Hogyan állítsuk meg az adattolvajokat? Az InfoStealerek különösen agresszív kártevőknek számítanak, amik igyekeznek a lehető legrövidebb idő alatt minél több adatunkat ellopni. A védekezés nem könnyű, de vannak lehetőségeink a kártevők elhárítására. Az adattolvaj támadások nem új keletűek.

Napjainkban az alábbi három kártevőcsalás különösen népszerű:

  1. Redline
  2. Vidar
  3. Raccoon

A megérzéseink vagy akár a figyelmünk sem sokat ér egyes informatikai támadások észlelésében, ha már megfertőződtünk. Az InfoStealereket általában nem lehet észrevenni a számítógépen vagy okostelefonon, a kártevő egyszerűen túl gyorsan végzi az olyan érzékeny információk összegyűjtését, mint a bejelentkezések, pénzügyi adatok és személyes információk. Ezeket megtalálhatja például sütikben, böngészőelőzményekben vagy kriptotárcákban.

Az InfoStealerek általában klasszikus módon, adathalász-támadásokon, fertőzött webhelyeken és rosszindulatú szoftverek letöltésén keresztül fertőzik meg célpontjaikat. A telepítést követően nagyon gyorsan végrehajtják a küldetésüket. Ugyanis sok adattolvaj kártevő másodperceken belül befejezi az ellopott adatok gyűjtését és továbbítását. Az összegyűjtött adatokat aztán a bűnözők úgynevezett naplókként értékesítik az erre szolgáló darknetes feketepiacokon. Azután az így megszerzett bejelentkezési adatok felhasználhatók vállalati hálózatokba való betörésre vagy személyazonosságok ellopására. Nemrég ChatGPT-felhasználók belépési adatait szerezték meg észrevétlenül a felhasználók böngészőjéből. Ezért a jelenleg legaktívabb adattolvajok, a Raccoon, a Vidar és a Redline voltak a felelősek.

Telegramon kínált kártevők

A hatóságoknak többször is sikerül csapást mérniük a rosszindulatú programokat áruló piacterekre, ezért az üzlet egy jelentős része átvándorolt a Telegram üzenetküldő platformra. A bűnözők beolvadnak a felhasználók anonim tömegébe, és nagy örömmel használják a szolgáltatás által biztosított titkosítást, valamint a nyílt forráskódú alkalmazás programozási felületet (API). A privát és anonim csatornák támogatása szintén praktikus a rosszindulatú programok terjesztéséhez (is). A csatornák némelyike rejtett, és a hozzáféréshez speciális meghívókra vagy engedélyekre van szükség.

Állítsuk meg az adattolvajokat! – Magánfelhasználók a célkeresztben

Az InfoStealerek egyáltalán nem számítanak új jövevénynek, azonban egyre kifinomultabb funkciókkal és különlegesebb megoldásokkal jelennek meg. Ez mára jelentős fenyegetést jelent a magánfelhasználókra és a vállalkozásokra egyaránt. Ugyanis a jelszavak, pénzügyi információk és teljes digitális személyazonosságok ellopása messzemenő következményekkel jár az áldozatok számára. A kártevők pedig egyre kifinomultabbá válnak álcázás és az áldozatok megközelítése terén.

Ráadásul a hekkerek a gazdaságosságra is figyelnek. Az igazán jól kidolgozott támadások sokáig meglehetősen költségesek voltak, ezért a legtöbb magánfelhasználóra nem jelentettek veszélyt. Így az elsődleges célpontok vállalatok és gondosan kiválasztott személyek voltak. Ez azonban mára már megváltozott a piacterek megjelenésével, amelyek olcsón kínálnak könnyen használható eszközöket tömeges támadáshoz.

Védelmi teszt

Bár a szakemberek folyamatosan dolgoznak azon, hogy különböző magánfelhasználóknak szánt víruskeresőt tesztelnek, hogy kiderítsék, védelmet nyújtanak-e az olyan célzott támadások ellen, mint amilyeneket az adattolvaj kártevők használnak. Azonban jelenleg még egyetlen víruskereső sem tudott teljes védelmet nyújtani az összetett támadások ellen. A programok átlagosan csak kettőt állítanak meg három támadásból – de ez elég komoly különbségeket jelent a védelem szintjében.

