Ezzel az oktató anyaggal azoknak a munkavállalóknak szeretnénk segíteni, akik távmunkára álltak vagy állnak át. Összeszedtük, milyen veszélyek leselkednek ránk a kibertérben, és ezek hogyan kerülhetők el.
Anyagunkat folyamatosan aktualizáljuk, kérjük figyelje a verziószámot!
Vigyázzon munkatársaira, és ne vállaljon felesleges kiberbiztonsági kockázatot!
4. Ezzel az oktató anyaggal azoknak a munkavállalóknak szeretnénk segíteni, akik
távmunkára álltak vagy állnak át. Összeszedtük, milyen veszélyek leselkednek ránk a
kibertérben, és ezek hogyan kerülhetők el.
Anyagunkat folyamatosan aktualizáljuk, kérjük figyelje a verziószámot!
Vigyázzon munkatársaira, és ne vállaljon felesleges kiberbiztonsági kockázatot!
5. Phishing (Adathalászat):
Általában egy ismert szolgáltató nevét használva,
félrevezető, de valódinak tűnő e-mailt küld. Ebben kérik az
ügyfelet, hogy egy linken keresztül adja meg a jelszavát,
felhasználónevét és egyéb személyes információt, akár még
a bankkártya adatokat is!
6. E-mail csatolmányok:
Hivatalosnak tűnő e-mailben érkeznek, és
a csatolmány maga egy fertőző link vagy
egy megbízható dokumentumba kódolt
vírus.
Ha hasonlóan gyanús levelet kapunk, akkor legyünk elővigyázatosak!
7. 1. Nézzük meg a feladót, ha gyanús, ne
nyissuk meg! Ehhez kétszer kattintson
rá a feladó nevére, vagy vigye a
kurzort/egeret a feladó neve fölé!
2. Ha ismerős címről érkezett a levél,
mégis gyanúsan más, hívjuk fel az
illetőt, hogy valóban ő küldte-e!
3. Ha továbbra sem vagyunk biztosak
benne, semmiképpen se töltsük le a
csatolmányt, szóljunk a
rendszergazdának, hogy vizsgálja be!
Hogyan kerülhető el?
8. 4. Mozgassuk a link fölé a kurzort (egeret), hogy hová vezet. Nézzük meg, hogy
valós linkre mutat-e, és elsőre ne kattintsunk rá! Másoljuk ki a linket, és
ellenőrizzük a https://www.cyren.com/security-center/url-category-check
oldalon!
5. Bizonyosodjunk meg a vállalat hivatalos honlapján, hogy valóban ők küldték-e
a levelet!
6. Ha rákattintunk, és a bejövő oldal furcsa információkat kér tőlünk, akkor is
kezdjünk el gyanakodni!
Hogyan kerülhető el?
9. Spam:
Egyszerre, gyakran spambotok* által találomra generált e-mail címekre küldött, adathalász
és egyéb kártékony szoftvert tartalmazó e-mail.
Hogyan kerülhető el?
1. Ne válaszoljunk, ne kattintsunk rá, mert ez egy jelzés a küldőnek, hogy létezik az e-mail
cím és még több oldalról várható majd támadás!
2. Ha lehet, használjuk a következő formátumot: példakukacgmailpontcom a saját
weboldalunkon, ha e-mail címet akarunk megadni!
3. Alaposan válasszuk meg, hogy milyen webhelyeken adjuk meg az e-mail címünket, ugyanis
versenyek, nyereményjátékok és egyéb „ingyenes” hirdetések valójában csak adathalász
weboldalak!
*A spambot egy számítógépes program, amely a spam küldésében segít.
A spamrobotok általában fiókokat hoznak létre és tömeges spamüzeneteket küldenek velük.
