A bizalomra épülő manipulatív befolyásolás (adathalász és megtévesztő webhelyek)

A bizalomra épülő manipulációt alkalmazó tartalom megtévesztő módon veszi rá a látogatókat arra, hogy valami veszélyeset tegyenek, például bizalmas információkat fedjenek fel, illetve szoftvert töltsenek le. Ha a Google azt észleli, hogy webhelye a bizalomra épülő manipuláció megvalósítására irányuló tartalommal rendelkezik, akkor előfordulhat, hogy a Chrome böngésző a „Megtévesztő webhely megnyitására készül” figyelmeztetést jeleníti meg a látogatók számára webhelye megtekintésekor. A Biztonsági problémák jelentést felkeresve ellenőrizheti, van-e webhelyének olyan oldala, amellyel kapcsolatban fennáll a bizalomra épülő manipuláción alapuló támadások gyanúja.

A Biztonsági problémák jelentés megnyitása

Áttekintés

Mi az a bizalomra épülő manipuláció (social engineering)?

A bizalomra épülő manipulációt használó támadás az, amikor az internethasználót megtévesztő módon veszik rá arra, hogy valami veszélyeset tegyen az interneten.

A bizalomra épülő manipuláción alapuló támadásoknak különböző típusai vannak:

  • Adathalászat: A webhely személyes adataik (például jelszavak, telefonszámok vagy hitelkártyaadatok) megadására veszi rá megtévesztő módon a felhasználókat. Ebben az esetben a tartalom megbízható entitásnak (például böngészőnek, operációs rendszernek, banknak vagy állami szervnek) tetteti vagy mutatja magát, és úgy is viselkedik.
  • Megtévesztő tartalom: A tartalom olyasmire igyekszik rávenni a felhasználókat, amit egyébként csak valamilyen megbízható entitásnak tennének meg (például a jelszó megosztására, a műszaki ügyfélszolgálat felhívására vagy valamilyen szoftver letöltésére), vagy a tartalom olyan hirdetést tartalmaz, amely hamisan állítja, hogy az eszköz szoftvere elavult, és kéretlen szoftver telepítésére próbálja rávenni a felhasználókat.
  • Nem megfelelő információkkal ellátott, harmadik felektől származó szolgáltatások: Harmadik féltől származó szolgáltatásokról akkor beszélünk, ha valaki webhelyet vagy szolgáltatást működtet mások nevében. Ha Ön mint harmadik fél egy másik (első) fél számára működtet webhelyet anélkül, hogy ezt a viszonyt egyértelművé tenné, a helyzet bizalomra épülő manipulációnak minősülhet. Ha például Ön (első fél) adománykezelő webhelyet (harmadik fél) használó jótékonysági webhelyet üzemeltet a webhelyére érkező adományok begyűjtésének kezeléséhez, az adománykezelő webhelynek egyértelműen fel kell tüntetnie, hogy harmadik fél platformja, amely a jótékonysági webhely nevében jár el, más esetben a megvalósítás bizalomra épülő manipulációnak minősül.

A Google Biztonságos Böngészés védelmet nyújt a felhasználóknak úgy, hogy figyelmeztetést jelenít meg a rendszeresen bizalomra épülő manipulációt alkalmazó oldalak megnyitása előtt.

A weboldalak akkor valósítanak meg bizalomra épülő manipulációt, ha:

  • megbízható entitásnak (például saját eszközének, böngészőjének vagy adott webhelynek) tettetik vagy mutatják magukat, illetve annak tűnnek; vagy
  • olyasmire próbálják rávenni a felhasználót, amit egyébként csak valamilyen megbízható entitásnak tenne meg (ilyen például a jelszó megosztása, a műszaki ügyfélszolgálat felhívása vagy szoftver letöltése).

Bizalomra épülő manipuláció beágyazott tartalomban

Bizalomra épülő manipuláció megjelenhet alapvetően jóindulatú webhelyekre beágyazott tartalmakban, általában hirdetésekben is. A bizalomra épülő manipulációt megvalósító beágyazott tartalom a tároló oldal általi irányelvsértésnek minősül.

