A támadók gyakran hirdetéseken vagy adathalász weboldalakon keresztül irányítják a használót megtévesztő felületre. Ott rendszerhibához hasonló üzenetek jelennek meg: például azt állítják, hogy a számítógép vírussal fertőzött, a memória betelt, vagy a merevlemez kritikus állapotba került. Ezek az üzenetek sürgetnek – tipikusan „Kattintson ide a javításhoz!”, vagy ehhez hasonló felszólítással.

A becsapós üzenet arra próbálja meg rávenni a látogatót, hogy saját maga telepítsen a gépére kártevőt.

A trükk itt válik igazán veszélyessé: az oldal automatikusan egy előre elkészített parancsot másol a használó vágólapjára. A használót arra kérik, hogy nyomja meg a Win+R billentyűkombinációt (a „Futtatás” ablak megnyitásához), illessze be a kódot, és nyomja meg az Entert. A parancs gyakran PowerShell szkript, ami például jelszólopó vagy távoli vezérlést biztosító kártevőt tölt le és futtat.

A támadás azért különösen hatékony, mert a használó saját maga hajtja végre gépe, készüléke megfertőzését – megkerülve ezzel a hagyományos védvonalakat, például a böngészővédelmet vagy a letöltésfigyelést.

A legfőbb tanulság egyszerű: azért, mert egy weboldal vagy a mobilunkra letöltött ingyenes játékprogram kiírja számunkra, hogy gépünk vagy telefonunk javításra szorul vagy kártevővel fertőzött, ez még nem jelenti azt, hogy igaza van. Egyszerű becsapásról, megtévesztésről is lehet szó, amely megpróbál bennünket rávenni valaminek a telepítésére.

Hogyan védekezhetünk?

# Ne futtassunk soha ismeretlen parancsot, különösen nem a Futtatás vagy PowerShell segítségével.

# Legyünk kétkedők a weboldalakon megjelenő sürgető, technikai hibát jelző felugró üzenetekkel szemben.

# Használjunk naprakész vírusvédelmet, és a gépünket is ezzel vizsgáljuk át gyanú esetén.

# Ismeretterjesztés: tanítsuk meg a környezetünket az ilyen csalások felismerésére.

A Group-IB szerint a ClickFix átverés terjedése riasztó, mivel gyorsan adaptálható, és nagy arányban sikeres – főleg a technikailag kevésbé felkészült használók körében. Ugyanerre a csalástípusra a Nemzeti Kibervédelmi Intézet is figyelmeztetett. További részletek: Group-IB blog – ClickFix.

A ClickFix: így csalják csapdába a használókat hamis ígérettel bejegyzés először Infovilág-én jelent meg.

A kártékony hirdetési kampányok alkalmával a támadók jellemzően a legjobb hirdetési felületet vásárolják meg a keresőmotoroktól, hogy potenciális áldozataik rákattintsanak a rosszindulatú reklámokra. A hackerek olyan, közismert és népszerű legitim szoftvereket másoló hirdetéseket is közzétettek már, amelyek érintették a Blendert, az Audacity-t, a GIMP-et és az MSI Afterburnert.

Ebben az esetben nincs szükség SEO-trükkökre (keresőmotor optimizálás): azzal, hogy a csalók szimplán fizetnek a keresési hirdetésekért, a rosszindulatú oldalaik automatikusan a használók keresési találatainak legelejére kerülnek.

Ez történt például a Bing-en megjelent, VPN-szolgáltatásról szóló hirdetés esetében is: a reklám URL-címe nagyon hasonlított az eredetihez, a linkelt weboldal pedig a valódi weboldallal szinte azonos másolat volt. Ráadásul a letölthető preparált szoftver (amit az ESET MSIL/Agent.CKL néven azonosít) egy kártékony programot rejtett: a SecTopRAT nevű távoli hozzáférést biztosító trójait, amivel a támadók rejtve átveszik az irányítást a böngésző felett, és ellopják a használók adatait.

Tavaly egy másik hasonló eset is történt: akkor egy támadó hamis domaineket használt, IP-scanner szoftvernek (rendszergazdák, de támadók által is használt olyan felderítő alkalmazás, amely képes megjeleníteni az összes hálózati eszközt) álcázva őket, és ezen a módon visszaélve a keresési hirdetésekkel növelte rosszindulatú oldalainak láthatóságát. Így az egyes termékeket kereső internet-használók kockázatos helyzetbe kerülhettek, mivel csak apró jelek árulkodtak arról, hogy egy adott hirdetés, illetve weboldal valódi vagy sem.

A Google 2023-ban több mint 1 milliárd hirdetést blokkolt vagy távolított el, köztük számos rosszindulatú programot népszerűsítő reklámot is.

Az ESET kutatói szerint az áldozatok között más online-hirdetőket is vannak. A reklámipar jellegéből adódóan a csaló szándékú szereplők az egész hirdetési láncot manipulálhatják, többféle módon veszélyeztetve is – a többi között hirdetések vásárlásával, magukat keresőmotor-szolgáltatónak kiadva, vagy weboldalak és hirdetési szerverek közvetlen feltörésével.

Miközben a keresőmotorok üzemeltetői folyamatosan távolítják el a rosszindulatú hirdetéseket és weboldalakat a keresési eredményeikből, a hackerek kitartóak, és új meg újabb módszereket találnak a tartalomszűrés megkerülésére, így egy véget nem érő küzdelem alakul ki a keresőszolgáltatók és a bűnözők között. Következésképpen soha nem lehetünk 100%-ig biztosak abban, hogy amire kattintunk, az nem éppen egy rosszindulatú link.

Az ESET kiberbiztonsági szakértői szerint szerencsére vannak olyan hasznos lépések, amikkel megvédhetjük magunkat a rosszindulatú hirdetések kiberfenyegetései ellen:

A tudatosság fejlesztése az első lépés a kiberbiztonság felé. Már azzal, ha elolvassuk ezt a hírt, egy megelőző intézkedést tettünk avégett, hogy ne váljunk rosszindulatú hirdetések áldozatává. Tudásunk gyarapítása végett hallgassuk rendszeresen az ESET kiberbiztonsági podcastjét, a Hackfelmetszők – Veled is megtörténhet adásait.

