az anyósülésre helyezett készpénzt.

Most azonban nem MrBeast munkásságáról lesz szó, hanem arról a jelenségről, hogy az interneten tömegével jelentek meg a youtuber névével visszaélő, legtöbbször mesterséges intelligenciát és deepfake fotókat, videókat felhasználó átverések.

Így például a Mrbeast[.]world egy ismert adathalász oldal, amely úgy ver át téged, hogy hamis ajándékutalványokat ígér olyan oldalakra, mint az Amazon, a Steam vagy a PlayStation, de az utalvány kézhezvétele előtt a felhasználóknak teljesíteniük kell valamit.

Így az oldal kérheti például:

• Rosszindulatú alkalmazások telepítését.
• Előfizetéses szolgáltatásokra történő regisztrációt.
• Érzékeny személyes adatok megadását.

Ha a látogató teljesíti ezeket a feltételeket, akkor sem jut ajándékkártyához, totális átverésről van szó. (A G DATA ismert adathalász oldalként azonosítja és blokkolja a webcímet.)

De ugyanilyen átveréseket tartalmaznak a hamis telefonos játékok és kaszinó alkalmazások. A csalók ezekben az esetekben egyszerűen felhasználják MrBeast fotóját, vagy mesterséges intelligencia segítségével egy olyan hamis (deepfake) videót készítenek, amelyben a youtuber látszólag a telefonos alkalmazást népszerűsíti.

Ha ilyen alkalmazást töltünk le a telefonunkra, akkor az általában személyes adatainkra pályázik, rosszabb esetben pedig a „nyeremény felvételéhez” elkéri bankkártyánk adatait, vagy kisösszegű befizetést kér a nagyobb összeg kiutalása előtt.

Érdemes tehát megjegyeznünk, hogy nincs ingyen pénz. MrBeast nem az egyetlen híresség, akinek arcképével és nevével visszaélnek a csalók: ha ilyen ígérettel találkozunk, akkor legtöbbször személyes adatainkkal fizetünk meg a hiszékenységünkért, rosszabb esetben kártevőt kapunk a gépünkre vagy pénzt is bukhatunk.

Ez a videó jó összefoglalót nyújt a jelenségről. Akit részletesebben érdekel MrBeast munkája, annak ajánljuk a Magyar Narancs cikkét.

A Mr. Beast ingyen pénzt osztogat? bejegyzés először Infovilág-én jelent meg.

A CVE-2024-0519 néven nyomon követett probléma a V8 JavaScript és WebAssembly motor memória-hozzáférésére vonatkozik, amelyet a hackerek úgy használhatnak, hogy a böngésző összeomlását idézzék elő.

A határokon túli memória beolvasásával a támadó titkos értékeket, például memóriacímeket kaphat, ezekkel pedig meg lehet kerülni egyes védelmi mechanizmusokat (például ASLR). A támadhatóságok természetéről, és az azokat esetlegesen kihasználó támadásokról azonban nem publikáltak további részleteket, hogy a hiba kihasználását ne segítsék elő, de annyit tudni lehet, hogy egy manipulált html-oldal segítségével a hiba kihasználható volt.

A hibajavítás az első Chrome-javítás, amit a Google az idén kiadott; tavaly összesen 8 ilyenre került sor. A használóknak azt javasoljuk, hogy frissítsenek a 120.0.6099.224/225-ös Chrome-verzióra Windows rendszeren, 120.0.6099.234-es verzióra macOS-en és 120.0.6099.224-es verzióra Linuxon, hogy csökkentsék a lehetséges fenyegetéseket.

A Chromium-alapú böngészők, például a Microsoft Edge, a Brave, az Opera és a Vivaldi használóinak szintén azt tanácsoljuk, hogy alkalmazzák a javításokat, amint elérhetővé válnak.

A Nulladik napi figyelmeztetés: frissítse a Chrome-ot most!  bejegyzés először Infovilág-én jelent meg.

Noha az első teljes mértékben mesterséges intelligencia által indított kibertámadásra még várni kell, az MI technológiának mindenképpen van hatása a kiberbiztonságra. A bűnözők már ma is használnak mesterséges intelligenciát például az adathalász e-mailek finomítására, testre szabására. A ChatGPT-hez hasonló szolgáltatások majdnem tökéletes képessége arra, hogy az ember által írt szövegekhez hasonlókat hozzanak létre kétségtelenül ráirányítja a figyelmet a technológiára. Hogyan védekezhetünk ez ellen?

