manawize

Die Gefahren öffentlicher WLAN-Netze

A nyilvános Wi-Fi kényelmes, de veszélyes is lehet. Megmutatjuk, mikor nem elegendő a 2FA, és hogyan védheted meg fiókjaidat. Praktikus tanácsok, egyszerűen.
Nyilvános Wi-Fi és a kétfaktoros azonosítás: amit minden felhasználónak tudnia kell
Egy ismerős helyzet: a reptéri Wi-Fi használata

Képzeld el: a repülőtéren vagy, a gépedre vársz, és eszedbe jut, hogy még el kell intézned egy gyors banki utalást, vagy be kell lépned a munkahelyi e-mail fiókodba. Látod a kijelzőn, hogy „Airport_FreeWiFi – nyílt hálózat”. Egy kattintás, és már csatlakoztál is. Kényelmes, gyors, ingyenes.

De biztonságos is?

Ez a helyzet naponta milliószor ismétlődik szerte a világon. Kávézókban, szállodákban, bevásárlóközpontokban, könyvtárakban. A nyilvános Wi-Fi ma már szinte alapszolgáltatás. Azonban, ami kényelmes, az nem mindig biztonságos, és ez különösen igaz a nyílt hálózatokra.

Miért olyan vonzó, és miért rejt veszélyeket a nyilvános Wi-Fi?

A nyilvános Wi-Fi nagy előnye egyértelmű: nem kell a mobiladat-keretet használni, a kapcsolat általában gyors, és ingyenesen elérhető. Utazás közben, munkán kívül, vagy éppen egy hosszú várakozás alatt valódi segítség lehet.

A probléma ott kezdődik, hogy ezek a hálózatok legtöbbször nincsenek titkosítva, vagy mindenki által ismert jelszóval védettek, ami majdnem ugyanolyan, mintha teljesen nyitottak lennének. Ez azt jelenti, hogy bárki, aki ugyanazon a hálózaton van, a megfelelő technológiával lehallgathatja  az adatforgalmat.

Gondolj rá úgy, mint egy zsúfolt kávézóban folytatott telefonbeszélgetésre: ha hangosan beszélsz, a szomszéd asztalnál ülők is hallhatják, amit mondasz.

Hogyan élhetnek vissza a támadók egy nyilvános hálózattal?

A kiberbiztonsági szakirodalom és olyan szervezetek, mint a CISA (az amerikai Kiberbiztonsági és Infrastruktúra-védelmi Ügynökség) vagy az OWASP több jellegzetes támadási módszert azonosítottak, amelyeket nyilvános Wi-Fi környezetben alkalmaznak. A legfontosabbakat közérthetően összefoglaljuk.

Közbeékelődéses támadás (Man-in-the-Middle)

A leggyakoribb és legsúlyosabb fenyegetés. Egy támadó „beékelődik” az eszközöd és az internet közé: minden adat, amit küldesz vagy fogadsz, átmegy a támadó gépén anélkül, hogy észrevennéd. Képzeld el úgy, mint egy postást, aki felbontja a leveledet, elolvassa, majd visszazárja és továbbküldi, és te nem is tudod, hogy ez megtörtént.

Álhálózatok (Evil Twin)

A támadó létrehoz egy hálózatot, aminek a neve szinte megegyezik egy valódi, megbízható hálózatéval. Például egy kávézóban lehet „CaféWifi” és „CafeWifi” egymás mellett. Ha véletlenül a hamishoz csatlakozol, az összes forgalmad a támadón keresztül folyik.

Munkamenet-eltérítés (Session Hijacking)

Ez az a támadási forma, amelyre különösen érdemes odafigyelni, és amelyet a témához készített videónk is részletesen bemutat.

Amikor bejelentkezel egy weboldalra vagy alkalmazásba, a szerver egy egyedi, ideiglenes azonosítót, úgynevezett munkamenet-tokent ad az eszközödnek. Ez az „élő kapcsolat” tartja fenn a bejelentkezési állapotodat. A támadónak sokszor nem is kell a jelszavad: elég, ha ezt az aktív munkamenet-tokent megszerzi. Ezután úgy léphet be a fiókodba, mintha te lennél az, a jelszavad és a 2FA-kódod ismerete nélkül.

Ha egy hasonlattal szeretnénk szemléltetni, olyan ez, mint egy kinyitott széf: ha valaki megszerzi azt már nyitott ajtóval, a kombinációra már nincs szüksége, hiába van rajta zár.

