Ugrás a fő tartalomhoz
  • HUN
  • ENG
drPreventor
  • Kezdőlap
  • Bemutatkozás
  • Blog
  • Szolgáltatások
  • Árak
  • Referenciák
  • Médiamegjelenések
  • Kapcsolat

Az online és telefonos csalások végtelen tárháza

2024. febr. 15. 1:01 , Nincsenek hozzászólások
2023-as adatok még nem érhetőek el a Legfőbb Ügyészség oldalán, de a rendelkezésre álló statisztikai adatokból jól látszik, hogy 2021-hez képest 2022-ben a csalások száma szignifikánsan, hozzávetőlegesen 30%-al növekedett, 12.755-ről 16.745-re. Mindez csak a regisztrált bűncselekmények száma, a látenciáról nincs információnk.

pexels-sora-shimazaki-5935787.jpg

Magyarországon a bankkártyás csalások száma 2021 óta közel 50%-kal, az átutalási csalások elkövetési értéke 200%-kal nőtt. 2016 második felétől 2019-ig évente 1 milliárd alatti volt a csalások éves értéke, 2020 második felére ez a szám 1,7 milliárdra nőtt, 2023-RA PEDIG TÚLLÉPTE A 8 MILLIÁRD FORINTOT IS.

A bűnözés dinamikája és struktúrája megváltozott, alig találkozhatunk rablással, gépkocsi lopással, -feltöréssel, ugyanis aki csak tehette, a csalások felé vette az irányt. A miértre a válasz egyszerű:

  • nem kell találkozni a sértettel;
  • a fizikai térben nem kell mozogni, így kisebb a rendőrrel való találkozása esélye;
  • a technikai lehetőségek miatt kisebb a lebukás, illetve a felelősségre vonás esélye.

Jelen blogbejegyzésben arra vállalkoztam, hogy összeszedjem az elmúlt időszakban ismertté vált csalástípusokat. Ezek ismeretében nagyobb az esély az áldozattá válás elkerülésére!

Kezdjünk is bele!

Social engineering:  A hackerek tisztában vannak azzal, hogy minden védelmi rendszer leggyengébb pontja az ember.  Social engineering, azaz pszichológia manipuláció alatt azt értjük, amikor egy jogosultsággal rendelkező személy egy jogosulatlan felhasználó számára adatokat ad át, vagy lehetőséget nyújt a rendszerbe való belépésre, a másik személy megtévesztő viselkedése miatt. A pszichológiai befolyásolás az a fajta támadás, amikor a kiberbűnöző nem a technológia sebezhetőségeit használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere. Két legfontosabb eszköze a spam és a phising.

Phising:  Az adathalászat olyan, többnyire banki ügyfeleket célzó, csaló szándékú e-mail, amely személyes, pénzügyi vagy biztonsági információi megosztására veszi rá a címzettjét. Ezek a levelek azonosnak tűnhetnek azokkal az üzenetekkel, amelyeket az igazi bankok, szolgáltatók küldenek: lemásolják a valódi e-mailek logóit, kinézetét és stílusát, esetenként korábbi (hamis vagy valós) levélváltások részleteit is tartalmazzák. Általában sürgető hangvételűek, például büntetéssel fenyegetnek arra az esetre, ha nem válaszol, de arra is kérhetik, hogy töltsön le egy mellékletet, vagy kattintson egy hivatkozásra. Az itt szereplő linkek, hivatkozások gyakran egy meghamisított banki weboldalra vezetnek, ahol a célszemélyt a pénzügyi és személyes adatai megadására kérik. Ezek a webhelyek szinte teljesen ugyanolyanok, mint a mintának használt valódi oldal. 

Angler phising: A kiberbűnözők tisztában vannak azzal, hogy a különböző szolgáltatók egyre gyakrabban használják a közösségi médiát az ügyfeleikkel való kapcsolattartásra: nemcsak marketingre és promóciós célra, hanem akár panaszkezelés vagy problémamegoldás céljából is. Az elkövetők figyelik a szolgáltatók közösségi csatornáira érkező ügyfélpanaszokat, majd a szolgáltató képviselőjének kiadva magukat – annak közösségimédia-profilját lemásolva, vagy ahhoz nagyon hasonló, de hamis fiókról – felveszik a kapcsolatot a panasz bejelentőjével. Látszólag a panasz kezelése, a bejelentett probléma érdekében érzékeny információkat – személyes, banki, valamint különböző fiókbejelentkezési adatokat, jelszavakat – kérnek el az ügyféltől, amikkel aztán hozzáférhetnek annak bankszámláihoz és különböző online fiókjaihoz.

Smishing:  A smishing (az angol „SMS” és „phishing”, vagyis SMS és adathalászat szavak kombinációja) olyan csalás, amelynél a támadók SMS segítségével próbálnak megszerezni személyes, pénzügyi vagy biztonsági információkat. Megbízható forrásnak álcázzák magukat, úgy tesznek, mintha egy bank, kártyakibocsátó, futárszolgálat, közműszolgáltató vagy valamilyen egyéb szolgáltató képviseletében jelentkeznének. Az üzenet arra kéri a címzettet – általában sürgető módon –, hogy nyisson meg egy weboldalra vezető hivatkozást, telepítsen egy alkalmazást, vagy hívjon fel egy telefonszámot például a fiókja ellenőrzése, frissítése vagy újraaktiválása érdekében.

Vishing:  A vishing (az angol „voice” és „phishing”, vagyis hang és adathalászat szavak kombinációja) olyan telefonos csalás, amelynél a támadó megpróbálja személyes, pénzügyi vagy biztonsági információi megosztására, vagy pénz átutalására rávenni az áldozatokat, akik általában banki ügyfelek. Tipikus formája a vishingnek, amikor a csaló az adathalász hívás során megpróbálja elhitetni a felhasználóval, hogy ténylegesen egy banki alkalmazottal beszél, és egy pénzügyi tranzakció során fellépett hiba vagy csalásgyanú miatt telefonál.

Spoofing: Maradjunk két pillant erejéig a telefonálásoknál.  A spoofing, azaz hívószám-hamisítás a vishing tevékenységek egyik speciális elkövetési technikája. Lényege, hogy az elkövetők módosítják a hívószámot, ami a hívott fél telefonjának kijelzőjén megjelenik, ezzel elrejtve a valódi hívó fél azonosságát. Vagyis híváskor nem a hívást kezdeményező igazi telefonszáma jelenik meg a potenciális áldozatok készülékén, hanem egy másik, jellemzően olyan, ami ismerős: például egy banké, ezáltal még inkább hitelesnek beállítva a hívást. Az ilyen hívások célja elsősorban a bizalom kiépítése, majd a személyes, bankszámla- vagy bankkártya-hitelesítő adatatok kérése, a csalók számára távoli hozzáférést biztosító alkalmazást telepítésének "kikényszerítése", esetleg annak elérése, hogy utalja el a pénzét egy „védett” számlára (valójában a csalóknak) vagy hagyja jóvá az általuk megadott tranzakciót.

Wangiri: Ritkább, de szintén telefonos csalástípus a wangiri. Lényege, hogy a csalók tömegesen generált számítógépes hívások részeként ismeretlen, általában külföldi – jellemzően 2-essel kezdődő országhívóval rendelkező afrikai, vagy 5-össel kezdődő országhívóval rendelkező közép-amerikai – számról hívják fel áldozataikat, ám a hívást egy-két csöngés után bontják a visszahívás reményében. A visszahívás azonban a belföldinél magasabb tarifán zajlik, és a csalás akkor is eredményes, ha a hívás látszólag sikertelen: például folyamatosan kicsöng, vagy épp nem csöng ki, hanem vonalszakadást vagy folyamatosan foglaltat jelez.

Nigériai csalás: A „nigériai típusú” csalás a megtévesztés egyik legrégebbi, 19. század végén elterjedt formája, amit nigériai levelekként vagy 419-es átverésként is említenek. Kezdetben hagyományos, postai úton vagy faxon terjedt, de a telekommunikációs eszközök fejlődésével, valamint az internet és az e-mail terjedésével ennek a csalástípusnak is az online tér vált a fő platformjává. Jellemzően e-mailben – pénz utalására veszik rá az áldozatukat, vagyis ezekben az esetekben az ügyfelek maguk utalnak! A hamis levelekben, megkeresésekben általában segítséget kérnek az elkövetők: menekültek vagyonának vagy jogtalanul elvett örökség visszaszerzéséhez, valamilyen okból átmenetileg hozzá nem férhető összeg megszerzéséhez stb. Közösségimédia-oldalakon, online társkereső portálokon terjed a nigériai csalás azon változata, melynél az elkövető romantikus kapcsolatot épít fel leendő áldozatával, mielőtt valamilyen megható történettel pénzt kér tőle. A megtévesztő történetet valódinak látszó, de hamis közösségimédia-profillal és eredetinek tűnő, de szintén fiktív iratokkal igyekeznek alátámasztani. Hogy a történet hihetőbb legyen, előfordulhat, hogy a csalók nemzetközi átutalást kezdeményeznek, amit aztán visszavonnak, így mutatva, hogy az összeg valójában rendelkezésre áll, csak a levélben jelzett adminisztratív nehézség áll a kifizetés útjában.

Online piacterek eladóinak átverése: Az egymás közötti adásvételt egyszerűen és ingyenesen lehetővé tévő internetes felületek, azaz online piacterek egyre több csalót vonzanak. Pár éve még a vevők megkárosítása volt a jellemző, manapság azonban már az eladók is a visszaélések céltáblájává válhatnak. Az óvatlan eladót úgy verik át, hogy a piactéren értékesített áruért járó ellenérték fogadásához vagy az áru kiszállításához valamilyen szokatlan, további teendőt várnak el. 

Az eladó megkárosításának egyik leggyakoribb módjánál a vevő azzal hívja fel őt, hogy kifizette a meghirdetett terméket, ám arra kéri az eladót, hogy valamilyen távoli hozzáférést biztosító programot (például AnyDesk, TeamViewer) telepítsen a gépére vagy telefonjára annak érdekében, hogy „biztosítva legyen az átutalás fogadása”. Sajnos sok esetben a tájékozatlan eladó eleget tesz a kérésnek, majd végignézi, ahogyan belépnek az internetbanki fiókjába. A károsult gyakran még az úgynevezett erős vagy más néven több faktoros hitelesítésben is segédkezik (például megadja a csalóknak az SMS-ben kapott kódot), ami azt eredményezi, hogy a csalók kizárják őt a saját banki profiljából és kiürítik a bankszámláját. 

Az online piactereken alkalmazott csalások egy másik típusánál az eladó egy sms-t kap, amelyben arról tájékoztatják, hogy a termékét kifizették, de „fogadnia kell az összeget” az üzenetben küldött link segítségével, vagy a termék kiszállításához ajánl a „vevő” egy csomagküldő szolgálatot, ismert, jogszerűen működő cégek nevével visszaélve (pl.: Foxpost, DHL, DPD, MPL), és rájuk hivatkozva küldenek adathalász linket tartalmazó üzenetet vagy e-mailt. Amikor az eladó gyanútlanul rákattint, akkor egy, a csalók által készített hamis weboldalon találja magát, ahol meg kell adnia bankkártyaadatait (amivel ezután a csalók vissza tudnak élni, például vásárolhatnak vele) vagy ki kell választania a számlavezető bankját, és arra kattintva megadni a saját banki belépési adatait.

Hamis azonosítási folyamat indítása: A bankok az online belépéshez és a tranzakciók jóváhagyásához kétlépcsős hitelesítést követelnek meg, az ügyfélnek a jelszón kívül egy másik módon is azonosítani kell magát. Ez az azonosítás történhet az ügyfél birtokában lévő kódgenerátorral, az ún. tokennel, amely a sorozatszámától és a használat időpontjától függően egy egyszer felhasználható, rövid ideig (1-2 perc) érvényes kódot szolgáltat, történhet az ügyfél mobilalkalmazása által a telefonján megjelenített push-üzenetben szereplő kóddal vagy az ügyfél által megadott telefonszámra érkező SMS-ben szereplő szám megadásával. Előfordulhat azonban olyan eset is, amikor a másodlagos hitelesítéshez elégséges csak a telefonon megjelenő felugró gombot megnyomni, vagy az ujjlenyomat-olvasóhoz hozzáilleszteni az ujjat. Ezek a jóváhagyási kérelmek megjelenhetnek az ügyfél telefonján akkor is, ha nem személyesen maga az ügyfél, hanem a bankszámlája felett rendelkező más személy kezdeményezte a belépést vagy a tranzakciót.

Munkahelyi átverések - hamis vezetői utasítás:  Ezzel a módszerrel általában kifizetési jogkörrel rendelkező alkalmazottat támadnak az elkövetők, akit hamis számla kifizetésére, vagy jóvá nem hagyott átutalás indítására próbálnak rávenni. Arra építenek, hogy az alkalmazottak igyekeznek gyorsan teljesíteni azokat a feladatokat, amelyek közvetlenül a felső vezetéstől érkeznek. A csalók általában részletes információkkal rendelkeznek a szervezetről, és az e-mail rendkívül meggyőzőnek látszik. Ez a fajta megkeresés kéretlen e-mail vagy telefonhívás formájában érkezik, látszatra a megfelelő felsővezetőtől. Rendszerint a téma bizalmas kezelését kéri, de sürgeti az ügyintézést, ugyanakkor szokatlan, a belső előírásoknak ellentmondó kéréseket tartalmazhat.

