Nincs könnyű dolga annak, aki kevésbé érzi magát jártasnak a digitális világban. Ezt a csalók is tudják – és aktívan ki is használják. Az elmúlt időszakban nem telt el úgy hét, hogy ne érkezett volna hír valamilyen új – vagy kiújult – csalási formáról, melyek receptje közös, legfeljebb a fűszer más.

A végcél ugyanis az esetek többségében az, hogy hozzáférést szerezzenek a netbankjához, de legalább a kártyaadataihoz.

Ha egy ilyen adathalász (phishing) támadás sikerrel jár, már tényleg csak a csalók csekély jóindulatán múlik, hogy mennyire apasztják le az egyenlegét. Jól szemlélteti a helyzet súlyosságát, hogy az OTP Banknál napi egymillió forintos átutalási limitet állítottak be alapértelmezetten – éppen az elszaporodó csalások miatt. A legnagyobb hazai pénzintézet lépése azt követően érkezett, hogy a bankfelügyeleti feladatokat ellátó Magyar Nemzeti Bank (MNB) ajánlást adott ki a pénzintézeteknek, amely szerint az internetes csalásokkal szembeni intézkedéseket vár el a bankoktól.

Hogy mekkora a baj, arra a CIB Bank megbízásából készített friss, reprezentatív kutatás is rámutat: eszerint a hazai felnőtt lakosság többsége, 56 százaléka került már olyan helyzetbe, hogy interneten keresztül vagy bankok nevével visszaélve próbálták megkárosítani.

A sikeres csalások aránya az online piactereken (33%) és a hamis weboldalakon (32%) a legmagasabb, de az is kiderült, hogy az áldozattá válás nem függ sem a társadalmi, sem a demográfiai helyzettől.

Apróhirdetés nagy veszélyekkel

A csalók gyakorlatilag minden fronton támadást indítottak, és egy sor ismert szolgáltatás nevében igyekeznek tőrbe csalni az embereket. Itthon gyakori a Netflix, a Posta és a Magyar Telekom nevekkel történő visszaélés, és a mintázatok alapján látható, hogy a piacvezető, legalábbis nagyon népszerű márkák élveznek kiemelt figyelmet – valamint a legtöbb bank.

A csalások melegágya lett a Facebook Marketplace is. A világ legnagyobb közösségi oldalának piactere Magyarországon is rendkívül népszerű, a különböző Településnév adok-veszek csoportokban emberek ezrei kínálják eladásra használt portékáikat a Facebook apróhirdetési rendszerével.

Ezt a rosszindulatú felek is tudják, és folyamatosan fejlesztik a módszereiket – többnyire a gyanútlan hirdetőket célozva.

Hogy valós képet kapjunk arról, mekkora veszélyt jelent bedőlni egy ilyen csalásnak, feladtunk egy Apple AirPods-hirdetést a Marketplace-en, és vártuk a „jelentkezőket”. Nem is kellett sokat várni, hogy a mit sem sejtő fiktív áldozatunkhoz, Hiszékeny Gáborhoz befusson az első csaló.

A vevő, aki mindent intéz

Néhány órával a hirdetés feladása után egy Papp Hanna nevű profilból érkezett egy üzenet. A vevőjelölt első kérdése az volt, lehetséges-e GLS-es kiszállítás. Persze az ő kontójára, fizeti, hogy nekünk még kényelmesebb legyen. Természetesen – vágtuk rá határozottan, mire a csaló e-mail-címet kért, hogy intézze a szállítást és a fizetést.

A csaló profilja. A jelek szerint lopott fotókat használ, és nem csak markeplace-es csalásokban utazik (az arcot szándékosan kitakartuk ki)

hvg.hu

Fiktív alanyunkkal ennek eleget is tettünk, a levél pedig kb. 10 perc múlva be is futott a megadott e-mail-címre. Itt kezdett igazán csavaros lenni a történet.

A vevő ugyanis közölte: már ki is fizette a meghirdetett fülhallgatót, és megszervezte a szállítást is. A továbbiakhoz – kérte –, lépjünk be az e-mail-fiókunkba, nyissuk meg a levelet, és az ott megadott linkre kattintva válasszuk ki a bankunkat a listából, majd „vegyük át” a pénzt.

A rendkívül előzékeny hozzáállás bizonyára nem véletlen: a hirdetőnek alig kell csinálnia valamit, mindent intéz a vevő. A kapott levél a GLS futárszolgálat arculati elemeit másolja, rendkívül hitelesen. Ugyanez mondható el a linkre kattintva megnyíló oldalról is.

Még a hirdetés fotóját is lelopták a fiktív oldal létrehozásához

hvg.hu

A csalás érdemi része a „Fizetés elfogadása” gombra kattintva indul meg. Itt ugyanis egy választóoldal nyílik meg, valamennyi nagyobb magyar pénzintézet nevével és fotójával.

Naprakészek a csalók, még az MBH Bankként egyesült három pénzintézet külön felületeit is lemásolták

hvg.hu

Az egyes bankok logójára kattintva az adott pénzintézet netbankjának bejelentkezési oldala nyílik meg – látszólag. Ugyanis természetesen nem az igazi, hanem annak tökéletesnek látszó másolata tárul a vevő elé, ahol meg kell adnia a belépési adatait – a felhasználónevet/azonosítót, valamint a jelszót is.

