🎧 Golyó vagy kötél – új trükkök, régi hibák a kibertérben
Hack és Lángos #386 – 2025. június 27.
Ez a bejegyzés a Hack és Lángos podcast legfrissebb, 386. epizódjáról szól, amely 2025. június 27-én jelent meg.
A blogom sorozatának részeként továbbra is figyelemmel kísérem a műsor fontosabb témáit, különös tekintettel a kiberbiztonsági aktualitásokra, érdekességekre és tanulságokra.
🎙️ Újra stúdióban – és végre nem Zoomon
A műsorvezetők (Antenna, Béla és Nindzsa) most kivételesen újra offline, stúdióban rögzítették az adást. Ezzel szakítottak a Zoomos felvételek „lagos és rideg” korszakával, Béla szerint pedig végre „Csipkerózsika álmából” is felébredt a hangminőség. Az epizód hangulata is élénkebb, lazább – ez már a nyár hatása?
📩 Kamu meeting, valós veszély – új adathalász módszerek
Az adás egyik központi témája egy új adathalászati hullám, amely kamu meeting meghívókra épül. A támadók egy hamis Zoom/Teams találkozóra hivatkozva kérik a felhasználót, hogy „frissítse a klienst”, miközben egy végrehajtható fájlt töltetnek le vele.
Ez lehet akár teljesen legális admin eszköz, mint a TeamViewer vagy ScreenConnect – csak épp nem annak szánták.
A trükk az, hogy a felhasználók már megszokták: a Zoom gyakran kér frissítést a meeting előtt. A támadók ezt használják ki, és még a meeting témáját is célzottan személyre szabják (pl. „Red Team jegyzőkönyv”).
A tanulság: soha ne telepítsünk meeting linkből semmit, csak a hivatalos appból vagy weboldalról.
🪤 „Golyó vagy kötél” – te választasz, mindenképp rosszul
A címadó „golyó vagy kötél” támadási módszer egy pszichológiai trükk: a felhasználó választási lehetőséget kap – de mindkettő csapda. Egy email egy fájlmegosztó oldalról azt állítja, hogy fájljainkat törölni fogják.
A PDF-ben két gomb jelenik meg: Előnézet és Letöltés.
Az egyik egy adathalász Microsoft bejelentkezési oldalra vezet, a másik malware-t tölt le.
Az újítás, hogy a döntés felelősségét a felhasználóra hárítják – nem csak passzívan történik a támadás. A Secure Email Gateway rendszerek segíthetnek, de a tudatosság a legjobb védelem.
🛠️ Lokális admin káosz – egy IT-s „kreatív megoldása”
Egy munkahelyi incidens során egy helyi IT menedzser minden domain felhasználót adminisztrátorrá tett, miután aktiválta a tiltott lokális admin fiókot. Ez gyors válasz volt a sok jogosultságkérésre, de természetesen óriási biztonsági kockázat. A „pragmatikus ázsiai megoldás” gyorsan visszavonásra került.
💸 Illegális aktivátor – 50 ezer gépes cégnél?
Egy másik cégnél valaki PowerShellből futtatott egy GitHubról szedett Windows aktivátort, hogy egy virtuális gépet gyorsan működésbe hozzon. Bár technikailag nem volt malware, jogilag mégis problémás – főleg egy nagyvállalatnál, ahol elvileg van licenc. A műsorvezetők is értetlenkednek: hogy történhet ilyen 2025-ben?
Kapcsolódó bejegyzések
- 💻 Fekete bőrdzsekik és neonfények: Kiberpunk és hackerkultúra az irodalomban
- A 21. század vadnyugata: kiberbiztonsági fenyegetések és adatlopás a mindennapokban
- Titkos Őrzők: Hatékony Módszerek a Személyes Adatok Védelmére az Online Világban!
- 💥 Az SQL Injection – Amikor a weboldalad saját magát árulja el
- A jövő munkahelyei:
- IoT eszközök: A kényelmes élet kulcsa vagy a privát szféra végét jelentik?
-
A titkosítás evolúciója: Hogyan vált a kulcsküldés problémája a digitális kor alappillérévé?
- Az internet titkos világa – Amit nem látsz a Google-ban
🏴☠️ Visszatér a kalózkodás?
A streaming platformok hirdetései, tartalom-korlátozásai és a szoftverek előfizetéses modellje visszanyitja a kalózkaput.
A beszélgetésben szóba kerül, hogy például egy Disney-rajzfilm nem volt megvásárolható, csak streamelhető – így a torrent oldalak újra célkeresztbe kerülnek. Bár ezek fórumként is működnek, a rosszindulatú fájlok kockázata mindig ott van.
🧑💻 Scania adatlopás – partneri gyenge pont
A Scaniát ért kibertámadás során egy külső partner által üzemeltetett aldomaint törtek fel. A hacker 34 000 fájlt szerzett meg, majd zsarolni próbált. A támadás részletei még homályosak, de egy biztos: a gyenge láncszem gyakran nem maga a cég, hanem a kiszolgáló partner.
🔍 Search Parameter Injection – amikor a Google „segít” a csalóknak
Ez a kevésbé ismert támadási forma úgy működik, hogy a keresőoldal visszatükrözi a keresőkifejezést az URL-ben és a találatokban. A támadók ezt kihasználva hamis telefonszámokat juttatnak be a találati listába, úgy tűnve, mintha az valódi ügyfélszolgálat lenne. A csalók így „legitim” oldalon belül tüntetik fel a saját adathalász elérhetőségeiket.
🧠 OWASP Top 10 – de most LLM-ekhez
Az OWASP 2023-as jelentése az LLM (Large Language Model) alapú rendszerek legnagyobb kockázatait gyűjtötte össze.
A toplistán szerepel többek közt:
-
Prompt Injection
-
Modellmérgezés (data/model poisoning)
-
Rendszerutasítás szivárgás (system prompt leakage)
-
Misinformációk generálása
-
Korlátlan erőforrásfogyasztás
Ez jól mutatja, hogy a mesterséges intelligencia nemcsak lehetőség, hanem támadási felület is – egyre inkább szükség van AI-biztonsági tesztelésre is.
🧾 Etikus hack: Simple alkalmazás bug
Béla egy etikus hacket osztott meg: a Simple appban Supershop pontokkal fizetve nem jelent meg a fizetési link, viszont ha 1 forintot bankkártyával hozzátett, már működött. Nem kárt okozott, csak kiskaput talált – ez is a „jóindulatú hiba” kategóriája.
🧩 Záró gondolat
Ez az epizód is megmutatta, milyen sokféle és kreatív módszert alkalmaznak a támadók – és mennyire fontos a felhasználói tudatosság, a technikai biztonság, és a józan ész a digitális világban.
A „golyó vagy kötél” dilemma tökéletes metafora: gyakran nincs jó döntés, csak tudatos.
