Forrás: PCWorld | #oszdazészt | 2020.08.15.

Az adataink nem csak számunkra értékesek, mások számára is, így fontos, hogy ne engedjük át őket a csalóknak. Ebben segítünk most.

Az adathalászat önálló iparággá nőtte ki magát, hiszen a csalók a megszerzett személyes adatokat később megszámlálhatatlan módon tudják felhasználni pénzszerzéshez és egyéb károkozáshoz: pénzt emelhetnek le a bankkártyánkról vagy számlánkról, beléphetnek online fiókjainkba, és így tovább. Az adathalász trükkök arra építenek, hogy a felhasználók nem elég tájékozottak, vagy ha mégis, akkor nem elég éberek. Most megmutatjuk az adathalászat leggyakoribb formáit és azt, hogyan védekezhetsz a különféle módszerek ellen.

Adathalász e-mailek

Az e-mail az adathalászat leggyakoribb eszköze, mert nagyon jól lehet a folyamatot automatizálni; a csalóknak pár pillanat több százezer vagy akár több millió címre kiküldeni a levelet, így gyorsan tömegeket érhetnek el. Az adathalász e-mail célja mindig az, hogy valamilyen ürüggyel megpróbálja kicsalni a felhasználó személyes adatait. A levelet jellemzően bank vagy valamilyen más nagy szolgáltató nevében írják, és arra kérik benne az "ügyfelet", hogy erősítse meg belépési adatait, hitelkártyaszámát vagy bármilyen más érzékeny adatot.

Készségesen felajánlják a bank vagy a szolgáltató online felületét is - azonban a levélben kapott hivatkozás nem a szolgáltató weboldalára, hanem egy preparált, a csalók által készített ál-weboldalra visz. Amikor a felhasználó megpróbál belépni, akkor azzal szépen átadja felhasználói nevét és jelszavát a csalóknak - akik pedig rögtön a szolgáltató igazi oldalán használják fel azokat. Szerencsére a legtöbb bank ma már kétlépcsős azonosítást használ, így pusztán a jelszó segítségével nem lehet a számlát kiüríteni, ennek ellenére a személyes adatok miatt mégis érdemes résen lenni.

Az adathalász e-mailek másik népszerű fajtája az, amelyik egy alacsony összegű számla kifizetésének elmulasztására figyelmeztet; ebben az esetben természetesen nincs elmaradt számla, azonban a csalók arra építenek, hogy néhány ezer forintos tételt sokan nem ellenőriznek, hanem egyszerűen csak elutalják. Ilyenkor persze a pénz nem a szolgáltatóhoz fut be, hanem a csalók számlájára. Gyakori technika, hogy a csalók rövid határidőt jelölnek meg, vagy valamilyen szankciót lengetnek be: az ember kevésbé gondolkodik akkor, ha mondjuk egy napon belül lejáró számlája van, vagy ha úgy tudja, hogy bankszámláját, telefonszámát az adatok egyeztetéséig zárolják.

A harmadik népszerű verzió pedig a nyereményjáték: az ember szívesen kattint, ha azt hiszi, hogy tévét vagy külföldi utazást nyerhet cserébe pár apró személyes információért. Hogy ez a trükk mennyire jól működik, azt bizonyítja, hogy a Facebookon is időről időre megjelennek olyan bejegyzések, amiket elég lájkolni ahhoz, hogy valaki nyerjen mondjuk egy Teslát.

Az adathalászat a csalás egy olyan formája, amely elsősorban nem a számítógépben lévő biztonsági hibákat használja ki, hanem az emberi hiszékenységre épít. Az adathalászat során bevetett trükkök gyűjtőneve angolul éppen ezért "social engineering", amelyet pszichológiai befolyásolásnak vagy pszichológiai manipulációnak fordíthatunk.

Hogyan lehet az adathalászat ellen védekezni?

Van néhány általános szabály, amivel ha tisztában vagy, akkor jó eséllyel lefülelheted, ha adathalász kísérlettel állsz szemben.

• Az első és legfontosabb azt tudni, hogy sem bank sem más szolgáltató soha nem kéri el a személyes adatokat levélben, a belépési adatokra pedig ez különösen vonatkozik. Ilyen adatokat tehát levélben illetve levélben érkező linkre kattintva tilos megadni! A másik fontos szabály az, hogy a szolgáltatók nem változtatnak csak úgy kommunikációs csatornát - az önmagában gyanús, ha az eddig a díjneten keresztül érkező számla helyett (látszólag) közvetlenül a szolgáltatótól kapunk levelet.
• A csalók gyakran kérik azt, hogy jelentkezz be a bank vagy a szolgáltató weboldalán és ott add meg a kért információkat - ebben az esetben úgy kerülhető el az, hogy a személyes adatok rossz kezekbe kerüljenek, hogy ha nem a levélben megadott linket használod, hanem kézzel írod be a bank/szolgáltató hivatalos weboldalának linkjét a böngészőbe. Egyébként is erősen ajánlott, hogy levélben érkező hivatkozásra soha ne kattints rá! A csalók módszerei folyamatosan fejlődnek, a hamis weboldalak megszólalásig hasonlítanak az eredetire, és a legtöbb esetben tanúsítvánnyal is rendelkeznek, tehát a címsorban a hamis link ellenére simán ott lehet a biztonságot sugalló lakat.

