Ugrás a fő tartalomhoz

Hogyan védd meg magad az adathalász támadásoktól

Az adathalászat a #1 módszer, amellyel fiókokat lopnak el. Hogyan működik a modern adathalászat, mik a figyelmeztető jelek, és milyen védekezések állítják meg ténylegesen a támadásokat.

Utoljára frissítve: 2026. április 14.

Röviden

  • Az adathalászat a fiókellopások #1 oka — a támadók ráveszik a felhasználót, hogy egy hamis oldalon adja meg hitelesítő adatait.
  • A modern adathalász-készletek pixel-pontosan klónozzák a bejelentkezési oldalakat, és valós időben közvetítik a 2FA kódokat.
  • A hardveres biztonsági kulcsok (YubiKey, FIDO2) az egyetlen tervezetten adathalász-biztos védelmi módszer.
  • A jelszókezelők úgy védenek, hogy megtagadják az automatikus kitöltést rossz doménen.
  • Ellenőrizd a pontos domént, mielőtt megadod a hitelesítő adataidat, és soha ne jelentkezz be e-mailben található linkről.

Mi az adathalászat?

Az adathalászat egy social engineering támadás, amelynek során a támadó egy legitim weboldal meggyőző — sokszor pixel-pontos — másolatát hozza létre, és ráveszi az áldozatot, hogy ott adja meg hitelesítő adatait. Amint az áldozat elküldi az űrlapot, a támadó megszerzi a felhasználónevet, a jelszót és az esetleges második faktort, majd másodperceken belül átveszi a valódi fiókot.

A kifejezés az áldozatokra való „horgászás" (fishing) metaforájából ered, ahol a csali általában egy e-mail. Az írásmód „ph"-val azért változott, hogy hangsúlyozza: a támadók gyakran phone számokat (SMS-es adathalászat, azaz „smishing") és professzionális megjelenésű infrastruktúrát alkalmaznak.

Miért az adathalászat a #1 fenyegetés

A mai nagy méretű fióksértések többsége nem hackeléssel, jelszótöréssel vagy titkosítás megkerülésével jár. Egy ember gépeli be a jelszavát egy hamis oldalon. Az adathalászat:

  • Olcsó — egy támadó millió e-mailt küldhet egy VPS és egy hamisított domén áráért
  • Nehezen szűrhető — a modern készletek domént forgatnak, legitim tárhelyet használnak, és valós időben alkalmazkodnak a szűrőkhöz
  • Hatékony — még a biztonsági tudatossággal rendelkező felhasználók is bedőlnek a jól megírt, célzott kísérleteknek (spear phishing)
  • Skálázható — egyetlen sikeres adathalász kísérlet gyakran tucatnyi kapcsolódó szolgáltatáshoz nyit hozzáférést jelszóismétlés révén

A 2024-es Verizon Data Breach Investigations Report megállapította, hogy az adathalászat volt a kezdeti hozzáférési vektor az összes adatsértés több mint 36%-ában — ez több, mint bármely más egyedi ok.

Hogyan működik a modern adathalászat

Az adathalászat messze túlnőtt a 2000-es évek „nigériai herceg" e-mailjein. Egy modern adathalász támadás általában a következőket foglalja magában:

1. Meggyőző csali

Általában egy e-mail, SMS vagy csevegőüzenet, amely sürgősséget kelt („Fiókját felfüggesztik"), tekintélyre hivatkozik („Microsoft biztonsági csapat"), vagy kíváncsiságot ébreszt („Valaki megjelölt egy fotón"). A spear-phishing tovább megy ezzel: személyes adatokat használ, amelyeket LinkedInről, adatsértési gyűjteményekből vagy korábbi levelezésből szerzett.

2. Pixel-pontos hamis oldal

A támadók gyári adathalász-készleteket használnak, amelyek klónozzák a céloldal HTML-, CSS- és JavaScript-kódját. Számos készlet szolgáltatásként (phishing-as-a-service) értékesíthető, működő irányítópulttal és ügyfélszolgálattal.

