Az adathalászat vagy phishing kifejezésről az embernek általában az jut eszébe, hogy kap egy egészen borzasztó magyarsággal megírt (láthatóan fordítógéppel készített) emailt a bankjától, ami arra kéri valami homályos indokra hivatkozva, hogy adja meg a felhasználónevét és jelszavát. Az ilyenen rendszerint röhögünk egy sort, aztán kidobjuk a kukába, azzal a megnyugtató tudattal, hogy minket aztán nem ver át holmi amatőr adathalász.

Az ilyen emailes támadásoknak már leáldozott, mostanában közösségi hálózatokon csalják ki az emberből trükkösen a személyes adatait, vagy veszik rá arra, hogy vírusfertőzött oldalakra kattintson. Azért veszélyes ez a terep, mert az ismerőseink üzeneteiben és linkjeiben hajlamosak vagyunk vakon megbízni. Ezt próbáltuk ki a gyakorlatban: kíváncsiak voltunk, mennyire véd meg a józan ész a közösségi oldalakon az adathalászoktól. A legnépszerűbb nemzetközi és magyar oldal, vagyis a Facebook és az Iwiw volt a vadászterület.

Bedobjuk a csalit

Először is szükségünk lesz egy júzerre, amit a Facebookon fél perc alatt létre lehet hozni, az Iwiwen azonban borzasztó kőkorszaki módon még mindig csak meghívóval megy, a meghívót külön igényelni kell, és hetekbe(!) is telhet, mire megkapjuk. Ez persze a magunkfajta adathalász életét csak átmenetileg keseríti meg, de egy valódi felhasználó kedvét alighanem elveszi az egésztől, ha heteket kell várnia a bebocsátásra. Már ha létezik még ember Magyarországon, aki nincs fenn az Iwiwen, de ott szeretne lenni.

Fiktív felhasználónknak a Krisztina nevet adtuk, profilképnek feltöltöttünk hozzá egy kedvesen mosolygó női arcot, és nekiálltunk ismerősökre vadászni. Csak férfi felhasználókat jelöltünk be, de ennyivel ki is merült az adathalászat célzottsága, igyekeztünk minél inkább véletlenszerűen szórni az ismerősnek jelöléseket. A Facebookon sokat segített az a funkció, ami az egyszeri felhasználó publikus adatlapjára kitesz hat véletlenszerűen választott ismerőst (a módszerünk az volt, hogy addig választottuk ebből mindig az ötödiket, míg egy olyanhoz nem értünk, aki nem lakik azonos városban az előző áldozattal, és szintén férfi).

Iwiwen kénytelenek voltunk magunk rábökni véletlenszerűen valakire az ismerősök közül, ami nyomatékosan felhívta a figyelmünket arra, hogy mennyire gyötrelmesen lassú az oldal működése. A másik érdekes felfedezésünk az volt, hogy mivel már gyakorlatilag minden magyar internethasználó regisztrálta magát az Iwiwre, az ismerősi körök borzasztó belterjesnek tűnnek. Minél kisebb településen lakik valaki, annál inkább jellemző volt, hogy szinte kizárólag ugyanabból a városból-faluból voltak iwiwes ismerősei. Facebookon ezt a jelenséget egyáltalán nem éreztük.

Krisztina ismerősnek jelölt

Száz-száz felhasználót jelöltünk be a két közösségi oldalon, majd három nap türelmi időt adtunk nekik, hogy visszajelöljenek. Ebben a facebookosak voltak a lelkesebbek: hatvanhat kapcsolatunk jött össze, vagyis az áldozataink kétharmada simán visszaigazolta, hogy ismer egy nem létező személyt. Harmincan vették a fáradságot, hogy üzenetet küldjenek, és megkérdezzék, kik vagyunk (legtöbbjük azért a választ meg sem várva visszaigazolta a kapcsolatot).

Az Iwiwen kicsit lanyhább volt az érdeklődés, az első nap után alig tíz ismerőssel szerénykedtünk, de a harmadik nap végére összejött ötvenegy ismerős, vagyis itt az áldozatok fele harapott rá a csalira. Itt huszonkilencen küldtek üzenetet a visszajelölés mellé (vagy helyett), volt köztük néhány bátortalan csajozási kísérlet is, de messze nem annyi, mint amikor pár éve hasonlóval kísérletezgettünk közösségi oldalakon.

Jönnek az adatok

Első menetben azt néztük meg, milyen személyes adatokat osztottak meg velünk az újdonsült ismerősök. A születési dátum és az emailcím szinte mindenhol megvolt, a Facebookon húsz, az Iwiwen tizenhárom áldozatunk megadta a telefonszámát és a pontos lakcímét is; és tizenöten, illetve tizenhatanan a munkahelyük adatait is megadták. Anélkül, hogy tippeket adnánk bárkinek: ennyi személyes adat már bőven elég ahhoz, hogy visszaéljen vele valaki, és ezekre építve egyre újabbakhoz jusson, a sor végén természetesen jelszavak és számlaszámok állnak.

Ennyivel nem értük be, és bevetettük a világ legprimitívebb trükkjét: a vonzó tartalmat kínáló linket, aminek a végén vírusterjesztő oldal várja a gyanútlan látogatót (nálunk persze csak egy számláló várta, de várhatta volna bármilyen fertőző oldal, ami a legfrissebb, még be nem foltozott biztonsági réseken át további kattintások nélkül támadja meg a látogató rendszerét). A beígért vonzó tartalmat Fiktív Krisztina fotói képezték, a Facebookon tizenhárman klikkeltek bele értük az ismeretlenbe, Iwiwen tizenheten – igaz, ott a sima üzenőfali bejegyzés mellett bevetettük a klasszikus spam módszerét is, és az összes ismerősünket értesítettük egy körlevélben arról, hogy hol találja a fényképeket.

Tizenöt százalék

Összesen tehát a kétszázból harminc (az üres oldalra érve valószínűleg elég csalódott) olyan júzert fogtunk ki, akiknek a gépét simán megfertőzhettük volna valami disznósággal, és nagyjából ugyanennyit, aki kínosan sok személyes adatát adta ki önként egy ismeretlennek (hogy a két réteg között mennyi az átfedés, azt persze nem tudhatjuk). Ez a tizenöt százalékos hatékonyság nagyságrendekkel jobb, mint a hagyományos spamkampányok hatékonysági mutatója, azoknál több millió kiküldött levélből jön össze napi pár tucat balek. Sőt simán lenyomja azt az átkattintási arányt is, amit általában az online hirdetések produkálni képesek.

A veszély tehát, amire év elején a vírusirtó cégek figyelmeztettek (miszerint a közösségi oldalak válnak 2010-re a rosszindulatú online akciók első számú színterévé), úgy tűnik, nagyon is valódi: ugyanazok az emberek, akikről lepattan a hagyományos spam, az adathalász levelek és egyéb próbálkozások, egy közösségi oldalon ugyanezeknek a trükköknek minden további nélkül bedőlnek. Pár perc kattintgatással és nulla hekkerkedési ismerettel kétszáz emberből harmincat rávettünk arra, hogy ész nélkül oda klikkeljenek, ahová mondjuk nekik. A rossz hír az, hogy az igazi adathalászoknak ennél sokkal több idejük van.

Index Tech blog, 2010. február 18.

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.