Ezzel az oktató anyaggal anyaggal azoknak a munkavállalóknak szeretnénk segíteni, akik távmunkára álltak vagy állnak át. Összeszedtük, milyen veszélyek leselkednek ránk a kibertérben, és ezek hogyan kerülhetők el. Anyagunkat folyamatosan aktualizáljuk, kérjük figyelje a verziószámot! Vigyázzon munkatársaira, és ne vállaljon felesleges kiberbiztonsági kockázatot! Olvassátok, használjátok, és köszönjük, ha megosztjátok! 'A kész jobb, mint a tökéletes' elv alapján vállaljuk, hogy lesznek benne hiányosságok, de meggyőződésünk, hogy hiánypótló és hasznos anyag, melyet folyamatosan frissítünk majd.

1. Általános kibervédelmi tréning

2. Ezzel az oktató anyaggal anyaggal azoknak a munkavállalóknak szeretnénk segíteni,
akik távmunkára álltak vagy állnak át. Összeszedtük, milyen veszélyek leselkednek
ránk a kibertérben, és ezek hogyan kerülhetők el.
Anyagunkat folyamatosan aktualizáljuk, kérjük figyelje a verziószámot!
Vigyázzon munkatársaira, és ne vállaljon felesleges kiberbiztonsági kockázatot!

3. 1. E-mailben érkező támadások
2. Biztonságos internethasználat
3. Személyre szabott fenyegetések
4. Kártevő szoftverek (malware)
5. Jelszavak és kezelésük
6. Álhírek (fake news)
7. Kockázatmentes otthoni munka, saját eszközön
Tartalomjegyzék

4. 1. E-mailben érkező támadások
Phishing (Adathalászat):
Általában egy ismert szolgáltató nevét használva,
félrevezető, de valódinak tűnő e-mailt kapunk. Ebben kérik
az ügyfelet, hogy egy linken keresztül adja meg a jelszavát,
felhasználónevét és egyéb személyes információt, akár még
a bankszámlaszámot is!

5. E-mail csatolmányok:
Hivatalosnak tűnő e-mailben érkeznek, és
a csatolmány maga egy fertőző link vagy
egy megbízható dokumentumba kódolt
vírus.
Ha hasonlóan gyanús levelet kapunk, akkor
legyünk elővigyázatosak!

6. Hogyan kerülhető el?
1. Nézzük meg a feladót, ha gyanús,
ne nyissuk meg! Ehhez kétszer
kattintson rá a feladó nevére, vagy
vigye a kurzort/egeret a feladó
neve fölé!​
2. Ha ismerős címről érkezett a levél,
mégis gyanúsan más, hívjuk fel az
illetőt, hogy valóban ő küldte-e!
3. Ha továbbra sem vagyunk biztosak
benne, semmiképpen se töltsük le
a csatolmányt, szóljunk a
rendszergazdának, hogy vizsgálja
be!

7. 4. Mozgassuk a link fölé a kurzort (egeret), hogy hová
vezet. Nézzük meg, hogy valós linkre mutat-e, és
elsőre ne kattintsunk rá! Másoljuk ki a linket, és
ellenőrizzük a https://www.cyren.com/security-
center/url-category-check oldalon!
5. Bizonyosodjunk meg a vállalat hivatalos honlapján,
hogy valóban ők küldték-e a levelet!
6. Ha rákattintunk, és a bejövő oldal furcsa
információkat kér tőlünk, akkor is kezdjünk el
gyanakodni!
Hogyan kerülhető el?

8. Spam:
Egyszerre, gyakran spambotok* által találomra generált e-mail címekre küldött, adathalász
és egyéb kártékony szoftvert tartalmazó e-mail.
Hogyan kerülhető el?
1. Ne válaszoljunk, ne kattintsunk rá, mert ez egy jelzés a küldőnek, hogy létezik az e-mail
cím és még több oldalról várható majd támadás!
2. Ha lehet, használjuk a következő formátumot: példakukacgmailpontcom a saját
weboldalunkon, ha e-mail címet akarunk megadni!
3. Alaposan válasszuk meg, hogy milyen webhelyeken adjuk meg az e-mail címünket, ugyanis
versenyek, nyereményjátékok és egyéb „ingyenes” hirdetések valójában csak adathalász
weboldalak!
*A spambot egy számítógépes program, amely a spam küldésében segít. A spamrobotok általában fiókokat hoznak létre és tömeges spamüzeneteket küldenek velük.

