A telefonszám lehet a legérzékenyebb adat – Makay Kálmánnal beszélgettünk

2018. szeptember 06.

Az amerikai T-Mobile kiberbiztonsági osztálya 2018 augusztus 20-án hackertámadást észlelt. Kiderült, hogy a cég 77 millió felhasználójának 3 százalékát érintette az eset, amely nagyjából 2 millió főt érint.  A T-Mobile tájékoztatása szerint a következő információkat szerezték meg a hackerek: név, telefonszám, számlázási irányítószám, emailcím, ügyfélazonosító és ügyféltípus (előfizetéses vagy kártyás). A telefonszám nem tűnik elsőre olyan fontosnak, de mégis ez lehet mind közül a legérzékenyebb adat.

Az eset kapcsán megkerestük Makay Kálmánt, a nagyvállalati környezetek informatikai rendszereinek biztonsági specialistáját, a mySec egyik alapítóját és a Symantec IT biztonsági konzulensét, hogy kézzel fogható tanácsokkal lássa el olvasóinkat.

Mit tehetünk akkor, ha a mobil szolgáltatótól ellopják az adatainakat? Kérhetünk kártérítést? 

Ez leginkább jogi kérdés. Minden esetben fel kell mérni, hogy a kár milyen jellegű: joghátrány ér minket, mert az adatainkat felhasználták? Alapesetben nem, de a jövőben előfordulhat. A személyes adatoknak nagy piaca van és a legnagyobb kockázat ebben az, hogy családi nyaralás alkalmával leszállunk egy egzotikus országban, ahol rögtön letartóztatnak minket, mivel az adatainkat felhasználva fiktív szerződéseket kötöttek és visszaéléseket követtek el. Ez elég kellemetlen helyzet lehet.

Ami fontos, hogy a GDPR miatt van esélyünk értesítést kapni adatlopási incidensekről, amelyekben érintettek lehetünk és fel tudjuk mérni a kockázatokat. Ami mindenképpen javasolt: konkrét visszaélés esetén meg kell tenni a feljelentést és a hatóságokra kell bízni az ügy kivizsgálását, ezzel párhuzamosan pedig ügyvéddel érdemes egyeztetni a lehetőségekről, illetve, ha biztosra akar menni a károsult, akkor kezdeményezheti a hivatalos okmányainak a lecserélését is. Önmagában az adatlopás ténye viszont még nem jelenthet automatikusan kártérítési igényt.

Miért fontos, hogy a telefonszámunk ne kerüljön illetéktelen kézbe?

Magyarországi viszonylatban viszonylag jók a védelmi mechanizmusok egy átlag előfizető számára a mobilszolgáltatóknál. A gond ott lehet, amikor valakit célzottan támadnak: politikus, népszerű előadóművész, vagy éppen tehetős üzletember. Ilyen esetekben egy korrumpálható belső dolgozó is közreműködhet, azaz az elkövetők adott esetben mindent megtesznek, hogy a célszemély telefonszámát megszerezzék és valamilyen úton módon visszaéljenek azzal. A lehetőségek tárháza végtelen és sajnos bármi előfordulhat.

A telefonszám ismeretében legtipikusabb, hogy SMS-ben egy adathalász weboldal megnyitására veszik rá ügyesen megfogalmazott szöveggel, ahol személyes információkat kérhetnek be és ezekkel az információkkal adott esetben a mobilszolgáltatónál, de akár egyéb rendszerekben is elkövethetnek visszaéléseket.

Ha elég merészek az elkövetők akkor ún. social engineering kategóriába eső támadással felhívják az áldozatot és véleménykutató cégnek kiadva magukat olyan információkat kérdezhetnek, ami következő lépcsője lehet a konkrét személy, vagy környezetében élők/dolgozók elleni támadásnak. Ami a telefonszám ismeretében elkövetett bűncselekmények további jellege, hogy több faktoros támadással kell számolnunk, éppen ezért elég szűk azoknak a köre, akik áldozatok lehetnek. A védekezés leghatékonyabb eszköze, ha nem válaszolunk idegeneknek személyes kérdésekre és az SMS-ben érkező weboldal címeket nem nyitjuk meg rögtön, hanem visszakérdezünk, esetleg rögtön töröljük az üzenetet. Céges telefon esetén pedig a legjobb, ha felvesszük az IT csapattal a kapcsolatot, hogy vizsgálják ki az esetet.