Korlátozzuk a böngészőben az adatok rögzítését az adatvédelmi és biztonsági beállítások segítségével (például sütibeállítások, követésvédelem, böngészési előzmények megőrzése), nem csupán az adatvédelem miatt. Ezáltal kiiktatunk egy potenciális lehetőséget a rosszindulatú weboldalak és szereplők számára, hogy azonosítsák az eszközeinket.

Használjunk megbízható hirdetésblokkolót; ez az egyik módja annak, hogy a kártékony hirdetések ne jussanak el hozzánk, és bár önmagában nem 100%-ban hatékony, de a többi tippel kombinálva erős védelmet nyújt.

Legyünk óvatosak a böngészőben felugró különféle ablakokkal és engedélykérésekkel szemben.

Tartsuk naprakészen eszközeinket és szoftvereinket – a javítatlan sebezhetőségek könnyen kihasználhatók, megkönnyítve a hackerek tevékenységét.

Használjunk erős, valós idejű védelemmel rendelkező biztonsági megoldást.

„A keresőmotorokban megjelenő kártékony hirdetések csak egy újabb lehetőséget jelentenek a kiberbűnözők számára. Rávilágítanak a rosszindulatú programok terjesztésének kifinomultságára, és kiemelik a fokozott biztonság és fenyegetésekkel szembeni biztonságtudatosság szükségességét. Maradjunk éberek és figyelmesek, hiszen még a legvonzóbb hirdetési ajánlat is rejthet váratlan veszélyeket” – tanácsolja Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője, a Hackfelmetszők – Veled is megtörténhet kiberbiztonsági podcast állandó szereplője.

A Megvédhetjük magunkat a rosszindulatú reklámokkal szemben bejegyzés először Infovilág-én jelent meg.

Mindannyian követünk el hibákat, ez természetes. Néha ezek a hibák azonban váratlan következményekkel járnak – ahogyan erre nemrég egy X-felhasználó is rájött. A tanulság, hogy ha sandboxok automatikus elemzéseire bízzuk, hogy ítéletet mondjanak a fájlokról, az könnyen téves eredményre vezethet.

Egy X-használó nemrégiben posztolt egy olcsó, hálózati csatlakozással és memóriával rendelkező USB-C adapterrel kapcsolatban, azt állítva, hogy a kínai oldalról rendelt eszköz kártevőt tartalmaz. 

A következtetésre úgy jutott, hogy egy – szimulált környezetben, azaz homokozóban – automatikus elemzéseket végző rendszer segítségét vette igénybe, hogy megnézze, az USB-C adapter szoftvere milyen tevékenységet végez(ne). A sandbox kimenete ijesztő olvasmány, a különféle kritériumok egymás után felsorolva, olyan kategóriákba rendezve, mint a „gyanús” és „rosszindulatú”.

A fájlokat automatikusan elemző homokozók jó eszközök és segédeszközök, mert segíthetnek a rosszindulatú programok elemzésében. Használatukkor azonban óvatosan kell eljárni, mivel gyakran téves következtetésekhez vezetnek, ezt a G DATA malware kutatója, Karsten Hahn is megerősíti. „Sok kritérium nem értelmezhető a laikusok számára, sőt, néha félrevezető is” – mondja.

A példában a sandbox „rosszindulatúnak” minősítette, hogy az eszközön tárolt .exe fájl rendszer-illesztőprogramot tartalmaz, és olyan folyamatot hoz létre, amely „alvó módban” indul („felfüggesztve”). A sandbox olyan jeleket is talált, amelyek arra utalnak, hogy az alkalmazás kifejezetten vizsgálja, hogy virtuális gépen fut-e, és megpróbál elbújni az elemzés elől. Ezután további kritériumok következnek, mint például a fájlrendszeri műveletek végrehajtásának képessége, mappák létrehozása és törlése, a rendszerleíró adatbázis elérése, és még sok más.

A szerző végül a sandbox elemzésére támaszkodva arra a következtetésre jutott, hogy ez egyértelműen rosszindulatú program. Bárki, aki nem rendelkezik a szükséges szaktudással, ugyanerre a következtetésre jutott volna.

Az egyetlen probléma, hogy ez a következtetés teljesen téves. 

Ennek az az oka, hogy a kritériumokat félreértelmezték, és nem minden említett kritérium alkalmas annak eldöntésére, hogy egy fájl ártalmatlan vagy rosszindulatú-e.

A kontextus szerepe

A homokozóból származó adatokat mindig átfogó kontextusba kell beágyazni. Nélküle ugyanis könnyű rossz irányba nyomozni. Ez az oka annak, hogy az automatikus sandbox-jelentés nem helyettesíti a vírusvédelmet. Hogy ez miért van így, álljon itt egy ellenpélda. Ugyanaz a homokozó, ugyanaz az eljárás.

A feltöltött fájl egy „Space Fighter Rebellion” nevű játék. A homokozóba helyezett verzió nem tartalmaz rosszindulatú programokat, és határozottan tiszta – a sandbox azonban nem így gondolja:

Mélyebb megértés és további kontextus nélkül könnyen arra a következtetésre juthatunk, hogy ez egy kémprogram, amely regisztrálja, amit a számítógépen csinálunk. A keylogger funkcióval rendelkező kémprogramokra jellemző lenne, hogy a program beolvassa az egérmozgásunkat és a billentyűleütéseinket is.

De ha emlékszünk arra, hogy a fájl egy játék, akkor az is kiderülhet, hogy a billentyűleütések és az egérmozgások miért érdekesek egy program számára: ezek nélkül egyáltalán nem lehetne játszani a játékkal. Láthatjuk tehát, hogy valójában nem minden kártékony, ami első pillantásra gyanúsnak tűnik. Néhány baljós hangvételű elemzés mögött teljesen normális és legitim tevékenység húzódik meg.

Mi a rosszindulatú program (és mi nem az)

A rosszindulatú programok is „csak szoftverek”, amelyek egy adott feladatot hajtanak végre a rendszeren, és ehhez az operációs rendszer által biztosított funkciókat használják. Ez a tény önmagában nem meglepő – éppen ezért fontos, hogy az elemzés gondosan válassza ki azokat a kritériumokat, amelyek miatt a fájl rosszindulatúnak tűnik.

