Óvatosan ezekkel az SMS-ekkel, e-mailekkel: új a csalók módszere, így nullázák le a bankkártyádat

A Magyar Nemzeti Bank (MNB) nyáron publikált, 2024. I. negyedévére vonatkozó adatai szerint 2023. utolsó negyedévéhez képest 28,5 százalékkal emelkedett a Magyarországon kibocsátott fizetési kártyákkal elkövetett visszaélések száma. A szóban forgó csalások összértéke ennél kisebb, ám szintén jelentős mértékben, 15,8 százalékkal volt magasabb, mint a megelőző negyedévben. Az ezekkel az esetekkel kapcsolódóan leírt kár 20,2 százalékkal nőtt – az összesen 1,8 milliárd forintnyi kár 70,3 százalékát, azaz nagyjából 1,3 milliárd forintot kellett az ügyfeleknek viselniük.

A nem kártyás forgalomban történt sikeres visszaélések összértéke a háztartási szektoron belül 5,4 százalékkal nőtt, melyek így 5,4 milliárd forintot tettek ki. Sokkal rosszabb a helyzet azonban, ha nem csak a háztartási szektort vesszük figyelembe – ebben az esetben a nem kártyás forgalomban történt visszaélések darabszáma már 23,1 százalékkal emelkedett, jóllehet ezek összértékét nagymértékben torzítja egy nagy értékű vállalati visszaélési eset, mellyel együtt a sikeres visszaélések összértéke már 13,3 milliárd, míg az ezekhez kapcsolódó leírt kár 11,6 milliárd forint volt.

A jegybank tájékoztatása szerint a fizetési kártyás és a nem kártyás forgalomban is az adathalászat és a pszichológiai manipuláció jelentették a leggyakoribb visszaélési módszereket, de az ügyféljelszavak megszerzésével, valamint a távoli hozzáférést lehetővé tevő programok telepítésével az ügyfelek mobil- vagy netbankjához közvetlen hozzáféréssel elkövetett csalások is jelentős részt képviseltek a vizsgált időszakban.

Egyáltalán nem elhanyagolható problémáról van tehát szó, hiszen láthattuk, hogy a csalók csupán egyetlen negyedév leforgása alatt is sok milliárd forintot gomboltak le az áldozatokról. A kérdés súlyosságát jelzi, hogy az folyamán sorra jelentették be a hazai bankok, hogy napi átutalási limiteket állítanak be az internet- és mobilbankból indított átutalásokra. Csakhogy önmagában a bankok által alkalmazott visszaélés megelőző eszközök fejlesztése nem elég – a visszaélések megelőzéséhez az ügyféloldali elővigyázatosság is rendkívül fontos. Érdemes tehát képben lennünk azzal, hogy egyáltalán milyen módszereket alkalmaznak a csalók, mire érdemes ügyfélként odafigyelni?

Csalási módszerek – nem könnyű kiigazodni

Fent már említettük, hogy az adathalászat és a pszichológiai manipuláció jelentik a leggyakoribb csalástípusokat, ám ezeket természetesen további alkategóriákra bonthatjuk, illetve egyéb szempontok szerint is csoportosíthatjuk a visszaélési módszereket. Az egyik ilyen csoportosítási szempont lehet, hogy a csalók milyen eszközön, csatornán keresztül igyekeznek megtéveszteni az áldozatokat, illetve hozzáférni azok adataihoz, majd végső soron a pénzükhöz.

A csalók egyébként minden, a hétköznapok során használt csatornán keresztül támadhatnak – épp úgy próbálkozhatnak telefonon (illetve SMS-ben), mint számítógépen (ezen belül kifejezetten gyakoriak az e-mailes csalások). A különféle csalási módszernek ráadásul sokszor a laikus fülnek teljesen ismeretlenül hangzó, idegen neveik vannak – ilyen csalási módszer többek között például a vishing, a wangiri, a spoofing, a smishing és a phishing is, csak hogy néhányat említsünk. Annak érdekében, hogy könnyebben kiigazodjunk ezek között, megkerestük Bor Olivért, a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) kiberbiztonsági és kommunikációs szakértőjét.

Mit mond a szakértő – telefonos csalások

Bár a leggyakoribb csalástípusokról már volt szó, Bor Olivért első körben mégis arról kérdeztük, hogy melyek jelenleg a csalók legkedveltebb módszerei, illetve arról, hogy történt-e ezen a téren valamiféle elmozdulás az utóbbi években.

