2025. 08. 05., 18:26

Az MI segítségével is átverik az „adathalászatálló” bejelentkezést?

Az MI segítségével is átverik az „adathalászatálló” bejelentkezést?
A digitális világban egyre inkább központi kérdéssé válik, hogyan tudjuk biztonságban tartani felhasználói fiókjainkat. Bár a passkey-alapú, FIDO2 technológiára épülő jelszómentes hitelesítés – mint például a YubiKey, az Okta FastPass vagy a Windows Hello – terjedése valódi előrelépést jelent az adathalászat (phishing) ellen, a támadók sem tétlenkednek. Folyamatosan újabb módszereket keresnek, hogyan férhetnének hozzá mégis a fiókjainkhoz.

Miért nem elég csak a passkey?

A megszokott többfaktoros hitelesítési (MFA) módszerek, mint az SMS-kód vagy időalapú alkalmazás-kód, egyre kevésbé nyújtanak védelmet, hiszen az Attacker-in-the-Middle (AitM) stratégiát használó adathalász kitek képesek kijátszani őket: a hamis weboldalukon átirányítják a felhasználót, és valós időben továbbítanak minden adatot az igazi oldalnak, majd vissza. Így megszerzik a hitelesített munkamenetet.

Ennek ellenére a passkey-alapú hitelesítés domainhez kötött, így ha egy támadó próbálja felhasználni az ellopott passkey-t, az egyszerűen nem fog működni másik domainen. Még a legfejlettebb adathalász kitek sem tudnak érvényes hitelesítési értéket létrehozni ilyen helyzetben.

Nem elhanyagolható tényező, hogy a bűnözők mindenáron igyekeznek kifinomultabb utakat találni. Az alábbiakban bemutatjuk, milyen módszerekkel próbálják kijátszani a passkey-alapú biztonságot.

Downgrade: a „visszaléptető” támadások

Az egyik leggyakoribb trükk az úgynevezett downgrade (visszaléptető) támadás. Ilyenkor a támadó szándékosan kevésbé biztonságos belépési módot kényszerít a felhasználóra. Például: a valódi alkalmazás felajánlaná, hogy beléphess passkey-jel vagy tartalék MFA-kóddal, de a hamisított oldal csak az utóbbit mutatja, eltüntetve a biztonságos passkey opciót.

Ez a támadástípus SSO (Single Sign-On, egyetlen bejelentkezés több szolgáltatáshoz) esetén is működik: ha az alkalmazás engedi, a támadó egy tartalék felhasználónév-jelszó párost választ, így sikerül megkerülni a biztonságosabb megoldásokat.

Ha egy fióknál megmarad bármilyen tartalék vagy kevésbé védett bejelentkezési lehetőség, a támadók ezt fogják kihasználni.

Eszközkódos (device code) adathalászat

Egy másik támadási módszer az úgynevezett device code phishing (eszközkódos adathalászat). Ilyenkor a támadók kihasználják azokat az eszközöket, amelyek nem támogatják a passkey-t (például böngésző nélküli hardverek, okoseszközök vagy korlátozott bemeneti lehetőségű eszközök). A legitim eszközregisztrációs folyamat során a felhasználó kap egy egyedi kódot, amelyet egy weboldalon kell megadnia a hozzáférés engedélyezéséhez.

Ha a támadó rávesz, hogy egy általa adott kódot gépelj be egy igazi weboldalon, hozzáférést kap a fiókodhoz – miközben minden úgy tűnik, mintha rendben lenne. Nincs naprakész figyelmeztetés a jogosultságokról, a folyamat legitimnek látszik. Ilyen támadások többször is előfordultak Oroszországból indított, Microsoft 365-fiókok elleni célzott akciókban.


Consent phishing: amikor rossz helyre adsz engedélyt

A consent phishing (beleegyezéses adathalászat) lényege, hogy a támadók ráveszik a célszemélyt: engedélyezzen egy rosszindulatú alkalmazásnak hozzáférést az adataihoz vagy hogy cselekedjen a nevében. Mivel a modern rendszerek, mint a Microsoft Azure, a Google Workspace vagy akár a GitHub mind támogatják az OAuth-alapú jogosultságadást (harmadik fél alkalmazás jogosulttá tétele), a támadók egy hamis alkalmazást regisztrálnak, majd egy linkkel kérnek jóváhagyást – a felhasználó néhány kattintással átadja az irányítást.

