Töltsd ki a 2 perces felmérésünket, és derítsd ki, mennyire kockázatos a jelenlegi működésetek.
Ez a rövid felmérés segít felmérni, mennyire védett a céged az adathalász támadásokkal és üzleti e-mailes csalásokkal szemben.
Néhány egyszerű kérdésen keresztül átnézzük a legkritikusabb területeket: a mindennapi e-mail-kezelést, a pénzügyi ellenőrzési lépéseket és a belső működési gyakorlatot.
A kitöltés után képet kapsz arról, hol vannak a legnagyobb kockázatok, és mely pontokon érdemes erősíteni, hogy megelőzhető legyen egy költséges incidens.
Az eredmények mellett egy kapcsolódó, gyakorlati tanácsokat tartalmazó cikket is elolvashatsz a témában, és lehetőséged van ingyenes konzultációt kérni, ahol átbeszéljük a céged számára releváns lehetséges védelmi megoldásokat.
🛡️ Mennyire biztonságos a vállalkozásod?
Válassz minden sorban: ✅ (2p), ⚠️ (1p) vagy ❌ (0p)
A) E-mail és hozzáférés
Minden céges fiókon be van kapcsolva az MFA.
Linkes bejelentkezésnél mindig URL-t ellenőriztek.
Tudjátok, kihez kell fordulni gyanús e-mail esetén.
Nem egy embernél „lakik” minden jelszó.
B) Pénzügy és utalások
Van fix folyamat a számlák ellenőrzésére.
Számlaszám-módosításnál kötelező a telefonos ellenőrzés.
Nem fogadtok el módosítást csak e-mail alapján.
Van megbízható forrás az adatok összehasonlításához.
C) Emberi tényező
Sürgetés + szokatlan kérés = megállás és ellenőrzés.
Messenger/FB riasztásokra nem kattintotok.
Idegen QR-kódot nem szkenneltek rutinból.
Rendszeresen beszéltek erről a kollégákkal.
Eredmény: 0 pont
Kezdd el kitölteni a tesztet!
Ha van olyan téma, ami az elmúlt években szinte mindennapossá vált a vállalkozásoknál, az az adathalászat.
Nem azért, mert a cégek figyelmetlenebbek lettek. Hanem azért, mert a támadók profibbak, gyorsabbak, és gyakran valós, feltört partnerfiókokból dolgoznak. Olyan e-mailek jönnek, amik „pont úgy néznek ki”, mint egy megszokott kérés: számla, megosztott fájl, dokumentum, csomagértesítő… vagy bármi, amire rá lehet kattintani.
A céljuk egyszerű: rávenni valakit, hogy belépési adatot adjon meg, vagy jóváhagyjon valamit, amit nem kéne.
Mi a leggyakoribb forgatókönyv és hogyan lesz ebből baj?
- kapsz egy e-mailt egy linkkel,
- a link egy megtévesztő (adathalász) oldalra visz,
- ott belépsz a Microsoft-fiókoddal,
- a támadó megszerzi a belépési adatokat — és egyre gyakrabban az MFA-hoz kapcsolódó tokeneket/jóváhagyásokat is.
És itt jön a kellemetlen igazság, hogy miért nem elég önmagában az MFA?
A kétfaktoros hitelesítés (MFA) továbbra is nagyon fontos, de ma már nem csodaszer. Bizonyos támadási módszerekkel (pl. tokenlopás, „MFA push” átverés, beépülés meglévő munkamenetbe) a támadók képesek megkerülni, vagy „veled jóváhagyatni” a belépést.
Nem az a konklúzió, hogy „akkor az MFA semmit sem ér”, hanem az, hogy, hogy a technika mellé kell a tudatos működés is. Sőt továbbmegyek, a tudatos működési átalakítás.
Nem az a konklúzió, hogy „akkor az MFA semmit sem ér”, hanem az, hogy, hogy a technika mellé kell a tudatos működés is. Sőt továbbmegyek, a tudatos működési átalakítás.
Ez azt is jelenti, hogy az IT rendszereknek nem mindent szabad automatikusan elfogadniuk, amit technikailag „helyes” belépésnek látnak. A hozzáféréseket a valós működéshez kell igazítani, tehát számítson, hogy ki, honnan, mikor és milyen körülmények között szeretne belépni. Különösen érzékeny adatok vagy pénzügyi folyamatok esetén.