9. 2. Biztonságos internethasználat
A publikus Wi-Fi kapcsolatok általában hotelekben,
kávézókban és más hasonló publikus helyszíneken
érhetők el, de ezek csak alig, vagy egyáltalán
nincsenek védve. Nem ritka, hogy károkozási
célokkal, másolt Wi-Fi SSID-t (Wi-Fi név) kreálnak a
közeli hotel, könyvtár vagy szórakozóhely nevében,
ezzel teljesen védtelenné téve a számítógépünket.

10. Hogyan kerülhetjük el az átverést?
1. Kerüljük el az ilyen, publikus Wi-Fi használatát, mivel a
kommunikáció titkosítás nélkül folyik! Amennyiben szükséges és
mégis kapcsolódna, akkor vállalati vagy fizetős VPN-t használjunk,
és ezen keresztül internetezzünk!
2. Minden esetben azt kell feltételeznünk, hogy még a hivatalos Wi-
Fi hálózat sem biztonságos, ezért ne használjuk a közösségi
oldalakat, netbankot és egyéb, fontos adatainkat kezelő
weboldalakat!
3. Érdemes inkább a mobilunk által használt adatforgalmat használni
ezekere a célokra.

11. HTTPS:
A https egy URL-séma, amely biztonságos internetkapcsolatot jelöl.
Azonban ez nem jelenti azt, hogy feltétlenül biztonságban vannak a
weboldallal megosztott adataink.

12. Hogyan kezeljük a weboldalakat?
1. Ha HTTPS-t használ a weboldal, akkor nagyobb biztonságban
érezhetjük magunkat, azonban ügyeljünk a böngészőnk és védelmi
szoftverünk figyelmeztetéseire!
2. Ha nem látunk HTTPS feliratot, akkor ne adjunk meg érzékeny
adatokat a weboldalon!
3. Legyünk körültekintők, és ne keltsen bennünk téves
biztonságérzetet a HTTPS protokoll!

13. WEB-es tartalom szűrése:
Megkülönböztetünk otthoni és vállalati verziót is. Az otthoni verzió a gyermekvédelemre, a
vállalati pedig a céges tartalom szűrésére szolgál, aminek hatására az alkalmazottak
produktívabbak lesznek. Lényege, hogy a rendszergazda letilthat bizonyos tartalmú, nevű
vagy viselkedésű oldalakat, például munkahelyen a közösségi oldalakat, és egyéb,
kockázatos, kártékonyan viselkedő weboldalakat.

14. Keresőmotor biztonsága:
Manapság az emberek, akár a munkahelyükön is, minden egyes kérdést,
keresést egy keresőmotoron keresztül akarnak megoldani. Pl: Bing, Google
Ez veszélyes lehet, még a közösségi médián keresztül is, mert egy
meggondolatlan kattintás egy nem hivatalos weboldalra, akár végzetes is lehet,
ugyanis ezen keresztül megfertőződhet a számítógépünk.

15. Hogyan kerülhetjük el?
1. Próbáljunk a találatok linkjeire kattintani! Legyünk óvatosak, a gyanús linkekre
ne kattintsunk rá! Mindig legyünk elővigyázatosak az ingyen elérhető
tartalmakkal!
2. Legyünk gyanakvók, a normál esetben fizetős tartalmakat, filmeket, játékokat
ne akarjuk ingyen letölteni ismeretlen forrásból, mert azzal gyakran adathalász
program vagy egy zsarolóvírus áldozatává válhatunk!

16. 3. Személyre szabott fenyegetések (social
engineering)
Közösségi befolyásolás, amely akár személyesen arra irányul, hogy bizalmat keltve
adatokat, konkrétan pénzt szerezzenek, valamint kártékony tevékenységet
végezhessenek.

17. Néhány példa:
1. E-mailen keresztül érkezett „befagyasztott bankszámla költség” kifizetésére
irányuló kérések.
2. Telefonhívás egy rokon nevében.
3. Elektromos / távközlési szolgálató nevében küldött fizetési felszólítás.
4. Egy ajándék, szórakozási lehetőség ígéretében vagy a bank nevében.
5. Nem gyakori, de néha személyesen sétálnak be a céghez és bizalmat keltve,
másnak kiadva magukat, akár a számítógépekhez is hozzáférhetnek,
kikapcsolhatják a védelmet, károkozó programot telepíthetnek, adatokat
lophatnak.