Ami különösen veszélyes: ha egyszer megadod ezt a jogosultságot, a támadó később is hozzáférhet a fiókhoz, akkor is, ha a jelszót vagy az MFA-t módosítod. Sőt, ezzel további támadásokat is indíthat, például kártékony programot terjeszthet más felhasználók felé.

E-mailes vagy kódos megerősítés kijátszása

Az e-mailes verifikáció (megerősítő link vagy kód e-mailben) szintén gyakori kockázat: a támadó szociális manipulációval rávesz, hogy továbbítsd neki a kapott kódot, vagy kattints az általa küldött linkre, így megkerülve a biztonsági kontrollokat.

Még kifinomultabb trükk, amikor valaki egy cég e-mail domainjére új identity provider (IdP) fiókot regisztrál, amin keresztül SSO-t használ. Felmérések szerint 10-ből 6 alkalmazás megengedi ezt a kiskaput, így a támadók ki tudják játszani a belső kontrollokat is – főleg, ha a fiókhoz nincs jól beállított központi kezelés.

Alkalmazás-specifikus jelszavakkal való visszaélés

Az alkalmazás-specifikus jelszavak (app-specific password, ASP) még ma is elérhetők néhány nagy szolgáltatónál (például a Google-nél vagy az Apple-nél), hogy a régi alkalmazások, amelyek nem tudnak modern OAuth-alapú hitelesítést, mégis hozzáférhessenek adataidhoz. Ezeket általában a felhasználó külön generálja.

A támadók szociális manipulációval rávehetnek, hogy (magukat technikai támogatásnak vagy szolgáltatói képviselőnek kiadva) generálj nekik ilyen jelszót, majd azt elküldd nekik. Így a támadó MFA nélkül, automatizált módon, hosszú távon hozzáférhet minden fontos adatodhoz – anélkül, hogy a legtöbb biztonsági figyelmeztetés megszólalna.

Korábban például orosz információs műveletek célpontjainál használtak ilyen támadásokat személyre szabott social engineering trükkökkel.

Helyi fiókok és passkey támogatás elmaradása

A legkönnyebb utat gyakran azok a helyi fiókok jelentik, amelyek egyáltalán nem támogatják a passkey-t. Számos népszerű üzleti alkalmazás, mint a Slack, a Mailchimp, a Postman vagy a GitHub jelenleg sem használ közvetlenül passkey-t, hanem csak az SSO-t (amit viszont sokszor ki lehet játszani a fent említett trükkökkel).

Sok vállalatnál emellett regisztrálva maradnak a régi, gyenge vagy kompromittált belépési módok, illetve tartalék jelszavak, így egy átlagos, 1000 fős szervezetben akár 15 000 különböző fiók és sebezhetőség is létrejöhet.

Ennek fényében: Mire figyelj igazán?

Általánosságban igaz: ha a fiókodban bármilyen nem passkey-alapú, gyenge vagy tartalék lehetőség létezik, a támadók előbb-utóbb ki fogják használni azt. Csak azok a fiókok igazán védettek, ahol kizárólag passkey van engedélyezve, és semmilyen tartalék (MFA-s vagy jelszavas) alternatíva nincs beállítva – de már a kész rendszerekben is bőven előfordulhatnak kockázatos beállítások, például a Microsoft alapértelmezett conditional access (CA) sablonjai gyakran nem tekintik veszélyesnek a gyanús bejelentkezéseket.

Az alkalmazások, fiókok és bejelentkezési módok dzsungelében a szervezeti IT-biztonságnak folyamatos auditokat, felülvizsgálatokat kell végeznie ahhoz, hogy valódi védelmet nyújtson az adathalászat ellen.

2025, adminboss, www.bleepingcomputer.com alapján

  • Mit gondolsz, mennyire lehet megbízni a digitális rendszerekben, ha a támadók mindig új módszereket találnak ki?
  • Szerinted etikus dolog, ha valaki mások tudatlanságát kihasználva próbál hozzáférni a fiókokhoz?
  • Te mit tettél volna, ha megkérnek, hogy generálj és küldj el egy alkalmazás-specifikus jelszót egy ismeretlennek?


Legfrissebb posztok

MA 14:31

Az amerikai kormány újra zöld utat ad Anthropic Mythos és Fable MI‑modelljeinek

Az Egyesült Államok Kereskedelmi Minisztériuma feloldotta az exporttilalmat az Anthropic két fejlett MI-modellje, a Mythos 5 és a Fable 5 esetében...

