Mint minden évben, ezúttal is október az Európai Kiberbiztonsági Hónapja, és ez alkalomból érdemes lenne mindannyiunknak feltennie a kérdést, hogy mi és környezetünk vajon felkészültünk-e az effajta online lopási, csalási kísérletekre, megtettünk-e minden tőlünk telhetőt megakadályozandó, hogy pénzt és/vagy adatokat csaljanak ki tőlünk. A tudatosítást előtérbe helyező, e célként meghatározó nemzetközi, októberi eseménysorozat idei mottója: „Be Smarter Than a Hacker!", azaz „Légy okosabb, mint egy hacker”, fő témája pedig a pszichológiai manipuláción alapuló csalások és kibertámadások bemutatása, valamint az ellenük való védekezés. Cikksorozatunkban elsőként a kiberveszélyekről szóltunk, most az ún. phishinget, azaz az adathalászatra irányuló csalásokat vesszük górcső alá.
Az adathalászat, vagy más néven „phishing” tetten éréséhez gyanakvónak és felkészültnek kell lennünk, de mindez nem igényel mély technikai, informatikai tudást. A csalók általi megkeresések látszólag megbízható forrásból származnak, ám az álca mögött valójában rosszakaróink állnak, akik módszereikkel bizalmas adataink minden elképzelhető típusához hozzáférést akarnak szerezni.
A pszichológiai manipuláció egy ismert fajtájának részeként a támadó általában magát hiteles forrásnak feltüntetve hamis üzenetet küld (e-mailben, közösségi média felületeken vagy SMS-ben), amelynek célja, hogy rávegyen minket személyes/érzékeny adataink megadására, vagy rosszindulatú szoftver, például zsarolóprogram telepítésére és azáltal személyes adataink megadására késztet. A lényeg, hogy sürgető hangnemben, valamilyen interakcióra és cselekvésre késztet bennünket, rá akar venni minket valamire, tehát manipulál.
Az adathalász támadók gyakran küldenek valamilyen hivatalos szerv, jellemzően bank vagy közműszolgáltató nevében – annak minden arculati elemét (logó, színek, betűtípus), és webcíméhez nagyon hasonló linkekre irányító – általában sürgető, és nagyon fontosnak tűnő üzenetet is, melyben jellemzően arra szólítanak fel, hogy haladéktalanul osszunk meg pénzügyeinkhez, bankszámláinkhoz, megtakarításainkhoz, vagy netbank belépési adatainkhoz kapcsolódó információkat.
Ezekkel később sajnos nagyon könnyen vissza tudnak élni a kiberbűnözők, sőt tovább is értékesíthetik megszerzett adatainkat harmadik feleknek, úgyhogy mindig érdemes kétszer is megvizsgálni a feladót, és az e-mail cím valódiságát. Egy e-mail cím valódiságát ellenőrizheted úgy, hogy (nem válaszként a bejövő, gyanús e-mailre) küldesz rá egy üzenetet. Amennyiben a levélben szereplő e-mail-címet nem találjuk a bankunk adatai között, illetve rákeresve sem találunk az adott e-mail-címre a bankunkkal összefüggésben semmit, sőt a levél tárgya nem hivatalos, inkább szuggesztív, akkor ez jó eséllyel éppen meg akarnak lopni bennünket.
Árulkodó jel lehet még, ha következetlenségeket, furcsa nyelvezetet, nyilvánvaló helyesírási hibákat találunk a szövegben, vagy ha szokatlan formátumú a csatolmány; a kiberbűnözők a legtöbbször arra építenek ugyanis, hogy elfoglaltak vagyunk: felületes áttekintésre, futó pillantásra a hamis e-mailek igazinak tűnnek. Mindezek mellett fontos kihangsúlyozni, hogy a digitalizáció és a technológia fejlődésével a kiberbűnözők egyre pontosabb és jobb adathalász üzenetek megírására képesek, így elképzelhető az is, hogy ilyen jellegű csalási kísérlet nyelvhelyességi hibák nélkül valósulnak meg.
Ahogy korábban is utaltunk rá, a legtöbben sajnos főként azért dőlünk be az adathalász csalásoknak, mert úgy gondoljuk, hogy cselekednünk kell, lehetőleg minél hamarabb: ez pedig a színtiszta manipuláció eredménye. Előfordulhat például, hogy az áldozatok azért töltenek le egy önéletrajznak álcázott kártevőt, mert sürgősen alkalmazottat keresnek, vagy azért adják meg a banki hitelesítő adataikat egy – amúgy gyanús – webhelyen, hogy megmentsenek egy olyan számlát, amelyről azt mondták nekik, hogy hamarosan lejár. A szükség és sürgetés hamis érzetének keltése gyakran alkalmazott trükk, és sokszor működik, sokan például piacokon is találkozhattunk hasonló jelenséggel – amikor gyanús portékát próbálnak ránk sózni olyan – utólag könnyen észrevehető – trükkökkel, hogy például „már beütötték a gépbe, ezt már bizony ki kell fizetni.” A hamis bizalom keltése ellen rendkívüli módon fel kell vérteződni, adathalászok magukat megbízható forrásoknak (pl. Google, közműszolgáltató, pénzintézet, streaming-szolgálató) álcázva rávehetik arra, hogy megtegyen valamit, mielőtt észrevenné, hogy átverték.
A támadók természetesen pszichológiai taktikákat is alkalmaznak, hogy rávegyék a célszemélyeket arra, hogy gondolkodás nélkül cselekedjenek. Miután megteremtik a bizalmat, a támadók a félelemhez és aggodalomhoz hasonló érzelmeket használják ki, hogy megszerezzék, amit akarnak.
Ahogy a legtöbb platform esetében – így a szerencsejátékok szolgáltatásait is előszeretettel használják fel a kiberbűnözők áldozataik megtévesztéséhez, a csalók rendszerint a személyes adatok, köztük jelszavak felhasználásával komoly anyagi károkat is okozhatnak az óvatlan internetezőknek. A Szerencsejáték Zrt. természetesen kiemelt figyelmet fordít ezen támadások, csalások megelőzésére, és többször felhívta már játékosai figyelmét is ezekre az esetekre. Jelenlegi figyelemfelhívó kampányában a Szabályozott Tevékenységek Felügyeleti Hatóságával közösen veszik fel a harcot az online csalókkal szemben.
Amennyiben bedőltünk egy csalásnak, mindenképpen javasolt ahhoz a céghez/szolgáltatóhoz fordulni, amelynek a nevében a csaló fellépett. A szolgáltatóval való egyeztetés után érdemes megkeresni a rendőrséget, szükség esetén feljelentést tenni. Jó, ha tudjuk, hogy abban az esetben, ha a bank megállapítja, hogy a csalók az ügyfél gondatlanságából, vagy közreműködésével szereztek hozzáférést a belépési adatokhoz, a bank kártérítési kötelezettsége nem áll fenn.
Cikkünk megjelenését támogatta a Szerencsejáték Zrt.