Ugrás a tartalomra

GYIK

Ha megtudjuk, hogy jelszavunk kiszivárgott, érdemes az alábbi lépéseket követnünk adataink biztonsága érdekében:

  1. Változtassunk jelszót!
    Azonnal cseréljük le a kiszivárgott jelszót egy a kiszivárgottra nem hasonlító, erős jelszóra.
  2. Jelentkezzünk ki az eszközökön!
    Lépjünk ki minden eszközről, ahol a fiókunkba be vagyunk jelentkezve.
  3. Állítsunk be többfaktoros azonosítást!
    Használjunk biometrikus azonosítást és/vagy autentikációs alkalmazásokat a fokozott biztonság érdekében.
  4. Figyeljük a bankszámlánkat!
    Különösen, ha pénzügyi adatokkal kapcsolatos jelszavak szivárogtak ki, ellenőrizzük rendszeresen a tranzakciókat és fagyasszuk be a kártyát, ha szükséges.
  5. Tájékoztassuk az ismerőseinket, illetékes kollégákat!
    Értesítsük azokat, akiket érinthet a jelszavunk kiszivárgása, különösen munkahelyi esetben az informatikai biztonságért felelős személyeket.

További információk a Tudástár cikkben.

Az e-mailek hitelességének ellenőrzése elengedhetetlen lépés a biztonságos digitális kommunikációhoz. A következő lépések segítenek megbizonyosodni a beérkező e-mailek hitelességében:

  1. Ellenőrizzük a feladót!
    Alaposan vizsgáljuk meg a feladó nevét és e-mail címét. Gyakran előfordulhat, hogy a név ismerősnek tűnik, de az e-mail cím gyanús vagy furcsa. Figyelj az olyan apró eltérésekre, mint például extra karakterek vagy domain nevek (pl. "example.com" helyett "example.co").
  2. Nézzük meg a fejlécek részleteit!
     Az e-mailek fejléceiben található információk sokat elárulhatnak az üzenet eredetéről. A legtöbb levelezőprogram lehetőséget biztosít a teljes fejléc megtekintésére. Keressünk olyan elemeket, mint a küldő szerver neve és a DKIM rekordok.
  3. Nézzük meg az üzenet tartalmát!
    Figyeljünk az üzenet stílusára és fogalmazására. Sok kártékony e-mail tartalmaz nyelvtani hibákat, rossz minőségű logókat vagy szokatlan formázást. Ezek intő jelek lehetnek.
  4. Kérdezzünk vissza, ha kétségeink vannak!
    Ha egy e-mailben személyes adatokat vagy pénzügyi információkat kérnek tőlünk, mindenképpen ellenőrizzük a kérést egy másik csatornán keresztül. Hívjunk fel egy hivatalos telefonszámot vagy írjunk egy másik ismert e-mail címre.

A GDPR értelmében az adott weboldal alapvető funkciójához nem feltétlenül szükséges sütiket csak akkor szabad aktiválni, ha a végfelhasználó kifejezett beleegyezését adta a használatukhoz az adatgyűjtés konkrét céljának ismeretében. 

A legtöbb esetben a sütik elfogadása egy weboldalon nem jár negatív következményekkel, azonban érdemes figyelmesen elolvasni kapcsolódó tájékoztatót, hogy tisztában legyünk vele, pontosan milyen sütiket használ az adott honlap és milyen céllal, hogy csak azokat fogadjuk el, amikre valóban célszerűek. (pl.: alapvető sütik, javasolt sütik, marketing sütik stb.)

Az alábbi esetekben nem javasolt a sütik elfogadása:

  • titkosítatlan weboldalak (ahol a keresősávban a webcím melletti lakat ikon nincs lezárva), vagy bár bármilyen egyéb gyanús, átverésnek tűnő weboldalak
  • harmadik féltől származó sütik
  • antivírus program által gyanúsnak jelölt sütik
  • amennyiben személyes adatokat oszt meg a weboldalon (pl.: banki adatok, személyi szám stb.)