Kézzelfoghatóbb példában fogalmazva: ha egy riasztórendszert szeretnénk megtanítani a betörő jelzésére kialakított kritériumokkal, mint például „cipőt visel”, „táska van nála”, „gyapjúsapka van rajta” vagy „mozog az otthon körül sötétedés után”, ez nem lenne hatékony. Ezek a kritériumok túl általánosak, és sok olyan emberre vonatkoznak, akiknek jogos oka van ott lenni, így végül ez a hipotetikus rendszer teljesen értéktelenné válik. Természetesen ezen kritériumok mindegyike a betörőkre is vonatkozhat – de nagyon sok olyan emberre is, aki nem betörő. A fenti feltételek mentén a rendszer betörőnek fogja azonosítani a háztulajdonost, aki egy csípős téli estén este 7 órakor hazajön a munkából, és lerakja a táskáját.

A sandoxos rendszerek például gyakran rosszindulatúként észlelik az adatmentést készítő programokat, és azt gyanítják, hogy azok zsarolóprogramok. Ennek az az oka, hogy hozzáférési jogokkal rendelkeznek a fájlrendszerhez, titkosítási összetevőket tartalmaznak, és sok fájlrendszeri tevékenységet generálnak – például fájlok létrehozását, áthelyezését, másolását és törlését. Nagyon könnyű itt rossz következtetésre jutni, ha nincs kontextus.

Rögzítési hiba

A fent említett ügy nagy feltűnést keltett, nem utolsósorban a geopolitikai helyzet miatt. És mivel már korábban is érkeztek hírek kínai „gyárból” manipulált eszközökről, azt gondolhattuk, hogy ez egy újabb ilyen eset lehet. Az állítólagos rosszindulatú programot először jelentő személyeknek azonban nem volt tapasztalatuk a rosszindulatú programok elemzése terén. Olyan nyilvánosan elérhető eszközökre támaszkodtak, mint például az online sandbox, anélkül, hogy megfelelően osztályozták volna eredményeiket.

Az automatizált sandbox azonban nem malwarekereső – és jó esetben nem is állítja, hogy az lenne. Laikusként azonban könnyű téves következtetést levonni. A probléma az, hogy amennyiben úgy tűnik, hogy az eredmények ilyen világosak és egyértelműek, az emberek gyorsan abbahagyják más bizonyítékok keresését, vagy akár aktívan figyelmen kívül hagyják azokat. Hiszen saját felfogásuk szerint az eredmény (threat score: 100/100) már teljesen egyértelmű. A szakértők ezt rögzítési hibának nevezik.

Fájó tanulság

A sandbox rendszerek által használt besorolások és kritériumok még a tapasztalt elemzőket is tévútra tudják vezetni. „Amit egy homokozó rosszindulatúnak tekint, nem feltétlenül az is. Számomra ezek legfeljebb érdeklődési kritériumok, amelyeket érdemes alaposabban megvizsgálni” – mondja Karsten Hahn. „De mindig emlékeztetnem kell magam arra, hogy a homokozó kritériumait ne tegyem saját kritériummá, mert különben elfogult lennék.”

Ezen érdekes kritériumok megtalálása a sandboxos elemzés igazi haszna. A homokozó használata munkát takarít meg az elemzés során, de az eredmények nem helyettesítik az elemzést, és az eredmény önmagában nem alkalmas a fájl jóindulatúnak vagy rosszindulatúnak való minősítésére.

Nyugodtan feltételezhetjük, hogy a szerzőt eléggé zavarba hozta ez a nagyon nyilvános tévedés. Nem volt hiány azokból sem, akik kemény kritikát fogalmaztak meg azért, ami a csak egy őszinte tévedés volt. Egy dolgot azonban határozottan meg lehet tanulni ebből a történetből: ne bízzunk a homokozó ítéletében a kontextus ismerete és további elemzés nélkül.

A Az automatikus elemzések határai bejegyzés először Infovilág-én jelent meg.

A gyanús levél

Megfigyelhető, hogy ezek a levelek valódi ügyvédi irodák nevét, és akár logóját felhasználva érkeznek a gyanútlan cégekhez, legtöbbször valamilyen szerzői jogi jogsértésre hivatkozva. Egy csatolt, pdf-dokumentumfájlban ígérik az ügy részletes bemutatását, de a címzett várakozásaival ellentétben ez a fájl letöltés után valójában egy programot telepít a felhasználó gépére, és „hátsó ajtót” nyit a gyanútlan áldozat számítógépéhez, amin keresztül a csalók hozzáférhetnek a számítógépen vagy a hálózatán lévő adatokhoz, ezzel jogi és kiberbiztonsági kockázatnak kitéve a céget.

„Mivel egy telepített programról van szó, a vírusirtók sem fogják meg a kártékony alkalmazást, ám mélyen beírhatja magát a registry-be. Ezért csak a megelőzés lehet a megoldás” – mondja az Oppenheim szakértője.

Árulkodó jelek

Hogyan előzhető meg a kár? Elsősorban óvatossággal és az árulkodó jelek felismerése révén.

1. Ezek a levelek általában nem hivatalos email címről érkeznek, hanem egy nyilvános domain-ről (tipikusan gmail-es email-címről). Egy magára valamit is adó ügyvédi iroda soha nem kommunikál gmail-es email címről.

• Gyakran furcsa, magyartalan mondatok szerepelnek a levélben – mintha egy fordítóprogrammal készült volna.

• A levélben általában szerepel egy ügyvéd vagy ügyvédi iroda neve – a legegyszerűbb ilyenkor a csatolmány megnyitása előtt megkeresni az irodát, hogy valóban tőlük érkezett-e a felszólítás, vagy legalább az iroda honlapján rákeresni a levelet aláíró személy nevére, ugyanis az esetek többségében a levelet aláíró („ügyvéd”) kitalált személy.

Hogyan előzzük meg a kibertámadásokat?

„Van néhány nyilvánvalónak látszó lépés, amit a napi rutin vagy munkaterhelés miatt nem mindig tartunk meg – és általában ezt használják ki ezek a zsarolóvírusok vagy kártékony email-ek” – mondja Bartal Iván ügyvéd. Melyek ezek a lépések?

• A címzett és a feladó ellenőrzése: Nézzük meg, hogy a feladó címe valós és hivatalos-e. Egyértelmű a helyzet, ha a feladó e-mail címe nem egyezik annak a cégnek a domain-nevével, aminek képviseletében a levelet állítása szerint küldte.