Ennek a technikai megvalósítása az IT feladata. A szervezeti szabályok kialakítása és újragondolása viszont nem IT-kérdés: ebben a működés, a döntési pontok és felelősségek átgondolásával, konzultációval tudunk segíteni.
Ennek a technikai megvalósítása az IT feladata. A szervezeti szabályok kialakítása és újragondolása viszont nem IT-kérdés: ebben a működés, a döntési pontok és felelősségek átgondolásával, konzultációval tudunk segíteni.
Miért nehéz ezeket kiszűrni technikailag?
Mert sokszor:
- valós partner e-mail címről érkezik (amit korábban feltörtek),
- vagy egy új, „tiszta” domainről, ami még nincs tiltólistán,
- a levél stílusa pedig teljesen „életszerű”: ugyanaz a hangnem, aláírás, csatolmány-szerűség.
Ezért a legfontosabb védelmi réteg gyakran nem a szűrő — hanem az emberi ellenőrzés, a gondolkodás.
A 10 másodperces szabály: mielőtt kattintasz, állj meg és picit gondolkodj el.
- „Megosztottak veled egy fájlt / számlát / dokumentumot” és ismerős feladótól jön is, mindig kérdezd meg magadtól:
- Vártam ilyet?
- Van értelme most, ebben a kontextusban?
Ha bizonytalan vagy: telefonon kérdezz vissza a feladónál. Fontos: ne e-mailben kérdezz vissza, mert lehet, hogy már a támadó válaszol.
2) Mielőtt a linkre kattintsz, nézd meg az URL-t. Az URL az a cím, amit a böngészőben látsz (ahol gépelni is szoktál), pl. https://www.akarmi.hu/valami
Emailben lévő link, vagy gomb fölé húzd oda az egeret és ne kattints, csak nézd meg, amit kiír.
A trükk sokszor nem látványos. Lehet csak ennyi a különbség:
- akarmi.hu helyett akaarmi.hu
- vagy .hu helyett .com
- vagy „SharePointnak tűnő” oldal, amibe be van ágyazva a csali. Sőt, akár feltört fiókról származó SharePoint és OneDrive link is lehet.
Ha a link bejelentkezésre kér, az mindig legyen gyanús.
3) Bankkártyás fizetésnél ugyanígy járj el. URL-ellenőrzés kötelező!
Itt (is) tényleg minden betű számít.
4) Nem csak e-mail: Messenger, Facebook, hirdetéskezelő „riasztás”
„Tiltott tartalom van a hirdetésedben, kattints ide.” Ez klasszikus. A cél itt is belépést és hozzáférést szerezni a fiókodhoz. Ne kattints. Ellenőrizz külön felületen, vagy kérdezz rá.
5) QR-kód: idegenre ne szkennelj rá rutinból. A QR-kód ugyanúgy link — csak „szebb csomagolásban”.
A legdrágább támadás: számlacsalás és „megváltozott bankszámlaszám”.
Ha egy támadó bejut egy postafiókba, idővel:
- megismeri a partnereket,
- látja a számlázási szokásokat,
- tudja, ki kinek ír és milyen stílusban.
Gyakori trükk, hogy létrehoznak egy nagyon hasonló domain nevet, és azon „folytatják” a levelezést, majd küldenek egy számlát.
Aranyszabályok:
- Egy betű eltérés sem oké az e-mail címben.
- Más végződés sem oké (pl. .hu helyett .com).
- Ha a bankszámlaszám „megváltozott”: RED FLAG. TILOS utalni.
- Ha sürgetnek, eltér a folyamat, szokatlan fizetési módot kérnek: TILOS utalni.
Hogyan ellenőrizz jól?
Gyanú esetén telefonon egyeztess, de:
- ne az e-mailben szereplő számot hívd,
- hanem a partner hivatalos weboldalán lévő központi számot,
- vagy egy régi (1–2 éves) levelezésből előkeresett telefonszámot.
Plusz ötlet:
- partneri szerződésekben legyen benne a partner hivatalos bankszámlaszáma,
- és utalás előtt mindig hasonlítsd össze a számlával.