Hogy megválaszolhassuk ezt a kérdést, először meg kell határoznunk az MI és a kiberbűnözés jelenlegi kapcsolatát. Már most megfigyelhető, hogy a hackerek olyan utasításokat tudnak adni a nagy nyelvi modelleknek (large language model – LLM), amelyek lehetővé teszik, hogy jogosulatlan műveleteket hajtsanak végre.

Ilyen jogosulatlan művelet lehet a korábbi utasítások és tartalommoderálási irányelvek figyelmen kívül hagyása, a mögöttes adatok nyilvánosságra hozatala, vagy a kimenet manipulálása olyan tartalom előállítása érdekében, amelyet a szolgáltató általában tilt.

Ezen a módon a bűnözők az ilyen közvetlen injekciós támadásokkal a diszkriminatív tartalomtól kezdve a félretájékoztatáson keresztül a rosszindulatú kódokig sok mindent generáltathatnak a mesterséges intelligenciával. Közvetlen támadás során a hacker a bemenetet módosítja úgy, hogy felülírja a rendszerkérdéseket. Közvetett támadás során a hacker viszont megmérgezi a mesterséges intelligencia adatforrását – például egy webhelyet -, hogy manipulálja, milyen adatok alapján dolgozik az MI.

Egy német kutatónak sikerült például a Bing Chat-et átalakítania hackerré, ami social engineering módszerrel személyes információkat szerez meg anélkül, hogy gyanút keltene. A felhasználónak nem kell kérdeznie az átalakított bot-tól, és nem is kell kapcsolatba lépnie vele, a csevegőrobot magától kéri el a látogató hitelkártyaadatait.

Noha mindez nem teljesen új – a banki trójaiak valami hasonlót művelnek évek óta -, a fenyegetést komolyan kell venni, mert az MI rendszerek egyre több alkalmazásba, weboldalba kerülnek integrálásra, a megbízható és nem megmegbízható adatforrások megkülönböztetése pedig egyelőre kevés figyelmet kap.

Az MI-megoldásokat gyártónak mindebben hatalmas felelőssége van, és tesznek is biztonság érdekében. Azok a cégek és felhasználók viszont, akik implementálják a technológiákat, szintén felelősséggel tartoznak. Jelenleg ez abból áll, hogy felkészülnek a már ismert támadási formákra, és megpróbálják felmérni, hogy milyen új támadási lehetőségekre – például adathalász kísérletekre – kell felkészülniük.

Azok az elvek, amelyekre a nagy nyelvi modellek és az MI megoldások épülnek, már járnak következményekkel. A mesterséges intelligencia nem magától talál fel dolgokat, hanem adatforrásokon alapszik.

Éppen ezért bölcs dolog körültekintőnek lenni azzal kapcsolatban, hogy milyen adatot kivel (vagy mivel) osztunk meg. Másszóval: nem kell okosabbá tenni az MI-t velünk kapcsolatban, mint amilyen magától lenne. Így például ne adjunk meg magunkról vagy a cégünkről minden adatot egy MI számára, mert nem tudhatjuk, hogy ezeket később milyen célra használhatják fel.

Körültekintőnek kell lenni, mert az MI megoldások általános felhasználási feltételeiben általában benne van, hogy a megoldás gyártója a megadott adatokat felhasználhatja az MI oktatására, fejlesztésére is – ezt pedig elég tágan is lehet értelmezni.

A munkavállalók biztonsági oktatását is érdemes kiterjeszteni erre: a munkavállalóknak tudniuk kell, hogyan használhatják felelősségteljesen az MI megoldásokat. Nekünk pedig ügyelni kell arra, hogy magunkról és családunkról milyen információkat osztunk meg a mesterséges intelligenciával.

A kiberbűnözés nem egy passzív, egyoldalú játék, ahol csak a támadónak vannak lehetőségei: a mi szerepünket is kritikusan kell vizsgálni a kockázatok csökkentésére.

A Robotok lesznek a jövő kiberbűnözői? bejegyzés először Infovilág-én jelent meg.

A Handelsblatt jelentése szerint a fájlok több mint százezer volt és jelenlegi alkalmazott nevét tartalmazó táblázatokat tartalmaznak, beleértve a Tesla vezérigazgatójának, Elon Musknak a társadalombiztosítási számát, valamint privát e-mail címeket, telefonszámokat, az alkalmazottak fizetését, az ügyfelek banki adatait és a gyártásból származó titkos adatokat.

