Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

Keyjacking - kulcslopás internetes módon

A múlt heti bejegyzésemben a clickjacking nevű átverésről írtam, amelyből kiderült, hogy ezzel a rafinált művelettel egy ártatlannak tűnő felületre való kattintással, nem kívánatos, kártevő folyamatok is elindulnak gépünkön, itt olvashatnak róla bővebben.

A keyjacking kicsit hasonló ehhez a jelenséghez, mert ez is átverés, tehát hivatalosan a scam (’átverés’) nevű kórokozó csoportba tartozik. A keyjacking lényege, hogy megjelenik a kijelző felületén egy látszólag captcha kódot bekérő felület (a captcha kifejezésről szóló bejegyzést lásd itt), ám ha begépeljük a kódot, akkor nem az általunk megkezdett folyamatra léphetünk tovább, hanem rögtön elindul egy állomány futtatása, amit mi nem láthatunk, mert bizonyos böngészőkben az állomány futtatására, mentésére vagy törlésére figyelmeztető párbeszédablakot letakarja a captcha kód ablaka. Az átverés lényege, hogy a feltűnő captcha ablak nem igazi, és valójában elég a megadott kód első betűkét beütni, és már fut is az elrejtet állomány. Mondanom sem kell, hogy számos módja van a védekezésnek: pl. csak azt töltsük le, csak oda kattintsunk, oda regisztráljunk, ahova tényleg muszáj, amit tényleg akarunk, és ne próbálkozzunk vagy kíváncsiskodjunk, mert könnyen pórul járunk, illetve érdemes figyelni a böngészők biztonsági figyelmeztetéseit, illetve hatékonyan tudnak védeni az akaratlan programfuttatástól a jobb fajta, frissen tartott internet biztonsági szoftverek.

A keyjacking összetétel szerkezete megegyezik a clickjackingével (hisz ennek a mintájára, analógiájára született), tehát az utótagja, a jacking az ’eltérítést’ jelenti, míg az előtagja a key alapjelentése a ’kulcs’, ’billentyű’, ám itt természetesen a ’kulcs’ metaforakörébe tartozik a ’kód’, ’valaminek a megoldása’. Közismert a key, magyarul kulcs kifejezés ebben a jelentésében a biztonságtechnikában a biztonsági kulcs vagy titkosítási kulcs szerkezetekben.

 

Bővebb információkat például az alábbi helyeken lehet olvasni

http://securitywatch.pcmag.com/security/313261-dial-r-for-a-keyjacking-running-malware-with-captcha

http://antivirus.blog.hu/2013/07/01/mai_szavunk_pedig_keyjacking

Bódi Zoltán

0 Tovább

Clickjacking - lopják a kattintásunkat

Az interneten terjedő kártevők ravasz példánya a clickjacking, ami nem más, mint a kattintásunk eltérítése. Az átverés (közkeletű szakkifejezéssel scam) lényege, hogy a weboldalon rákattintunk egy látszólag ártalmatlan, kattintható felületre, például egy képre vagy egy linkre, és ahelyett, hogy az elvárt folyamat elindulna, eltérítenek egy általunk nem kívánt webhelyre, vagy esetleg letöltődik, elindul egy nem kívánt, kártevő szoftver. Az is gyakran megtörténik, hogy a kattintásunk után az elvárt folyamat ugyan elindul (pl. a videót lejátsszuk), ám mellette még valami tudtunkon és akaratunkon kívül megtörténik, például meg is osztjuk a képet, videót, állományt ismerőseinkkel a közösségi oldalunkon.

A kifejezés egy összetétel, amelynek az előtagja, a click ’kattintás’, ’klikkelés’ mindenki számára ismerős lehet. Megjegyzem, hogy az angol click hangutánzó szó észrevétlenül elterjedt a mi nyelvünkben is, ám jelentése speciális, kifejezetten az egérkattintásra értjük. Az utótag a jacking megfigyelhető a hijacking ’repülőgép-eltérítés’ összetételben is, és mindenhol eltérítést jelent.

A clickjacking jelentéstani hátterében tehát az eltérítés művelete áll, nem az átverés vagy a károkozás van hangsúlyozva, hanem az odavezető út, az eltérítés, vagyis a felhasználó szándéka ellenére történő folyamat.

A clickjacking kifejezést egyébként Jeremiah Grossman és Robert Hansen vezette be 2008-ban (http://www.sectheory.com/clickjacking.htm), és azóta az informatikai biztonsági terminológiában a user interface redressing attack (’a felhasználói felület átcímzése’) vagy egyszerűen csak UI redressing szakkifejezések csoportjába sorolják.

