„Innovatív” telekommunikációs átverés ütötte fel a fejét
K. O.
Valamennyien ismerjük már a korábbi évekre jellemző csalás-típusokat, az idő során az illetékes intézmények és a sajtó sorozatosan felhívta ezekre a figyelmet, így legtöbben sikerrel elkerülték azokat. Ott volt például az úgynevezett nigériai csalás, amellyel menekültek vagyonának vagy jogtalanul elvett örökségének visszaszerzéséhez szükséges, valamilyen okból átmenetileg hozzá nem férhető összeg megszerzéséhez kértek – természetesen anyagi – segítséget az elkövetők. Szakemberek szerint a „nigériai típusú” csalás a megtévesztés egyik legrégebbi, 19. század végén elterjedt formája, amit nigériai levelekként vagy 419-es átverésként is említenek. Kezdetben hagyományosan, postai úton vagy faxon terjedt, de a telekommunikációs eszközök fejlődésével, valamint az internet és az e-mail terjedésével ennek a csalástípusnak is az online tér vált a fő platformjává. A „nigériai csalások” során az elkövetők valamilyen megtévesztő kommunikációval – jellemzően e-mailben – pénz utalására veszik rá az áldozatukat, vagyis ezekben az esetekben az ügyfelek maguk utalnak. A hamis levelekben, megkeresésekben általában a fent említett ügyekben kérnek segítséget az elkövetők. A megoldás egyszerű: nem kell elhinni a sztorit, semmilyen hivatkozásra (link) nem szabad rákattintani, pénzt nem szabad senkinek átutalni.
A sürgetés már eleve gyanús
Nemrég még az úgynevezett adathalász banki mailekkel, internetes levelekkel taroltak a csalók. Az adathalászat olyan, banki ügyfeleket célzó, csaló szándékú e-mail, amely személyes, pénzügyi vagy biztonsági információi megosztására veszi rá a címzettjét. Ezek a levelek azonosnak tűnhetnek azokkal az üzenetekkel, amelyeket az igazi, mondjuk saját bankunk küld: lemásolják a valódi e-mailek logóit, kinézetét és stílusát, esetenként korábbi (hamis vagy valós) levélváltások részleteit is tartalmazzák – figyelmeztetnek több honlapon, például a police.hu weboldalon.
Általában sürgető hangvételűek, például büntetéssel fenyegetnek arra az esetre, ha az ügyfél nem válaszol, de arra is kérhetik, hogy töltsön le egy mellékletet, vagy kattintson egy hivatkozásra. Rendszerint az ázsiai vagy ázsiai hangsúllyal rendelkező kiberbűnözők arra építenek, hogy az emberek elfoglaltak: felületes áttekintésre, futó pillantásra a hamis e-mailek igazinak tűnnek. Ennek következtében a címzett nagyobb valószínűséggel veszi komolyan őket, és cselekszik a leírtak szerint. Ebben az esetben a klasszikus tanácsok érvényesek: ellenőrizzük a küldő email címét, esetleg hívjuk fel a bankunkat, és kérdezzük meg, vajon tényleg ők küldtek-e üzenetet nekünk. Ebben az esetben sem szabad az email üzenetben lévő hivatkozásra kattintani.
Bemutatjuk: vishing, smishing és phishing
Ott van még a spoofing „testvére”, a vishing. Tipikus formája a vishingnek (az angol „voice” és „phishing”, vagyis hang és adathalászat szavak kombinációja), amikor a csaló az adathalász hívás során megpróbálja elhitetni a felhasználóval, hogy ténylegesen egy banki alkalmazottal beszél, és egy pénzügyi tranzakció során fellépett hiba vagy csalásgyanú miatt telefonál. A másik a smishing (az angol „SMS” és „phishing”, vagyis SMS és adathalászat szavak kombinációja), amely során a csalók SMS üzenet segítségével próbálnak megszerezni személyes, pénzügyi vagy biztonsági információkat. Ezek mellett a sorban ott vannak a meghamisított banki oldalak, amelyekre az e-mailben kapott hivatkozások mutatnak: az online űrlap kitöltése révén a csalók megszerzik az adatokat, s kiürítik az ügyfelek folyószámláját.