Az újság beszámol arról, hogy a Tesla-alkalmazottak megdöbbenve állnak az eset előtt, mivel úgy tűnik föl, hogy az összes személyes adatuk napvilágra került. A brandenburgi adatvédelmi hivatal, ami a Tesla európai gigagyárának ad otthont, „masszívnak” minősítette az adatszivárgást. Az IG Metall német szakszervezet szerint az eset rendkívül nyugtalanító, és felszólította a Teslát, hogy alkalmazottait minden adatvédelmi jogsértésről tájékoztassa, és támogassa azt a kultúrát, amiben a munkatársak nyíltan és félelem nélkül felvehetik a problémákat és panaszokat.

A Handelsblatt kiemeli, hogy a kiszivárgott adatok súlyos aggodalmakat vetnek fel az adatvédelem és a biztonság tekintetében. Ráadásul az eset nem előzmény nélküli: a múlt hónapban derült ki, hogy a Tesla alkalmazottainak csoportjai 2019–22 között egy belső üzenetküldő rendszeren keresztül privát módon osztottak meg az ügyfelek autókamerái által rögzített videókat és képeket.

Mindezek alapján várható, hogy a Tesla kiszivárogtatást vizsgálni fogják az uniós hatóságok is. Nemrég a Facebook anyavállalatát, a Metát rekordösszegű, 1200 millió eurós bírsággal sújtotta az EU adatvédelmi hatósága a felhasználói adatok kezelése miatt. Ha bebizonyosodik egy hasonló jogsértés (például az, hogy a személyes adatokat nem titkosított és jelszóval védett fájlokban, hanem egyszerű kattintással megnyitható táblázatokban tárolták – a szerk.), a Tesla éves árbevételének 4%-áig terjedő pénzbírsággal sújtható, ami 3260 millió euró (3500 millió dollár) is lehet.

Végül, de nem utolsósorban a kiszivárgott aktákra hivatkozva az újság arról is beszámolt, hogy nagyszámú vásárlói reklamáció érkezett a Tesla önvezető és vezetéstámogatási rendszereivel kapcsolatban: mintegy négyezer alkalommal a vásárlók hirtelen gyorsításra vagy fantomfékezésre panaszkodtak.

A Tesla pedig ezekben az esetekben arra utasította az alkalmazottait, hogy kizárólag szóban kommunikáljanak a vevőkkel, hogy ne maradjon írásos feljegyzés a reklamációról – teszi hozzá az újságcikk. (További cikkek a témában a Handelsblatt oldalán.)

A Hatalmas adatszivárgás a Teslánál – biztonsági panasz ezerszám bejegyzés először Infovilág-én jelent meg.

A rádiót működtető TAVR Media július 21-én lett kibertámadás áldozata. A támadók arra használták a kilenc nagy rádiót működtető médiavállalatot, hogy hamis információkat terjesszen az ukrán államfő, Volodimir Olekszandrovics Zelenszkij egészségi állapotáról.

Július 21án 12–14 óra között sugárzott híradókban azt állították, hogy az ukrán államfőt intenzív osztályon kezelik, és helyettese Ruszlan Stefancsuk vette át az államfői feladatokat.

A rádióállomás eközben a Facebook-on jelentette be, hogy több szerverét megtámadták, és azon dolgoznak, hogy elhárítsák a támadás következményeit. A rádió működtetője hangsúlyozta, hogy az államfő rossz egészségi állapotáról szóló hírek nem igazak. Az eset miatt az ukrán államfő egy Instagram-videóüzenetben jelezte, hogy sohasem érezte egészségesebbnek magát, mint most.

A támadók kiléte egyelőre ismeretlen maradt, és azt sem tudható, hogy milyen sérülékenységet vagy támadást használtak ahhoz, hogy bejussanak a rádió hálózatába.

Az orosz hackerek egyébként változatos eszközöket vetnek be a kiber-hadviselésben; nemrég az ukrán hazafiasságot használták ki hamis appok terjesztésére. (A cikk forrása: TheHackernews)

A Hamis híreket terjesztettek az ukrán elnök egészségéről a meghekkelt rádióból bejegyzés először Infovilág-én jelent meg.

A New Jersey Institute of Technology kutatói nemrég arra figyelmeztettek, hogy egy új technika segítségével a támadók úgy tudják azonosítani a weboldal látogatóit és összekötni a hiányzó pontokat a digitális életükben, hogy erről az érintettek mit sem tudnak.

A tanulmányt részletesen egy augusztusi IT-biztonsági konferencián fogják bemutatni. Az újraazonosító (deanonimizáló) támadásban az áldozatokat ráveszik, hogy egy kártevőt tartalmazó weboldalt töltsenek be. Ezzel meg tudják szerezni az adott látogató valamely azonosítóját, legyen az e-mail cím vagy közösségimédia-fiók. Így a látogatót egy személyes adathoz tudják hozzákötni.