Csalástípust tekintve az adathalász támadásokat szükséges kiemelni, mely a mai napig a kibertámadások és csalások legnagyobb százalékát jelenti. Az évek előrehaladtával az alapmódszer változatlan maradt: pszichológiai manipulációt alkalmaznak a bűnözők és egy azonnali döntéshelyzetbe akarják a leendő áldozatot belekényszeríteni. Mindezt valamire hivatkozva és sürgető hangnemben teszik (pl. számla befizetésének az elmaradása vagy éppen gyanús tranzakció észlelése a számlán stb.). Bár az alapmódszer változatlan, az igénybevett eszközök listája szélesedett: manapság már nem csak e-mailben érhet minket ilyen átverés, hanem bizony résen kell lenni a közösségi média oldalakon, a társkereső oldalakon is, de nagyon gyakoriak már a hanghívással érkező csalások, vagy az SMS-ben megvalósuló átverések is. Az egyik legújabb trükk például, hogy a csalók a közösségi médiában megjelenő hirdetésekkel vagy SMS-ekben próbálják megszerezni a felhasználók banki hitelesítő adatit. A hitelesség látszatát a hivatkozott bank logójának, arculati elemeinek használatával érik el és például korlátozott idejű ajánlatokkal (pénzjutalommal, akciókkal) népszerűsítik a banki alkalmazás (valójában kártékony) frissítésének telepítését. Elhitetik a felhasználókkal, hogy a banki alkalmazásuk elavult, és biztonsági okokból a legújabb verziót kell telepíteniük: a csalók egy URL-t adnak meg, mely az adathalász applikáció letöltési helyére navigálja el az óvatlan felhasználót

- mondta el a kiberbiztonsági szakértő, aki a fenti példán kívül további, gyakran használt módszereket is elárult:

[...] A másik leggyakoribb módszer, amikor a csaló az adathalász hívás során megpróbálja elhitetni a felhasználóval, hogy ő ténylegesen egy pénzügyi intézmény alkalmazottja, és egy tranzakció során fellépett hiba vagy csalásgyanú miatt telefonál, azt ígérve, hogy ő most azonnal meg tudja gátolni az esetleges átverést. Ehhez viszont azonnali cselekvésre van szükség, többek között gyakorlatilag minden szenzitív banki adat megadására (számlaszám, kártyaszám, CVC / CVV kód, pin kód stb.). A harmadik eset vagy módszer, amit kiemelnék, az az ún. spoofing csalás. Ennek az a lényege, hogy az elkövetők módosítják a hívószámot (gyakorlatilag bármire), amely a hívott fél telefonjának kijelzőjén megjelenik, ezzel elrejtve a valódi hívó fél azonosságát. Vagyis híváskor nem a hívást kezdeményező igazi telefonszáma jelenik meg a potenciális áldozatok készülékén, hanem egy másik, jellemzően olyan, ami ismerős: például egy banké, ezáltal még inkább hitelesnek beállítva a hívást.

Látható tehát, hogy egy-egy bejövő hívás során nagyon nem árt észnél lennünk, ugyanis a csalók rendkívül felkészülten próbálkoznak az áldozatok megtévesztésével. Arra a kérdésünkre, hogyan ellenőrizhető, hogy a hívó fél valóban az, akinek kiadja magát, Bor Olivér az alábbi választ adta:

Elsősorban kezeljük óvatosan és fenntartással a kéretlen telefonhívásokat! Minél sürgetőbb a hívás, annál gyanúsabb, és ilyen gyanús telefonhívás esetén ne adjunk meg személyes adatokat, sőt szakítsuk meg a beszélgetést! Ha hitelesnek gondolunk egy telefonhívást, akkor is kérjünk keresztazonosítást, melynek során a feltett kérdésekre (például anyja születési neve) a válaszok egyik felét az intézmény ügyintézője adja meg, a válaszok másik felét pedig mi. Ha a kijelzett telefonszámról az látszik, hogy a bank ügyfélszolgálati telefonszáma, az sem garancia arra, hogy tényleg onnan keresik a felhasználókat. Annak ellenőrzésére, hogy az illető valóban az, akinek mondja magát, keressük meg a szervezet telefonszámát mi magunk (a szervezet weboldalán), és lépjünk vele kapcsolatba mi közvetlenül, de ez esetben fontos, hogy soha sem a hívó által megadott telefonszámot hívjuk vissza. A csalási szándékú hívásokat – ha az a pénzintézetünk nevében érkezett – azonnal jelentsük a saját bankunknak.

