Spam vs. adathalászat: Mi a különbség köztük?

A spam célja, hogy minél több embert elárasszon olyan üzenetekkel, amelyek termékeket és szolgáltatásokat forgalmaznak és reklámoznak. Ez lényegében a digitális megfelelője azoknak a levélszemét borítékoknak és képeslapoknak, amelyeket a postás kézbesít az otthoni postaládába. Az IBM X-Force Threat Intelligence Index 2020 jelentése a spameket számok játékaként írja le: “

Lényegében, ha elég sok e-mailt küldesz ki, akkor valaki, valahol végül beveszi az átveréseket. Ez az oka annak, hogy a spam-üzenetek nem célzottan, tömegeket érnek el. A csalók három gyakori módja van a spam felhasználásának:

• E-mail üzenetek,
• Telefonhívások (telemarketing és robothívások), és
• SMS adathalász üzenetek (szöveges üzenetek).

Bár a spam nem feltétlenül olyan veszélyes, mint az adathalászat, a felhasználóknak mégis óvatosnak kell lenniük, ha ilyen üzenetekről van szó. Gyakran próbálják rávenni Önt személyes adatok megadására, amelyeket a jövőbeli spam-kísérletek során felhasználhatnak. És néha rosszindulatúak is lehetnek (bár ez ritkább, mint az adathalász e-mailek esetében).

Mi az adathalászat?

Az adathalászat a csalók és a kiberbűnözők azon módja, hogy jogi személynek adják ki magukat, vagy más módszerekkel csalják meg célpontjaikat. Az adathalász üzenetek általában veszélyesebbek, mint a spamek, mivel úgy tervezték őket, hogy törvényesnek tűnjenek, de az a céljuk, hogy megkárosítsák, manipulálják vagy rávegyék az embereket arra, hogy olyasmit tegyenek, amit normális esetben nem tennének vagy nem kellene. Ezért amikor spamről és adathalászatról beszélünk, a különbség a feladó szándékai és az üzenetek tartalma között van.

Az adathalász e-mailek célja, hogy rávegyék a felhasználókat információk megosztására, linkekre való kattintásra vagy rosszindulatú mellékletek használatára. A linkekkel megpróbálják ellopni az Ön hitelesítő adatait, vagy rávenni Önt arra, hogy véletlenül rosszindulatú szoftvert töltsön le. A csatolmányokkal szintén megpróbálják rávenni Önt rosszindulatú szoftverek telepítésére. Akárhogy is, ez rossz hír az Ön számára.

Az adathalászat leggyakoribb típusai a következők

• Adathalász e-mailek (beleértve a whale phishing, spear phishing),
• Telefonhívások (vishing),
• SMS (smishing),
• Wi-Fi port adathalászat (gonosz iker),
• HTTPS adathalászat és
• Angler adathalászat (közösségi média posztok és profilok klónozása).

Spam vs. adathalászat az e-mailekben

Az e-mailek a legnépszerűbb spammelési és adathalászati technikák. Éppen ezért most arról fogunk beszélni, hogyan lehet megkülönböztetni a spam e-maileket az adathalász e-mailektől.

Mi a spam az e-mailek kontextusában?

Spamnek minősül minden olyan elektronikus üzenet, amelyet a termék, a szolgáltatás vagy a weboldal tartalmának kereskedelmi reklámozása vagy népszerűsítése céljából küldenek. Az e-mailes spamküldés a 2003. évi Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003, azaz a CAN-SPAM-törvény értelmében törvényes tevékenységnek minősül.

