A Nemzeti Média- és Hírközlési Hatóság (NMHH) nem közölt pontos statisztikai adatokat a 2024-es kibertámadások számáról, korábbi kutatásaik szerint 2022-ben már 100–150 ezer magyar internetező adta meg személyes adatait csalóknak, és becslések szerint 20–50 ezer fő válhatott közvetlen adathalász-támadás áldozatává. Az idei trendek alapján feltételezhető, hogy ez a szám tovább emelkedett.

A Sophos 2025-ös Active Adversary jelentésében megerősíti, hogy a kompromittált hitelesítő adatok immár második éve az első számú támadási vektorok közé tartoznak világszerte. A kiberbiztonsági szakértők szerint elengedhetetlen, hogy a szervezetek és vállalatok felülvizsgálják hitelesítési módszereiket, és áttérjenek a robusztusabb, például WebAuthn-alapú vagy passkey-alapú megoldásokra, amelyek hatékonyabb védelmet nyújtanak az adathalász támadásokkal szemben.

WebAuthn és hozzáférési kulcsok

A WebAuthn protokoll, amely a hozzáférési kulcsokat vagy passkey-eket használ, már széles körben elismert kiberbiztonsági megoldás. Ezzel a módszerrel, amikor a felhasználó fiókot hoz létre, egy egyedi nyilvános/magán kriptográfiai kulcspár generálódik. A nyilvános kulcsot a webhely szerverén tárolják, míg a magánkulcsot a felhasználó eszközén, a webhely nevével és a felhasználói azonosítóval együtt.

A bejelentkezéshez többé nincs szükség jelszóra vagy SMS-ben, illetve hitelesítési alkalmazáson keresztül megosztott titkos kódra. Ehelyett a szerver digitális hitelesítési kérelmet küld, amelyet csak akkor lehet teljesíteni, ha a felhasználó fizikailag birtokában van az eszköznek, és igazolni tudja, hogy ő a magánkulcs tulajdonosa – például biometrikus azonosítással. A hitelesítés tehát továbbra is két tényezőn alapul, ám nem a felhasználó tudására, hanem az eszköz fizikai birtoklására és a felhasználó saját biometrikus jellemzőire építve. Ezáltal elvileg nem lehet őket ellopni hagyományos adathalász módszerekkel.