Nem sajnálták az időt azok a kiberbűnözők, akik összerakták a magyar felhasználók között szombat óta gyorsan terjedő átverős kampányt. Több igényesen összerakott lépcsőben juttatják el odáig az embert, hogy a végén már majdnem teljesen biztos benne: valóban kihagyhatatlan lehetőséggel áll szemben. A szöveg mindvégig viszonylag jól megírt, néhány olyan helyesírási hiba van csak benne, ami sokszor egy valódi céges weboldalon is előfordul.

Az átverés első lépcsőjeként böngészés közben váratlanul megnyílik egy új weboldal, amely arról tájékoztat minket, hogy kisorsoltak: internetszolgáltatója szeretné megjutalmazni néhány ügyfelét, és mit ad isten, mi is pont köztük vagyunk. A rafinéria már itt megmutatkozik, ugyanis – vélhetően IP-cím alapján – mindenkinek saját netszolgáltatójához tartozó üzenetet mutatnak. Erről szerkesztéségünkön belül is megbizonyosodhattunk: aki telekomos, az telekomos weboldalt lát, aki UPC-ügyfél, az UPC-s üzenettel szembesül.

hvg.hu

A kártékony program által megnyitott weboldalak készítői nagy gondossággal készítették elő az átverést. A nyereményhez történő továbblépés előtt egy gyors felmérésben veszünk részt, ahol három kérdésre kell gombnyomással válszolni azzal kapcsolatban, mennyire vagyunk elégedettek a szolgáltatónkkal. Ezután jutunk tovább az ajánlatokhoz, ahol kiválaszthatjuk, melyik eszközhöz szeretnénk csupán a szállítási költség ellenében hozzájutni.

hvg.hu

Mi a Samsung csúcskészüléke mellett döntöttünk. Az ajánlatra kattintva egy Galaxy S10+ és egy vezeték nélküli töltő képe tárult elénk egy igényes, valóban a Samsung Galaxy telefonok világát idéző weboldalon.

hvg.hu

Ahol azért egyrészt rögtön felugrott egy értesítések engedélyezésére vonatkozó kérés – aki ezt elfogadja, annak később számolatlanul árasztják el böngészőjét a szóban forgóhoz hasonló ajánlatokkal. Másrészt elkérték az e-mail címünket. A továbblépés előtt ugyan be kellett pipálnunk, hogy elfogadjuk a felhasználási feltételeket, de az érintett szövegrész még csak kattintható sem volt. Minek, az átverés készítői is pontosan tudják, hogy ezeket a jogi szövegeket úgysem olvassa el senki – azok közül főleg nem, akik még ezen a ponton is azt hiszik, valóban övék lesz 1 euróért egy háromszázezres komoly telefon.

Megadtuk a címünket, e-mailt azonban nem kaptunk, hanem rögtön az alábbi felület tárult elénk.

hvg.hu

A végére csak kiderült a turpisság: a kiberbűnözők a bankkártyánk adataira utaztak. Látszólag csak egy eurónyi összegre. Természetesen nem adtuk meg kártyánk adatait, de egészen biztosak lehetünk benne, hogy nem csak a kiírt 324 forintról van szó. Bár az is "ingyenpénz" az átverős oldalt üzemeltetőknek, de a valódi értéket a bankkártyánk adatai jelentik, melyhez a későbbiekben bármikor hozzáférhetnek, így – az általunk korábban beállított limit erejéig – akár több százezer forintot is ellophatnak számlánkról.

Mi terjeszti?

Tapasztalataink és az interneten fellelt felhasználói jelzések alapján az átveréssel a Chrome böngészőt használók találkoznak: amikor továbbkattintanának valahova, akkor a céloldal helyett a nyereményjátékos weboldalra irányítja át őket a kártékony program. A probléma Windows és macOS operációs rendszerek alatt is létezik. Mi több gépen, asztali környezetben találkoztunk vele, de olvasói jelzés szerint mobilon is hasonló terjed.

Elsőként arra gondoltunk, hogy valamilyen Chrome-bővítmény segítségével terjed vírusként a jelenség. De mivel olyan Chrome esetében is találkoztunk vele, amelyhez kizárólag a Skype és a Google Dokumentumok hivatalos bővítményei vannak telepítve – ez a két kiterjesztés pedig nem valószínű, hogy kártékony kódot tartalmazna. (A biztonság kedvéért azért megnéztük a Chrome-bővítmények áruházában az értékeléseket, de úgy tűnik, a világon senki nem panaszkodott ilyesmi biztonsági problémára ezeknél.)

Google

Hogy megtaláljuk a felelőst, a Kaspersky Lab víruskeresőjének fizetős és a Malwarebytes ingyenes kiadását is bevetettük, egyik sem talált semmit.

A Chrome veszélyes oldalakat tartalmazó adatbázisa viszont időközben frissült, így néhány megnyíló weboldal esetében már felugrik a szokásos piros képernyő, és riaszt a böngésző, hogy veszélyes szájtról van szó. Erre persze a bűnözők is gondoltak, így nem egy címen, hanem sokféle domain alatt működtetik kampányukat.

Mi a megoldás?

Egyelőre nem látjuk, hogyan lehet végleg eltüntetni a gépekről a jelenséget. De igyekszünk kideríteni a megoldást. Addig is azt tudjuk tanácsolni, hogy akit Chrome-on ellepnek ezek az oldalak, az ideiglenesen használjon másik böngészőt.

Bár a cikk írásának pillanatában két antivírus program sem tudott még mit kezdeni a problémával, ez alighanem csak idő kérdése. Ezért azt tanácsoljuk, ön is telepítsen fel gépére egy víruskeresőt. (Ha az ezen a listán szereplő legjobbak közül választ, nem járhat rosszul.)

Ha értesülni szeretne, amint kiderül valami, lájkolja a HVG Tech rovatának Facebook-oldalát. Írjon nekünk az oldalon, ha újabb részlettel tud szolgálni, vagy esetleg más böngészővel is tapasztalt hasonlót.