Az ilyen tartalmak néha láthatók a felhasználók számára a tároló oldalon, ahogyan az alábbi példák is illusztrálják. Más esetekben a tároló webhely nem tartalmaz látható hirdetéseket, de előugró vagy rejtett előugró ablakok, illetve más típusú átirányítás használatával bizalomra épülő manipulációt megvalósító oldalakra vezeti a felhasználókat. A bizalomra épülő manipulációt megvalósító beágyazott tartalom mindkét esetben a tároló oldal általi irányelvsértésnek minősül.

Én nem is veszek részt bizalomra épülő manipulációban!

Megtörténhet, hogy a bizalomra épülő manipulációt alkalmazó megtévesztő tartalom az oldalba beágyazott erőforrásokban, így például képekben, harmadik felektől származó más összetevőkben vagy hirdetésekben fordul elő. A megtévesztő tartalom nem kívánt szoftver letöltésére is megpróbálhatja rávenni a webhely látogatóit. 

Emellett a hackerek át is vehetik az irányítást az ártatlan webhelyek felett, és arra használhatják őket, hogy segítségükkel bizalomra épülő manipulációt alkalmazó tartalmat tároljanak vagy terjesszenek. A hacker módosíthatja a webhely tartalmát vagy további oldalakat adhat a webhelyhez, gyakran azzal a szándékkal, hogy a látogatókat félrevezetve kicsalja tőlük személyes adataikat, például a hitelkártyaszámokat. A Search Console Biztonsági problémák jelentéséből megtudhatja, hogy webhelye a bizalomra épülő manipulációt alkalmazó tartalmat tároló vagy terjesztő webhelynek minősül-e.

Tekintse meg a feltört webhelyekkel kapcsolatos súgócikkünket, ha úgy véli, webhelyét feltörték.

Példák a bizalomra épülő manipulációra

Példák megtévesztő tartalmakra

Az alábbiakban néhány példa látható olyan oldalakra, amelyek bizalomra épülő manipulációt valósítanak meg:

Social engineering popup that tries to make the user install an unwanted application.
Megtévesztő előugró ablak, amely rosszindulatú program telepítésére próbálja rávenni a felhasználót.
Example of social engineering attempt claiming a browser update is required
Megtévesztő előugró ablak, amely azt állítja, hogy segít frissíteni a felhasználó böngészőjét.
Hamis Google bejelentkezési oldal. Vessen egy pillantást a megtévesztő URL-re. Az ehhez hasonló adathalász-webhelyek rávehetik egyéb személyes adatok (például hitelkártya-adatok) megadására is. Előfordulhat, hogy az adathalász-webhelyek pontosan úgy néznek ki, mint az igazi webhelyek – ezért mindenképp ellenőrizze a címsávban, hogy helyes-e az URL, valamint azt, hogy a webhely a https:// karakterlánccal kezdődik-e.

Példák megtévesztő hirdetésekre

Íme, néhány példa hirdetésbe ágyazott megtévesztő tartalmakra. Ezek a hirdetések az oldal szerves részének tűnnek, nem pedig hirdetésnek.

Deceptive ad claiming to be a media player update on the page.
Megtévesztő előugró ablak, amely azt állítja, hogy a felhasználó szoftvere elavult.
Deceptive ad claiming to be an installer for a required component.
Megtévesztő előugró ablak, amely azt állítja, hogy az FLV formátum fejlesztőjétől származik.
Deceptive ads claiming to be playback controller buttons on the host page.
Magukat az oldalon végrehajtható műveletnek álcázó hirdetések.