11. A publikus Wi-Fi kapcsolatok általában
hotelekben, kávézókban és más hasonló
publikus helyszíneken érhetők el, de ezek csak
alig, vagy egyáltalán nincsenek védve. Nem
ritka, hogy károkozási célokkal, másolt Wi-Fi
SSID-t (Wi-Fi név) kreálnak a közeli hotel,
könyvtár vagy szórakozóhely nevében, ezzel
teljesen védtelenné téve a számítógépünket.
Biztonságos internethasználat
12. 1. Kerüljük el az ilyen, publikus Wi-Fi használatát, mivel a
kommunikáció titkosítás nélkül folyik! Amennyiben szükséges és
mégis kapcsolódna, akkor vállalati vagy fizetős VPN-t használjunk,
és ezen keresztül internetezzünk!
2. Minden esetben azt kell feltételeznünk, hogy még a hivatalos Wi-
Fi hálózat sem biztonságos, ezért ne használjuk a közösségi
oldalakat, netbankot és egyéb, fontos adatainkat kezelő
weboldalakat!
3. Érdemes inkább a mobilunk által használt adatforgalmat használni
ezekere a célokra.
Hogyan kerülhetjük el az átverést?
13. HTTPS:
A https egy URL-séma, amely biztonságos internetkapcsolatot jelöl.
Azonban ez nem jelenti azt, hogy feltétlenül biztonságban vannak a
weboldallal megosztott adataink.
14. 1. Ha HTTPS-t használ a weboldal, akkor nagyobb biztonságban
érezhetjük magunkat, azonban ügyeljünk a böngészőnk és védelmi
szoftverünk figyelmeztetéseire!
2. Ha nem látunk HTTPS feliratot, akkor ne adjunk meg érzékeny
adatokat a weboldalon!
3. Legyünk körültekintők, és ne keltsen bennünk téves
biztonságérzetet a HTTPS protokoll!
Hogyan kezeljük a weboldalakat?
15. WEB-es tartalom szűrése:
Megkülönböztetünk otthoni és vállalati verziót is. Az otthoni verzió a
gyermekvédelemre, a vállalati pedig a céges tartalom szűrésére szolgál, aminek
hatására az alkalmazottak produktívabbak lesznek. Lényege, hogy a rendszergazda
letilthat bizonyos tartalmú, nevű vagy viselkedésű oldalakat, például munkahelyen a
közösségi oldalakat, és egyéb, kockázatos, kártékonyan viselkedő weboldalakat.
16. Keresőmotor biztonsága:
Manapság az emberek, akár a munkahelyükön is, minden egyes kérdést,
keresést egy keresőmotoron keresztül akarnak megoldani. például Bing, Google
Ez veszélyes lehet, még a közösségi médián keresztül is, mert egy
meggondolatlan kattintás egy nem hivatalos weboldalra, akár végzetes is lehet,
ugyanis ezen keresztül megfertőződhet a számítógépünk.
17. 1. Próbáljunk a találatok linkjeire kattintani! Legyünk óvatosak, a gyanús linkekre
ne kattintsunk rá! Mindig legyünk elővigyázatosak az ingyen elérhető
tartalmakkal!
2. Legyünk gyanakvók, a normál esetben fizetős tartalmakat, filmeket, játékokat
ne akarjuk ingyen letölteni ismeretlen forrásból, mert azzal gyakran adathalász
program vagy egy zsarolóvírus áldozatává válhatunk!
Hogyan kerülhetjük el?
19. Közösségi befolyásolás, amely akár személyesen arra irányul, hogy bizalmat keltve
adatokat, konkrétan pénzt szerezzenek, valamint kártékony tevékenységet
végezhessenek.
Személyre szabott fenyegetések
(social engineering)
20. Néhány példa:
1. E-mailen keresztül érkezett „befagyasztott bankszámla költség” kifizetésére
irányuló kérések.