• Helyesírás és stílus: Az e-mailben előforduló hibák, furcsa megfogalmazások és sürgető hangnem mind intő jelek. A perrel vagy büntetéssel fenyegetés tipikus példa erre. De a nem várt kommunikáció bankoktól, szolgáltatóktól vagy ismeretlen forrásokból szintén gyanús lehet.

Mellékletek és linkek: Ha váratlan feladótól mellékletet vagy ismeretlen linket tartalmazó e-mailt kapunk, soha ne kattintsunk a linkre, vagy a mellékletre, és lehetőleg konzultáljunk a rendszergazdánkkal.

A Ügyvédi irodák nevével élnek vissza a csalók bejegyzés először Infovilág-én jelent meg.

Az adatlopó webes paneljén keresztül megismerhető a keretrendszer működése, ami számos lehetőséget kínál kártevők létrehozására. Bizonyos funkciók csak „magasabb szintű” előfizetéssel rendelkezők számára érhetők el.

A testre szabási lehetőségek közé tartozik a rosszindulatú program elnevezése, egy ikon kiválasztása és a Telegram-csatorna beállítása, amely értesítéseket kap, ha sikeres információlopás történt. A további lehetőségek közé tartozik a kártevő észlelésének megnehezítése, a Windows Defender letiltása és egy különösen rosszindulatú komponens telepítése egy megadott URL-ről.

Mindez jól mutatja, hogyan működik a kártevők piaca: csak kevesen fejlesztenek kártékony keretrendszereket, majd ezeket felhő alapú szolgáltatásként bérbe adják bűnözőcsoportoknak.

A panel következő része összefoglalót mutat arról, hogy mely gazdagépek fertőződtek meg, és megjeleníti az előfizető számára ellopott információk mennyiségét.

Viszi a jelszavakat és a kártyák adatait

A megtámadott böngészők közé tartozik a Chrome, az Edge, a Brave, a Yandex, az Opera és a CocCoc. A létrehozott kártevők a következő információkat lophatják el ezekből:

• Automatikus kitöltési információk
• Sütik
• Tárolt jelszavak
• Böngészési előzmények
• Tárolt hitelkártyaadatok
• Tárcaadatok a böngészők pénztárcabővítményeiből

Ezenkívül a rendszerrel létrehozott rosszindulatú programok olyan fájlokat lopnak el, amelyek a nevükben meghatározott kulcsszavakat tartalmaznak, adott kiterjesztéssel rendelkeznek, és a könyvtárak egy meghatározott csoportjában találhatók.

A kártékony keretrendszer technikai áttekintése

Az Ailurophile Stealert PHP-ben írták meg, ami megköveteli, hogy a kiszemelt áldozat gépe képes legyen PHP-kód futtatására, ami nem szokásos eset. Ezért a rosszindulatú program egy végrehajtható fájlba kerül a kereskedelmi forgalomban kapható, harmadik féltől származó „ExeOutput” nevű szoftver segítségével. A rosszindulatú programot emellett virtualizálják a BoxedApp segítségével, egy szintén kereskedelmi forgalomban kapható szoftverrel.

A BoxedApp önállóan végrehajtható állomány létrehozására szolgál, ami saját virtuális fájlrendszerrel, virtuális nyilvántartással és folyamatokkal is rendelkezik. A BoxedApp alkalmazáskód elfogja az alkalmazásból érkező I/O- és egyéb rendszerhívásokat, és átirányítja őket az általa létrehozott virtuális entitásokhoz. Amikor a rosszindulatú program fut, a BoxedApp alkalmazáskód lefut, és kibontja a szükséges fájlokat a virtuális fájlrendszerbe (a fájlok ebben az esetben memóriarezidensek). A fájlok tartalmazzák a PHP feldolgozó modulját és a futtatáshoz szükséges fájlokat, valamint a konfigurációs és a kártékony összetevőket.

Ezek után a kód összegyűjti a használói adatokat, beleértve az IP-címet, a gazdagép nevét, az operációs rendszer adatait és a gép architektúráját. Érdekes mappákat, fájlnév-kulcsszavakat, fájlkiterjesztéseket, pénztárcaadat-könyvtárakat és böngésző-útvonalakat keres a gépen. Kezdeményezi a hitelkártyaadatok, a sütik, a böngészési előzmények, az automatikus kitöltési információk és a pénztárcaadatok összegyűjtését. Az összegyűjtött információkat tömöríti, és feltölti a konfigurációban megadott távoli szerverre.

A G DATA a kártevő technikai leírásában további részleteket is megad, amik elsősorban a kiberbiztonsággal foglalkozó szakemberek számára érdekesek. Még bővebben a G DATA blogjában.  

A Súlyos veszély a kibervilágban: megjelent az adatlopó Ailurophile Stealer bejegyzés először Infovilág-én jelent meg.

Hamis biztonságérzetben internetezünk?

A felmérés résztvevőinek 68 százaléka használ jelenleg vírusirtót, csaknem egyharmaduk viszont azért nem használ védelmi programot, mert úgy ítéli meg, hogy saját maga ki tudja szűrni a gyanús dolgokat.

Ennek ellenére a magyar internetezők 57 százaléka nyilatkozott úgy, hogy esett már áldozatául online csalásnak, adathalászatnak, hackelésnek vagy vírustámadásnak. Csaknem negyedük tapasztalt már olyat, hogy kéretlen felugró ablakok és weboldalak jelentek meg a képernyőjén, lelassultak az eszközeik (14%), és arra is volt példa, hogy anyagi kárt okoztak a bankkártyaadataik ellopásával.

Csizmazia-Darab István, a Sicontact Kft. kiberbiztonsági szakértője szerint már csak a kártevők száma miatt is nagyon nehéz feladat lenne, hogy saját magunktól felismerjük őket: az AV Test szerint 1,3 milliárd egyedi kártékony kód van jelenleg a világon, ennyi, folyamatosan fejlődő kártékony kódot még a legtudatosabb felhasználók sem tudnak kiszűrni. 