Amikor egy weboldalra látogatunk, az oldal láthatja számítógépünk IP-címét, ez viszont azonnal még nem elég információ ahhoz, hogy személyesen minket azonosítson. Hozzá kell tennünk, hogy a GDPR-tekintetében az IP-cím személyes adatnak számít, és így az európai adatvédelmi törvény szerint kezelendő.

A támadásban az áldozat böngésző-aktivitásának elemzésével kideríthetik, hogy be van-e jelentkezve használóként egy sor szolgáltatásba, legyen az YouTube, TikTok, Dropbox vagy Facebook stb. és így megszerzik személyes adatait. A támadás még a névtelenséget kínáló Tor böngésző ellen is működik.

A tanulmány egyik szerzője, Reza Curtmola szerint ez a típusú támadás azért veszélyes, mert szinte rejtve marad, és egy véletlenszerű weboldal látogatásával elindítható. Egy átlagos internetes használó nem túl sokat foglalkozik személyes adatai védelmével, azonban vannak bizonyos kiemelt célcsoportok – például politikai aktivisták, újságírók vagy kisebbségi csoportok – akik viszont érintettek lehetnek.

Az újságírók ellen egyébként 2021 eleje óta egyre intenzívebbek a webes támadások, ahogy azt a G DATA blogján már megírtuk. Ezekben az esetekben a támadók a sikeres fertőzések után igyekeznek rejtve maradni, és minél több adatot gyűjteni.

A támadást akkor is ki lehet használni, ha például a webes alvilágban szervezkedő egyik törvénytelen oldalt a hatóságok lefoglalják. Ezeken az oldalakon névtelenül, álneveken tevékenykedő használókat találnak. Ha a hatóságoknak van egy gyanúsított listájuk, mely a vélt bűnözők Facebook profilját tartalmazza, akkor a névtelenségbe burkolódzó használókat másodpercek alatt egy-egy Facebook-fiókhoz hozzá tudják kötni.

A támadás ellen a kutatók kifejlesztettek két böngésző-kiegészítőt Chrome-re és Firefox-ra, ám ezek a kiegészítők jócskán lassítják a számítógépek teljesítményét. Ráadásul ez csupán egy szépségtapasz; a kutatók szerint chip-szintű változtatásokra van szükség a támadás elhárításához. Addig is vigyázzunk, hogy milyen ismeretlen linkre kattintunk. (A cikk forrása: Wired)

A Rejtett, újraazonosító támadásra bukkantak bejegyzés először Infovilág-én jelent meg.

A hackercsoportok egymáshoz hasonló taktikát követnek: az e-mail és a közösségi fiókok belépési adatait próbálják megszerezni adathalásztrükkök segítségével. Céljuk, hogy ellopják az újságírók személyes adatait, illetve nyomon kövessék mozgásukat. A csalit általában célzott e-mailek, illetve közösségimédia-üzenetek formájában küldik, amelyek az adott újságíró munkájához látszólag kapcsolódó információkat és linkeket tartalmaznak. 

Egy sikeres fertőzés után a támadók igyekeznek rejtve maradni: nem titkosítják az adathordozókat és nem követelnek váltságdíjat azért, hogy minél hosszabb időn keresztül tudjanak adatokat megszerezni, illetve lehetőség esetén a hálózaton belül további eszközökre telepedjenek rá. Az eszközökre telepített kisméretű alkalmazások segítségével emellett nyomon követik az újságírókat.

A média munkatársait azelőtt is érték kibertámadások, mivel fontos és értékes információkhoz férhetnek hozzá politikai és társadalmi-gazdasági kérdésekben. Most azonban a támadások sokkal gyakoribbak és mélyrehatóbbak, nem valószínű, hogy a közeli jövőben alábbhagynának.

Tavaly januárja óta a Proofpoint kutatói öt kampányt azonosítottak.

A kínai APT csoport, más néven cirkónium vagy TA412 az egyesült államokbeli újságírókat célozta meg, főként azokat, akik az Egyesült Államok politikájáról és nemzetbiztonságáról tudósítanak a nemzetközi figyelmet keltő események alkalmával. Egy felderítő adathalász-kampányra a Capitolium épülete elleni január 6-i támadást közvetlenül megelőző napokban került sor, és ezalatt a támadók kifejezetten a Fehér Házban is dolgozó washingtoni tudósítókra összpontosítottak. A hackerek az újságírók szempontjából releváns cikkek tárgysorait használták csalinak. Az adathalász e-mailek tartalmaztak egy nyomkövető pixelt, egy hiperhivatkozással ellátott, nem látható, aprócska képfájlt, ami egy távoli szerverről töltődött le. Ezzel a támadással az e-mail-fiókok valódiságát, aktivitását ellenőrizték. 