A böngészőkben van lehetőség bizonyos típusú vagy akár az összes süti általános letiltására, de fontos észben tartani, hogy az összes süti elutasítása nagyban befolyásolhatja a böngészési élményt.

Az első és egyben legfontosabb kitétel, hogy bármennyire is zavaró lehet, jelszavainkat érdemes rendszeresen cserélnünk.

Formailag a jó jelszó:

  • nem tartalmaz értelmes szótári szót, idegen nyelven sem
  • nem tartalmaz semmilyen ránk jellemző információt, legyen az bármilyen szó vagy számsor
  • megfelelő hosszúságú (általában legalább 8 karakter)
  • vegyesen tartalmaz kis- és nagybetűket, speciálisa karaktereket és számokat
  • könnyen megjegyezhető
  • nem tartalmaz ékezetes betűket (amik nem biztos, hogy mindenhol rendelkezésünkre állnak)
  • rendszerenként egyedi

Annak érdekében, hogy ne egy megjegyezhetetlen halandzsa legyen a jelszavunk, optimális módszer lehet egy jelmondatból való kiindulás. Válasszunk egy számunkra könnyen megjegyezhető mondatot, akár verssort vagy egyéb szlogent pl.: Edward király angol király léptet fakó lován. A mondat első betűit véve a jelszavunk alapja: ekaklfl. Ha ezt megspékeljük még valamilyen logika mentén nagybetűkkel, megjegyezhető számokkal és speciális karakterekkel a fenti követelményeknek is megfelelő jelszót kapunk: EkAk_LfL53.

Semmiképp ne válasszunk olyan jelszót, ami:

  • ránk jellemző (becenév, családtag vagy háziállat neve, kedvenc focicsapat, és hasonlók)
  • könnyen tippelhető (számsorozat, mint az 1234 vagy karaktersorozat, mint a qwerty)
  • túl rövid (2-5 karakter hosszú), ha egyáltalán van hossza (,,elég enter-t ütni és belépsz!'')
  • tartalmaz olyan karaktereket, melyek nem biztos, hogy minden esetben elérhetők (pl. ékezetes betűk)
  • szótári vagy ismert szó bármilyen nyelv szótárában vagy nyelvében
  • fel kell írnunk valahova, külöben nem tudjuk megjegyezni

Ne alkalmazzuk ugyanazt a jelszót, több rendszer, szolgáltatás esetében!

Mivel a Brute Force-támadás lényege, hogy úgy próbálják a jelszavainkat, egyéb azonosítóinkat feltörni, hogy az összes létező kombinációt kipróbálják a leghatékonnyabb védekezési módszer, ha a gyakran cseréljük ezeket és olyan megfelelő bonyolultságú jelszavakat választunk, amelyek feltörése akár több évet is igénybe vehet.

Amennyiben úgy dönt, hogy elutasítja a sütik használatát, előfordulat, hogy nem kapja meg a teljes felhasználói élmény a weboldalon, egyes funkciók nem működnek, vagy esetenként a webhely tulajdonosok megtagadhatják a weboldal használatát.

Először is alkalmazzon spam szűrőt. A legtöbb népszerű e-mail szolgáltató (pl.: Gmail, Hotmail, Yahoo stb.) alapértelmezetten is elég erős spam szűrőt használ, azonban egyik sem tökéletes, így fontos, hogy segítse a szűrő munkáját azzal, hogy spamnek jelöli az olyan levélszemetet, ami mégis eljut a „Beérkezett üzenetek” mappájába. Érdemes időnként ellenőrizni a „Spam” vagy „Levélszemét” mappát is, hogy megbizonyosodjon arról, hogy rendes (nem levélszemét) üzenetek nem kerültek-e oda.

Érdemes lehet továbbá két külön e-mail címet használni. Egyet a személyes levelezéshez, egyet pedig az online vásárlásokhoz, hírlevél feliratkozásokhoz és egyéb szolgáltatásokhoz. Mindemellett pedig fontos, hogy ne jelenítse meg az e-mail címét közösségi média oldalakon vagy egyéb weboldalakon.