Igen, marha nagy macera. Igen, plusz idő, de hidd el pont ez az a két perc, amivel milliókat spórolhatsz.
És egy lépéssel előrébb: mi jön ezután? Az AI hatása az adathalászatra
A következő években nem az lesz az igazi veszély, hogy „csúnyán megírt, gyanús e-maileket” kapunk, hanem az, hogy minden egyre hitelesebb lesz.
Hang, ami ismerős. Stílus, ami pontos. A mesterséges intelligencia ma már képes hangot generálni vagy utánozni, egy ember beszédstílusát lemásolni, de akár rövid hangminták alapján „újramondani” mondatokat.
Ez azt jelenti, hogy lassan nem sci-fi az a helyzet, amikor kapsz egy hívást, a vonal túloldalán egy ismerős partner, vezető vagy kolléga hangja szólal meg. Sürget, nyomást gyakorol, „csak most, csak gyorsan” kér egy utalást vagy adatot. Minden stimmelni fog, a hang,
a szóhasználat, a kontextus is. Csak épp nem ő az.
Mitől lesz ez igazán veszélyes?
Attól, hogy az emberi agy nagyon bízik az ismerős hangban. Sokkal jobban, mint egy e-mailben vagy üzenetben. Ezért a jövő egyik legfontosabb szabálya az lesz, hogy a hang önmagában már nem bizonyíték.
Mit lehet tenni ellene? (spoiler: ugyanazt, mint eddig – csak következetesebben)
A jó hír az, hogy nem kell high-tech védelem ahhoz, hogy ezek ellen is védettek legyetek.
A kulcs ugyanaz marad:
- visszahívás egy ismert számon (nem azon, ahonnan a hívás érkezett),
- belső szabály, hogy pénzügyi döntés nem születik egyetlen hívás alapján,
- előre egyeztetett folyamat, amit sürgetéssel sem lehet átugrani.
Akár az is teljesen rendben van, ha a cégnél kimondjátok, „Ha valaki utalást kér, akkor is visszahívjuk,
ha a saját főnökünk hangján szól.” Ez nem bizalmatlanság, hanem üzleti önvédelem. Tényleg milliókat jelenthet.
Amit érdemes most megjegyezni. A technológia fejlődik. A támadók is.
De a legtöbb sikeres csalás nem technikai hiba, hanem folyamat- vagy figyelemhiány és szervezeti szabályrendszer hiánya miatt történik.
Viszont ezek kialakíthatók, javíthatók, fejleszthetők.
Ami igazán eldönti a jövőt: nem az eszközök, hanem a szabályrendszerek.
Ahogy az AI egyre élethűbbé teszi az adathalász támadásokat — legyen szó e-mailről, üzenetről vagy akár ismerős hangon megszólaló telefonhívásról — egy dolog válik igazán kritikussá.
A szervezeti szabályrendszerek újragondolása.
A „józan észre” és az egyéni figyelemre építő működés önmagában már nem lesz elég. Nem azért, mert az emberek hibásak, hanem mert túl nagy lesz a nyomás, túl hitelesek a támadások, túl kevés idő jut a mérlegelésre.
A jövőben azok a vállalkozások lesznek biztonságban, ahol:
- • pontosan le van írva, mi számít kivételnek és mi nem,
- nincs olyan helyzet, amikor egyetlen ember dönthet utalásról vagy hozzáférésről ellenőrzés nélkül,
- a sürgetés soha nem írhatja felül a folyamatot,
- és teljesen elfogadott, sőt elvárt, hogy bárki megállítsa a folyamatot, ha valami nem stimmel — akkor is, ha „fentről” érkezik a kérés.
- és az IT is megfelelően működik
Paradox módon minél fejlettebb lesz a technológia, annál fontosabbá válik, hogy egyszerű, világos és betartható szabályok tartsák egyben a működést.
Informatikai szakember, aki hálózatok tervezésére és üzemeltetésére specializálódott. Tapasztalattal rendelkezik tűzfal rendszerek kialakításában, Windows kiszolgálók és klienskörnyezetek kezelésében, valamint Microsoft 365 megoldások bevezetésében, felügyeletében és oktatásában.