Az ESET májusi kampányának célja éppen emiatt a tudatosítás: figyelemfelhívó videóival (Anyakivan, CultureGeeks, Digital Pedro) mutat rá arra, hogy mennyire védenünk kellene online birtokunkat is a behatolóktól. Digital Pedro az ESET kiberbiztonsági podcastjának, a Hackfelmetszők – Veled is megtörténhet! legújabb adásának is a vendége volt, ahol többek között arról beszélgettek Csizmazia-Darab Istvánnal, hogy a 18–29 évesek tartják a legkevésbé valószínűnek, hogy vírustámadás éri őket – noha körükben is a válaszadók közel fele esett már áldozatul valamiféle online támadásnak.

Vírusirtók: mivel nyújtanak többet a fizetős megoldások?

Azok közül, akik használnak vírusirtót, a legtöbben a laptopjukat védik így (71%), amit az asztali gép követ (48%), telefonon csak 44% használ védelmi megoldást, pedig az ESET kiberbiztonsági szakértői hangsúlyozzák, hogy az androidos készülékek védelem nélkül óriási kockázatnak vannak kitéve. A tableten (12%) és az OkosTV-n (5%) történő használat viszonylag kevesekre jellemző, pedig ellenük is léteznek támadások – és az androidos eszközök esetében persze védelem is.

A válaszadók szerint a fizetős programok leginkább abban különböznek az ingyenestől, hogy több funkcióval rendelkeznek és megbízhatóbbak, nagyobb eséllyel szűrik ki a kártevőket. A válaszadók egy része (17%) azért nem használ védelmi megoldást, mert nem érzi elengedőnek az informatikai tudását egy ilyen program használatához. Harmaduk viszont fizetne a vírusirtó programért, ha ezáltal lenne kihez fordulnia, ha segítségre van szükség – a jó hír, hogy találunk ilyen megoldást a hazai kínálatban, az ESET-nél felkészült szakemberekből álló, magyar nyelvű terméktámogató csapat várja a használók kérdéseit, problémáit, hogy azonnal segítsenek a megoldásban.

A válaszadók egy része szerint a fizetős programok további előnye, hogy nem adják el az internethasználati adataikat külsős partnereknek. Ez a feltételezés, sajnos, bebizonyosodott, láthattunk már példát arra, hogy egy ingyenes vírusvédelmi program gyártója gyűjtötte és adta el a felhasználók adatait, a beleegyezésük nélkül. Ezzel összhangban áll az az eredmény: a válaszadók jórésze választana fizetős programot valamilyen bizalmi szempont miatt: azért, mert jobban megbíznak a minőségében, a gyártójában, vagy egyszerűen bizalmatlanok az ingyenes programokkal szemben.

Vírusirtó program választásakor fontos szempont még, hogy ne lassítsa az eszközt, legyen egyszerűen telepíthető, és ritkán adjon téves riasztást.

Hogyan válasszunk vírusirtót?

Az ESET kiberbiztonsági kutatói támpontokat adnak ahhoz, hogy hogyan válasszunk vírusirtót. A mindenki számára szembeötlő egyszerű telepítés, kezelés és az eszköz meg nem terhelése is nagyon fontos szempontok, de érdemes mást is mérlegelni:

• megbízható gyártó megbízható terméke: érdemes olyan cégtől vásárolni, amely komoly tapasztalattal és szakértelemmel rendelkezik az IT-biztonság területén, és folyamatosan fejleszti termékeit;
• magyar nyelvű terméktámogatásprobléma esetére: az ingyenes megoldások esetében ez nem elvárható kritérium és sok esetben meg sem valósul;
• minden platformra kínáljon megoldást: telefonra, laptopra, asztali gépre, okostévére, tabletre is.
• legyenek benne az eszközhasználatunkhoz igazodó modulok: a biztonsági programok ma már nem csak a vírusok ellen védenek, számos extra biztonsági funkciót találhatunk bennük. Ilyen például a spamszűrés, az adathalászat elleni és a fizetésvédelem, a szülői felügyelet, a lopásvédelem. A drágább csomagokban pedig jelszókezelőt, VPN-t is találhatunk.

Érdemes átgondolni a fenti szempontokat és a magunk számára leginkább testhezálló megoldást választani, hiszen ahogy a kutatás is rámutatott, az óvatosság bár nagyon fontos, de önmagában nem elegendő a teljes biztonsághoz. Az online birtokunk ajtaját a lehető legszorosabbra zárjuk be, ahogy az otthonunkban is tesszük az ajtóval. Hiszen rengeteg értéket őrzünk virtuálisan: gondoljunk csak a bankkártya- és személyes adatainkra, a munkánkhoz szükséges pótolhatatlan fájlokra, megismételhetetlen családi fotókra. Ezek értékével sokszor csak az elvesztésük után szembesülünk, és ha rossz kezekbe kerülnek, olyan mértékű károkat okozhatnak, amelyhez képest eltörpül egy megbízható biztonsági megoldás éves díja.

Tavaly minden 4. vállalatot ért zsarolóvírus-támadás

Minden negyedik cégnek Magyarországon volt már része kibertámadásban 2023-ban, a zsarolóvírusos támadások többsége (61%)  sikeres volt a Sophos által Magyar-, Cseh- és Lengyelországban elvégzett regionális kutatása szerint. A cégek 40 százaléka nem rendelkezett megfelelő biztonsági intézkedéssel a támadás idején és váltságdíjat kellett fizetniw, hogy újra hozzáférjen az adataihoz.

Magyarországon minden negyedik cég szembesült kibertámadással, és minden ötödik zsarolóvírus-támadás áldozata lett. Európa más országaiban, Amerikában és Ázsiában a zsarolóvírusos támadások aránya még magasabb, mint Magyarországon; közel 59 százalék, Cseh- és Lengyelországon viszont jobb a helyzet, ott a zsarolóvírus a cégek 20, illetve 7 százalékát érintette.

Magyarországon a cégek 28 százaléka nyilatkozta, hogy bár még nem történt támadás, tudatában vannak annak, hogy ez előbb-utóbb megtörténhet. Riasztó, hogy a megkérdezettek jó harmada azt válaszolta, hogy cégük nem tapasztalt kibertámadást a múltban, és nem is gondolják, hogy a jövőben ilyesmi előfordulna.