Egy gyors ebédidei bejelentkezés egy kávézó vendég Wi-Fi-jén elegendő lehet ahhoz, hogy ez megtörténjen, és te mindeközben azt hiszed, biztonságban rendezted az ügyeidet.

Miért nem jelent teljes védelmet önmagában a kétfaktoros azonosítás?

A kétfaktoros azonosítás (2FA) az egyik leghatékonyabb és leginkább ajánlott biztonsági megoldás. Ezt minden megbízható forrás, köztük a NIST (az amerikai Nemzeti Szabványügyi és Technológiai Intézet) is hangsúlyozza. A 2FA lényege, hogy a jelszó mellett egy második azonosítót is megkövetel: például egy SMS-ben érkező kódot, egy hitelesítő alkalmazás által generált számot, vagy egy fizikai biztonsági kulcsot.

Ez valóban jelentős védelmet jelent, de nem nyújt teljes biztonságot minden helyzetben.

Mikor nem elegendő a 2FA?

Munkamenet-eltérítésnél: Ha a bejelentkezés már megtörtént és a munkamenet-tokent a támadó megszerzi, a 2FA már nem véd. A belépés már megtörtént, a token érvényes. Éppen ez az a forgatókönyv, amit nyilvános Wi-Fi-n a legnehezebb kivédeni.

Valós idejű adathalászat esetén: Egy támadó nyilvános hálózaton keresztül valós időben „közvetíthet” az eszközöd és az eredeti weboldal között. Te megadod a jelszót és a 2FA-kódot és ő azonnal továbbítja az eredeti oldalnak, megszerzi a munkamenet-tokent, majd átveszi a fiókodat. Az egész folyamat másodpercek alatt lezajlik.

SIM-csere támadásnál (SIM Swapping): Bár ez nem közvetlenül a Wi-Fi-hez kapcsolódik, érdemes tudni: az SMS-alapú 2FA-t a telefonszám megszerzésével meg lehet kerülni. Ezért érdemes hitelesítő alkalmazást használni SMS helyett.

Összefoglalva: a 2FA nélkülözhetetlen biztonsági réteg, de nyilvános hálózaton nem helyettesíti az óvatos hálózathasználatot. A kettő együtt, nem pedig egymás helyett működik hatékonyan.

Milyen fiókok vannak a legnagyobb veszélyben?

Nem minden fiók egyforma kockázatot jelent, de az alábbiak különösen érzékenyek nyilvános Wi-Fi-n:

  • E-mail fiókok: Az e-mail szinte minden más fiók „kulcsa”. A jelszó-visszaállítási folyamatok nagy része ide fut be. Egy kompromittált e-mail fiókból az összes többi fiók veszélybe kerülhet.
  • Banki és pénzügyi alkalmazások: Közvetlen anyagi kár keletkezhet, ha egy támadó hozzáfér a netbankhoz vagy mobilbankhoz.
  • Közösségi média fiókok: Személyes adatok, üzenetek, kapcsolati hálók kerülhetnek illetéktelen kezekbe. Vállalkozások esetén egy feltört céges közösségi profil komoly reputációs kárt okozhat.
  • Vállalati fiókok (VPN, belső rendszerek, levelezés): Kisvállalkozásoknál különösen veszélyes, ha egy munkavállaló nyilvános Wi-Fi-ről lép be a vállalati rendszerekbe, ez az egész cég adatait kockáztatja.
Milyen jelek utalhatnak gyanús hálózatra?

Néhány figyelmeztető jel, amire érdemes odafigyelni:

  • Hasonló nevű, de ismeretlen hálózat: Ha egy helyen egyszerre több, egymáshoz hasonló nevű hálózat jelenik meg (pl. „HotelWifi” és „Hotel_Wifi”), az egyikük hamis lehet.
  • Jelszó nélküli, nyílt hálózat: Különösen gyanús, ha olyasminek nevezi magát, ami jellemzően nem szokott nyílt lenni (pl. egy bank vagy kormányzati intézmény neve).
  • Böngésző biztonsági figyelmeztetések: Ha a böngésző „Nem biztonságos kapcsolat” vagy tanúsítványhibára figyelmeztet, ne folytasd a munkát.
  • Szokatlanul lassú kapcsolat: Nem mindig jele támadásnak, de közbeékelődéses támadásnál előfordulhat, hogy az adatforgalom lassabb, mivel egy közvetítőn halad át.
  • Bejelentkezési oldalt kér a Wi-Fi-hez: Az úgynevezett „captive portal” önmagában nem gyanús, de ha ismeretlen, furcsa kinézetű oldalra irányít, érdemes óvatosnak lenni.
Mit tehetsz a védelem érdekében?