A szintén kínai támogatású TA459 csoport a délkelet-ázsiai média munkatársait célozta meg rosszindulatú Royal Road RTF-mellékletet tartalmazó e-mailekkel. 

Nagyjából ebben az időben az észak-koreai TA404 csoport – ismertebb nevén Lazarus – adathalász támadásokkal vett célba egy amerikai médiaszervezetet. A csalit itt látszólag jó hírű cégektől kínált álláslehetőségek jelentették. A támadók az egyes címzetteknek testre szabott linkeket küldtek, melyek egy hamis álláshirdetésre vezettek egy ismert álláskereső portál szintén meghamisított oldalán. 

Egy feltehetően Törökország által támogatott csoport ezalatt a Twitter hitelesítő adatait célozta meg, hogy újságírók belépési adatait lopja el. Ez a kampány tipikusan a Twitter biztonságához kapcsolódó adathalász e-maileket használt, így például figyelmeztették a használókat egy gyanús bejelentkezésre, majd átirányították őket egy hamisított Twitter oldalra. A csoport emellett a török kormányzó politikai párt melletti propagandát terjesztett. 

A Proofpoint szerint aktívak voltak az Iránhoz köthető hackercsoportok is, amelyeknek tagjai jellemzően újságíróknak adták ki magukat a támadások során, hogy részt vegyenek a célpontok elleni megfigyelésben, és megszerezzék a jogosítványaikat. A támadások egyik legaktívabb elkövetője a Charming Kitten néven ismert csoport, ami újságírókat, akadémikusokat és kutatókat célzott meg úgy, hogy vitát folytatott velük külpolitikai vagy más, Közel-Kelethez kapcsolódó témákban, majd egy személyre szabott, de jóindulatú pdf-en keresztül virtuális találkozókra hívta az áldozatokat. Ez a pdf azonban már tartalmazott egy rövidített linket, amire ha az áldozat kattintott, akkor átadta IP-címét, és az már egy támadás első lépése lehet. 

Az újságíróknak mindenképpen érdemes bevezetniük néhány intézkedést. Az első, hogy használjanak megbízható, külső gyártótól származó vírusvédelmi programot számítógépeiken és telefonjaikon. Tapasztalatból írhatjuk: a G DATA szoftverei különösen alkalmasak erre a célra. 

Emellett érdemes elgondolkodni a munka és a magánélet elkülönítéséről két külön számítógépre, valamint a gépek és telefonok rendszeres fertőtlenítéséről, adattörléséről gondoskodni. 

Egyes – magas biztonsági szintet megkövetelő – szakmákban megszokott, hogy a számítógépeket és telefonokat projektekhez delegálják, majd a projektek végén törlik őket, így a két munka adatai között nem fordulhat elő átjárás. Mindez azt jelentheti, hogy ha az újságíró egy fontos anyagon dolgozik, majd a munka véget ér, akkor a szükséges megőrzendő dokumentumokat kimenti egy titkosított és védett adathordozóra, a számítógépet fertőtleníti egy minősített adattörlési szoftver segítségével, majd így kezd bele a következő munkába. Ezen a módon biztosított, hogy a gép elvesztése vagy megfertőződése esetén az adatszivárgás csak az aktuális munkát érintheti. 

Minősített adattörlési szoftverből a legismertebb a Blancco, ennek használata esetében nem egyszerű törlés történik, hanem speciális algoritmusok segítségével többszörösen felülírja a merevlemez minden területét, még az operációs rendszer elől elrejtett részeket is beleértve. 

Ugyanígy érdemes törlésről gondoskodni minden olyan esetben, amikor az újságíró számítógépe vagy telefonja illetéktelen kezekbe kerülhetett. Ilyen alkalom lehet például, amikor a szakember egy védett objektumba látogat, ahol a telefonját, számítógépét le kell adnia megőrzésre, de ilyen akár egy külföldi út is. 

Mindemellett fontos a titkosítás, titkosított tárolás: az adathordozók titkosítása mellett létre lehet hozni fájlszéfeket, amikben a bizalmas dokumentumok tárolhatóak. A leírtak megtartása nagymértékben segíti a biztonságot, incidens esetében pedig az adatszivárgás körét minimalizálja.

A Újságírók a támadók célkeresztjében bejegyzés először Infovilág-én jelent meg.