Nehéz levadászni az adathalászokat

A számítógéppel elkövetett visszaélések, azon belül is az adathalászat már az egyik legelterjedtebb bűnözési forma. Az angolul phishingnek (password harvesting fishing, azaz jelszóhalászat) nevezett módszerrel a csalók a lehető legrövidebb idő alatt akarják a lehető legtöbb adatok megszerezni. Az adathalászok általában megbízható személynek vagy cégnek adják ki magukat és kizárólag a neten „dolgoznak”, áldozataik pedig csak utólag jönnek rá, hogy rászedték őket. A statisztikák szerint az adathalász-támadásokkal a kiszemelt áldozatok öt százalékát lehet átverni. Aki megadja az adatait, gyakorlatilag hozzáférést ad bankszámlájához a bűnözőknek.

Az első adathalász akciót az 1990-es évek közepén követték el a legnagyobb amerikai internetszolgáltató, az AOL felhasználói ellen, de a "híres" áldozatok között találjuk az eBay, a PayPal és a Twitter felhasználóit is. Magyarországon 2003-ban volt az első ismertté vált támadás, akkor az Inter-Európa Bankot szemelték ki maguknak a csalók, de rá egy évre az OTP is hasonló sorsra jutott. Ahogy a hétfő reggeli CIB Bank felhasználói elleni akció esetében sem a bank ügyfeleit „szórták meg” levelekkel, úgy a többi akciónál sem célzottan az adott pénzintézet ügyfeleit veszik célba. Az e-maileket egyéb úton szerzik be (például közösségi oldalakról), s bíznak abban, hogy a címzettek között vannak, akik az adott bank ügyfelei. 2006-ban például a címzettek a „Raiffeisen Banktól”, a „Szigetvári Takarékszövetkezettől” és a „Budapest Banktól” is kaptak kamu leveleket.

Figyeljünk oda a pontos webcímre!

A csalók kedvelt módszere, hogy olyan leveleket küldjenek szét, amelynek a feladója látszólag egy bank. A „bank” üzenetében közli, hogy az ügyfélnek meg kell adnia vagy módosítania kell az adatait (PIN-kódját, jelszavát stb.). Ezt megteheti úgy is, hogy a levélre válaszolva küldi meg az adatokat vagy ráklikkel a megadott linkre. Utóbbi egy olyan honlapra vezet, amely kísértetiesen hasonlít a bank eredeti honlapjára, csakhogy a webes címe (az URL-je) egészen más. Ha az ügyfél figyelmetlen és beüti az adatait, azok a csalóknál landolnak. Sok esetben nemcsak a honlap dizájnja, de még az URL-cím is hasonlóságokat mutat. 2006 decemberében például a magyarországi Raiffeisen Bank ügyfeleit vették célba a csalók a www.raiffeisenhu.com weboldal címet használva. A csalók most már gondosan ügyelnek arra is, hogy a biztonságos kapcsolat meglétét jelző https://, illetve a megbízható jelet jelölő ikon (egy lakat) is megjelenjen a böngészőben. Sőt, a csalók már képesek arra is, hogy az ikonra rákattintva a felhasználónak úgy tűnjön, a biztonsági tanúsítványt a bank adta ki – ezt egyébként egyszerű grafikai módszerekkel oldják meg. Bár a böngészők pishingszűrői gyakran jelzik, hogy adathalász oldalról van szó, az utóbbi módszerrel még a böngészők is félrevezethetőek.

Hogy elkerüljék a lebukást, akciójukhoz a bűnözők egy vagy több szervert bérelnek, a szerverbérletet pedig távoli országokban nyitott számlákról egyenlítik ki. Az adathalászok ellen nyomozók dolgát nehezíti az is, hogy a csalók a leveleket természetesen nem a saját vagy a hozzájuk bármilyen módon köthető számítógépekről, hanem úgynevezett zombigépekről küldik szét. Utóbbiak olyan számítógépek, amelyek felett különféle módszerekkel (pl. vírussal, trójai programmal) a bűnözők át tudják venni az irányítást, a gép tulajdonosa észre sem veszi a betolakodót. Becslések szerint ma nagyjából egymillió számítógép áll a hackerek „portfóliójában”.

A zombigépeket hálózatba kötik, így képesek arra, hogy rövid idő alatt nagy számú leveleket küldjenek ki. A bűnözők ügyelnek arra, hogy a kamu weblapokat a levelek elküldését követő néhány órán belül leállítsák, s az ez idő alatt megszerzett adatokkal végezzenek banki átutalásokat. Ezeket az átutalásokat olyan számlára küldik, amelyet valódi tulajdonosától – bizonyos százalék fejében - ideiglenesen megszereznek, de az is gyakori, hogy a támadás előtt hónapokkal beszervezett stróman számlájára megy a pénz, aki véletlenül éppen egy hajléktalan. Az átutalásoknál a csalók arra is figyelnek, hogy ne nagy összegben, hanem kis részletekben utalják át a pénzt. A Nemzetbiztonsági Hivatal évkönyvéből kiderül, hogy a 2006-os magyarországi támadások idején a számlákat átengedőkre angol nyelvű hirdetés útján jutottak hozz és 5-10 százalékot fizettek nekik.

Persze az áldozatul esett bankok sem tétlenkednek. Adathalász-támadás esetén általában minden banki átutalást ellenőriznek és megpróbálják kiszűrni a csalók utalásait. Például kiszűrik, hogy egyazon számítógépet azonosító címről több utalást is kezdeményeztek-e más-más ügyfél nevében. Ugyanakkor a csalók sem hülyék, így sokszor olyan régiókba kezdeményeznek utalásokat, ahol nehezen lehet a banki ellenőrzőrendszer segítségével a pénzmozgást nyomon követni.

A Nemzetbiztonsági Hivatal korábban egy másik adathalász-módszere is figyelmeztetett. Ennek lényege, hogy a bűnözők egy adott körzetszámot alapul véve automatizált programot indítanak, amely egymás után tárcsázza a lehetséges hívószámokat. Amennyiben a telefont felveszik vagy bekapcsol az üzenetrögzítő, azt kéri egy gépi hang, hogy a tulajdonos hívjon fel egy megadott telefonszámot, mivel a rendszer letiltotta a bank- vagy hitelkártyáját. Az adathalászok ügyelnek arra, hogy a telefonszám a lehető legjobban hasonlítson a bankok tényleges ügyfélszolgálati számaihoz. Ha az illető felhívja, akkor a nyomógomb-választós rendszer elmondja, hogy ha letiltott kártyáját kívánja újraaktiválni, adja meg a nevét, a kártya számát, a régi és az új PIN kódot. Ha a kiszemelt áldozat ezt megteszi, pórul jár.