A CAN-SPAM néhány kulcsfontosságú szabálya, amelyeket a feladónak be kell tartania:

• Az e-mailnek aktív és látható leiratkozási linket vagy gombot kell tartalmaznia. A feladónak 10 nap áll rendelkezésére, hogy a leiratkozási kérésnek eleget tegyen, és megszüntesse a címzettnek küldött e-maileket.
• A feladó e-mail címének pontosnak kell lennie. A “from” sor nem lehet félrevezető, és az üzenet tárgyának kapcsolódnia kell az üzenet szövegéhez.
• A feladó fizikai címét meg kell említeni. A feladó (cég, egyéni feladó, hirdető vagy a harmadik fél marketingügynökség) fizikai címének (vagy postafiókszámának) meg kell jelennie az e-mailben.
• A címzetteket figyelmeztetni kell, ha az e-mail felnőtt tartalmú. Ha a tartalom felnőtt jellegű, akkor azt “SZEXUÁLIS KIFEJEZETT” felirattal kell ellátni.”
• A feladónak több e-mail címről kell e-mailt küldenie. A feladó nem küldhet spam üzeneteket ugyanannak a címzettnek különböző e-mail címekről.
• Az e-mailek nem tartalmazhatnak rosszindulatú programokat:

Amikor a vállalatok e-maileket küldenek a jelenlegi ügyfeleiknek vagy az üzleti érdeklődőknek (a termékek/szolgáltatások iránt érdeklődőknek) nyomon követés, visszajelzés, javaslatok vagy bármilyen más típusú kommunikáció céljából, az ilyen üzenetek szintén nem minősülnek spamnek. Ezek az üzenetek a CAN-SPAM értelmében kapcsolati üzenetnek minősülnek. Még a politikai és vallási e-mailek is kivételt képeznek a CAN-SPAM SMAP definíciója alól.

A spam e-mailek nem káros jellegűek. Csak nemkívánatosak és feleslegesen foglalják a helyet a postaládában. A SPAM e-mailek azonban arról ismertek, hogy kihasználják a biztonsági réseket; a hackerek kihasználhatják, hogy betörjenek a címzett e-mail kliensébe, és rosszindulatú szoftvereket vagy adathalász e-maileket terjesszenek. Az IBM X-Force Threat Intelligence Index 2020 jelentése szerint például a CVE 2017-0199 és 2017-11882 nevű biztonsági sebezhetőségek “a hackerek által spam-kampányokon keresztül kihasználni próbált sebezhetőségek közel 90 százalékát tették ki.”

A spam a számokról szól. Ha elegendő embert ér el a spam-üzenetekkel, hosszú távon még a minimális sikerarányok is kifizetődnek.”

A legtöbb e-mail kliens automatikusan felismeri a spam e-maileket, és a spam/szemét mappába dobja őket. Az ilyen e-mailekben az összes melléklet és kép is blokkolva van. De ha még mindig nem kívánt spam e-maileket kap a postaládájába, akkor leiratkozhat róluk. (Csak óvatosan ellenőrizze először a leiratkozási linket, hogy megbizonyosodjon arról, hogy az nem adathalász vagy rosszindulatú link). Emellett a bejövő levelekre jobb egérgombbal kattintva a spam mappába is áthelyezheti az e-mailt. A feladót blokkolhatja is.

Itt egy példa egy tipikus spam e-mailre:

Ez egy spam e-mail, amelyet egy logótervezési webhelyről kaptam. A tárgysor tartalma megegyezik az email tartalmával. Az is látható, hogy az e-mailben van egy leiratkozás fül és a cég fizikai címe. Ez azt jelenti, hogy ez egy spam e-mail, amely megfelel a SPAM-CAN összes irányelvének.

Mi az adathalászat az e-mail kontextusában?

A csalók adathalász e-maileket küldenek, amelyekben olyan vállalatnak vagy személynek adják ki magukat, akiben a címzettek megbíznak. Ezek az e-mailek megtévesztő jellegűek. Az adathalász e-maileket úgy állítják össze, hogy úgy tűnjön, mintha az Ön bankjától, e-kereskedelmi oldalától, egyetemétől, kormányától, munkáltatójától, rokonaitól vagy kollégáitól érkezne. Az adathalász-támadások 96%-a e-mailben történik, derül ki a Verizon 2020-as Data Breach Investigations Report (DBIR) jelentéséből.