A fő nehézséget az jelenti, hogy az ilyen jellegű támadások célzottan, és specializált eszközökkel történnek. Ezek közé tartozik az erős álcázás, az ártalmatlan Windows rendszereszközök rosszindulatú használata és a fájl nélküli kártevőkód.

Fájl nélküli kártevők

A „fájl nélküli kártevők” egyre nagyobb teret hódítanak az utóbbi nagyjából öt évben. Az ilyen megoldást használó kártevő az esetek döntő többségében nem hoz létre semmilyen fájlt az áldozat eszközén, csupán annak rendszermemóriájában létezik.

Ebbe a csoportba tartoznak például az olyan szkriptek, mint a VBS, JS vagy MS Office makrók, amelyek fájl nélküli hátsó ajtókat telepíthetnek a rendszerekre, ezzel vezérlőcsatornát hozva létre.

Emellett a kártevők terjeszthetők az alábbi módokon is:

  • exploitok
  • távoli hívások (PSexec, wmic)
  • feladatütemezők
  • Registry-bejegyzések
  • WMI-hívások révén

Ez olyan integrált Windows-eszközökkel végezhető el, mint amilyen a PowerShell. Mindezek a módszerek közvetlenül az internetről töltik be a tényleges kártevőt a célrendszer memóriájába, és a helyi hálózaton belül azok elemeit kihasználva terjednek tovább. Ily módon akár tartósan is megtelepedhetnek a számítógépeken anélkül, hogy bárki észrevenné őket. Ez a víruskeresők számára komoly kihívást jelent.

Elengedhetetlen a védelem

Azért nem kell pánikba esnünk az InfoStealerek miatt, végső soron azok is csak malware-ek. Az adattolvajok készítői évek óta ugyanolyan versenyben vannak a biztonsági szakemberekkel, mint más kártevők gyártói. Persze a túlzott nyugalom és semmittevés sem megoldás, mert hogy a teszt is mutatja, a védelmi szoftverek nem tudják mindet megállítani. Ezért meg kell teremtenünk az eszközeink és a digitális identitásunk biztonsági alapjait. Ez ideális esetben több összetevőből áll.

Rendszerfrissítések

Győződjünk meg róla, hogy a legújabb frissítésekkel rendelkezünk. A Microsoft minden hónap második keddjén szállítja ezeket. Az Android szintén rendszeresen kap frissítéseket, és az iOS-hez is rendszeresen érkeznek fejlesztések. Összességében minden operációs rendszernél számíthatunk az automatikus frissítési funkcióra.

Program- és appfrissítések

Az operációs rendszer mellett a telepített programokat és appokat is naprakészen kell tartanunk, ami már nehezebb feladat. PC-n ajánlott i egy olyan segédprogram, mint a WinGet amihez a WinGet UI grafikus felületet biztosít. Mobiltelefonokon az alkalmazásfrissítések legegyszerűbb módja, ha rábízzuk a munkát az Apple és a Google alkalmazásboltjára.

Vírusvédelem

Windows alatt is elengedhetetlen a víruskereső, de a közhiedelemmel ellentétben az előre telepített Defender elég jó. Azoknak az androidos felhasználóknak, akik szeretnek új appokat kipróbálni, szintén érdemes beszerezniük egy víruskeresőt is. Ugyanakkor iPhone-okra nincsen használható külső vírusvédelem.

Jelszavak

Ha még nem használnánk, szerezzünk be egy jelszókezelőt, például a Bitwarden ingyenes verzióját. Minden felhasználói fiókhoz készítsünk egyéni, erős jelszót. Utóbbi azt jelenti, hogy számok, nagy- és kisbetűs, valamint speciális karakterek is szerepeljenek benne. A jelszómenedzserek ezt is megoldják helyettünk, beépített jelszógenerátorokkal. Ne fukarkodjunk a hosszúságokkal, ha az oldal engedi, nyugodtan használjunk 20, 30 vagy akár még több karaktert, ugyanis a jelszókezelő írja be helyettünk.