MA 10:25

Az amerikai kormány zöld utat ad a legerősebb Claude-oknak

Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...

MA 10:01

A Meta-leépítések után is cáfolja az MI miatti állásfélelmeket Zuckerberg

A technológiai iparban egyre nagyobb félelem övezi azt, hogy az MI széles körű elterjedése mennyi munkahely megszűnéséhez vezethet...

MA 09:25

A rejtélyesen eltűnő chatek: felháborodtak a Claude Code-felhasználók

Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...

MA 09:14

A Pokémon GO júliusa: új raidfőnökök, kiemelt órák, GO Fest-őrület

Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/1

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...

MA 09:01

Az MI rejtett szívkockázati jelre bukkant a százéves EKG-ban

❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...

MA 08:37

A NASA négy új robotküldetéssel tör utat a holdbázisnak

🚀 Megemlíthető, hogy az amerikai űrügynökség egyre nagyobb lendülettel dolgozik azon, hogy hosszú távú emberi jelenlétet teremtsen a Holdon...

MA 08:25

Az MI-lökéshullám felpörgeti a Dell bevételeit, de messze nem aranybánya

Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...

MA 08:13

A 6 milliós Pokémon-kártyalopásért több mint tíz év börtönt kapott

💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...

MA 08:01

A Szamóca-hold ma este: az év legalacsonyabb, apró teliholdja

🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...

MA 07:48

Az Android 17 új zárképernyő-trükkje bárkit elbuktat betöréskor

Az Android 17 jelentős szigorításokat vezet be a zárolóképernyőn, amellyel gyakorlatilag ellehetetleníti a PIN vagy jelszó feltörését...

MA 07:36

A kínai Lineshine szuperszámítógép világrekorder: közel 2 kvadrillió művelet/mp

A kínai LineShine szuperszámítógép most először szerezte meg a világelsőséget a számítási sebesség terén...

MA 07:25

Az amerikai agrárminisztérium 180 millió legyet enged szabadon – íme, miért

A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...

MA 07:13

A Microsoft felpörgeti kvantumbiztos ütemtervét, nőnek a kockázatok

⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...

MA 06:49

Az MI‑böngészők új réme: a BioShocking-adatlopás

Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...

MA 06:37

A Samsung szó szerint átformálja a hajlítható telefonjait?

Ahogy beköszönt a nyár, egyre hangosabbak a pletykák a Samsung legújabb összehajtható telefonjairól...

MA 06:06

Történelmi események a mai napon (Július 1.)

Ma háborúk fordulópontjai, birodalmak átrendeződései és új korszakokat nyitó tudományos, társadalmi mérföldkövek találkoznak...

MA 06:01

Az okosabb botvédelem mostantól megóvja a Teams-megbeszéléseket

🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...

kedd 18:32

A Cleveland-i Fed elnöke szerint MI fűti az inflációt – jöhet újabb kamatemelés

A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...

kedd 18:01

A Samsung Messages júliusban leáll: ezt az 5 dolgot tedd meg azonnal!

⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...

kedd 17:02

Az új CRISPR az epigenomot célozza, átírja a gének kapcsolóit

🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..

kedd 16:31

A Tata Electronicsnál múlt héten kiszivárogtak érzékeny iPhone-beszállítói adatok

Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...

kedd 16:01

A YouTube-on már nézhető a Peacock – épp a vb-re!

A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...

kedd 15:01

A Blackfield 2 millió dollárt követel a Nidec-től

💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...

kedd 14:32

A Sentryn át eltérítették a Claude Code-ot; Datadog, PagerDuty, Jira is veszélyben

A Claude Code MI-ügynök elleni támadás meglepő módon mindent kikerült, amit ma védelemnek nevezünk...

kedd 12:01

A kínai szuperszámítógép a világ leggyorsabbja, lehagyta Amerikát

A kínai LineShine nevű szuperszámítógép lett a világ leggyorsabbja, első ízben 2017 óta, hogy ismét kínai gép vezeti a mezőnyt...

kedd 11:31

A tenger alatti alagutaké a jövő Shetlanden: összekötnék a szigeteket

🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...

kedd 10:50

Az MI-láz: száguldó milliárdok, közeleg a következő válság?

A 19. század csatornaépítési és vasúti láza, a dotkom-lufi 2000-ből – mind gazdaságtörténeti példák arra, hogy valódi technológiai áttörések túlfűtött beruházási hullámokat indíthatnak el, amelyek végül recesszióval végződhetnek...