Ezek az e-mailek tartalmazhatnak rosszindulatú szoftverekkel teli mellékleteket, rosszindulatú linkeket vagy átirányításokat spammelő webhelyekre. Néha a támadók megpróbálnak érzelmi reakciót kiváltani a címzettekből, és engednek a bizalmas információk megosztásának, mint például:

• Fizetőkártyaszámok,
• Telefonszámok,
• Fizikai cím,
• Társadalombiztosítási szám (SSN),
• Adózással kapcsolatos információk, és
• Egészségügyi információk

Az adathalász e-mailek általános indítékai közé tartoznak:

• Pénzügyi csalás,
• Identitáslopás,
• Bejelentkezési adatok lopása,
• Kártevők terjesztése (férgek, vírusok, trójaiak, rootkitek, adware stb.), és
• A címzettek átirányítása rosszindulatú webhelyekre.

Az alábbiakban egy tipikus adathalász e-mail példája látható. Az e-mail úgy tűnik, mintha a PayPal-tól érkezne, de ha alaposan megnézné a feladó e-mail címét, láthatná, hogy egy csalótól származik, és a jóindulatúnak tűnő PDF-melléklet veszélyes kártevőket tartalmazhat.

Az Egyesült Államok számos államában eltérő törvények vonatkoznak az adathalászatra. Nincs olyan szövetségi törvény, amely közvetlenül kriminalizálná az adathalászatot, de a szövetségi büntető törvények vonatkoznak az adathalászat útján elkövetett pénzügyi csalásokra és személyazonosság-lopási bűncselekményekre.

Ha adathalász e-mail áldozatává vált, panaszát a www.ic3.gov, ftc.gov/complaint vagy a [email protected] címen teheti meg.

A spam és az adathalász e-mailek közötti különbség

Azért, hogy jobban megértse a spam és az adathalászat közötti különbséget, úgy gondoltuk, hasznos lehet, ha táblázatban egymás mellé helyezzük őket.

.

	Spam	Phishing
Cél	Termékek és szolgáltatások népszerűsítése és értékesítése	A címzettek megtévesztése
Jelleg	Nemkívánatos kereskedelmi e-mailek, amelyek jellemzően jóindulatúak, de néha rosszindulatúak is lehetnek	Megtévesztő üzenetek, amelyek látszólag legális szervezetektől származnak, de rosszindulatúnak vannak tervezve.
Tartalmaznak	Termék/szolgáltatás hirdetéseket, kuponkódokat, ajánlatokat, kedvezményeket, kérdőíveket vagy felmérési űrlapokat	Kártevőkkel feltöltött mellékleteket, fertőzött linkeket, spam jellegű weboldalakra átirányító linkeket, megtévesztő üzeneteket, amelyek a címzetteket arra kényszerítik, hogy megosszák PII/pénzügyi adataikat
Szabályozás	A U.S. Non-Solicited Pornography and Marketing Act of 2003 Más országok esetében:	Változatos állami törvények, az Egyesült Államok szövetségi büntető törvénye

Spam vs. adathalászat: Hangüzenetek és telefonhívások

Az elkövetők telefonhívásokat használnak a spam- és adathalász célpontok ellen.

Spam-hívások

Ha kéretlen telefonhívást kap marketing céllal, különösen olyan cégtől, amellyel még soha nem volt dolga, az spam-hívásnak minősíthető. A marketingcélú hívások és a spamhívások meghatározása elmosódhat.

Ha például hirtelen telefonhívást kap egy hitelkártya igénylésére egy olyan kártyatársaságtól, amellyel korábban soha nem volt dolga, az spamhívásnak minősül. De ha valaki azért hívja Önt, hogy eladja az új kártyát vagy biztosítási kötvényeket attól a banktól, amelyiknél már van számlája, azt pusztán marketinghívásnak tekintik, hogy további termékeket adjon el. Az Egyesült Államokban a Telephone Consumer Protection Act (TCPA) és a Federal Communications Commission (FCC) korlátozza a spamhívásokat és a telemarketingüzeneteket.

Voice Phishing (Vishing)

Amikor az elkövetők valaki másnak kiadva magukat telefonálnak azzal a céllal, hogy Önt becsapják, azt voice phishingnek vagy vishingnek nevezik. Például egy csaló bankigazgatónak adva ki magát felhívja Önt, és arra kéri, hogy adja meg társadalombiztosítási számának utolsó négy számjegyét és néhány más személyes adatot, hogy új hitelkártyát küldjön Önnek.