Ha egy weboldal elkéri az e-mail címét, tekintse meg az adatvédelmi szabályzatukat, hogy felmérje milyen célra használják fel az adatait. Egyes szolgáltatók megoszthatják vagy eladhatják az Ön adatait.

A csalók általában valamilyen ismert szervezet, vagy vállalat nevében írnak (pl.: közüzemi szolgáltató, bank, hitelkártya szolgáltató, rendőrség, posta, egyéb szolgáltatók), de előfordul az is, hogy távoli milliomosoknak, ismeretlen rokonok jogi képviselőinek vagy egyéb személyeknek adják ki magukat. Sokszor azonnali cselekvésre próbálnak rávenni, különben valamilyen „negatív következménnyel” szembesülünk (például  "azonnal frissítse adataid" vagy "a fiókja rövid időn belül zárolva lesz, ha nem lép be".)
 Ilyenek lehetnek például:

  • Gyanús tevékenységet észleltek, valamelyik felhasználói fiókja kapcsán, gyorsan frissítse/erősítse meg az adatait a megadott linken keresztül mielőtt a fiók illetéktelen kezekbe kerül.
  • Frissítse a számlázási adatait valamilyen szolgáltatás kapcsán, különben az azonnali letiltásre kerül.
  • Rendőrségi eljárást indítottak, azonnal válaszoljon a megadott e-mail címre, különben körözést, elfogató parancsot adnak ki.
  • Haladéktalanul fizesse ki egy kézbesítés alatt álló csomagjához kapcsolódó díjat, különben a visszaküldésre kerül, vagy visszatartják.
  • A csatolt (ismeretlen) számla befizetése lejárt, a szolgáltatás hamarosan letiltásra kerül
  • Örökséghez, ingyenes termékhez, egyéb váratlan pénzhez juthat.

Leggyakrabban valamilyen linkre kell kattintani ezekben a levelekben, amelyek aztán elvisznek egy hamis bejelentkezési, fizető vagy vírust tartalmazó oldalra. A link szövege gyakran valónak tűnhet, viszont a kurzort fölé emelve láthatjuk, hogy valójában egy gyanús weboldalra vezet.

Ezek az e-mailek, vagy csaló weboldalak sokszor látványelemeiben megkülönböztethetetlenek az eredeti cégekétől, használva a logókat és színpalettákat. Legyünk körültekintőek, mert a szép látvány nem jelent megbízhatóságot!

Érdemes ellenőrizni a feladó e-mail címet. A törvényes szervezetek jellemzően nem fognak nyilvános domain (pl @gmail.com) végződésű feladóval üzenetet küldeni. Ha a domain név (a @ szimbólum utáni rész) megegyezik az e-mail látszólagos feladójával, az üzenet nagy valószínűséggel valóban a feladótól jött, míg, ha gmail-es, vagy egyéb beazonosíthatatlan domaint látunk, érdemes óvatosnak lenni. A hamis weboldalakhoz is gyanús, sokszor az adott szervezet nevéhez nem illeszkedő domain tartozik. Előfordulhat, hogy az e-mail címben apró tévesztések, extra betűk szerepelnek, legyünk ezekre is körültekintőek!

A phishing e-mailek érkezhetnek saját levelezőpartnereink feltört fiókjaiból is. Vizsgáljuk meg, vajon tényleg így fogalmazna ez az ismerősünk, kérne-e tőlünk ilyesmit, kérdezzük az üzenetről valamilyen másik csatornán vagy hívásban.

Korábban igen jellemző volt az adathalász levelekre a magyartalan, sok helyesírási hibát tartalmazó megfogalmazás, manapság azonban már egyre több hihető nyelvezetű levél. A megszólítás szinte mindig általános ezekben a levelekben, a címzett nincs név szerint megjelölve a levél szövegében (például "Tisztelt Ügyfelünk" vagy "Kedves Felhasználó").

A legfontosabb, hogy lehetőség szerint ne nyisson meg kéretlen, ismeretlen forrásból származó üzeneteket. Amennyiben ez mégis megtörtént, ne kattintson az üzenetben szereplő hivatkozásra.

