A leghatékonyabb becsapások általában nagyon egyszerűek – gondoljunk csak arra az esetre, amikor valaki rendőrnek adja ki magát, és felszólítja az áldozatot, hogy adja át autója kulcsát, amit sokan meg is tesznek, hiszen azt gondolják, hivatalos személlyel állnak szemben. A Symantec által feltárt csalás két okból sikeres: a becsapás egyszerű, a számítógép-használók döntő többsége pedig megbízik a hivatalosnak látszó dolgokban. Ez a két tulajdonság a kiberbűnözés világában is jól működik, és erre az alábbi eset is jó példával szolgál.

A Symantec szakértői nemrégiben megfigyelték, hogy látványosan emelkedik az egyik adathalász-megtévesztés eseteinek száma, amelynek célja az áldozatok e-mail fiókjai fölötti ellenőrzés megszerzése. A pszichológiai manipulációs (social engineering) támadások nagy részét a Gmail, Hotmail és a Yahoo Mail levelezési rendszer használóinál észlelték.

A támadás kivitelezéséhez a bűnözőknek tudniuk kell az áldozatok e-mail címét és mobiltelefonszámát; a megszerzésük az ilyen bűnözőcsoportnak nem akadály. A támadók a levelezőszolgáltatások jelszó-helyreállítási funkcióját (leginkább azt a típust, amely a mobiltelefonra küld azonosító kódot) használják fel, amely abban segít, hogy tulajdonosa elfelejtett jelszó esetén is hozzáférjen a fiókjához. Egy Gmail-használónál például az alábbi módszerrel lehet megszerezni a belépési adatokat, amely a Symantec által készített rövid videóban is megtekinthető:

                                                 

  • Az áldozat regisztrálja a mobiltelefonszámát a Gmail rendszerében, így ha elfelejti jelszavát, akkor a Google küld neki egy azonosító kódot, amelynek segítségével hozzáférhet a fiókjához.
  • A támadó meg akarja szerezni az áldozat fiókját, de nem tudja a jelszót, azonban ismeri az e-mail címét és mobilszámát. A Gmail belépőoldalán megadja az áldozat e-mail címét, és a „Kér segítséget?” linkre kattint, amelyet a általában a belépési adatok elvesztésekor használnak.
  • A felkínált lehetőségeket elutasítva a támadó kivárja, amíg megjelenik a mobiltelefonra küldött azonosító kód lehetősége, majd elfogadja az opciót, amely hatjegyű azonosítót küld az áldozat telefonszámára.
  • A fiókhasználó mobiltelefonjára megérkezik a hatjegyű kód.
  • A támadó szintén küld az áldozat telefonjára egy hivatalosnak látszó szöveges üzenetet: „A Google gyanús tevékenységet észlelt a fiókjában. Kérjük, válaszként küldje el hatjegyű azonosítókódját, hogy megakadályozzuk az illetéktelen tevékenységet fiókjában.”
  • Az áldozat azt gondolja, hogy az üzenetet a Google küldte, így válaszában elküldi a kódot közvetlenül a támadó telefonjára, aki az ideiglenes jelszó birtokában belép a felhasználó fiókjába.

 

A Symantec szakemberei néhány esetben további párbeszédet is észleltek a támadó és az áldozat között, ha esetleg az azonosító kód nem működik: „Továbbra is illetéktelen belépési kísérletet észleltünk fiókjában. A Google újra elküldte önnek az azonosító kódot, kérjük, fiókjának biztonsága érdekében válaszoljon üzenetünkre.”

A támadó a belépés után egyebek között egy másodlagos e-mail fiókot is létre tud hozni, amelyre a feltört postaláda automatikusan elküld minden üzenetet. Mindezek után a hacker elküldi az ideiglenes jelszót az áldozatnak is, aki nem tudja, hogy a leveleit illetékteleneknek továbbítja a rendszer: „Köszönjük, hogy elküldte Google fiókjának azonosító kódját. Az ön ideiglenes jelszava [IDEIGLENES JELSZÓ].” Ez még hihetőbbé teszi az adathalász-támadást, mivel a használó azt gondolja, hogy hivatalos üzeneteket kapott és fiókja biztonságban van.

A Symantec szakembereinek megfigyelései szerint a kiberbűnözők általában nem pénzügyi visszaélésekhez (például bankkártyaadatok ellopásához) használják ezt a megtévesztést, és nem tömegesen támadják a használókat, hanem csak a pontosan kiválasztott áldozatokat. A módszer nagyban hasonlít azokra az csalásokra, amelyeket az APT (advanced persistent threat, célzott támadás) -csoportok használtak egykoron. A szélhámosság sokkal hatékonyabb és olcsóbb, mint egy megtévesztő domén regisztrálása és egy weboldal létrehozása, mivel ebben az esetben csak egy SMS árába kerül a fiókadatok megszerzése.

Jó tanács: a használónak eleve tekintsen gyanúsnak minden olyan üzenetet, amely azonosító kódot kér, különösen akkor, ha ő maga nem kezdeményezte az elküldését. Ha bizonytalan a kéretlen üzenettel kapcsolatban, akkor nézze meg a szolgáltató oldalát, hogy megbizonyosodjék az üzenet valódiságáról. A hivatalos üzenetek csak a kódot tartalmazzák, sosem kérnek választ.