Bódi Zoltán

| Még több lehetőség

0 Tovább

Likejacking

Ezek a kifejezések egy jól ismert szerkezeti mintára épülnek, a hijacking mintájára. Ez már sok éve ismerős az internetes kórokozók közt, már a néhány évvel ezelőtti Infoszótár szócikkekben is benne volt. Valahogy így: a hijacker is egy malware, vagyis a károkozók közé tartozik. A hijacker angolul szó szerint 'gépeltérítőt' jelent, az informatikában metaforikus jelentésátvitellel 'eltérítő program' értelmű. A hijacker átveszi az irányítást a böngészőprogram bizonyos elemei fölött, például a böngésző kezdőlapját átírja, a keresőprogramot átirányítja, működését befolyásolja.

A hijacker mintájára jött tehát létre a likejacking, ami akaratunkon kívül oszt meg egy tartalmat a nevünkben a közösségi hálón, a Facebookon. Miközben rákattintunk a like gombra, tőlünk teljesen függetlenül kikerül az üzenőfalunkra egy tartalom, valamilyen videó. Voltaképpen itt a megosztásunk, illetve a kattintásunk van eltérítve, épp ezért nevezik clickjackingnek is. Ezek az eltérítő malware-ek voltaképpen csalások, amelyre szintén van IT szakkifejezés: scam (ez is benne volt már az Infoszótárban), ez a szó azt jelenti, hogy 'csalás', 'szélhámosság'. Érdekes, hogy a scam igen hasonlít a szintén csalások közé tartozó spam szóalakhoz.

A likejacking azért veszélyes, mert az ismerőseink nevében, de az ő akaratukkal ellentétben oszt meg egy tartalmat, ami a mi lájkolásunknak köszönhetően a mi felületünkön is megjelenik, és még csak nem is gyanakodhatunk a becsapásra, mert a közösségi oldalakon való tartalommegosztásban nem nagyon van személyes elem, amelyből ráismerhetnénk az illető stílusára.

Az újabb csalás tehát formailag és jelentéstanilag is jól beleilleszkedik a már megszokott mintákba.

Bódi Zoltán

| Még több lehetőség

0 Tovább

Kishalak és nagyhalak

Az identitással és a személyes adatokkal való visszaélés napi probléma az internethasználók körében. Szerintem kétféle felhasználó van, az egyik már valamilyen csalás áldozatává vált, míg a másik ezután lesz áldozat. Annyi mindenesetre igaz, hogy érdemes tudatosítani a közvéleményben az internetes csalások létét, és hogy illik felkészülni rájuk. Talán segít ebben, ha áttekintjük a legalapvetőbb informatikai csalásokról szóló kifejezéseket, így kiderülhet, hogy ezeknek milyen a képi világa, milyen összefüggések vannak köztük és milyen a személetmódjuk.

 

Image: Chris Sharp / FreeDigitalPhotos.net

 

Az egyik legalapvetőbb eljárás, és legáltalánosabb kifejezés a scam, amely angolul azt jelenti, hogy 'csalás', 'szélhámosság'. A kifejezés konkrét tevékenységet is jelöl, másrészt egyre inkább használják az internetes csalások összefoglaló jelentésében. A scam tevékenység közel áll a phishing nevű csaláshoz, csak az a különbség, hogy míg a scam valamilyen előnnyel kecsegteti a személyes adatait megadó személyt, addig a phishing inkább meg akarja téveszteni a kiszemelt áldozatokat. A scam és a phishing nyelvi szemlélete azt mutatja, hogy míg a scam konkrét személyt vagy személyeket akar átverni, becsapni, addig a phishing arctalan, szürke tömegnek képzeli az áldozatokat, hisz a phishing eredeti jelentése 'halászat'.

A scam és a phishing magyarítása kényes kérdés. Először is azt kell mérlegelni, hogy szükséges-e a magyar sztenderdben megszokottabb alakokkal helyettesíteni ezeket az új kifejezéseket vagy sem. Szerintem a minden áron való magyarításra nincs szükség, ezek az új kifejezések követik az informatikai szaknyelv angol mintáját. Értelmezés, magyarázat céljából viszont hasznos lehet a magyarítás. A scam jelentését jól lefedi a csalás, internetes csalás. A phishing helyett mondhatjuk az adathalászat kifejezést, ám tegyük hozzá, hogy az idegen eredetű metaforikus kifejezéseket tükörfordítással átültetni nem mindig szerencsés. Jelen esetben az adathalászat szóalak a magyar nyelvszemléletben is átlátható, befogadható.

