Adathalászat: minden csali beválik a mobilokon

A Berkeley Egyetem tudósai egy olyan kutatást végeztek, melynek elsődleges célja az volt, hogy sikerüljön feltérképezni a mobil készülékek révén megvalósuló adathalász támadások jellegzetességeit. David Wagner, a Berkeley professzora elmondta, hogy azért kezdeményezték a vizsgálatot, mert miközben látták a potenciális kockázatokat, aközben igazán jó védelmi megoldásokkal nem találkoztak.

A kutatók száz különféle, Android és iPhone kompatibilis alkalmazást vettek górcső alá, és a vizsgálataik során 15 különböző adathalász technikára lettek figyelmesek. Ezek alkalmasak voltak arra, hogy a csalók a kártékony programjaikkal felhasználóneveket és jelszavakat szerezzenek különösen a Facebookhoz és a Twitterhez.

A tudósok arra a következtetésre jutottak, hogy az egyik legjelentősebb problémát az jelenti, hogy a mobil készülékek esetében még nem terjedtek el azok a biztonsági funkciók, amelyek képesek lennének figyelmeztetni a felhasználókat akkor, ha egy adathalász célokat szolgáló, meghamisított weboldalt tekintenek meg. A kis eszközökön ugyanis nagyon nehéz felismerni, ha például a Twitterhez vagy akár egy banki weboldalhoz hasonló, kártékony célokat szolgáló weblap jelenik meg. A kutatók olyan megoldásokat hiányolnak, mint amilyen például a hagyományos böngészők különböző színűre változó címsora. Ezek révén ugyanis könnyebben lehetne kiszűrni a hamis tanúsítványokkal ellátott webhelyeket, és fel lehetne hívni a figyelmet a kockázatokra. Ugyanakkor a felhasználók biztonságtudatosságának növelése is fontos lenne, ugyanis a mobil eszközökön sokan meglehetősen bátran, kellő körültekintés nélkül adják meg a bizalmas adataikat, vagy nézegetik az e-mailjeiket.

Óvatos levelezés

Dave Jevans, Anti-Phishing Working Group elnöke szerint jelenleg még viszonylag kevés mobil adathalász támadással lehet találkozni. Viszont a csalók által készített levelek többször érik el a céljukat, akkor, ha azokat a címzettek mobil készülékeken tekintik meg. Jevans ugyanakkor jobban aggódik a kártékony programok miatt, ugyanis azokat meglehetősen nehéz kimutatni. A szakember úgy látja, hogy egyre több olyan ártalmas program jelenik meg, amelyek kezdetben teljesen legális alkalmazásként tölthetők le, majd idővel olyan kódokkal bővülnek, amelyek már adatlopást is lehetővé tehetnek.

Védelmi kezdeményezések

Mivel az adathalászat egyre kézzelfoghatóbbá válik a mobil készülékek esetében is, ezért egyre több biztonsági cég és szakember foglalkozik olyan megoldások kifejlesztésével, amelyek lehetőséget biztosítanak a kártékony tartalmak kiszűrésére. Az egyik ilyen kezdeményezés Markus Jakobsson, a PayPal szakértőjének nevéhez fűződik, aki a Spoof Killer révén próbálja felhívni a figyelmet a veszélyekre. Emellett várhatóan a mobil operációs rendszerekkel kompatibilis védelmi szoftverek fejlesztői is egyre nagyobb hangsúlyt fognak helyezni az adathalászat megzabolázására.