2. Telefonhívás egy rokon nevében.
3. Elektromos / távközlési szolgálató nevében küldött fizetési felszólítás.
4. Egy ajándék, szórakozási lehetőség ígéretében vagy a bank nevében.
5. Nem gyakori, de néha személyesen sétálnak be a céghez és bizalmat keltve,
másnak kiadva magukat, akár a számítógépekhez is hozzáférhetnek,
kikapcsolhatják a védelmet, károkozó programot telepíthetnek, adatokat
lophatnak.
21. 1. Mindig legyünk gyanakvók, ha érzékeny információkat kérnek tőlünk!
2. Bizonyosodjunk meg a cégek hivatalos elérhetőségén keresztül, hogy valóban ők
hívtak-e, küldtek-e emailt vagy személyesen embert!
3. Ne engedjük be a váratlanul érkező személyeket, azaz kérdezzük meg, hogy
valóban vár-e csomagot, egyéb szolgáltatót a vállalat!
Hogyan kerülhetjük el?
22. Belső fenyegetések:
Nem is gondolnánk, de egy vállalat belső környezetéből is indulhat
kibertámadás. Könnyen kikapcsolhatják a megfelelő hozzáféréssel a védelmi
szoftvereket, telepíthetnek kártékony szoftvereket, vagy szándékosan
beengedhetik azokat, adathordozókon keresztül adatokat lophatnak és egyéb,
működést fenyegető támadást hajthatnak végre.
Lehetséges esetek:
1. Egy rosszakaró, csalódott alkalmazott, üzleti partner, egyéb beszállító,
akinek érdeke kárt okozni.
2. Nem szabad azonban mindig rosszhiszeműnek lennünk. Néhány
alkalmazottól indult támadást okozhatja egy rossz kattintás, átverés és
egyéb művelet, amit valójában nem ő akart végrehajtani.
23. 1. Tartsunk rendszeres képzést a munkavállalóknak, hogy hogyan kerülhetik el a
kibertámadást, és hogyan legyenek elővigyázatosak!
2. Korlátozzuk a munkavállalók hozzáférési jogosultságát, valamint fizikailag is
biztosítsunk védelmet az olyan eszközöknek, amelyek központi szerepet
játszanak a hálózatban, valamint fontos adatokat tartalmaznak!
3. Szeparáljuk a munkavállalók eszközeit külön alhálózatokba, és ezek
kommunikációját tűzfalon keresztül engedélyezzük!
4. Használjunk EDR végpontvédelmi megoldást, hiszen csak ezek
tudják elhárítani a belső hálózaton keresztül történő kibertámadásokat!
Mivel csökkenthetjük ennek kockázatát?
25. A malware-ek típusai:
• vírusok, trójai vírusok
• worm-típusú vírusok
• spyware-ek, ransomware-ek
• rootkit-ek
Céljuk kárt okozni és a célpont adatait, végső soron pénzét ellopni. Ezeket sokszor
kombinálják, például egy trójai vírussal spyware-t juttatnak a gépre, az pedig
megtalálhatja a biztonsági rést egy zsarolóvírusnak, azaz ransomware-nek.
Kártevő szoftverek (malware)
26. A kártevők célpontjai:
Manapság elég népszerű és sok tévhit kering a célpontokról. Azonban a valóság
más:
• Nem csak Windows operációs rendszerekre veszélyesek, hanem mindre.
• Nem csak nagyvállalatokra utaznak, minden vállalati forma veszélyben van, még
az állami és az 1-2 fős cégek is.
• Nem csak számítógépek és a szerverek vannak veszélyben.
A kiberbűnözők nem válogatnak, minden méretű vállalatot, hatóságot, hivatalos,
állami cégeket, oldalakat is megtámadnak, a weboldalaikat és a magánszemélyeket
is! Minden veszélyben van, amin keresztül adatokhoz férhetnek hozzá, vagy
korlátozhatják azok elérését, használatát. Motivációjuk rendszerint az
üzletfolytonosság veszélyeztetése, megbénítása, és ezen keresztül az anyagi
haszonszerzés.
27. Hogyan jutnak el a céljukhoz a kártevők?
Számos oldalról támadhatnak, többek között: egy gyanús linken, csatolmányon keresztül,
egy megbízható programba beépülve, de akár egy fertőzött adathordozón, például
pendrive-on, vagy akár nem megfelelően biztosított távoli asztali kapcsolaton keresztül.
Manapság egy publikus Wi-Fin keresztül megfertőzi a mobilt, majd az otthoni/vállalati Wi-
Fin keresztül eléri a belső hálózatot. Mobilok esetén a nem ellenőrzött, a nem hivatalos
helyről letöltött alkalmazások is tartalmazhatnak malware-t, vagy ők maguk azok.
28. 1. Használjunk komplex végpontvédelmet az
összes eszközön, ne csak a Windows-os
gépeken!
2. Tartsunk a munkavállalóknak kiberbiztonsági
tréningeket, hiszen rajtuk is múlik a vállalat IT-
biztonsága!
3. Ne kattintsunk gyanús linkekre, illetve óvatosan
kezeljük a talált, kapott adathordozókat! Ezeket
érdemes először a rendszergazdával
átvizsgáltatni.
Hogyan kerülhető el a fertőzés?
30. Személyes adat a jelszavakban:
Sokan beleesnek abba a hibába, hogy a jelszavaik tartalmaznak olyan személyes
adatokat, amelyeket akár a közösségi oldalakról meg lehet szerezni, vagy túl sokan
tudják, ezért a rosszakarók kihasználhatják ezeket az információkat. Másik komoly
hiba, hogy a biztonsági kérdések esetén szintén őszintén válaszolnak, így a valós
információt máshonnan megszerezve, a biztonsági kérdéseken keresztül feltörhető
a fiók.
Jelszavak
31. 1. Ne adjunk meg olyan jelszót, amely olyan személyes adatot tartalmaz, ami
könnyen hozzáférhető az interneten, akár ismerőseink által!
2. Különböző hozzáféréseknél más-más jelszó használata javasolt.
3. A biztonsági kérdésekre ne válaszoljunk őszintén! Találjunk ki egy csak általunk
ismert választ, még a kérdéshez sem kell kötődnie! Például: Mi az édesanyja
középső neve? Válasz: Sajtostészta.
Hogyan kerülhető el az ilyen jelszófeltörés?
32. Jelszó higiénia:
Manapság, ha megszerzik a jelszavunkat, könnyen
beférkőzhetnek több fiókunkba is. Az e-mailünket megszerezve
hatalmas károkat tudnak okozni, a nevünkben fertőző, adathalász
leveleket küldeni, jelszóemlékeztető e-maileken keresztül
megszerezni akár a céges belépési adatainkat is.
33. 1. Egy megjegyezhető, kellően bonyolult jelszót használjunk!
2. Semmiképpen se tároljuk el könnyen hozzáférhető dokumentumokban,
valamint ne írjuk cetlikre, füzetekbe, stb a jelszavainkat, mert könnyen
ellophatják!
3. Ne adjuk meg barátoknak, rokonoknak a jelszavunkat elektronikus úton, mert
ha feltörik, ellopják az eszközt és visszaolvassák, akkor már meg is szerezték azt!
4. Kb 2-3 havonta cseréljünk jelszót! Cseréljünk jelszót kürölbelül 2-3 havonta!
5. Ne használjuk mindenhol ugyanazt a jelszót!
Mit tudunk tenni?
34. Jelszó kezelés:
Ha nem tudjuk megjegyezni a bonyolultabb és egyre nagyobb számú jelszavainkat,
akkor használhatunk megbízható, modernebb alkalmazásokat. Ezek tárolják vagy
generálják az új jelszavakat, hovatovább egy mesterkulcshoz hasonlóan működő
szóval előhívhatjuk azokat. Ezt hívják dinamikus jelszónak.
36. Ez egy komplex és fontos témakör, ugyanis álhírekkel a kártevő szoftverek,
hackerek, könnyedén érzékeny adatokhoz juthatnak, akár teljes
rendszereket béníthatnak meg. Számos útvonalon keresztül érhet minket
támadás. A probléma összetettségét jelzi, hogy az elkövetők fenti
kockázatok szinte minden típusát használhatják.
Álhírek (fakenews)
37. Az emberek hiszékenységét célozzák meg, és egy közismert személyre, vállalatra,
intézetre, hatóságra, eseményre, tényre vagy aktuális válságra alapozva kreálnak
álhíreket.
Például:
• Facebook fizetőssé válása.
• Mark Zuckerberg, Bill Gatesvagyonának szétosztása.
• Pénzintézetek állítólagos összeomlása.
• Ebolával, koronavírussal stbkapcsolatos álhírek.
Ezek a valótlan állítások szinte mindegyike valamilyen adatot kér az áldozattól, hogy
azok részesüljenek valamilyen jutalomban, elkerüljenek egy nem kívánt következményt,
vagy egyszerűen csak egy kattintást akarnak, amivel megtörténik a baj.
38. 1. Mindig legyünk gyanakvók a linkekkel, adatmegadással járó kérésekkel
kapcsolatosan!
2. Bizonyosodjunk meg a hivatalos weboldalakról, hogy igaz-e a hír!
3. Csak jól ismert híroldalakról tájékozódjunk!
4. Ne töltsünk le ismeretlen eredetű csatolmányt!
5. Mindig nézzük meg az adott oldalt, hogy megbízható-e!
6. Mindig nézzük meg a feladót e-mail esetén, a közösségi oldalon a profilt. Utóbbinál,
ha friss a profil, „furcsa nevű” az illető és ismerősei, akkor minél hamarabb tiltsuk le!
Hogyan kerülhetjük el ezeket?
39. 1. Csak hivatalos és ellenőrzött programokat használjunk!
2. A mesterjelszó legyen megfelelően biztosítva! Sehol se tároljuk, hanem
jegyezzük meg!
3. Legyünk óvatosak a nagyon érzékeny adatok esetében, mint például a
netbankunk kezelésénél!
Mire ügyeljünk?
40. Kétfaktoros azonosítás:
Lényege, hogy az azonosításhoz két fő elemre van szükség: amit a felhasználó tud, azaz
eleve megjegyzett, és az, amivel a felhasználó rendelkezik.
Előnyei:
1. Ez kiküszöböli a gyenge jelszavak okozta biztonsági rést.
2. Arra épít, hogy a jelszó, a telefonszám megadásán kívül válaszolni kell egy kapott
kóddal, vagy ujjlenyomattal engedélyezni a belépést.
3. A mai okostelefonokkal ez egyszerű, mégis nagyon biztonságos művelet.
4. Több közösségi weboldal, például Facebook, Google is fel szokta ajánlani ezt a
lehetőséget. Éljünk vele!
Ha lehetséges, használjunk erre kifejlesztett applikációkat, mivel a SIM kártyánk
adatait vagy magát a kártyát is megszerezhetik, így az SMS-ben kapott kódot a
kiberbűnözők is megkaphatják!
42. Az otthoni hálózat IT-biztonsága nem minden esetben rajtunk múlik. Ha
laknak velünk mások is, akkor az ő internetezési szokásaik is védtelen
támadófelületet nyújthatnak.
1. Az okos eszközeiken található ismeretlen eredetű alkalmazások.
2. Publikus Wi-Fi hálózat óvatlan használatából eredő biztonsági rés.
3. Ingyenes filmek, játékok, programok és egyéb, ellenőrizetlen torrentek
letöltése is problémákat okozhatnak.
Biztonságos otthoni hálózat kialakítása
43. Köszönjük, hogy elolvasta a Panda
Általános Kibervédelmi Tréninget!
Reméljük, hogy hasznosítani tudja az itt
olvasottakat és arra kérjük, hogy másokkal
is ossza meg ezt az oktatóanyagot!