A Sophos felmérése azt mutatja, hogy Cseh- és Lengyelországon a cégeknek több zsarolóvírusos támadást sikerül megállítaniuk, mint Magyarországon. Csehország esetében a támadások 48%, Lengyelországban a kísérletek 67%-át akadályozták meg. Magyarországon a rosszindulatú vírusokkal megtámadott cégek csupán 39 százaléka kerülte el a következményeket, mert a támadást megállították, mielőtt az adatokat a támadó program titkosította volna. A támadások túlnyomó többségében azonban sikerrel jártak a kiberbűnözők. Az esetek felében a bűnözőknek sikerült titkosítaniuk az adatokat, és minden tizedik incidensben hozzáférést szereztek hozzájuk.

Adathalászat és sebezhetőségek a rendszer fő „bejáratai”

A magyar cégek majdnem harmada az adathalászatot jelölte meg támadóeszközként. Ez egy olyan online csalás típusa, amely az e-mailen vagy sms-en keresztül történő üzenetek tömeges terjesztésén alapul. A bűnöző más személynek vagy intézménynek adja ki magát, hogy bizalmas adatokat csikarjon ki. A vállalati operációs rendszerek biztonsági réseinek kudarca volt a támadások 26%-a mögött. Az egyéb okok között a magyar válaszadók az illegálisan megszerzett hitelesítő adatokat is megemlítik (22 százalék). Egyéb esetekben a zsarolóvírus-támadások okai belső hibák voltak – beleértve a cég alkalmazottainak rosszindulatú cselekedeteit vagy a rendszerekhez való jogosulatlan hozzáférést.

A fenyegetési táj folyamatosan változik, de a bűnözők továbbra is olyan módszereket használnak, amelyek a legjobban működnek. Ilyen például az adathalászat. A felmérés azt mutatta, hogy ez a leggyakoribb „bejárat” a rendszerbe a zsarolóvírus-támadások esetében a cégeknél. Változatlanul tehát az egyik kulcsfontosságú biztonsági intézkedés a cégek számára az oktatás. A csapatnak lehető legtöbbet kell tudnia a fenyegetésekről és arról, hogyan védheti meg magát, és ébernek kell lennie minden figyelmeztető jelre, ami arra utalhat, hogy valami nincs rendben. Jó ötlet továbbá rendszeresen gyakorlatokat és támadás-szimulációkat végezni, hogy mindenki tudja, mit kell tennie egy incidens esetén – mutat rá Chester Wisniewski, a Sophos vezető technológiai vezetője.

Tízből négy vállalat fizet a támadóknak

A rendszerhez való hozzáférés és a lezárt fájlok visszaállítása leggyakrabban a zsarolóprogramokat használó kiberbűnözőknek való fizetéssel jár. Bár a legtöbb vállalat más módon próbált meg helyreállni, 38 százalékuk engedett a kiberzsarolásnak és kifizette a váltságdíjat. Ez az arány alacsonyabb, mint az Európa, Amerika, Ázsia-Óceánia régióban, ahol a vállalatok 56 százaléka fizetett váltságdíjat, hogy visszanyerje az adatait. Cseh- és Lengyelországon a vállalatok 8, illetve 3 százaléka fizetett váltságdíjat.

Magyarországon a zsarolóprogramok által megtámadott vállalatok fele váltságdíj fizetése nélkül állította vissza az adatait. Az egyik leghatékonyabb módja az ilyen támadások kezelésének az adatmentés – a vállalatok 31 százaléka ennek a megoldásnak köszönhetően tudta visszaállítani az adatait. A többi 19 százalék más módszereket használt erre a célra, és 8 százalék, bár nem fizetett a bűnözőknek, nem rendelkezett tartaléktervvel a megszerzett adatok visszaállítására.

Minden vállalat, függetlenül attól, hogy mekkora vagy milyen iparágban működik, ki van téve a kibertámadásoknak. Ezért illúzió azt feltételezni, hogy “minket nem érint, és ilyen kockázat nincs is. Mindenkinek kivétel nélkül fel kell készülnie egy a vészhelyzetre. A legtöbb zsarolóprogram által megtámadott vállalat nem tudja visszaállítani az összes fájlját, még akkor sem, ha kifizeti a váltságdíjat. Ezért elengedhetetlen az adatmentés.

A váltságdíj fizetése nemcsak javítja a hackerek anyagi helyzetét, hanem lassítja az adatszivárgás esetén történő reagálást is. Végül ez növeli a már amúgy is magas helyreállítási költségeket egy kibertámadás után.

A IT-hős vagy kiberbalek? A magyar internetezők fele volt már áldozat bejegyzés először Infovilág-én jelent meg.

A mobilbankolás a kényelem és a rugalmasság mellett nagy biztonsági kockázatokat is rejt magában. A rosszindulatú alkalmazások gyakran népszerűnek álcázzák magukat, hogy rávegyék a használókat, telepítsék őket a mobileszközeikre. A telepítés után az ilyen csaló alkalmazások érzékeny banki információkat lophatnak el, és pénzügyi veszteséghez vezethetnek.

Nemrég találkoztunk egy trójaival, amely Google Chrome-nak álcázza magát. A rosszindulatú program kihasználja a Chrome népszerűségét és jó hírét, hogy rávegye a használókat önmaga letöltésére és telepítésére. Az ilyen rosszindulatú programokat gyakran adathalász és spamüzenetek útján terjesztik.

A kártevő a Chrome ikonját utánozza, így szinte megkülönböztethetetlen a valódi alkalmazástól, kivéve a fekete kontúrvonalat az emblémában, amely könnyen figyelmen kívül hagyható, ha nem figyelünk oda. A gyanútlan használók futtathatják a rosszindulatú programot, aminek eredményeként a bűnözők ellopják adataikat.

A telepítés után a rosszindulatú alkalmazás azonnal elindul, majd engedélyt kér a használótól telefonhívások kezdeményezésére és kezelésére. Ezenkívül engedélyt kér SMS-üzenetek küldésére és fogadására. A szükséges engedélyek megszerzése után a rosszindulatú program hamisan arról tájékoztatja a használót, hogy egy sorsoláson pénznyereményt nyert, és felszólítja a telefonszáma és hitelkártyaadatainak megadására. Ezt követően az alkalmazás arra utasítja a használót, hogy a következő 24 órában tartózkodjék az alkalmazás törlésétől, hogy a feltételezett pénznyereményt igényelhesse és begyűjthesse.