A csalók természetesen nem csak hanghívással, hanem SMS-üzenetekkel is próbálkoznak, ráadásul tévedés lenne azt gondolnunk, hogy kizárólag bankoknak adhatják ki magukat:

A csaló üzenetek során minden esetben rá akarnak minket venni valamire. Azt akarják a kiberbűnözők, hogy azonnal, érzelmektől hevítve kattintsunk valamire (egy linkre például), vagy töltsünk le egy applikációt. Ez a sürgető hangnem és a cselekvésre ösztönzés lehet a két leggyakoribb jel, ami abszolút legyen gyanús, ha SMS-t kap egy felhasználó. Fontos, hogy ne hagyjuk magunkat befolyásolni, minden esetben gondoljuk végig a dolgot és szükség esetén végezzük el a megfelelő ellenőrzést. Gyakori módszer, hogy a csalók valamilyen ismertebb márka vagy szervezet nevével élnek vissza, és azon cég nevében küldenek SMS-eket. Gyakori eset pl. a Netflix, az ELMŰ, a NAV, az ORFK vagy éppen a bankok, esetleg a csomagküldő szolgáltatók nevében elkövetett csalási kísérlet. De a közelmúltban két jelentős sportesemény is lezajlott, melyek szintén vonzották a kiberbűnözőket. Ehhez kapcsolódóan Hatóságunk nyár elején elindította „a tét Te vagy!” elnevezésű figyelemfelhívó és tájékoztató kampányát, ami a labdarúgó EB és az olimpiai játékok ideje alatt a sporteseményekhez köthető online csalásokra fókuszált. Mindenképpen javaslom, hogy látogassanak el a kampány weboldalára vagy Facebook-oldalára, ahol rengeteg hasznos információt találhatnak az olvasók.

Számítógépes csalások

Természetesen a csalók nem csak telefonon, hanem számítógépen keresztül is megkörnyékezhetik az áldozatokat, ráadásul ebben az esetben is igen széles a csalástípusok palettája. Bor Olivért mi most elsősorban az úgynevezett ransomware (zsarolóvírus) és phising (adathalászat) módszerekről kérdeztük:

A zsarolóvírus és az adathalász támadások teszik ki a kibertámadások nagy részét, továbbá a legtöbb támadás első lépése valamilyen adathalász módszer. Ha konkrét példát kéne említeni, akkor a közelmúltban megrendezett párizsi olimpia során végrehajtott zsarolóvírus támadást hoznám fel. A franciaországi Grand Palais Réunion des musées nationaux-t (Rmn) 2024. augusztus 3-án szombat este kibertámadás érte. A Grand Palais Rmn számos múzeum és kulturális helyszín fenntartásáért felelős Franciaországban. Maga az intézet az olimpia ideje alatt a vívás és a teakwando versenyek helyszíne is volt. A zsarolóvírus támadás miatt a Grand Palais Rmn egy időre leállította informatikai rendszereit, abból a célból, hogy megakadályozza a támadás terjedését. Ennek a leállításnak köszönhetően viszont több franciaországi múzeumban leállt a beléptetés vagy az online fizetési szolgáltatás. A támadók váltságdíjként kriptovalutában történő fizetést követeltek, különben kiszivárogtatják a támadás során ellopott adatokat (bár a bűncselekményért egyetlen kiberbűnözői kollektíva sem vállalta a felelősséget). Ami az egészet még érdekessé teszi, az az, hogy a támadás – minden valószínűség szerint – a Grand Palais Rmn egyik munkatársának fiókjának feltörésével indult, akinek hitelesítő adatait egy adathalász e-mail során bejuttatott információlopó malware-rel szerezhették meg

- árulta el a kiberbiztonsági szakember.

Látható tehát, hogy a különböző támadási módszereket akár egymással ötvözve is bevethetik a csalók, sőt, az egyik módszer (a konkrét példában az adathalászat) valójában egy másik (a zsarolóvírus elhelyezésének) „előszobájaként” szolgálhat. Ráadásul azzal is érdemes tisztában lennünk, hogy adathalászatból is többféle van – ezek az úgynevezett phising és spear phising támadások:

Mind a kettő adathalász támadást „jelent”, csak az egyik nem célzott, a másik – a spear phishing – pedig célzott támadás. Utóbbit itthon lándzsás adathalászatnak is szokták hívni, mely során a támadók személyre szabott üzenetekkel próbálják tőrbe csalni a potenciális áldozatot. A csalók folyamatosan finomítják módszereiket, és egyre több személyes információhoz férnek hozzá a közösségi média és egyéb online platformok révén, így egyre könnyebb ilyen célzott csalásokat végrehajtani. A legtöbb adathalász támadás általános üzenet formájában történik, amelyet automatikusan küldenek akár több ezer vagy több tízezer címzettnek, a lándzsás adathalászat pedig egy konkrét „hal” kifogásának kísérletét jelenti. Ezek az e-mailek már konkrét információkat tartalmaznak a címzettre vonatkozóan, és így próbálják rávenni a támadó által kért cselekvésre. A támadók többféleképpen is hozzájuthatnak a személyes információkhoz, például feltörhetik az áldozat e-mail fiókját, vagy ennél sokkal egyszerűbb módszert alkalmazva: megnézik milyen nyilvánosan elérhető információk találhatók az áldozatról a közösségi média felületeken (többek között név, lakhely, születési hely vagy idő, munkahely, érdeklődési kör stb.).

Így védekezhetünk

A fentieket olvasva természetesen azonnal adódik a kérdés, hogy mégis hogyan védekezhetünk az ilyen, kifejezetten kifinomult csalási kísérletekkel szemben?

A védekezés első lépcsője a gyanakvás, és az, hogy kezeljünk fenntartással minden, valamilyen cselekvésre ösztönző SMS-t, e-mailt, chat üzenetet vagy akár hanghívást is! Ezen kívül erősen javasolt valamilyen védelmi szoftvert használni (köznyelven vírusirtót), melyeket tartsunk naprakészen! Ezek a modernebb ún. végpontvédelmi eszközök már nem csak a kártevőt, vírust azonosítják a készülékeken (mobiltelefon is), és jeleznek, hogy valami hiba van, illetve valamit törölni kéne, hanem jobb esetben már nem is engedik a kártevő feltelepülését az adott eszközre. Például ha kapok egy adathalász üzenetet SMS-ben, amiben van egy csaló link, vagy akár e-mailben egy fertőzött fájl, akkor ezek a védelmi megoldások az üzenetek megnyitása előtt már képesek jelezni a felhasználó számára a potenciális veszélyt. Harmadik elemként mindenképpen javasolom, hogy a felhasználók nézzék át közösségi média adatlapjaikat: a támadók számára a Facebook, Instagram, LinkedIn, TikTok, Twitter profilok igazi aranybányaként szolgálhatnak. Szelektáljanak és töröljenek olyan adatokat, amelyek megkönnyíthetik a csalók dolgát (pl. pontos születési dátum, telefonszám, személyes e-mail cím, lakcím, banki adatok, gyerekek személyes adatai, fényképek, érzékeny munkahelyi információk stb.). A közösségi oldalaknál maradva érdemes módosítani az adatvédelmi beállításokat is: állítsák privátra az egyes fiókokat és kapcsolják be a kétfaktoros azonosítást. Ez utóbbi azt jelenti, hogy az adott felületre való belépéskor a jelszó mellett más valamivel is (pl. arcfelismeréssel, másik kóddal stb.) azonosítanunk kell magunkat. Fontos még a jó jelszó használata is, ami akkor kellően erős, ha legalább 12 karakteres és a betűk mellett tartalmaz számokat és speciális karaktereket is. Itt még lényeges kiemelni, hogy egy jelszót csak egy helyen használjunk fel: soha nem ajánlott ugyanazokat a jelszavakat több fióknál vagy más alkalmazásoknál használni!

- mondta el a szakértő.

Így lopják el tőlünk a legtöbb pénzt

Cikkünk elején már volt róla szó, hogy a csalók bizony már negyedéves szinten is sok milliárd forinttal képesek megrövidíteni az áldozatokat. Mindezt a kiberbiztonsági szakértő is megerősítette, aki azt is elárulta, mely módszerekkel tudják a legnagyobb károkat okozni:

A pénzforgalmi visszaélések értéke hazánkban tavaly 23 milliárd forint volt, míg idén az év első negyedévében az online csalások összege elérte a 9 milliárd forintot, tehát bő egy év alatt több mint 30 milliárd forint kárt okoztak a csalók a magyar háztartásoknak. És ez csak az a szám, amiről tudunk, mert sajnos ha kiberbűnözésről, kibertámadásokról beszélünk, akkor nagy a látencia, hiszen sokan nem beszélnek arról, ha átverték őket. A legjellemzőbb elkövetési módszereket, amikor valaki – látszólag a bankjától – kap egy sürgető hangvételű telefonhívást, hogy „támadás alatt” van a bankszámlája, és felszólítja, hogy azonnal lépjen be a netbankjába, vagy adjon meg minden érzékeny adatot, amivel meg lehet akadályozni a csalást. Emellett kiemelném az e-mailben vagy SMS-ben kapott linkekhez kapcsolódó csalásokat, melyek során a link egy hamis, de a valódira emlékeztető, hasonlító webáruház, csomagküldő szolgálat vagy streaming szolgálató oldalára vezet. Ebben az esetben a csaló honlapon további érzékeny adatok megadását kéri a felhasználóktól (belépési azonosítók, számla adatok stb.).