3. Valós idejű proxy a 2FA-hoz

A veszélyes rész: a modern készletek nem csupán a jelszavadat szerzik meg. Ember-a-középen proxyként működnek, amely mindent továbbít, amit begépelsz — beleértve a TOTP kódot is — a valódi oldalra másodperceken belül, megkerülve ezzel a legtöbb 2FA-módszert. Ezt a technikát adversary-in-the-middle-nek (AiTM) nevezik, és olyan eszközökben alkalmazzák, mint az Evilginx2 és a Modlishka.

4. Munkamenet-token ellopása

Amint az áldozat hitelesít a proxyn keresztül, a támadó megszerzi a munkamenet-sütit, és akkor is bejelentkezve maradhat, ha az áldozat megváltoztatja a jelszavát. Ezért az adathalászatra adott válasz mindig magában foglalja az aktív munkamenetek visszavonását, nem csupán a jelszó cseréjét.

Mi állítja meg ténylegesen az adathalászatot

Hardveres biztonsági kulcsok (FIDO2 / WebAuthn)

Ez az egyetlen védelmi kategória, amely tervezetten adathalász-biztos. Amikor FIDO2 kulccsal jelentkezel be, a kulcs kriptográfiailag ellenőrzi a hitelesítést kérő oldal pontos domenjét. Egy hamis oldal — bármilyen vizuálisan tökéletes legyen is — eltérő doménnel rendelkezik, így a kulcs megtagadja a választ. A kriptográfiai kézfogás egyszerűen nem fejeződik be.

A Google 2017-ben kötelezővé tette a YubiKey-t mind a 85 000+ alkalmazottja számára, és az azóta eltelt években nulla sikeres adathalász támadásról számolt be a vállalati fiókok esetén.

Hitelesítési kulcsok (Passkeys)

A passkey-k a FIDO2 fogyasztóbarát fejlesztése. Ugyanazt a doménhez kötött kriptográfiát alkalmazzák, és be vannak építve az iOS, Android, macOS és Windows rendszerekbe. Ha egy általad használt oldal támogatja a passkey-ket, azok engedélyezése adathalász-biztos védelmet nyújt a fióknak.

Jelszókezelők

A jelszókezelő a második védelmi vonalad, mivel kizárólag azon a pontos doménen tölti ki automatikusan a hitelesítő adatokat, ahol azokat mentettük. Ha a paypaI.com oldalra kerülsz (nagybetűs I) a paypal.com helyett, a kezelő csendben megtagadja az űrlap kitöltését. Ez a megtagadás hangos figyelmeztetés, hogy valami nincs rendben.

E-mail és DNS szűrés

Az e-mail szolgáltatók DMARC-, SPF- és DKIM-protokollokat alkalmaznak a hamisított feladói címek felismerésére. A legtöbb modern szolgáltató elkapja a nyilvánvaló kísérleteket, de a célzott támadások még így is átjutnak. Engedélyezd az „adathalászat jelentése" gombot a levelezőkliensedben, hogy segíts javítani a szűrőket.

Figyelmeztető jelek, amelyekre ügyelj

Amikor olyan üzenetet kapsz, amely bejelentkezésre, ellenőrzésre vagy azonnali cselekvésre szólít fel:

  • Sürgősség és fenyegetés — „Fiókját 24 órán belül zárják be"
  • Általános megszólítás — „Kedves Ügyfelünk" a neved helyett
  • Hasonló megjelenésű doménekpaypaI.com, app1e.com, secure-microsoft-login.net
  • Váratlan mellékletek — különösen .zip, .html vagy .pdf fájlok, amelyek megtekintéséhez bejelentkezést kérnek
  • Nyelvtani vagy formázási hibák — a nagy cégek lektorálják e-mailjeiket
  • Link eltérés — vidd az egérmutatót a link fölé, és ellenőrizd, hogy a célcím megegyezik-e a szöveggel

Ha bármi furcsának tűnik, zárd be az e-mailt. Navigálj kézzel az oldalra. Ha valóban van probléma, a szokásos munkafolyamaton keresztül bejelentkezve látni fogod.