A megjelenített szöveg egy része orosz nyelvű, és úgy tűnik föl, hogy a trójai oroszul beszélő közönséget céloz meg. A rosszindulatú program neve „Mamont”, az orosz szó egy gyapjas mamutot jelent. A „Mamont” ugyanakkor egy szlengkifejezés is, amit a számítógépes bűnözés áldozataira használnak. A kártevő csendben kezdeményezi az áldozat telefonján található SMS-ek vizsgálatát, keresve az „érdekes” feladókat és az üzenettörzsben előre meghatározott kulcsszavakat. Célja, hogy elkülönítse a pénzügyi szolgáltatók, például a PayPal, WebMoney stb. feladókhoz tartozó üzeneteket.

Az említett módszerrel a támadók megszerezhetik az áldozat telefon-, bankkártyaszámát, és lehallgathatják a pénzintézetekkel folytatott tranzakciók engedélyezéséhez szükséges hitelesítési kódokat tartalmazó SMS-eket.

Az eset nem egyedi. A kiberbűnözők folyamatosan új és kifinomultabb módszereket fejlesztenek ki a sebezhetőségek kihasználására, információk ellopására és az áldozatok megtévesztésére. Fontos az éberség, a szoftverek és eszközök frissítése, valamint az ajánlott biztonsági gyakorlatok követése az ilyen fenyegetések elleni védelem céljából.

Noha ebben az esetben úgy látszik, hogy a kártevő elsősorban az oroszul beszélőket célozza meg, hasonló rosszindulatú alkalmazások más országokat. Néhány megelőző intézkedéssel jócskán növelhetjük a biztonságunkat, az alábbiakban adunk néhány tanácsot, amit érdemes megfogadni.

Alkalmazások letöltése megbízható forrásokból: Csak a hivatalos alkalmazásboltokból töltsünk le alkalmazásokat, például a Google Play áruházból Android-használóknak. Még akkor is gondosan tekintsük át az alkalmazás készítőjét, a felhasználói véleményeket és az engedélyeket a letöltés előtt.

Alkalmazásengedélyek ellenőrzése: mindig ellenőrizzük és kérdőjelezzük meg az alkalmazás által kért engedélyeket. Legyünk óvatosak, ha az alkalmazások olyan engedélyeket kérnek, amelyek nem szükségesek a funkciójukhoz.

Rendszeres frissítések: tartsuk naprakészen a telefont és annak összes alkalmazását. A frissítések gyakran tartalmaznak biztonsági javításokat, amik védelmet nyújtanak az ismert rosszindulatú programok ellen.

Legyünk óvatosak a gyanús hivatkozásokkal és üzenetekkel: kerüljük el a hivatkozásokra való kattintást vagy az ismeretlen forrásból származó mellékletek letöltését. Ezeket gyakran használják adathalász támadások során rosszindulatú programok terjesztésére.

A Chrome böngészőként fészkeli be magát az androidos telefonba bejegyzés először Infovilág-én jelent meg.

Továbbra is a zsarolóprogram-támadások okozzák a legnagyobb kiberfenyegetést kkv-k számára. Az aktív támadás alatt álló szervezeteket segítő Sophos Incident Response (IR) által kezelt ügyek közül a LockBit volt a legnagyobb pusztítást okozó zsarolóvírus-banda; a második és a harmadik pedig az Akira és a BlackCat. A jelentésben vizsgált kkv-k még jelen lévő régebbi és kevésbé ismert zsarolóvírusok támadásaival is szembesültek, mint például a BitLocker és a Crytox.

A zsarolóprogramok üzemeltetői továbbra is változtatják a zsarolóvírus-taktikáikat. Ez magában foglalja a távoli titkosítás alkalmazását és a menedzselt szolgáltatásokat nyújtók (MSP-k) célba vételét. Tavaly és tavalyelőtt 62%-kal nőtt azoknak a zsarolóvírus-támadások száma, amiknek része a távoli titkosítás, azaz amikor a támadók a szervezetek hálózatán lévő nem menedzselt eszközt használnak a hálózat más rendszerein lévő fájlok titkosításához.

Ezen túlmenően tavaly a Sophos Managed Detection and Response (MDR) (—> menedzselt észlelő és válaszadó, MDR) csapata kisvállalkozást érintő öt olyan esetre reagált, amit menedzselt szolgáltatásokat nyújtójuk távoli felügyeleti és vezérlő szoftverének kihasználásán keresztül támadtak meg.

A Sophos jelentése szerint a zsarolóvírus után az üzleti e-maileket kompromittáló (BEC) támadások voltak a második leggyakoribb típusú támadások. Ezek a BEC-támadások és más social engineering kampányok egyre kifinomultabbak. Ahelyett, hogy pusztán egy ártó célú mellékletet tartalmazó e-mailt küldenének, a támadók immár nagyobb valószínűséggel lépnek kapcsolatba célpontjaikkal úgy, hogy párbeszédet kezdeményeznek és a kártékony tartalmat csak később küldik.

A hagyományos levélszemét-megelőzési eszközökkel való észlelés elkerülésére a támadók most új formátumokkal kísérleteznek ártó célú tartalmaik kapcsán, káros kódot tartalmazó képeket beágyazva vagy rosszindulatú mellékletet küldve OneNote-, illetve archive formátumokban. A Sophos által vizsgált egyik esetben a támadók egy PDF-dokumentumot küldtek egy „számla” elmosódott, olvashatatlan bélyegképével. A letöltés gomb káros célú webhelyre mutató hivatkozást tartalmazott.

Részleteseben a kkv-kat célzó kiber-bűncselekményekről a 2024 Sophos Threat Report: Cybercrime on Main Street című jelentésben tájékozódhat.

A Számítógépes bűnözők fenyegetik a kis- és közepes vállalkozásokat (is) bejegyzés először Infovilág-én jelent meg.

Szászország fővárosának vezetése csütörtök késő délután közölte ennek okát. Eszerint kibertámadás érte a városházát. „Az állam fővárosát, Drezdát ma délelőtt kibertámadás érte, amelyet sikeresen visszavertünk” — közölte a város. A támadás során kezdetben erősen korlátozták a hozzáférést a városvezetés honlapjához. A Dresden.de weboldalt végül elővigyázatosságból lekapcsolták az internetről.

„A támadás elhárítására és a károk terjedésének megakadályozására hozott összes biztonsági intézkedés megtette hatását” – mondta Michael Breidung, a belső informatikai műveletek vezetője. Délután fél négytől ismét minden rendszer korlátozás nélkül elérhető volt.