Szoftverforrások

Figyeljünk oda a szoftverek és appok forrásaira. Mobiltelefonok esetében hivatalos Apple- és Google-áruház legyen a fő beszerzési forrásuk. Windows esetében használjuk a WinGetet, közvetlenül a gyártó weboldaláról vagy jó hírű, megbízható portálokról. Valahogy álljunk ellen a kisértésnek, hogy például a WhatsAppban megosztott appokat telepítsük, vagy a jól ismert fizetős szoftverek, például az Adobe Photoshop vagy a Microsoft Office ismeretlen okból ingyenes verzióit használjuk.

Állítsuk meg az adattolvajokat! – Extra védelem adattolvajok ellen

A fenti, alapszintű védelem kiépítésével már megnehezítettük az InfoStealer kártevők dolgát, de akad lehetőség a védelem további erősítésére is.

Duplázott beléptetés: Ahol csak lehetséges, a hozzáférést védjük 2 faktoros hitelesítéssel (2FA). Ekkor egy új eszközön történő bejelentkezéshez nemcsak a jelszóra lesz szükségünk, hanem egy megfelelő második tényezőre is. Ezt általában egyszeri kódként küldik a mobiltelefonunkra SMS-ben vagy jobb esetben appon keresztül. Mindenképpen használjunk 2FA-t a kiemelten fontos szolgáltatások, például a levelezőfiókok esetében. Ugyan kényelmes a böngészőt egyúttal jelszókezelőként is használni, de az adattolvajok léte jó érv a külön jelszókezelő kliensek mellett.

Szintén fontos, hogy a HavelBeenPw-ned oldalon ellenőrizzük e-mail-címünket, hogy tudjunk róla, ha egy oldaltól ellopták fiókadatainkat.

Biztonságos böngészők

A böngészők biztonsága mindig megér egy kis extra figyelmet. Az adattolvajok ugyanis szívesen használják a böngészőben hosszú ideig tárolt bejelentkezési adatokat, és a kommunikációt is gyakran megpróbálják lehallgatni. A HTTPS-kapcsolatok ma már gyakorlatilag szabványosak, és rákényszeríthetjük a böngészőnket, hogy csak ezeket fogadja el. Ehhez váltsunk a Chrome beállításaira, és kattintsunk az Adatvédelem és biztonság menüpontra, majd ott a Biztonságra, és a Speciális részen csak kapcsoljuk be a „Mindig használjon biztonságos kapcsolatokat” opciót. A Firefox ezen a téren túl- teljesíti a Chrome-ot. A HTTPS módot itt is a beállítások között kapcsolhatjuk be, az Adatvédelem és biztonság menüpontban. Itt jóformán az oldal aljáig görgetve találjuk a Csak HTTPS mód részt, ahol választhatunk, hogy mindenhol, vagy csak a privát ablakokban aktiváljuk a biztonságos módot.

Sütik törlése

A websütik és egyéb hitelesítési információk rendszeres törlésével a böngészőben csökkenthetjük az InfoStealerek támadási felületét. Ha szeretnénk leegyszerűsíteni a dolgokat, csak jelentkezzünk ki rendszeresen, ha végeztünk a dolgunkkal. Kompromisszumos megoldás lehet, ha utasítjuk a böngészőt, hogy a program bezárásakor törölje a sütiket. A megoldás hátránya, hogy mindig újra be kell jelentkeznünk fiókjainkba. A Firefoxban ezt is az Adatvédelem és biztonság alatt állíthatjuk be. A Chrome-ban is többnyire ott lehet, de az aktuális verzióban éppen nincs ilyen beállítás. Kerüljük az automatikus kitöltést. Némi kényelem feláldozásával ellenállóbbak lehetünk az adattolvajokkal szemben. Jó példa erre az automatikus kitöltés: ha engedélyezzük, hogy a böngészőnk elmentse és automatikusan beillessze a hitelkártya adatokat, azt az InfoStealerek is kihasználhatják. Jobb, ha lemondunk erről a funkcióról, és például a jelszószéfünkkel végeztetjük a beillesztést.

Vissza a blog cikkekhez

error: Védett tartalom