Milyen visszaéléseket lehet lopott telefonszámmal elkövetni?

A lopott telefonszám már feltételezi, hogy a bűnözők kezében van egy SIM kártya, ami aktív és az áldozat telefonszáma van hozzárendelve, illetve a telefon szükséges különböző műveletekhez pl.: banki bejelentkezés, közösségi rendszerek hozzáférési információi már ismert az elkövetők számára.

A támadásra fordítandó idő, költség és lebukási esély miatt várhatóan az átlag előfizetők nem esnek bele ilyen támadásba, ezért csak akkor éri meg kivitelezni, ha a remélt „zsákmány” bőven kárpótolja a bűnözőket (tehát iskolai bombariadóhoz nem fogják használni). Tipikusan gyorsan lefolytatható támadásokat lehet elvégezni, hiszen a tulajdonos előbb utóbb észre fogja venni, hogy a SIM kártyája – a mobil hálózati hozzáférése – nem aktív.

Ilyen SIM cserés esetekben várhatóan olyan cselekményeket fognak elvégezni, ami az áldozattal, vagy környezetével kapcsolatos. Teljesség igénye nélkül, ami előfordulhat:

-  Hozzáférés olyan bankszámlához, melynél a bejelentkezéshez a mobilszám szükséges (Revolut)

- Közösségi rendszerekbe való bejelentkezésnél az SMS-ben küldött átmeneti jelszó fogadása és     felhasználása (pl. SMS kód, jelszóváltoztatás stb.)

- Social engineering típusú támadások: az áldozat telefonszámáról felhívják a cég könyvelését, hogy  azonnal utaljanak nagy összeget egy adott bankszámlaszámra

A felhasználás típusa minden esetben az egyénre lehet szabva attól függően, hogy a telefonszáma milyen rendszereknél van használatban, vagy milyen ügyintézési lehetőségekhez van társítva.

Milyen óvintézkedéseket tehetünk annak érdekében, hogy elvesztett/ellopott telefonunk adatai ne jussanak illetéktelen kezekbe?

Megelőző lépésként az első és legfontosabb, hogy a képernyő feloldásához valamilyen jelszót kérjen a telefon. Ezzel már nagy lépést tettünk afelé, hogy véletlenül elhagyott telefonunkban tárolt adatainkhoz nem férnek hozzá amatőrök. Ha a profibb támadók ellen akarunk védekezni, akkor érdemes bekapcsolni a tárhely titkosítását (bizonyos gyártóknál ez már az első használattól kezdve aktív), aktiváljuk a telefon folyamatos kereshetőségét, így amíg a telefon bármilyen internet elérést biztosító hálózaton rajta van (mobil adat, wifi), addig a telefon aktuális helyzete követhető.

Kevesen gondolnak rá, de kritikus lehet, ha az SMS-ben küldött, a banki tranzakció jóváhagyásához kapott kódot, azaz a teljes üzenetet a telefon még lezárt állapotában is megjeleníti. Állítsuk be az alkalmazásokat úgy, hogy a lezárt képernyőnél semmilyen értesítést nem látunk (pl. SMS, vagy e-mail tartalma nem jelenik meg). Nagyon profi támadás kivédésére a legjobb javaslat az, hogy használjunk telefonokra fejlesztett védelmi rendszereket: jelezze, ha nincs fent valamilyen gyári frissítés, riasszon, ha olyan hálózatra csatlakozunk, ahol a titkosított web forgalmat is lehallgatják, kártékony alkalmazás került fel. További szint lehet a védelemben, hogy csak a legszükségesebb alkalmazások legyenek feltelepítve. Ezzel mindenképpen csökkentjük az elvesztés kapcsán keletkező károkat függetlenül attól, hogy véletlenül hagytuk el a telefonunkat, vagy célzottan lopják el.

Amikor megtörténik a baj, akkor kockázat tűréstől függően érdemes a SIM kártyát letiltani, de ne feledjük, ekkor az adatkapcsolat is megszűnik, így a telefon helyzetének a meghatározása is megszűnik.