Az utóbbi időben megszaporodtak az adathalász csalások, ráadásul a csalók egyre trükkösebb módszereket használnak. Az alábbi cikkben összeszedtük az elterjedt adathalász technikákat és azt, hogy hogyan védekezhetünk ellenük.

Mi az adathalászat lényege?

Az internetes és telefonos csalók valamilyen hamis üzenet küldésével próbálják rávenni az áldozatukat arra, hogy fontos adatokat adjanak meg nekik, vagy akár távoli hozzáférést biztosító, esetleg rosszindulatú szoftvert telepítsen saját eszközére. Ezzel az a cél, hogy a támadó minél több azonosító adatot megszerezzen az áldozattól, és így hozzáférjen az általa használt online felületekhez, bankszámlához és végül a pénzéhez,

A legújabb átverés során az elkövetők lopott kártyaadatokat felhasználva először pénzt töltenek fel egy PayPal, Apple Pay, vagy ezekhez hasonló számlára, majd a pénzt ismeretlen felhasználóknak küldik át, általában egyszerre kb. 200.000 értékben (~500 USD). Ezután a csalók felveszik az ismeretlen felhasználókkal a kapcsolatot, hogy véletlenül rossz címzettnek küldték a pénzt, legyenek kedvesek átutalni azt egy általuk megadott másik fiókba.

A nagyobb értékű utalások viszont idővel fel fognak tűnni a lopott kártya eredeti tulajdonosának, és ha a csalást bejelentik a bankjuknak, az elkezdi majd visszavonni a tranzakciókat, végül ugyanezt a pénzküldő szolgáltatás is megteszi majd. Aki visszaküldi a pénzt a csalónak, az gyakorlatilag a saját pénzét adja át, hiszen a csalótól kapott pénzt vissza fogja vonni a kártyatulajdonos bankja. Mire viszont a visszautaló fél észreveszi és bejelenti a csalást és megtörténhetne a felhasználói fiókok közti visszavonás a pénzküldő szolgáltatáson belül, addigra a csalók elmozgatják az összes pénzt a számlaegyenlegükről, emiatt onnan nem lehet majd visszaszerezni azt, ráadásul a bankoktól eltérően az Apple Payhez hasonló pénzküldő szolgáltatásoknak nincs kártérítési kötelezettségük a meglopott ügyfél felé az ilyen csalások esetében.

Az visszakövethetetlenül, vagy beazonosíthatatlan módon kapott összegekhez nem szabad hozzányúlni: a rossz helyre küldött pénz visszautalását kérőkkel közölni kell, hogy intézkedjenek maguk az ügyfélszolgálaton keresztül annak visszaszerzéséről.

A fent ismertetett módszeren kívül sajnos még nagyon sok egyéb, hitelesnek tűnő eszköz létezik az adathalászatra és az emberek pénzének kicsalására.

Mikor kell adathalászat kísérletére gyanakodni?

Leginkább akkor, ha akár e-mailen, akár telefonon érzékeny adatokat - banki vagy egyéb ügyfélazonosítót, PIN-kódot, jelszavakat - kérnek tőled. Gyakori módszer, hogy a csaló elküld egy adathalász linket, hogy azon keresztül történjen meg az ügylet lebonyolítása. Az adathalász üzeneteket a legtöbb esetben ismert cégek, futárcég vagy népszerű internetes piactér nevében küldik a támadók és a bennük található rosszindulatú hivatkozásokat úgy tervezik meg, mintha a cég valós weboldalára irányítana át. A kiválasztott bank nevére kattintva a felhasználó egy Netbanki belépési felületnek tűnő adathalász oldalra kerül, ahol megadhatja e-banki belépési adatait, valamint SMS-ben kapott biztonsági kódokat vagy akár bankkártya adatait. Az így megszerzett adatokkal a visszaélők teljes hozzáférést nyernek az ügyfél Netbankjához és így már szabadon tudnak tranzakciókat végrehajtani. Kis odafigyeléssel viszont azonnal látni lehet, hogy nem valódi weblapról van szó, főként akkor, ha helyesírási hibákkal, rossz magyarsággal megfogalmazott mondatokkal találkozol.