A város szerint a támadás egy úgynevezett elosztott szolgáltatásmegtagadásos (DDoS) támadás volt: a megtámadott rendszerekhez olyan sok hozzáférést szerveznek egyszerre, hogy azok már nem reagálnak, vagy kívülről nem manipulálhatók.

A Miként nemrég az Infovilágot…DDoS-támadás érte Drezdát bejegyzés először Infovilág-én jelent meg.

A Predator-akták elnevezésű kutatás fókuszában az Intellexa Szövetség – amit különféle cégek egy összetett, állandóan változó csoportja alkot –, és a Predator nevű invazív kémszoftver (spyware) áll. A szoftver és annak különböző nevek alatt futó változatai bármilyen adathoz hozzáférnek a megfertőzött eszközön, és jelenlegi formájában egyelőre nem alkalmas arra, hogy a célpont esetében csak a szükséges és arányos hozzáférést biztosítsa. A Predator elsősorban egy rosszindulatú linkre kattintva fertőzi meg az eszközt, de arra is van lehetőség, hogy közvetlenül a közelében lévő készülékre telepítsék.

Az Intellexa termékeit legalább 25 európai, ázsiai, közel-keleti és afrikai országba adták el, és az emberi jogok, a sajtószabadság és társadalmi mozgalmak elnyomására használják világszerte.

Az Intellexa állítása szerint egy “EU-ban bejegyzett és szabályozott vállalkozás”, amely önmagában jól jelzi, hogy az EU intézményei és tagállamai mennyire nem képesek elejét venni a megfigyelési termékek terjedésének, dacára a Pegasus Projekt 2021-i feltárása óta eltelt időnek.

“A Predator Akták nyomozása bizonyította, amitől régóta féltünk: az invazív kémszoftverekkel ipari méretekben kereskednek, és bármilyen ellenőrzés illetve elszámoltatás nélkül, szabadon működhetnek az árnyékban ezek a cégek. Ismét bebizonyosodott, hogy az európai országok és intézmények képtelenek hatékonyan szabályozni ezeknek a termékeknek a kereskedelmét és transzferét” – mondta Agnès Callamard, az Amnesty International főtitkára.

“Az EU-ban bejegyzett és elvileg szabályozott, megfigyelési technológiával foglalkozó cégeknek meg kell felelniük a kettős felhasználású termékek export-ellenőrzésére vonatkozó szabályoknak, amelyek célja, hogy ezeknek a termékeknek a kivitelét korlátozza és ezzel megakadályozza a velük elkövetett jogsértéseket. Ahogyan a Predator-nyomozás bebizonyította, az EU képtelen vagy nem akarja a kémszoftverek exportjával járó jogsértéseket megakadályozni. A szabályozás hatékonytalanságát látva egyetlen következtetés lehetséges: a Predatorhoz hasonló súlyosan invazív kémszoftvereket be kell tiltani.”

Az egy évig tartó kutatást az European Investigative Collaborations (EIC) vezette, ami egy több mint egy tucat sajtótermékből álló media-konzorcium. Az Amnesty International technikai partnerként segített az EIC által megszerzett technikai információk értékelésében és elemzésében. A Security Lab ezzel párhuzamosan egy önálló kutatást is végzett, amelyet a következő napokban hozunk nyilvánosságra a nyomozás keretében.

“A Predator Akták nyomozás eredményei ugyanannyira megrázóak mint korábban a Pegasus Projekté. Abból a szempontból pedig még rosszabb a helyzet, hogy az azóta eltelt időben szinte semmi nem változott. A megfigyelési biznisz vállalatai – mint az Intellexa – rengeteg pénzt keresnek az emberi jogok megsértésével, és szinte semmilyen számonkérés nincs ezekben az esetekben. Itt az ideje, hogy az EU tagállamok megzabolázzák ezeket a cégeket” – mondta Donncha Ó Cearbhaill, az Amnesty International Security Labjének vezetője.

Az Intelllexa Csoport – amely az Intellexa szövetség tagja – fejlesztette ki a Predator nevű kémszoftvert, és reklámozza magát azzal, hogy az “EU-ban bejegyzett és szabályozott” cégként működik. 2018-ban alapította Tal Dilian, egy korábbi izraeli katona és több társa, a mögötte álló cég pedig az Írországban működő Thalestris. Az Intellexa szövetség köti össze az Intellexa Csoportot a Nexa csoport cégeivel, amelyek elsősorban Franciaországban működnek.

Az EIC nyomozása alapján 25 országba adták el az Intellexa termékeit, köztük Svájcba, Ausztriába, Németországba, Ománba, Katarba, a Kongói Köztársaságba, Kenyába, az Egyesült Arab Emirátusokba, Szingapúrba, Pakisztánba, Jordániába és Vietnamba.

Az Amnesty elemzése szerint a Predator szoftver jelenléte valamilyen formában kimutatható volt többek között Szudánban, Mongóliában, Madagaszkáron, Kazahsztánban, Egyiptomban, Indonéziában, Vietnamban és Angolában.

Az Amnesty International megkereste az érintett cégeket, de nem válaszoltak. Az EIC-nek a Nexa csoport fő részvényesei és főrészvényesei azt mondták, hogy az Intellexa szövetség megszűnt működni.

A megfigyelési technológiák exportjával kapcsolatban a felsorolt országok vagy azt mondták, hogy a „kereskedelmi együttműködés a hatályban lévő szabályok tiszteletben tartásával történt” vagy tagadták, hogy ilyen szerződés létezne, illetve megvásárolták volna a kémszoftvert.

Végül azt állították, hogy az Intellexa szövetséget alkotó vállalkozások „messzemenőkig betartották az exportra vonatkozó előírásokat”, miközben azt elismerték, hogy „kereskedelmi kapcsolatban álltak olyan országokkal, amelyekben „a jogállamiság helyzete messze volt a tökéletestől”, hozzátéve, hogy ez sokszor a francia kormány „politikai döntése” volt.

A Predator Akták: hálóba akadva című kutatását október 9-én mutatja be az Amnesty International Magyarország.

A Predator-akták: a kémszoftverek szabályozásának csődje bejegyzés először Infovilág-én jelent meg.