Az előző cikkben már bemutatott „HÉTPECSÉTES TÖRTÉNETEK – Információbiztonság az ISO 27001 tükrében” c. könyvből mutatok be ismét egy tanulságos történetet. Az eset tapasztalatait minden internetező figyelmébe ajánlom, hiszen óvatlanul is bárki könnyen hasonló jellegű csalás áldozatává válhat.

A könyvet különösen azoknak ajánlom, akik meg szeretnék érteni, hogy az információbiztonsági szabványok követelményei hogyan kapcsolódnak a mindennapok problémáihoz, és ez által hogyan használhatják fel a szabvány tudását mindennapjaik biztonsági problémái megoldásában.

A könyv megvásárolható a Hétpecsét Információbiztonsági Egyesületnél (elérhetőségek az egyesület honlapján: www.hetpecset.hu ), a nagyobb Alexandra könyvesboltokban, és interneten a Bookline rendszerében www.bookline.hu.

„Honnan jött ez az e-mail?

Esetleírás

Külhoni Oszkár megint munkát keresett. Korábban már három alkalommal is dolgozott külföldön: kétszer Hollandiában és egyszer Belgiumban. Mindhárom alkalommal a Job van de Boeven Kft. közreműködésével talált megfelelő munkát. Most is meglátogatta a kft honlapját, hátha talál valami kihagyhatatlan lehetőséget, és szerette volna megrendelni a kft elmúlt negyedévi tájékoztató kiadványát is, amelyhez regisztrált felhasználók önköltségi áron juthattak hozzá.

A kft honlapja teljesen megváltozott. Oszkár nem ismert rá. Egy kis keresgélés után megtalálta a regisztrációs ablakot, ahová regisztrált felhasználóként próbált bejelentkezni. A korábbi azonosítójával és jelszavával a rendszer nem engedte belépni. Azt a visszajelzést kapta, hogy nem regisztrált felhasználó. A regisztrációhoz adja meg nevét, címét és e-mail címét, amire hamarosan megkapja a belépéshez szükséges információkat. Így is történt. Az új azonosítókkal sikerült belépnie.

Csodálkozva tapasztalta, hogy most szokatlanul kevés állásajánlatból válogathat. Egyik sem volt kedvére való. „Ha nincs is munka, de legalább megrendelem a katalógust.” – gondolta. A katalógus megrendeléséhez sok adatot kellett megadni, köztük születési év, cím, számlavezető pénzintézetének neve, számlaszáma, hitelkártya száma, lejárati ideje. A „Megrendel” gombra kattintott, de a rendszer jelezte, hogy érvénytelen születési dátumot adott meg. Valóban. „Adja meg születési dátumát és kattintson a Megrendel gombra!” szólt a számítógépen az üzenet. Oszkár ekkor véletlenül rápillantott a belépési azonosítókat tartalmazó, korábban kapott e-mailre és azt látta, hogy az egy ingyenes e-mail címeket biztosító szolgáltatónál bejegyzett e-mail címről jött. „Honnan jött ez az e-mail!?” – csodálkozott Oszkár és gyorsan lecsatlakozott az internetről.

Elgondolkodtató kérdések

• Regisztrált volna-e Ön Oszkár helyében?
• Milyen jelek utalnak arra, hogy biztonságos a kereskedelmi szolgáltatás, és milyen jelek jelzik ellenkezőjét?
• Mire enged következtetni az e-mail cím, ahonnan a válasz jött?
• Helyesen járt-e el Oszkár, amikor nem adta meg ismételten születési dátumát?
• Milyen további intézkedéseket kellene megtennie Oszkárnak?
• Van-e tennivalója a Job van de Boeven Kft-nek? Ha igen, akkor mi az? Ha nem, akkor miért nem?
• Milyen egyéb információkat gyűjtene be, ha Ön Oszkár helyében lenne?
• Visszatérne-e honlapra? Miért?

Információ- és adatvédelmi aggályok

A bemutatott eset számtalan tanulsággal szolgálhat számunkra. Az, hogy a korábban megszokott honlap egy megváltozott képet mutat gyakori jelenség. A honlapok frissítése, aktualizálása lehetséges, de kellő körültekintésre is felhívja a figyelmünket. Jó, ha meggyőződünk arról, hogy nem törték azt fel, és nem módosították annak tartalmát.

További intő jel, hogy a korábbi regisztrációs azonosítók nem működnek, és újra kell magát regisztrálnia a felhasználónak. A regisztrációhoz, majd későbbiekben a kiadvány rendeléséhez szükséges információk részletessége további gyanakvásra ad okot. Nincsenek bizonyítékaink, hogy a honlapot feltörték-e vagy sem, de a jelek megkérdőjelezik a kereskedelmi tevékenység biztonságát. Lehet, hogy Oszkárnak nagy szerencséje van azzal, hogy téves születési dátumot adott meg. Már csak abban bizakodhat, hogy a „Megrendel” gombra való első kattintással nem kerültek továbbításra a megadott egyéb adatai. Javasoljuk Oszkárnak, hogy lehető leggyorsabban vegye fel a kapcsolatot a számlavezető bankjával és a Job van de Boeven Kft-vel is.”

Dr. Horváth Zsolt