Néha a támadók egy kiszivárgott adatbázist használnak, vagy kihasználják social engineering képességeiket, hogy a hívás előtt egy kis kutatást végezzenek a potenciális áldozatokról. Például egyetemi hallgatókat hívnak fel úgy, hogy banki alkalmazottnak adják ki magukat, aki diákhiteleket kezel, vagy az állami/szövetségi hallgatói támogatással foglalkozó részleg képviselőjének, aki további információkat szeretne az ösztöndíjpályázatukkal kapcsolatban. Röviden, ahelyett, hogy véletlenszerű számokat hívnának fel, a csalók telefonhívást kezdeményeznek, és megértik a célközönségüket, hogy a potenciális áldozatok számára legálisan hangozzanak.

Spam vs. adathalászat: szöveges üzenetküldés

Manapság már olyan weboldalak és eszközök állnak rendelkezésre, amelyek hihetetlenül alacsony költséggel képesek tömeges szöveges üzeneteket küldeni. Ezért a spammerek és az adathalász csalók is előszeretettel küldik üzeneteiket szöveges üzeneteken keresztül! Képesek elérni a felhasználókat a mobiltelefonjukon, bárhol is legyenek.

Spam szöveges üzenetek

Amikor a vállalatok kéretlen tömeges szöveges üzeneteket küldenek kereskedelmi, nem rosszindulatú céllal, ezeket spam szöveges üzeneteknek vagy spam SMS üzeneteknek nevezik. Ezek az üzenetek tartalmazhatnak termékinformációkat, különleges ajánlatok/kedvezmények részleteit, ajánlatokat, programokat, kuponkódokat stb. Lehet, hogy a termék/szolgáltatás weboldalára mutató linkeket is tartalmaznak.

Egyes spam SMS-eket felmérésként küldenek, hogy több információt szerezzenek a potenciális ügyfelekről. Az ilyen szöveges üzenetek célja lehet egy termék vagy szolgáltatás értékesítése, márkaépítés, további információk gyűjtése (például demográfiai adatok, vásárlási szokások, vásárlóerő, tetszés/preferenciák stb.) a címzettekről. A szöveges spamküldés a The Telephone Consumer Protection Act (TCPA) hatálya alá is tartozik.

SMS Phishing (Smishing)

Itt a csalók szöveges üzeneteket küldenek, miközben legitim szervezeteknek adják ki magukat. Az ilyen adathalász SMS-üzenetek jellege és célja ugyanaz, mint az adathalász e-maileké – azaz a címzettek becsapása. A támadók megpróbálják Önt becsapni vagy manipulálni, hogy:

• megossza személyes vagy pénzügyi adatait,
• pénzügyi tranzakciókat hajtson végre,
• rosszindulatú szoftverekkel terhelt mellékleteket töltsön le, vagy
• kattintson az SMS-szövegekben található linkekre, amelyek rosszindulatú webhelyekre vezetnek.

Spam vs. adathalászat

A spam vs. adathalászat, pontosabban a spam és az adathalászat közötti különbség témája zavaró lehet. De mostanra már nyugodtan feltételezhetjük, hogy tudja, a spam a bosszantó, de jóindulatúbb típusú üzenet, míg az adathalászat a kiberbűnözést segíti elő. Az adathalászat és a spam közötti vékony határvonal azonban elmosódik, amikor a spammer megsérti a CAN-SPAM (vagy az Ön országának SPAM-re vonatkozó törvényei) irányelveit. Például az e-mail tartalma vagy a feladó e-mail címe megtévesztő jellegű, vagy az e-mail/szöveges üzenetek rosszindulatú szoftvereket (vagy rosszindulatú weboldalakra mutató linkeket) tartalmaznak.

A spam néha annyira bosszantó lehet, hogy az embernek kedve támad telefonszámot vagy e-mail címet váltani! Másfelől az adathalászat oda vezethet, hogy kiberbűnözés áldozatává válik. Oktassa tehát tovább magát és alkalmazottait az adathalász átverésekről és arról, hogyan lehet azokat sikeresen felismerni.

• #phishing
• #spam
• #spam vs. adathalászat