A jó hír: néhány egyszerű lépéssel jelentősen csökkenthetők a kockázatok. A CISA és az NIST ajánlásaival összhangban az alábbiakat javasoljuk:

Használj mobilinternetet érzékeny műveleteknél

Ha banki ügyeket intézel, munkahelyi rendszerbe lépsz be, vagy fontos e-mailt küldesz, kapcsold ki a Wi-Fi-t és használd a mobilhálózatot. A mobilhálózat jóval nehezebben lehallgatható, mint egy nyílt Wi-Fi.

Használj VPN-t

A VPN (Virtual Private Network) egy titkosított „alagutat” hoz létre az eszközöd és a szerver között, így még ha valaki figyeli is a forgalmat, csak titkosított, értelmezhetetlen adatokat lát. Megbízható, fizetős VPN-szolgáltatás használata erősen ajánlott, különösen üzleti felhasználók számára.

Kapcsold ki az automatikus Wi-Fi csatlakozást

Sok okostelefon automatikusan csatlakozik ismert vagy nyílt hálózatokhoz. Ezt érdemes kikapcsolni, hogy tudatosan választhasd meg, mikor és melyik hálózathoz csatlakozol.

Kerüld a fontos bejelentkezéseket nyilvános hálózaton

A „csak egy perc” szemlélet a legveszélyesebb. Ha nem feltétlenül szükséges, ne lépj be banki, vállalati vagy e-mail fiókodba nyilvános Wi-Fi-ről.

Használj kétfaktoros azonosítást okosan

A 2FA-t mindenképpen kapcsold be minden fontos fiókodon, különösen az e-mailnél, a bankoknál és a munkahelyi rendszereknél. Ahol lehetséges, válassz hitelesítő alkalmazást (pl. Google Authenticator, Microsoft Authenticator) az SMS-alapú kód helyett, mivel az alkalmazás alapú megoldás ellenállóbb bizonyos támadásokkal szemben.

Tartsd naprakészen eszközeidet és alkalmazásaidat

A rendszeres frissítések nem csupán új funkciókat hoznak: a biztonsági rések javítása az egyik legfontosabb feladatuk. Egy frissítetlen eszköz ismert sérülékenységeket hordoz, amelyeket a támadók könnyen kihasználhatnak – akár nyilvános hálózaton, akár anélkül.

Összegzés: a tudatosság a legjobb védekezés

A nyilvános Wi-Fi nem ördögtől való és nem kell rémálomként tekinteni rá. Ugyanakkor fontos megérteni, hogy egy nyílt hálózat mindig magasabb kockázatot jelent, mint a saját, jelszóval védett otthoni vagy irodai kapcsolat. 

A kétfaktoros azonosítás valóban az egyik leghatékonyabb védelmi eszköz, amelyet ma használhatsz, de nem csodaszer. Nyilvános hálózaton olyan extra kockázatok léphetnek fel, különösen a munkamenet-eltérítés formájában, amelyekkel szemben a 2FA önmagában nem nyújt teljes védelmet.

A jó hír: néhány egyszerű szokás kialakításával, pl. VPN, mobilinternet használata érzékeny műveleteknél, automatikus csatlakozás kikapcsolása, rendszeres frissítések és átgondolt 2FA-használatával, a legtöbb kockázat kezelhető szintre csökkenthető.

A kiberbiztonság nem egyetlen lakat a kapun, hanem egymást erősítő rétegek összessége. Minél több réteget alkalmazol, annál nehezebb dolga lesz annak, aki meg akarja kerülni azokat.

Nincs időd végigolvasni minden részletet? A témát egy rövid, átfogó videóban is feldolgoztuk, ahol a legfontosabb gondolatokat emeltük ki. Itt tudod megnézni:

Legfrissebb blogbejegyzéseink:

Oszd meg másokkal is!

Wie können wir Ihrem Unternehmen helfen?

Kérdésed van?
Kipróbálnál minket?
Schreib mir ruhig!

Bist du bereit für den nächsten Schritt? Fordere jetzt ein individuelles Angebot an!
Wir melden uns innerhalb von 24 Stunden bei Ihnen.

IT-Serviceanfrageformular New Gen
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.