Adathalászat jelszóval védett oldalak esetén

Adathalászat jelszóval védett oldalak esetén

 Előző bejegyzésünkben a záró kérdésünk az volt, hogy mennyire bonyolult egy adathalász támadás kivitelezése?

Jelen bejegyzésünkben bemutatjuk azt a legegyszerűbb esetet, amikor egy weboldal csak felhasználói név és jelszó párossal védi az ott regisztrált felhasználók személyes és üzleti adatait.

Mire van szüksége egy támadónak a legegyszerűbb forgatókönyvet nézve?

  • Szüksége van a támadott webhely feltérképezésére, megismerésére, ugyanis olyan mértékben szükséges lemásolnia az ott található tartalmakat és funkcionalitást, hogy az odacsalt látogatót meg tudja annyira téveszteni, hogy az elhiggye az eredeti oldalon jár, és ezért ki fogja adni a kért adatokat.
  • Kell maga az adathalász oldal, amely az előző pont szerint szerzett ismeretekre alapozva hitelesnek tűnik.
  • Kell egy olyan domain név és URL (link), ami megtévesztően hasonlít a támadott weboldal címére. Ilyen lehet pl. a www.faceb00k.com a www.facebook.com helyett.
  • Kell egy "csali" email, amelyet megpreparál a támadó: többnyire egy azonnali beavatkozást igénylő biztonsági esemény kapcsán kéri a felhasználót, hogy a frissítse fiók adatait, és ennek okán az előkészített hamasított weboldalra próbálja átvezetni az áldozat felhasználót.

Ezen a ponton tekintsük át folyamat modelljét:

  1. A támadó, aki kontrollálja a közbeékelt adathalász webhelyet, vagy célzottan az áldozat felhasználót keresi meg egy, az előzőek szerint preparált email-el, vagy tömeges email küldéssel próbál gyanútlan áldozatokat odacsalni az adathalász weboldalhoz.
  2. Sikeres "beetetés" esetén a felhasználó próbál bejelentkezni a hamisított weboldalon, megadva a felhasználói nevét és jelszavát, amit az adathalász webhely egyből tud naplózni.
  3. Ezen a ponton a támadó gyakorlatilag már meg is szerezte a hozzáférési azonosítókat a támadott rendszerhez, de a gyanú elterelése érdekében a bejelentkezési adatok birtokában jellemzően végrehajtja a támadott weboldalon is a bejelentkezést, és vagy egy szolgáltatás nem elérhető hibaüzenetet küld az áldozatnak, vagy  irányithatja őt az eredeti weboldal megfelelő szolgáltatásához, mintha minden rendben történt volna.
  4. Ezt követően már szabad az út a támadó számára, hogy a neki tetsző adatainkoz hozzáférjen, mivel birtokában van a szükséges felhasználói név és jelszó, amivel bármikor bejelentkezhet a támadott weboldalra.    

Hogyan néz ki egy támadás, ha a támadott oldal használ SMS-ben érkező jelszót is?

Nézd meg, a következő blogbejegyzésünket! :)


Kapcsolódó cikkek:

Adathalászat QR-kóddal védett oldalak esetén

Adathalászat OTP generátor által előállított jelszóval is védett oldalak esetén

Adathalászat SMS jelszóval is védett oldalak esetén

Kell-e védekeznünk az adathalászat ellen?