18. Hogyan kerülhetjük el?
1. Mindig legyünk gyanakvók, ha érzékeny információkat kérnek tőlünk!
2. Bizonyosodjunk meg a cégek hivatalos elérhetőségén keresztül, hogy valóban ők
hívtak-e, küldtek-e emailt vagy személyesen embert!
3. Ne engedjük be a váratlanul érkező személyeket, azaz kérdezzük meg, hogy
valóban vár-e csomagot, egyéb szolgáltatót a vállalat!

19. Belső fenyegetések:
Nem is gondolnánk, de egy vállalat belső környezetéből is indulhat
kibertámadás. Könnyen kikapcsolhatják a megfelelő hozzáféréssel a védelmi
szoftvereket, telepíthetnek kártékony szoftvereket, vagy szándékosan
beengedhetik azokat, adathordozókon keresztül adatokat lophatnak és egyéb,
működést fenyegető támadást hajthatnak végre.
Lehetséges esetek:
1. Egy rosszakaró, csalódott alkalmazott, üzleti partner, egyéb beszállító,
akinek érdeke kárt okozni.
2. Nem szabad azonban mindig rosszhiszeműnek lennünk. Néhány
alkalmazottól indult támadást okozhatja egy rossz kattintás, átverés és
egyéb művelet, amit valójában nem ő akart végrehajtani.

20. Mivel csökkenthetjük ennek kockázatát?
1. Tartsunk rendszeres képzést a munkavállalóknak, hogy hogyan kerülhetik el a
kibertámadást, és hogyan legyenek elővigyázatosak!
2. Korlátozzuk a munkavállalók hozzáférési jogosultságát, valamint fizikailag is
biztosítsunk védelmet az olyan eszközöknek, amelyek központi szerepet
játszanak a hálózatban, valamint fontos adatokat tartalmaznak!
3. Szeparáljuk a munkavállalók eszközeit külön alhálózatokba, és ezek
kommunikációját tűzfalon keresztül engedélyezzük!
4. Használjunk EDR végpontvédelmi megoldást, hiszen csak ezek
tudják elhárítani a belső hálózaton keresztül történő kibertámadásokat!

21. 4. Kártevő szoftverek (malware)
A malware-ek típusai:
• vírusok, trójai vírusok
• worm-típusú vírusok
• spyware-ek, ransomware-ek
• rootkit-ek
Céljuk kárt okozni és a célpont adatait, végső soron pénzét ellopni. Ezeket sokszor
kombinálják, például egy trójai vírussal spyware-t juttatnak a gépre, az pedig
megtalálhatja a biztonsági rést egy zsarolóvírusnak, azaz ransomware-nek.

22. A kártevők célpontjai:
Manapság elég népszerű és sok tévhit kering a célpontokról. Azonban a valóság
más:
• Nem csak Windows operációs rendszerekre veszélyesek, hanem mindre.
• Nem csak nagyvállalatokra utaznak, minden vállalati forma veszélyben van, még
az állami és az 1-2 fős cégek is.
• Nem csak számítógépek és a szerverek vannak veszélyben.
A kiberbűnözők nem válogatnak, minden méretű vállalatot, hatóságot, hivatalos,
állami cégeket, oldalakat is megtámadnak, a weboldalaikat és a magánszemélyeket
is! Minden veszélyben van, amin keresztül adatokhoz férhetnek hozzá, vagy
korlátozhatják azok elérését, használatát. Motivációjuk rendszerint az
üzletfolytonosság veszélyeztetése, megbénítása, és ezen keresztül az anyagi
haszonszerzés.

23. Hogyan jutnak el a céljukhoz a kártevők?
Számos oldalról támadhatnak, többek között: egy gyanús linken, csatolmányon keresztül,
egy megbízható programba beépülve, de akár egy fertőzött adathordozón, például
pendrive-on, vagy akár nem megfelelően biztosított távoli asztali kapcsolaton keresztül.
Manapság egy publikus Wi-Fin keresztül megfertőzi a mobilt, majd az otthoni/vállalati Wi-
Fin keresztül eléri a belső hálózatot. Mobilok esetén a nem ellenőrzött, a nem hivatalos
helyről letöltött alkalmazások is tartalmazhatnak malware-t, vagy ők maguk azok.