Ugyanakkor a csalók sokszor valamilyen nagy ügyfélkörrel rendelkező szolgáltató – például közmű-, telekommunikációs, kábelszolgáltató, csomagküldő vagy futárszolgálat – nevében keresik fel áldozataikat. A csalók adategyeztetésre, fizetési késedelemre, hátralék befizetésével kapcsolatos felszólításra, csomagátvételi határidő-hosszabbításra vagy online piactéren termék megvételére állítólagosan átutalt összeg átvételére hivatkozva bankszámla- vagy bankkártya adatok megadására, illetve pénz átutalására szólítják fel a megcélzott ügyfeleket – tájékoztatnak pénzügyi és rendőrségi oldalakon.
Japán wangiri tömeges hívásokkal
Az egyik legkülönlegesebb eljárás a Japánból származó úgynevezett wangiri. Ez a módszer mobiltelefonoknak köszönhetően vált az egyik legelterjedtebb csalástípussá. A csalók tömegesen generált számítógépes hívások részeként ismeretlen, általában külföldi – jellemzően 2-essel kezdődő országhívóval rendelkező afrikai, vagy 5-össel kezdődő országhívóval rendelkező közép-amerikai – számról hívják fel áldozataikat, ám a hívást egy-két csöngés után bontják a visszahívás reményében. A visszahívás azonban a belföldinél magasabb tarifán zajlik, és a csalás akkor is eredményes, ha a hívás látszólag sikertelen: például folyamatosan kicsöng, vagy épp nem csöng ki, hanem vonalszakadást vagy folyamatosan foglaltat jelez.
Érdemes megemlíteni továbbá az úgynevezett evil twin phishing eljárást, amely során a támadók egy ismert, legitim vezeték nélküli (WiFi) hozzáférési ponttal azonos nevű hamis hozzáférési pontot hoznak létre. A támadók ezután ráveszik az áldozatokat, hogy csatlakozzanak rá az eszközükkel, majd megfigyelik, lehallgatják az óvatlanul a hálózatra csatlakozó felhasználók online forgalmát. Így érzékeny adatokhoz, például felhasználónevekhez és jelszavakhoz férhetnek hozzá. A felhasználók gyakran észre sem veszik, hogy támadás áldozatául estek.
Jelentkezik a szolgáltató, de mit akar?
Egy másik „érdekes” módszer az úgynevezett angler phishing: az elkövetők figyelik a szolgáltatók közösségi csatornáira érkező ügyfélpanaszokat, majd a szolgáltató képviselőjének kiadva magukat – annak közösségimédia-profilját lemásolva, vagy ahhoz nagyon hasonló, de hamis fiókról – felveszik a kapcsolatot a panasz bejelentőjével. Látszólag a panasz kezelése, a bejelentett probléma érdekében érzékeny információkat – személyes, banki, valamint különböző fiókbejelentkezési adatokat, jelszavakat – kérnek el az ügyféltől, amikkel aztán hozzáférhetnek annak bankszámláihoz és különböző online fiókjaihoz.
A legújabb módszer: a spoofing
A Román Rendőrség által a napokban küldött sajtóközlemény szerint Romániában is megjelent a nyugat-európai országokban már elterjedt új adathalász eljárás, az úgynevezett spoofing. A mobiltelefonszám-klónozással foglalkozó csalók jól értenek a számítástechnikai és távközlési eszközök kezeléséhez, a technológiai újítások révén saját mobilszámunkat felhasználva kamuhívásokat indítanak, s adatokat próbálnak szerezni.