A telefonos megkereséseknél szintén figyelembe kell venni, hogy a pénzügyi és egyéb szolgáltatók soha nem kérnek ilyen úton érzékeny adatokat. A bankok soha nem irányítanak át közvetlen - egy híváson belül - más bank ügyfélszolgálatához, és sosem kérik az ügyfelet, hogy pénzt utaljon át ismeretlen számlaszámokra különböző okokból. Az elkövetők sokszor pont azzal az üzenettel próbálnak visszaélni, hogy csalást akarnak megelőzni.

Nemrég 5,4 millió Twitter felhasználó publikus és privát adatát is tartalmazó adathalom vált ingyenesen elérhetővé. Ha Twitter fiókkal rendelkezel, légy különösen óvatos az olyan üzenetekkel kapcsolatban, amelyek látszólag a Twittertől érkeznek és például bejelentkezési problémáról, felfüggesztett fiókról, ellenőrzött (verified) státusszal kapcsolatos problémáról szólnak és amelyekben azt kérik a felhasználótól, hogy jelentkezz be a fiókodba egy Twitetren kívüli weboldalon.

Mit kell tudnod a csalások kiszűréséhez?

• A bankok telefonos ügyfélszolgálatai nincsenek kapcsolatban, ügyfeleket nem irányítanak át egymáshoz.
• A Bank nem kér bankkártya adatokat, így bankkártyaszámot, pin kódot, cvc kódot.
• A Bank nem kéri el a netbanki felhasználónevet, belépési jelszót, sem a belépéshez utaláshoz szükséges egyszer használatos kódszót, mely sms-ben vagy push üzenteben érkezik.
• A Bank nem kéri ügyfeleitől, hogy bármilyen programot (pl. TeamViewer, AnyDesk) telepítsenek eszközeikre.
• Az adás-vétel lebonyolításához üzleti partnerednek nincsen szüksége a Netbank azonosítódra, jelszavaidra, bankkártyaszámodra vagy SMS kódjaidra.
• Amennyiben vásárolsz, a fizetés elindítását javasoljuk közvetlenül a Netbankból/Mobilbankból elindítani, semmiképp se e-mail-en vagy csevegő alkalmazáson kapott linkről nyisd meg. A következő információkra van szükséged az üzleti partnertől: számlaszám, kedvezményezett neve és az összeg.
• Amennyiben eladsz, ahhoz, hogy üzlet partnered elindítsa a fizetést az alábbi adatokat szükséges megadnod. (Ezen adatok megadásához szintén nem javasolt kapott link használata): számlaszám, kedvezményezett neve és az összeg.
• Az adathalász üzenetekben szereplő adatok sok esetben nem pontosak vagy helyesírási hibákat, hibás nyelvezetet tartalmaznak, illetve magyartalan, online programmal fordított mondatok találhatók bennük.

Mit tegyél, ha adathalász támadásra utaló e-mailt vagy hívást kaptál?

• Ha szokatlan és gyanús linkkel találkozol, ne kattints rá!
• Ha telefonos hívásról van szó, azonnal bontsd a vonalat!
• Ha szükséges, lépj kapcsolatba az ügyfélszolgálattal!

A visszaélések elkerülése érdekében minden ügyfelünknél bekapcsoltuk a 20.000.- Forint összeghatár feletti számlán történő átutalásos terhelésekről az Ingyenes Számlainfo Push értesítést. (Push értesítés nem kerül kiküldésre a bankkártyás tranzakciókkal kapcsolatban.)

Az alábbi linken elolvashatod az MNB figyelemfelhívását és tanácsait a témával kapcsolatban: