Új, és az eddigieknél is veszélyesebb adathalász módszert mutatott be az Ördöglakat elnevezésű online biztonságtechnikai játék egyik játékosa. A két különböző támadástípus házasításával létrejövő veszélyforrás jelentőségét mutatja, hogy megjelenése felülírta a NetAcademia által április 24-én először megrendezésre kerülő Ethical Hacking konferencia tematikáját.
A NetAcademia Oktatóközpont – a Microsoft Magyarország megbízásából - tavaly év végén indította el Ördöglakat elnevezésű online fejtörőjét, ahol az informatikai szakemberek ellenőrzött körülmények között ismerhetik meg a legjellemzőbb webalkalmazásokat érintő biztonsági problémákat, így hívva fel a figyelmet e betörési technikák kiküszöbölésére. „Az Ördöglakat rendkívül népszerű az informatikusok körében, hiszen az elmúlt hónapok során mintegy három és fél ezer szakembert sikerült a játékba bevonni” – mondta az Ördöglakat elindítását támogató Microsoft Magyarország képviseletében Budai Péter.
Veszélyes elegy
A jelenleg is futó, már 13 pályás játék részét képezi az Ördöglakat főoldalának feltörése is, amit a weblapon jó néhány, szándékosan nyitva hagyott, ugyanakkor éles üzemben működő oldalaknál is előforduló biztonsági rés „támogat”. „Megdöbbentő volt, hogy milyen sokan oldották meg ezt a feladatot, így szépségversenyt hirdettünk a leglátványosabb főoldal-feltörések közt. Ezen bukkant fel az a módszer, ami alapvetően eltér a megszokott az adathalász módszerektől, így külön foglalkozunk vele az április 24-ei Ethical Hacking konferencián” – mondta Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője, a játék szakmai felelőse.
Az új módszer lényege, hogy az adathalász nem egy teljesen új webhelyet hoz létre a felhasználók megtévesztésére és személyes adataik megszerzésére, hanem a szolgáltató – például egy bank - saját weblapját töri fel és változtatja meg. Ennek során az ún. cross-site scripting (XSS) betörési technikát alkalmazza, ami egy nem biztonságos módon kifejlesztett weboldalon lehetővé teszi az adatbeviteli mezőkön – pl. kapcsolati űrlapokon, fórumokon – keresztül történő átprogramozást. „Az így megvalósított adathalászat a gyakorlatban azt eredményezi, hogy a szokásos szűrési technikák segítségével – például a gyanús webcímek figyelése, a titkosító tanúsítvány hitelességének ellenőrzése - nem ismerhető fel az átverés, hiszen a hekker az eredeti weblapon tulajdonítja el a felhasználó adatait” – magyarázta Fóti Marcell.
Kapcsolódó webcímek:
http://www.ordoglakat.info/
https://www.netacademia.net/konferencia