Ezért nem szabad reflexből a telefonon felugró biztonsági értesítéseknél az igenre kattintani

Képzeljük el, hogy éjjel vagy egy sűrű munkanap közepén érkezik telefonunkra több értesítés: „Jóváhagyja a bejelentkezést?” Fáradtan, ingerülten rányomunk az „Igen” gombra, csak hogy megszűnjön a csipogás. Itt már vesztettünk.

Az azonosítás nem pusztán technikai formalitás, hanem az egész digitális életünk kapuja. Ha valaki megszerzi a jelszavunkat, a kétlépcsős vagy többlépcsős azonosítás lehet az utolsó védelmi vonal, amely megakadályozza, hogy idegenek belépjenek a család levelezésébe, banki fiókjába vagy a gyerekek online tanulási felületeire.

Egyetlen jóváhagyás sokszor nemcsak a személyes adatokat veszélyezteti, hanem hozzáférést adhat a fényképeinkhez, a közösségi kapcsolatokhoz vagy akár a pénzügyi tranzakciókhoz is. Ezért az azonosítás biztonságos kezelése a digitális higiénia alapja, amely éppolyan nélkülözhetetlen, mint a mindennapi fizikai biztonsági rutinjaink – például hogy este bezárjuk az ajtót.

A kétlépcsős azonosítás valóban az egyik leghatékonyabb védelmi eszköz, de csak akkor, ha tudjuk, mikor használjuk jól, és hogyan ismerjük fel, ha valaki éppen visszaél vele. A szülők számára különösen fontos, hogy ezt megértsék, hiszen a család összes közös fiókját és a gyerekek digitális biztonságát is érinti.

Kétlépcsős és többlépcsős azonosítás: mi a különbség?

• A kétlépcsős azonosítás (2FA) lényege, hogy két lépésben igazoljuk a bejelentkezést: például jelszó + SMS-ben kapott kód.
• A többlépcsős azonosítás (MFA) ennél erősebb, mert több, egymástól független biztonsági réteget kér: például jelszó + ujjlenyomat, vagy jelszó + hitelesítő alkalmazás által generált időalapú kód.

Hogyan támadják a hackerek a kétlépcsős azonosítást?

Az egyik leggyakoribb trükk az úgynevezett push bombing, ahol alapvetően a kifárasztásra, a figyelmetlenségre utaznak a csalók.

🧠 Miről is van szó pontosan?
Push bombing: Támadási módszer, amikor a felhasználót valósnak tűnő, sokszor tömeges értesítésekkel vezetik félre, hogy végül hibából vagy türelmetlenségből jóváhagyjon egy bejelentkezést.

Máskor a rendszer gyanús helyről jelez bejelentkezést, például külföldről vagy ismeretlen eszközről. Előfordul az is, hogy telefonon vagy SMS-ben „ügyfélszolgálatként” kérik a kódot – ez mindig csalás, még akkor is, ha a szám vagy a feladó első ránézésre hitelesnek tűnik.

Ne hidd, hogy ez veled nem történhet meg

Az Európai Unió kiberügynöksége, az ENISA 2024-es fenyegetettségi jelentése külön nevesíti ezt a trükköt: a támadó addig küld jóváhagyási értesítéseket, amíg az áldozat bele nem fárad és rá nem bök az „Igen”-re.

A jelentés egy nagymintás elemzést idéz: 2023. június és 2024. május között 15 000 push-alapú támadásból a felhasználók 5%-át sikerült így megvezetni, és akik rábólintottak, jellemzően 1–5 kérelmet kaptak (nem kellett százszor bombázni őket). Érdekesség, hogy a csalók napközben aktívabbak, amikor a munkahelyi rutin csúcsra jár.

Ide kapcsolódik, hogy amagyar Országgyűlés friss, 2025-ös háttéranyaga is az online csalások elleni fellépést sürgeti: a rövid jegyzet szerint dinamikusan nő az ilyen károkozások száma és értéke. Ez arra utal, hogy a „hihető kérések” és „ismerős” hangok-arcok mögött egyre gyakrabban áll automatizált megtévesztés, akár mesterséges intelligenciát is használva.

Hogyan ismerjük fel a gyanús üzeneteket?

• Ha nem próbáltunk bejelentkezni éppen valahova, soha ne nyomjunk az „Igen” gombra.
• Figyeljük a részleteket: ha a jóváhagyási kérés ismeretlen eszközről érkezik (például a rendszer Windows-gépet jelez, miközben mi Mac-et használunk), vagy ha a bejelentkezési kísérlet teljesen más országból jelenik meg, mint ahol mi éppen vagyunk, akkor éppen csalók próbálkoznak.
• Ha az alkalmazás olyan jogosultságokat kér (például a kontaktlistához hozzáférést), aminek semmi köze a belépéshez, ne engedélyezzük.
• Mindig keressük a csalás árulkodó jeleit: például a félrevezető vagy megtévesztésig hasonló karaktereket a webcímben, illetve a gyenge helyesírást és nyelvhelyességet.

Miért fontos ez szülőként?

A család életében ma már rengeteg digitális fiók van, közös streaming-szolgáltatás, online banki hozzáférés, iskolai rendszerek. A gyerekek gyakran tapasztalatlanok, és könnyen bedőlnek a sürgető üzeneteknek.

Ha egy ilyen kód illetéktelen kezekbe kerül, az egész háztartás online biztonsága veszélybe kerülhet.

A szülők felelőssége kettős: egyrészt saját maguknak kell tudatosan kezelni a kétlépcsős azonosítást, másrészt a gyerekeket is meg kell tanítani arra, hogy ne hagyják magukat kizökkenteni. Érdemes közösen átbeszélni, milyen jelek árulkodnak csalásról, és mi a helyes reakció.

Mit tehetünk szülőként?

• Használjunk hitelesítő alkalmazást SMS helyett. Az olyan appok, mint a Google Authenticator vagy a Microsoft Authenticator biztonságosabbak, mint a könnyen feltörhető SMS-kódok, mivel itt eleve szükség van egy extra kör azonosításra részünkről (leggyakrabban ujjlenyomat).
• Ne engedélyezzünk váratlan kéréseket. Ha nem mi kezdeményeztünk belépést, egyszerűen utasítsuk el.
• Ha gyanús kétlépcsős azonosítási kérést kapunk push-értesítésben, SMS-ben vagy más formában, ne reagáljunk rá, hanem változtassuk meg a kapcsolódó fiók jelszavát közvetlenül a hivatalos weboldalon vagy alkalmazásban – soha ne az értesítésből indított linken keresztül, mert az könnyen egy adathalász oldalra vezethet, amely még tovább veszélyezteti az adatainkat.
• Soha ne adjunk ki jelszót vagy kódot harmadik félnek semmilyen formában.
• Beszéljük át a gyerekekkel. Mutassuk meg nekik, hogyan néz ki egy valódi üzenet, és miért tilos kiadni bármilyen belépési jelszót, kódot, ha valaki telefonon vagy üzenetben kéri.

• adatvédelem
• adathalászat
• kiberbiztonság
• 2FA
• MFA
• social engineering
• online csalás
• kétlépcsős azonosítás
• push bombing