Az e-mailes spam szűrök sok adathalász levelet távol tarthatnak a postafiókjától, azonban a csalók a mindig igyekeznek kijátszani ezeket a szűrőket. Fontos, hogy védje az eszközeit folyamatosan frissített vírusírtóval, illetve mindig frissítse az eszközei operációs rendszerét, illetve a használt böngészőket is. Érdemes lehetőség szerint kétfaktoros azonosítást alkalmazni a különböző felhasználói fiókok esetében, így jelszó kiszivárgás esetén sem tudnak a csalók belépni pl. a netbank fiókjába. Javasoljuk továbbá, hogy készítsen biztonsági másolatot az eszközein lévő adatokról egy külső merevlemezre vagy a felhőbe.

Amennyiben olyan szolgáltatótól, vagy szervezettől kap gyanús megkeresést, akikkel valóban kapcsolatban áll, és nem tudja eldönteni, hogy a levél hiteles-e vagy sem, vegye fel velük a kapcsolatot a hivatalos honlapjukon megadott elérhetőségeken (nem az üzenetben megadott elérhetőségen) és kérjen megerősítést.

Magyar érintettség (domain „.hu” végződése vagy magyar nyelvű az adathalász szöveg) esetén jelezze a HunCERT számára az incidens bejelentő űrlapunk segítségével. Weboldal esetében a teljes URL-t, míg e-mailek esetében az üzenet teljes fejlécét kérjük megküldeni. Az e-mailek teljes fejléce alapesetben nem látható, annak megtekintési módja levelező- és webes levelező-kliensenként változik. Javasoljuk a kapcsolódó tudástár elem megtekintését.

Külföldi adathalász weboldalak bejelentésére javasoljuk az európai Phishing Initiative (adathalász kezdeményezés) weboldalát vagy a Google kapcsolódó bejelentő felületét.

A VPN lehetővé teszi, hogy eszközünk egy titkosított csatornán keresztül kapcsolódjon az internetre, amellyel egy szabadabb és biztonságosabb online élményt biztosít számunkra.

A VPN:

  • segít, hogy nagyobb biztonságban tudhassuk az adatainkat (pl.: jelszavak, bankkártya adatok stb.), aminek különös jelentősége van akkor, amikor nyilvános WIFI hálózathoz csatlakozunk. (pl.: kávézók, éttermek, bevásárló központok stb.) 
  • az IP-cím elrejtésével, megakadályozza, hogy az internetszolgáltatónk vagy egyéb 3. felek nyomon kövessék az online tevékenységünket, elrejti a böngészési előzményeket. Biztosítja az online anonimitást.
  • elrejti a földrajzi helyünket, így hozzáférhetünk blokkolt vagy régióhoz kötött tartalmakhoz. (pl.: streaming szolgáltató esetében csak adott országban elérhető filmekhez)
  • Biztonságos, privát kapcsolatot biztosít a céges erőforrásokhoz távmunka esetén.
  • Segít abban, hogy online foglalások esetében jobb árakat kapjunk, mivel a szolgáltatók mindig új látogatónak érzékelnek. Ellenkező esetben egyes szolgáltatók (különösen pl.: repülőjegy vásárlás, szállás foglalás, autó bérlés esetén) árat emelhetnek a későbbi visszalátogatások alkalmával.

A VPN-k használata manapság nem igényel komolyabb technikai tudást és számos alkalmazás, illetve rendszer specifikus leírás elérhető online. Általános áttekintésnek javasoljuk a ditching.eu-n található tájékoztatót.

  1. Válasszon megfelelő bonyolultságú, erős jelszavakat, amelyeket gyakran cserél.
  2. Tartsa frissen számítógépe operációs rendszerét és az egyéb telepített szoftvereket. (A frissítések gyakran javítanak felmerült biztonsági hibákat.)
  3. Használjon vírusírtót.
  4. Tartsa bekapcsolva a tűzfalat.
  5. Ügyeljen a phishing és egy egyéb csaló üzenetekre és webes tartalmakra.
  6. Készítsen biztonsági másolatot az adatairól.