24. Hogyan kerülhető el a fertőzés?
1. Használjunk komplex végpontvédelmet az
összes eszközön, ne csak a Windows-os
gépeken!
2. Tartsunk a munkavállalóknak kiberbiztonsági
tréningeket, hiszen rajtuk is múlik a vállalat IT-
biztonsága!
3. Ne kattintsunk gyanús linkekre, illetve óvatosan
kezeljük a talált, kapott adathordozókat! Ezeket
érdemes először a rendszergazdával
átvizsgáltatni.

25. 5. Jelszavak
Személyes adat a jelszavakban:
Sokan beleesnek abba a hibába, hogy a jelszavaik tartalmaznak olyan személyes
adatokat, amelyeket akár a közösségi oldalakról meg lehet szerezni, vagy túl sokan
tudják, ezért a rosszakarók kihasználhatják ezeket az információkat. Másik komoly
hiba, hogy a biztonsági kérdések esetén szintén őszintén válaszolnak, így a valós
információt máshonnan megszerezve, a biztonsági kérdéseken keresztül feltörhető
a fiók.

26. Hogyan kerülhető el az ilyen jelszófeltörés?
1. Ne adjunk meg olyan jelszót, amely olyan személyes adatot tartalmaz, ami
könnyen hozzáférhető az interneten, akár ismerőseink által!
2. Különböző hozzáféréseknél más-más jelszó használata javasolt.
3. A biztonsági kérdésekre ne válaszoljunk őszintén! Találjunk ki egy csak általunk
ismert választ, még a kérdéshez sem kell kötődnie! Például: Mi az édesanyja
középső neve? Válasz: Sajtostészta.

27. Jelszó higiénia:
Manapság, ha megszerzik a jelszavunkat, könnyen
beférkőzhetnek több fiókunkba is. Az e-mailünket megszerezve
hatalmas károkat tudnak okozni, a nevünkben fertőző, adathalász
leveleket küldeni, jelszóemlékeztető e-maileken keresztül
megszerezni akár a céges belépési adatainkat is.

28. Mit tudunk tenni?
1. Egy megjegyezhető, kellően bonyolult jelszót használjunk!
2. Semmiképpen se tároljuk el könnyen hozzáférhető dokumentumokban,
valamint ne írjuk cetlikre, füzetekbe, stb a jelszavainkat, mert könnyen
ellophatják!
3. Ne adjuk meg barátoknak, rokonoknak a jelszavunkat elektronikus úton, mert
ha feltörik, ellopják az eszközt és visszaolvassák, akkor már meg is szerezték azt!
4. Kb 2-3 havonta cseréljünk jelszót! Cseréljünk jelszót kürölbelül 2-3 havonta!
5. Ne használjuk mindenhol ugyanazt a jelszót!

29. Jelszó kezelés:
Ha nem tudjuk megjegyezni a bonyolultabb és egyre nagyobb számú jelszavainkat,
akkor használhatunk megbízható, modernebb alkalmazásokat. Ezek tárolják vagy
generálják az új jelszavakat, hovatovább egy mesterkulcshoz hasonlóan működő
szóval előhívhatjuk azokat. Ezt hívják dinamikus jelszónak.

30. Mire ügyeljünk?
1. Csak hivatalos és ellenőrzött programokat használjunk!
2. A mesterjelszó legyen megfelelően biztosítva! Sehol se tároljuk, hanem
jegyezzük meg!
3. Legyünk óvatosak a nagyon érzékeny adatok esetében, mint például a
netbankunk kezelésénél!