A probléma kijavítása

Ha webhelyét megjelölték bizalomra épülő manipulációt megvalósító (megtévesztő) tartalom miatt, győződjön meg arról, hogy oldalain nem található meg a fent bemutatott módszerek egyike sem, majd hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Search Console szolgáltatásba
    • Ellenőrizze a Search Console rendszerében, hogy Ön a webhely tulajdonosa, és hogy nem lett a webhelynek új, gyanús tulajdonosa.
    • Tekintse át a Biztonsági problémák jelentést: nézze meg, hogy webhelye megtévesztő tartalommal (ez a jelentésben szereplő kifejezés a bizalomra épülő manipulációra) rendelkező webhelyként szerepel-e benne. Keressen fel néhány példaként megadott, megjelölt URL-t a jelentésben szereplők közül, de ehhez olyan számítógépet használjon, amely nem része a webhelyét megjelenítő hálózatnak (a körültekintő hackerek ki tudják kapcsolni támadásaikat, ha úgy vélik, a látogató a webhely webmestere).
  2. Távolítsa el a megtévesztő tartalmat. Gondoskodjon arról, hogy webhelye egyetlen oldalán se forduljon elő megtévesztő tartalom. Ha úgy gondolja, hogy a Biztonságos Böngészés tévesen jelölte meg problémásként valamelyik oldalát, ide kattintva jelentse az esetet.
  3. Ellenőrizze a webhelyén előforduló, harmadik féltől származó erőforrásokat. Győződjön meg arról, hogy a webhelye oldalain lévő hirdetések, képek vagy beágyazott, harmadik féltől származó egyéb erőforrások nem megtévesztő jellegűek.
    • Ne feledje, hogy a hirdetési hálózatok rotálhatják a webhelye oldalain megjelenített hirdetéseket. Ezért előfordulhat, hogy néhányszor frissítenie kell az oldalt, mire megjelenik a bizalomra épülő manipulációt alkalmazó hirdetés.
    • Előfordulhat, hogy bizonyos hirdetések máshogy jelennek meg a mobileszközökön, mint az asztali számítógépeken. Az URL-ellenőrző eszközzel a webhely mobilos és asztali változatát is megtekintheti.
    • Harmadik felek szolgáltatásai (pl. a webhelyén használt fizetési szolgáltatások) esetén kövesse az alább leírt, harmadik felek szolgáltatásaira vonatkozó irányelveket.
  4. Kérjen felülvizsgálatot. Miután minden olyan tartalmat eltávolított webhelyéről, amely bizalomra épülő manipulációt alkalmaz, lehetősége van arra, hogy a Biztonsági problémák jelentésben biztonsági felülvizsgálatot kérjen. A felülvizsgálat több napig is eltarthat.

Harmadik felek szolgáltatásaira vonatkozó irányelvek

Ha webhelyén harmadik fél szolgáltatása is megtalálható, be kell tartania a következő feltételeket, hogy a megvalósítás ne minősüljön bizalomra épülő manipulációnak:

  • A harmadik félhez tartozó webhelynek minden oldalon fel kell tüntetnie saját márkáját úgy, hogy a felhasználók számára egyértelmű legyen, ki működteti a webhelyet. Ez megvalósítható például azzal, hogy az oldalak tetején megjelenik a harmadik fél márkája.
  • Az első fél márkajelzéseit tartalmazó minden oldalon egyértelműen fel kell tüntetni az első és a harmadik fél közötti kapcsolatot, valamint további részleteket tartalmazó linket kell elhelyezni.  Az alábbi például egy jó tájékoztató:

      Ezt a szolgáltatást az Example.com nyújtja az Example.charities.com nevében. További információ

Jó mérce, hogy a felhasználók el tudják-e dönteni egy előzmények nélkül látott oldalról, hogy melyik webhelyen vannak, és hogy milyen kapcsolat van az első és a harmadik fél között.

Bevált módszer: Ha harmadik féltől származó eszközre van szüksége webhelye valamely alapvető kiegészítő szolgáltatásához, a legjobb megoldás az iparági szabványnak megfelelő harmadik felet választani. Webhelye felhasználóinak hitelesítéséhez például használja az OAuth rendszert, ne önállóan kezelje a hitelesítést.
Hasznosnak találta?
Hogyan fejleszthetnénk?