A scam személyre szabott változata a spear phishing, ami olyan identitáslopást célzó tevékenység, amely kiszemeli a konkrét áldozatot, és személyre szabott, a megtévesztésig hihető körülmények között próbálja az áldozata személyes adatait kicsalni. Jól mutatja ezt a személyes jelleget a kifejezés elsődleges jelentése 'lándzsás halászat', tehát amikor a bennszülöttek a vízben lándzsával szúrják le egyenként a halakat.

Amikor a phishing tevékenységet VoIP telefonálás segítségével végzik, akkor a kifejezésben formailag is megjelenik a VoIP szóalakot szimbolizáló v betű, így alkották meg a vishing szóalakot. Ez tehát inkább szimbolikus, mint metaforikus kifejezésmód, a vishing a nyelvhasználók asszociációs készségére alapoz, és csak az értheti meg, aki már ismeri az alapkifejezést, a phishinget.

A phishing típusú tevékenységek célja az identitáslopás, amely angolul is ugyanígy van: indentity theft. Ez egy pontos, leíró típusú szerkezet, amely nélkülöz mindenféle képiséget, szimbolikusságot, nem kapcsolódik más jelentéskörökkel. Ám arra hívja fel a figyelmünket, hogy a személyes adatok megszerzése ugyanolyan lopás, mint ha valakinek a pénzét lopja el egy zsebtolvaj. Azért jó szembesülni ebben a szerkezetben a lopás szóalakkal, mert így tudatosíthatjuk, hogy az identitásunk adatai lophatóak, vagyis értékesek.

 

Image: Patchareeya99 / FreeDigitalPhotos.net

 

Az internetes csalások egy másik csoportja a spam köré épül. A spam típusú tevékenység jellemzően nem a megcélzott személy vagy csoport identitását akarja ellopni, hanem már ezeknek az adatoknak a birtokában végez kéretlen (célzott vagy vaktában végzett) reklámtevékenységet, és a hirdetéseken keresztül készteti valamilyen aktivitásra a felhasználót. A spam eredeti jelentése legendás és ismerős, a híres Moty Python-féle húskonzerves jelenetből származik, és a már-már unalmas, tömeges, mindenhol jelenlévő jellegre utal. A spam tehát szemléletmódjában közel áll a phishinghez, hisz mindkét tevékenység tömeges, arctalan, a nagy számú áldozati csoport alapján működik.

A spam és a scam szóalak hasonlósága sem véletlen, hisz a két tevékenység is igen hasonló. A scam voltaképpen egy spamféle, csak identitáslopásra van specializálva, míg a spam egy sima kéretlen reklámlevél.

A spam bonyolult, áttételes képi háttere miatt nehezen magyarítható, hisz a metaforikus kifejezés lefordításával a magyar kultúrkör számára ismeretlen kifejezést kapnánk, ha a spam helyett húskonzervet mondanánk, senki nem értené meg. A körülíró formákkal (pl. kéretlen reklámlevél, levélszemét stb.) pont az a képi háttér és intellektuális környezet vész el, ami a kifejezés stilisztikai értékét adja. Itt ütközünk olyan problémába, hogy az idegen metaforák átültetése mennyire bonyolult kérdés.

Jól megfigyelhető összefüggés, hogy az alapkifejezések (spam, phishing) tömeges, általános műveleti köre után jelennek meg később az egyre inkább célzott, egyre szofisztikáltabb, egyre inkább személyre szabott jelentésű, kisebb alaki változtatással megalkotott kifejezések (phishing, spear phishing, vishing). Ugyanezt a folyamatot megfigyelhetjük a spam esetében is, a spim az IM-eken vagyis az instant messengereken keresztül érkező spam, a spit pedig az internetes telefont veszi igénybe, a splog pedig a spam blog.

Van egy igen érdekes kifejezés is, amely a spam szóalak jelentéskörébe tartozik, ez a bacn vagyis a bacon 'szalonna' jelentésű szó írásbeli módosulása. A húskonzerv és a szalonna ugyanabba jelentéskörbe tartozik, és a kifejezések által jelzett két tevékenység is hasonló, a bacn is e-mailek egy csoportja, amely lehet akár tömeges is, ám jellemzően nem kéretlenül jöttek, hanem a tudtunkkal, de nem olvassuk el őket vagy csak átfutjuk, ám nem töröljük, csak gyűlnek a postafiókunkban, hasonlóan, mint a spamek. A bacn és a spam közös jelentésmozzanata a tömegesség.

Bódi Zoltán

0 Tovább

Netidők Blogtársaság

blogavatar

Digitális talkshow írásban is. Itt a Netidők! Ez a Netidők c. rádióműsor (Petőfi Rádió) blogja. Mindaz, ami elhangzik az adásban, meg ami nem.

Utolsó kommentek