31. Kétfaktoros azonosítás:
Lényege, hogy az azonosításhoz két fő elemre van szükség: amit a felhasználó tud, azaz
eleve megjegyzett, és az, amivel a felhasználó rendelkezik.
Előnyei:
1. Ez kiküszöböli a gyenge jelszavak okozta biztonsági rést.
2. Arra épít, hogy a jelszó, a telefonszám megadásán kívül válaszolni kell egy kapott
kóddal, vagy ujjlenyomattal engedélyezni a belépést.
3. A mai okostelefonokkal ez egyszerű, mégis nagyon biztonságos művelet.
4. Több közösségi weboldal, például Facebook, Google is fel szokta ajánlani ezt a
lehetőséget. Éljünk vele!
Ha lehetséges, használjunk erre kifejlesztett applikációkat, mivel a SIM kártyánk
adatait vagy magát a kártyát is megszerezhetik, így az SMS-ben kapott kódot a
kiberbűnözők is megkaphatják!

32. 6. Álhírek (fake news)
Ez egy komplex és fontos témakör, ugyanis álhírekkel a kártevő szoftverek,
hackerek, könnyedén érzékeny adatokhoz juthatnak, akár teljes rendszereket
béníthatnak meg. Számos útvonalon keresztül érhet minket támadás. A probléma
összetettségét jelzi, hogy az elkövetők fenti kockázatok szinte minden típusát
használhatják.

33. Az emberek hiszékenységét célozzák meg, és egy közismert személyre,
vállalatra, intézetre, hatóságra, eseményre, tényre vagy aktuális
válságra alapozva kreálnak álhíreket.
Például:
• Facebook fizetőssé válása.
• Mark Zuckerberg, Bill Gates vagyonának szétosztása.
• Pénzintézetek állítólagos összeomlása.
• Ebolával, koronavírussal stb kapcsolatos álhírek.
Ezek a valótlan állítások szinte mindegyike valamilyen adatot kér az
áldozattól, hogy azok részesüljenek valamilyen jutalomban,
elkerüljenek egy nem kívánt következményt, vagy egyszerűen csak egy
kattintást akarnak, amivel megtörténik a baj.

34. Hogyan kerülhetjük el ezeket?
1. Mindig legyünk gyanakvók a linkekkel, adatmegadással járó
kérésekkel kapcsolatosan!
2. Bizonyosodjunk meg a hivatalos weboldalakról, hogy igaz-e a hír!
3. Csak jól ismert híroldalakról tájékozódjunk!
4. Ne töltsünk le ismeretlen eredetű csatolmányt!
5. Mindig nézzük meg az adott oldalt, hogy megbízható-e!
6. Mindig nézzük meg a feladót e-mail esetén, a közösségi oldalon a
profilt. Utóbbinál, ha friss a profil, „furcsa nevű” az illető és
ismerősei, akkor minél hamarabb tiltsuk le!

35. • Közösségi oldalak esetén a legtöbb álhír terjesztő profil és oldal minden felhasználót
próbál bejelölni, így ne tévesszen meg minket az, ha esetleg egy gyanútlan
ismerősünk visszajelölte és az ismerősei között van, mert attól még nem
megbízható!
• Keressünk helyesírási hibákat, vagy ha „magyartalan” a szöveg, akkor valószínűleg
automatikus fordításról van szó. Tiltsuk le!
• Ne engedjünk a kíváncsiságunknak!

36. 7. Biztonságos otthoni hálózat kialakítása
Az otthoni hálózat IT-biztonsága nem minden esetben rajtunk múlik. Ha laknak
velünk mások is, akkor az ő internetezési szokásaik is védtelen támadófelületet
nyújthatnak.
• Az okos eszközeiken található ismeretlen eredetű alkalmazások.
• Publikus Wi-Fi hálózat óvatlan használatából eredő biztonsági rés.
• Ingyenes filmek, játékok, programok és egyéb, ellenőrizetlen torrentek letöltése is
problémákat okozhatnak.

37. Hogyan előzhetők meg?
1. Az általános kibervédelmi tréningünk tanácsai alapján, hívjuk fel a többiek
figyelmét a veszélyek elkerülésére!
2. Használjunk saját eszközöket az otthoni munkavégzéshez!
3. Amennyiben nem lehetséges, akkor erős jelszóval védett és különálló, új céges
fiók létrehozásával.
4. Saját VPN kapcsolat használatával.
5. Kulcsfontosságú a saját, erősen védett router használata is.

38. Köszönjük, hogy elolvasta a Panda Általános
Kibervédelmi Tréninget!
Reméljük, hogy hasznosítani tudja az itt olvasottakat és arra kérjük,
hogy másokkal is ossza meg ezt az oktatóanyagot!