A csalárd OTP-oldal. Még a csalókra figyelmeztető részt is lemásolták

hvg.hu

Egy távoli szerverre, egyenesen a támadók markába repülnek az adatok

A látszólag hiteles banki oldalak mögött azonban komoly veszély rejtőzik. A honlapokat ugyanis rosszindulatú felek hozzák létre, és épp azon dolgoznak, hogy megszerezzék a netbankja belépési adatait. Az igazihoz.

Ezen a ponton természetesen behúztuk a féket, de Hiszékeny Gábor erre a célra létrehozott e-mail-címét, valamint egy erősnek tűnő jelszót beírtunk. A „rendszer” itt kis türelmet kért, majd kb. 2 perc után érkezett is a válasz a jobb alsó sarokban megbúvó chat ablakból: helytelen adatok. Nahát-nahát, honnan tudják?

Csak feltételezni tudjuk, mi történik a másik oldalon, de mivel számos, valódinak tűnő, de véletlenszerűen generált e-mail–jelszó-párossal megpróbálkoztunk még, és némi csúszással mindig jelezte a chaten valaki, hogy nem jók az adatok, van egy elméletünk. Ez pedig az, hogy a támadók valós időben figyelik a beírt adatokat, majd a tényleges netbanki oldalon beírják őket (akár gépi erővel, akár kézzel).

A chatnek is lehet még funkciója: manapság már lehetetlen belépni az internetbankokba pusztán az e-mail-cím–jelszó párosával. Vagy egy értesítést megnyitva kell hitelesíteni a bejelentkezést, vagy meg kell adni egy SMS-ben kapott kódot. Bizonyára ezt még elkérik a chatben.

5-7 perces feldolgozást írnak, de általában 1-2 percen belül rájönnek: bizony nem jó adatokat kaptak

hvg.hu

A csalárd oldalt elküldtük egy informatikai szakértőnek is, aki azt mondta: az adatokat bekérő szövegdobozok egyszerű formok, melyek titkosítatlan szövegként továbbítják az ott beírt adatokat egy távoli szerverre. Lényegében olyan, mintha egy papírlapon átnyújtaná a belépési adatait valakinek.

Ezekre érdemes figyelni

Az oldal egyszerű, de profi munka. Utóbbit igazolja az is, hogy nagyjából lehetetlen lenyomozni, hová futnak be a begyűjtött adatok – a támadók gyakorlatilag mindent megtesznek önmaguk elrejtése érdekében.

A támadás célja egyértelmű: belépni az ön netbankjába. Ha ez sikerül, tetszőleges összeget emelhetnek le a számlájáról, és ennek csak az szabhat határt, hogy mekkora az egyenlege, vagy hogy a limitek mit engednek meg. Ráadásul, mivel ez nem a bank hibája, nem is érdemes kártérítést várni – legfeljebb a hatóságokhoz fordulhat.

Nagyon fontos tehát résen lenni, és néhány dologra kiemelt figyelmet fordítani:

• ha valaki vevőként előre le akarja szervezni a fizetést és a szállítást, az mindig legyen gyanús;
• mindig nézze meg az e-mail feladóját, és ha az véletlenszerű szavakból áll, nem egyértelműen az adott cég nevéből, gyanakodjon;
• ugyanez érvényes a megnyitott linkekre is a böngésző címsorában;
• ha indokolatlanul sürgetik, az árulkodó jel lehet;
• de a legfontosabb: soha, semmilyen formában ne adja meg a banki belépési adatait ismeretlen, máshonnan megnyitott felületen. Érdemes könyvjelzőként menteni a böngészőjében a valódit, és mindig onnan megnyitni.

Ugyan szerepel a linkben a GLS név, de túl zavaros, és nem is racionális, hogy pont a GLS oldalán belül kell belépni egy banki felületre

hvg.hu

Az általunk tesztelt csalás során a rosszindulatú fél folyamatosan érdeklődött afelől, hogy megkaptuk-e az e-mailt, és sürgetett is bennünket. Ugyanez történt a csalárd banki chatjében is: egy ponton még azt is felvetették, hogy ha nem emlékszünk a belépési adatainkra, küldjük el az oldal linkjét egy ismerősünknek, aki majd átveszi a pénzt helyettünk – aztán ő átutalja nekünk.

A levelezés nyelvezete hol jobb, hol rosszabb volt, de egy-két megmosolyogtató fordítást leszámítva nem volt kirívóan rossz a levelek magyarsága. Amikor már egy ideje nem reagáltunk, de az oldalakat megnyitva hagytuk az erre a célra elkülönített böngészőben, már oroszul érdeklődtek, hogy itt vagyunk-e még. Az adott link általában 2-3 óráig élt, majd teljesen törölték a támadók.

Ön teheti a legtöbbet a saját adatai védelméért

Természetesen ez csak egy homokszem a csalások homokviharában, a támadók újabb és újabb módszereket dolgoznak ki, hogy átverjék az embereket. A fenti csalás azonban gyakorinak mondható a Marketplace-en, és természetesen nemcsak a GLS, de más futárszolgálatok nevével is visszaélnek – itthon népszerű még a FoxPost is.

Azzal azonban, ha valaki kétszer átgondolja, milyen adatokat és hol ad meg, már sokat tett azért, hogy ne legyen a csalók áldozata.

Ami pedig a Facebook Markeplace-t illeti, ezen az oldalon találhat egy leírást a csalók jelentéséhez.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.