Mit tegyél, ha áldozattá váltál

Cselekedj gyorsan — a sebesség számít, mivel a támadók perceken belül elkezdik felhasználni a hitelesítő adatokat.

  1. Azonnal változtasd meg a jelszót egy másik eszközről (például a telefonodról, ha a laptopodon dőltél be)
  2. Vonja vissza az összes aktív munkamenetet a fiókbeállításokban — ezzel kilépteted mindazokat, akik jelenleg ellopott munkamenet-tokeneket használnak
  3. Engedélyezd a 2FA-t, ha még nem volt bekapcsolva, és ha lehetséges, használj hardverkulcsot vagy passkey-t
  4. Ellenőrizz jogosulatlan tevékenységet — elküldött e-maileket, közelmúltbeli bejelentkezéseket, számlázási változásokat, új továbbítási szabályokat
  5. Értesítsd az érintett intézményt, ha pénzügyi vagy munkahelyi fiókról van szó
  6. Ellenőrizd a többi fiókot, amelyek ugyanazt a jelszót használják — még ha biztos is vagy benne, hogy nem ismétled meg a jelszavakat, ellenőrizd

Összefoglalás

Az adathalászat azért virágzik, mert megkerüli a technológiát, és az embereket veszi célba. A legjobb védekezés három réteget ötvöz: jelszókezelők (megtagadják az automatikus kitöltést rossz domének esetén), adathalász-biztos 2FA (hardverkulcsok vagy passkey-k, amelyek a valódi doménhez kötődnek), és egészséges szkepticizmus (soha ne jelentkezz be e-mailes linkről).

Először a legfontosabb fiókodon — az e-maileden — engedélyezd mindhárom réteget. Ettől kezdve digitális életed egésze érdemben biztonságosabbá válik.

Hogyan védekezzünk az adathalászat ellen

Egy gyakorlati, sorrendezett ellenőrző lista a fiókok megerősítéséhez az adathalász támadásokkal szemben.

  1. Használj jelszókezelőt:Telepíts egy megbízható jelszókezelőt (1Password, Bitwarden, Proton Pass), és engedd, hogy automatikusan töltse ki a hitelesítő adatokat. Megtagadja a kitöltést hasonló megjelenésű domének esetén, így beépített adathalász-detektorként működik.
  2. Engedélyezz adathalász-biztos 2FA-t:Adj hozzá egy FIDO2 hardverkulcsot (YubiKey, Google Titan) vagy hitelesítési kulcsot (passkey) a legfontosabb fiókjaidhoz — először az e-mailhez, majd a bankhoz, felhőtárhelyhez és jelszókezelőhöz. Ezek az egyetlen 2FA-módszerek, amelyek ténylegesen megállítják a modern adathalászatot.
  3. Soha ne jelentkezz be e-mailes linkről:Ha e-mailt kapsz, amelyben bejelentkezésre kérnek, zárd be az e-mailt, és navigálj kézzel az oldalra egy könyvjelzőn vagy az URL beírásával. Az e-mailben lévő link tökéletes klón lehet; a böngésződben lévő könyvjelző nem az.
  4. Ellenőrizd a pontos domént gépelés előtt:Mielőtt bármilyen jelszót megadnál, nézd meg a teljes URL-t a címsávban. Ellenőrizd a https protokollt, a helyes helyesírást, és hogy nincsenek-e extra aldomének, mint például paypal.com.secure-login.net.
  5. Jelents, és menj tovább:Jelentsd az adathalász kísérletet az e-mail szolgáltatódnak (a legtöbbnél van „Adathalászat jelentése" gomb). Aztán folytasd a napod — az adathalászat csak akkor veszélyes, ha áldozatává válsz, és a tudatosság a védekezés nagy részét jelenti.

Gyakran Ismételt Kérdések