- mondta el a szakértő, aki így folytatta:

A harmadik leggyakoribb módozat az, amikor az állampolgárok látszólag a rendőrségtől vagy a NAV-tól kapnak egy SMS-t, hogy büntetést kell fizetniük, és a csalók ezáltal szerzik meg az ügyfelek adatait. Ezen a ponton fontos megemlíteni a KiberPajzs együttműködést, melyet a Magyar Nemzeti Bank és a Magyar Bankszövetség hívott életre, és – többek között – a Szabályozott Tevékenységek Felügyeleti Hatósága is tagja. A KiberPajzs projekt egyik legfontosabb célja a tájékoztatás, az edukáció, az ügyfelek és felhasználók figyelmének felhívása az online tér pénzügyi biztonságot veszélyeztető kockázataira. Az edukációs-kommunikációs kampány az online felhasználói tudatosságra, a digitális biztonsági alapismeretek fontosságára hívja fel a figyelmet, melyeknek birtokában az ügyfelek az online térben is biztonságban tudhatják értékeiket, megtakarításaikat.

Így lehetne védekezni a csalók ellen

Végezetül Bor Olivért arról kérdeztük, szakértőként milyen oktatási és tudatosságnövelő intézkedéseket javasolna a vállalatoknak és az egyéneknek a pénzforgalmi visszaélések elleni védelem érdekében?

A vállalatok esetében mindenképp indokolt – sőt, egy Európai Uniós irányelvnek köszönhetően jelentős számú hazai vállalatnak már kötelező is – kiberbiztonsági tudatosító képzéseket és tréningeket tartani. Az említett EU-s irányelv, az ún. NIS 2 irányelv, melynek hazai implementációs folyamatának leglényegesebb jogszabálya a Hatóságunk kezdeményezésére tavaly májusban hatályba lépett 2023. évi XXIII. törvény a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről (szakmai körökben használt közkeletű elnevezésével a Kibertantv.). Ez a két jogforrás is aláhúzza annak fontosságát, hogy az érintett ágazatokban dolgozó szervezeteknek kiemelten foglalkozniuk kell a kiberbiztonsági tudatosítással és az oktatással. Ezen minden munkavállalónak át kell esnie és a cégeknek folyamatos képzést kell biztosítaniuk a területen, nem csak egyszeri alkalommal, a vezetőket is beleértve, hiszen a kiberbiztonsági kockázatok többségének szempontjából az ember a leggyengébb láncszem. A baj általában az emberek cselekvésein keresztül – mondjuk egy káros e-mailen, egy feleslegesen lekattintott linken, egy adathalász próbálkozáson – történik meg. Hatóságunk kiberbiztonsági feladatai között az egyik legfontosabb a tudatosítás, így mi is mindent megteszünk annak érdekében, hogy a felhasználók és a cégek számára kulcsfontosságú információk rendelkezésre álljanak, így az állampolgárok felkészültebbek lehetnek egy-egy online csalási kísérlettel szemben. A kiberbiztonsági tudatosítás sikere össztársadalmi érdek, és ennek előmozdítása és erősítése hozzá tud járulni ahhoz, hogy a társadalom és a gazdaság zavartalanul tudjon működni.

- mondta a szakértő, majd így folytatta:

Ezek érdekében végzi az SZTFH kiberbiztonsági szemléletformáló tevékenységét, aminek fókuszában a hitelesség, a közérthetőség és a széles körben történő tudatosító tevékenység áll. Kiemelten annak a célnak a mentén, hogy az állampolgárok figyelmét felhívjuk a biztonságtudatos internetezésre, illetve az online tér jelentette veszélyekre. A Hatóság időszakos online kampányai is a fenti célt szolgálják. A figyelemfelhívó projektekhez sok esetben más hazai szervezetet is sikerült már megnyernünk, így lehetővé téve, hogy még szélesebb körhöz jussanak el a megfogalmazott üzenetek. Ennek az egyik eszköze a „Minden kiberül” elnevezésű podcast, amely minden népszerű podcastlejátszón elérhető, tehát a Spotify-on, Google Podcasten, Apple Podcasten. Közérthetően szól mindenkihez, akit érdekel a kiberbiztonság, de leginkább azokhoz, akiket nem.