Tavaly tizenhétezer magyar ember dőlt be a kiberbűnözőknek, aminek sokszor a családi kassza és a vállalatok itták meg a levét. Ha forintosítani kellene a félesikerült kattintásokat, gyanús melléklet letöltéseket és telefonba diktált PIN kódokat az valahol 30 milliárd forintnál állna meg. Ez átveréseként egy család teljes megtakarítását jelenti. 2023-ban (is) nagyon sokan dőltek be a leggyakoribb három csalásnak.
Keresztkérdés arra az esetre, ha átakarnak verni
A tavalyi – és az idei év – slágerei nem változtak sokat, még mindig a pénzintézetek nevében elkövetett átverések állnak az első helyen, ezt követi a smishing illetve a Marketplaces csalások.
Neked mi lenne az első kérdésed, amikor a saját bankodból felhívnak azzal, hogy 680 ezer forintot utaltak el a számládról? Mi lenne akkor, ha a telefon másik végén valaki arról értesítene, hogy gyanús pénzmozgást észleltek a számládon, és valaki épp 60 ezer forintot akar küldeni Bangladesbe? Ezek a kérdések egyáltalán nem földtől elrugaszkodottak, az egyik a szerkesztő saját élménye, a másikat pedig Bor Olivér, az SZTFH kiberbiztonsági szakértője hozta példának, merthogy ennyire gyakoriak.
„A pénzintézetek nevében elkövetett csalások azért működnek, mert minden olyan, mintha a „valódi” bankkal beszélnénk. A bemutatkozás, az GDPR-ra vonatkozó szöveg, minden megvan. Aztán jön a pszichológiai manipuláció, amikor arról tájékoztatják az embert, hogy valaki megpróbált 60 ezer forintot elutalni a számlájáról. 60 ezer forint, már az az összeg, aminek a hallatán megijed az ember, mert egy átlagos magyar háztartásban az soknak számít. Sokan ilyenkor azonnal megadják a „tranzakció megállításához” kért adatokat, ahelyett, hogy mondjuk az MNB ajánlás szerinti keresztazonosítással élnének, vagy az első pánik után kicsit átgondolnák az egészet”
– mondta Bor Olivér.

Az MNB ajánlása kifejezetten az ügyfeleket támogatja, és olyan hasznos tanácsokat tartalmaz, mint például az azonosítás során – hogy meggyőződjünk arról, hogy valóban a saját bankunk ügyintézőjével beszélünk – megkérhetjük a hívó felet arra, hogy fejezze be édesanyánk leánykori keresztnevének utolsó két betűjét vagy épp a vezetéknevét. Elvégre a saját bankunknál ott vannak az adataink, így az ügyintézőnek azt látnia és tudnia kell. Ezt hívjuk keresztazonosításnak. Visszakanyarodva a korábbi példához:
„A bank soha nem kéri el sem a CVC számot, sem a PIN kódot, és a bankkártyaszámot sem! Sőt, olyat sem csinál, hogy az OTP-s ügyfelet átkapcsolja az Erste bankhoz. Ilyen nincs, ezeknek ne dőljünk be”
– hangsúlyozza Bor Olivér.
Smishing
A második helyen a smishing áll, ami az SMS és a phising szavak összeolvasztásából jött létre, és nagyjából ezzel le is fedhető a támadás módszertana.
„A smishing során SMS-ben érkezik az adathalász üzenet, és első sorban arra akarnak rávenni, hogy kattintsunk a linkre, majd ott további interakciót végezzünk, például adjuk meg a személyes adatainkat”
– összegezte a kibervédelmi szakember.
Ilyen esetekben nagyon ébernek kell lenni, és figyelni az olyan apróságokra, mint a helyesírási hibák, egyel több vagy kevesebb karaktert tartalmazó márkanevek – jó példa erre a Yettel, ahol legutóbb a támadók az eredeti weboldalra megszólalásig hasonlót hoztak létre, az eltérés csupán a két „l” betű volt.
Marketplace csalások
A Marketplaces csalások még mindig virágzanak. „Onnan lehet felismerni, hogy csalóval van dolgunk, hogy a kommunikáció mindig azzal indul, hogy „hello, ez még megvan? és ezt követően a csaló akarja irányítani a beszélgetést: megmondja, hogy mennyiért, mikor és hogyan veszi meg a terméket. Még linket is küldd, ahol a „futárszolgálatnak” kell megadni a személyes adatokat, akik majd begyűjtik az eladásra kínált terméket. Na ez az, amire nem szabad rákattintani. Ha pedig azzal próbálkozna bárki, hogy AnyDesk-et vagy bármilyen távoli elérést támogató szoftvert telepítsen a gépünkre, azonnal tiltsuk le/tegyük le a telefont” – hívta fel a figyelmet Bor Olivér.
Mi van akkor, ha mindez céges gépről történik?
Baj.
„Főként a kovid alatt láttuk meg azt, hogy mekkora veszély leselkedik a céges eszközökre. A tömeges home office-olás alatt számtalanszor előfordult, hogy a dolgozó odaadta a céges eszközt a partnerének, gyerekének, szülőknek, hogy saját célra használják. 2019-től kezdve 2021-ig 60 százalékos növekedést produkált a videojátékokhoz kapcsolódó átverések száma. Például a támadók sokszor a fejlesztőknek adták ki magukat és emailben csalták ki a fiatalokból az adatokat, de olyan is gyakran előfordult, hogy a torrentről pár ezer forintért letöltött cheat kódba tettek káros kódot”
– mondta Bor Olivér.
Igen, a munkavállalók céges gépekről is torrenteznek, ha azt nem tiltja egyértelműen a policy, de ugyanúgy előszeretettel használják a nyilvános Wi-Fi-t is, ha épp nincs a közelben más. A támadóknak sokszor „könnyű” dolga van, és szinte akadálymentesen be tudnak szivárogni a szervezet falai mögé. A végpontvédelem, a VPN és MDM megoldások ezesetben sokat tehetnek a biztonságért, de sajnos a céges érettség sok esetben még nem tart itt.
„Az a baj, hogy a NIS2 – fő szabály szerint – csak a közepesvállalatoktól felfelé szabályoz. A kisebb vagy mikrovállalkozásokat nem, velük az irányelv nem foglalkozik, pedig ugyanolyan fontosak. Azt reméljük, hogy az intézkedés majd lecsorog hozzájuk is, hiszen maga a NIS2 által érintett cég felelős lesz közvetetten abban, hogy legyen megfelelő kibervédelem a beszállítóinál is. Sőt, elő is írhatja a beszállítók számára az auditot. Épp ezért a kiberbiztonság versenyelőnyt fog jelenteni, mert elképzelhető, hogy két év múlva más csak azokkal a kisebb cégekkel állnak szóba az érintettek, akik egy-két évente átesnek IT biztonsági auditon, és megbízhatónak minősülnek”
– zárta Bor Olivér.
(Kép: ccnull.de)