Az úgynevezett spoofing, állítják a szakemberek, az adathalász tevékenységek egyik speciális elkövetési technikája, amely által az elkövetők módosítják a potenciális áldozat telefonjának képernyőjén megjelenő hívószámot, elrejtve ezzel a valódi hívó fél azonosságát. Pontosabban: híváskor nem a hívást kezdeményező személy valódi telefonszáma jelenik meg a lehetséges áldozatok készülékén, hanem egy másik, jellemzően olyan, ami ismerős: például egy bankhivatalé, ezáltal még inkább hitelesnek beállítva a hívást. Innen már csak egy lépés a személyes, bankszámla- vagy bankkártya-hitelesítő adataink megadása…
Bemutatkozik az „ismert” bank képviselője
A hívó egy közismert szolgáltató munkatársaként mutatkozik be, s a csaló lehet, hogy éppen szerencsével jár, ugyanis történetesen mondjuk éppen a hívott személy bankjának a nevét használja fel. Ettől a hívás még hitelesebbé válik a potenciális áldozat számára. A csaló azt állítja, egy átutalás, kifizetés vagy a folyószámlára beérkező összeg kapcsán rendellenesség jelentkezett, esetleg felmerül a csalás gyanúja. A banki alkalmazottnak tűnő csaló felkérésére az áldozat könnyedén megadja a személyes, bankszámla- vagy bankkártya-hitelesítő adatait, a csalók számára távoli hozzáférést biztosító alkalmazást telepít, esetleg ráveszik arra, hogy utalja el a pénzét egy „védett” számlára (valójában a csalóknak), vagy hagyja jóvá az általuk megadott hivatkozáson szereplő adatokat.
A kékruhások képviselői arról számoltak be a sajtónak, hogy az elmúlt időszakban Romániában büntetőeljárások indultak bizonyos feltételezett elkövetők ellen, akik rávették a károsultakat, hogy megbeszélt összegeket „biztonságos” számlára utalják, és ettől a pillanattól kezdve elvesztették a személyes pénzük feletti ellenőrzést. Az áldozatok feljelentést tettek a rendőrségen, az intézmény eljárást indított.
Mit tanácsolnak a rendőrök és a szakemberek?
A rendőrök ebben az esetben is a klasszikus tanácsokat fogalmazzák meg: minden esetben legyünk óvatosak, ha ismeretlen személy hív. Gondoljunk arra is, ha minél sürgetőbb a hívás és az üzenet, annál gyanúsabb, ezért lassuljunk le, s gondoljuk át alaposan, mit is kérnek tőlünk valójában. Ugyanakkor gyanús telefonhívás esetén ne adjunk meg személyes adatokat és azonnal szakítsuk meg a beszélgetést.
Ezen kívül, fontos megjegyezni: ha a kijelzett telefonszám valóban a bank(unk) ügyfélszolgálati telefonszáma, az sem garancia arra, hogy tényleg onnan keresnek. Annak az ellenőrzésére, hogy az illető valóban az, akinek mondja magát, keresse meg a szervezet telefonszámát, és lépjen vele kapcsolatba közvetlenül! Fontos, hogy az ügyfélszolgálat felé a kapcsolatfelvételt, hívást mi kezdeményezzük az ismert telefonszámon, ne hagyatkozzon senki visszahívásra vagy átkapcsolásra, amit a csalók felajánlanak. Alapfeltétel ugyanakkor, hogy az ellenőrzéshez ne használjuk a hívó által megadott telefonszámot, ez ugyanis (szintén) hamis lehet, vagy kifejezetten a csalás megvalósításához hozták létre.
Tudatában kell lennünk annak is, hogy a világháló segítségével a csalók könnyen megszerezhetik az alapvető információkat rólunk vagy a vállalatról, amelynek dolgozunk, például a közösségimédia-profilok felhasználásával. Nem bízhatunk meg a hívóban csak azért, mert ő ismeri ezeket az adatokat – figyelmeztetnek a rendőrök. A rendőrök azt is kiemelik: soha ne adjuk meg a betéti vagy hitelkártya PIN- vagy CVV-kódját, online banki jelszavát vagy az egyszer használható, második hitelesítési kódot! A bankok, banki ügyintézők ugyanis sosem kérik el ezeket az információkat. Rendkívül fontos az is, hogy soha ne telepítsünk mások kérésére olyan programot számítógépünkre vagy okostelefonunkra, amit nem ismerünk! A csalók sokszor vírusvédelmi megoldásnak vagy szoftverfrissítésnek beállítva, álcázva próbálják rávenni áldozatukat arra, hogy visszaéléshez használható programot telepítsenek. A rendőrök azt tanácsolják: soha ne utaljunk pénzt telefonon érkező kérésre, bankunk ugyanis sosem kér ilyesmit tőlünk. Ugyanakkor azt javasolják, a csalási szándékú hívásokat jelentsük a pénzintézetünknek.
Borítókép: politiaromana.ro