A csalók tehát megannyi módon próbálnak megtéveszteni bennünket, legyünk résen! A legáltalánosabb tanácsok a következők:

  • Ellenőrizzük rendszeresen online fiókjainkat!
  • Ellenőrizzük rendszeresen bankszámláinkat, és a gyanús tevékenységekről tegyünk bejelentést banknál, rendőrségen egyaránt!
  • Az interneten csak biztonságos webhelyeken fizessünk! Ellenőrizzük, hogy a webhely címének beírására szolgáló mezőben látható-e a lakat, illetve figyeljünk arra, hogy a webcím eleje https legyen, és csak biztonságos kapcsolatot használjunk! 
  • Bankunk soha nem kérdez olyan bizalmas információkat telefonon vagy e-mailben, mint az online fiók hitelesítő adatai (felhasználónév, jelszó). Ha ilyen jellegű felszólítást kapunk, gyanakodjunk, és mielőbb jelentsük a banknál!
  • Ne osszunk meg senkivel telefonon vagy e-mailben banki vagy személyes adatot, beleértve a bankkártya-adatokat is!
  • Ne készítsünk, küldjünk vagy tegyünk közzé közösségimédia-felületeken a bankkártyánkról készült fotót!
  • Ne telepítsünk semmilyen alkalmazást a számítógépre vagy mobiltelefonra más kérésére, még akkor sem, ha azt a bankunk nevében teszik.
  • Minél sürgetőbb egy hívás vagy üzenet, annál gyanúsabb.
  • Ha egy ajánlat túl jónak tűnik ahhoz, hogy igaz legyen, szinte minden esetben csalás.
  • Nézzünk utána, ellenőrizzük az adott oldalt, mielőtt vásárolunk!
  • Csak akkor fizessünk, ha biztonságos az internetkapcsolat! Kerüljük az ingyenes vagy nyilvános wifit!
  • Mindig ügyeljünk személyes adataink biztonságára, valamint azok biztonságos tárolására!
  • Szoftvereinket rendszeresen frissítsük, tartsuk őket napra kész állapotban!
  • Gondoljuk át alaposan, mennyi személyes információt osztunk meg a közösségimédia-oldalakon! A csalók az adataink és fényképeink felhasználásával hamis személyazonosságot hozhatnak létre, vagy megpróbálhatnak átverni bennünket.
  • Használjunk többlépcsős biztonsági hitelesítést!
  • Ha azt gyanítjuk, hogy megadtuk fiókunk adatait egy csalónak, azonnal vegyük fel a kapcsolatot a bankkal!
  • Ha megpróbáltak megkárosítani bennünket, minden esetben tegyünk bejelentést a banknél és a rendőrségen, még akkor is, ha a csalási kísérlet nem volt sikeres!

Források:

(1) https://www.portfolio.hu/uzlet/20231018/egyre-nagyobb-osszegeket-nyulnak-le-a-csalok-a-magyar-lakossag-fele-meg-sincs-felkeszulve-a-kibertamadasokra-646369

(2) https://www.eset.com/hu/it-biztonsagi-temak-cegeknek/social-engineering/

(3) https://www.mnb.hu/fogyasztovedelem/digitalis-biztonsag

Nincsenek hozzászólások

Válasz







Legutóbbi bejegyzések

  • Elhagyatva - dokumentumfilm a dizájner drogok hazai használatáról
    2024. szept. 24.
  • A BME gólyatáborral kapcsolatosan felröppent hírekre reagálva
    2024. aug. 23.
  • Az Agócs-ügy margójára
    2024. júl. 22.
  • Tegyük tisztába a fogalmakat: avagy a kábítószerek elleni fellépések formái
    2024. ápr. 3.
  • Az önbíráskodó anyáról készült videóval kapcsolatosan felmerülő társadalmi kérdések
    2024. márc. 12.
  • Az online és telefonos csalások végtelen tárháza
    2024. febr. 15.
  • A legfelkapottabb 'kábító' szer a brit fiatalok és focisták körében
    2024. febr. 8.
Az oldal a világ legkönnyebben használható weboldalkészítőjével, a Mozellóval készült.