• Kattintani tilos, de ennek ellenére érdemes ellenőrizni a linkeket is: itt mindenképpen gyanús, ha egy hivatkozás szövege eltér a valójában megnyitott oldal linkjétől, vagy ha a hivatkozás nem a bank normál, általunk ismert weboldalára mutat. (Pl. ha a https://raiffeisen.hu cím fölé húzzuk az egeret, és a https://raiffeisen.net cím jelenik meg, vagy a link egyszerűen https://raiffaisen.hu akkor az egyértelmű jele lehet a csalásnak).
• Ne kattints rá csatolmányra, hiszen a bankok jellemzően még a számlakivonatot sem küldik el PDF-ben - számlazárásnál a levél csak arról tájékoztat, hogy az új kivonat elérhető és letölthető az online felületen. A mellékletek megnyitása azért veszélyes, mert PDF-fájlnak vagy Excel-fájlnak álcázva juthat kártevő a számítógépre.
• A legtöbb adathalász kísérletnél a csalók még nem rendelkeznek személyes adatokkal, ezért rendszerint valamilyen általános megszólítást alkalmaznak. Azt azonban jó tudni, hogy míg pár éve még könnyű volt felismerni az adathalász leveleket magyartalanságuk miatt, addig ma már több olyan kísérlettel is találkozhatunk, amely e szempontból szinte tökéletes.

Célzott adathalászat

Mivel a leggyakrabban bank vagy mobilszolgáltató nevében érkezik adathalász levél, a csalást rögtön fel lehet ismerni, ha nem vagy az adott bank vagy szolgáltató ügyfele. Persze könnyebb ezt mondani, mintsem higgadtan átgondolni mindent, amikor az ember benne vagy az adott helyzetben! Főleg, ha az adathalászat kifinomultabb verziójáról, a célzott adathalászatról van szó; ilyenkor a csalók tudják, hogy kit támadnak. A nyilvánosra állított Facebook profilról vagy más közösségi szolgáltatóktól - esetleg a kukából kibányászott, papír alapú levelekből, számlákból - megszerzett adatok alapján nem a "Kedves ügyfelet" kérik meg a számla rendezésére, hanem Téged, név szerint. Sokszor ez az egy apróság önmagában elég ahhoz, hogy minden gyanú eloszoljon!

A célzott adathalászat is felismerhető szerencsére a fenti módszerek segítségével, de sokkal jobban résen kell lenni. A legjobb módszer az, ha a számlák esetében például mindig összehasonlítjuk az új számlát az előzővel, hiszen így a formai elemeknél a kisebb eltérések is azonnal, világosan kiderülnek, valamint minden megkeresésnél átgondoljuk, hogy az adott bank vagy szolgáltató szokott-e az adott digitális csatornán egyáltalán kommunikálni!

Adathalászat telefonon vagy akár offline

Adathalászatra az SMS is kiváló platform, bár kevésbé elterjedt, mert ennek lehetnek költségei - plusz a rendelkezésre álló karakterszám nemcsak az üzenet hosszát, hanem a csalók lehetőségeit is korlátozza. De az ördög nem alszik!

Nem ritka az sem, hogy csalók bank vagy valamilyen más szolgáltató nevében telefonálnak - ilyenkor jellemző, hogy a bank vagy a szolgáltató nevét nem mondják ki, hiszen nem tudhatják, hogy a hívott fél mely banknak az ügyfele. A cél ugyanaz: személyes adatot, főleg belépési adatot és jelszót vagy kártyaadatokat kicsalni a gyanútlan emberekből. Természetesen a telefonos megkeresésre is igaz, hogy a bank illetve szolgáltató nem kér el semmilyen adatot telefonon - ha például adategyeztetésre van szükség, akkor telefonon legfeljebb erre a tényre hívják fel a figyelmet, és megkérik az ügyfelet, hogy fáradjon be valamelyik fiókba.

Bármilyen próbálkozás esetén nyugodtan kérjük az állítólagos ügyintézőt, hogy mondja el ő, melyik banktól telefonál és kit keres. Ha erre a két kérdésre nem tud válaszolni, akkor egyértelmű, hogy csalási kísérletről van szó. Ne dőljünk be annak sem, ha azt mondják, hogy az adatokra a papírmunka előkészítésére van szükség - a bank minden adatot ismer, nem kéri el újra!

A védekezés a telefonos csalások ellen pofonegyszerű, és csak egyetlen dolgot kell szem előtt tartani: ha a bank vagy szolgáltató adategyeztetés vagy bármilyen személyes információ miatt keres, akkor bontsuk a vonalat és hívjuk fel mi magunk az ügyfélszolgálatot szigorúan a bank/szolgáltató weboldalán található telefonszám segítségével. Ha valóban van intézendő ügy, akkor arról az ügyfélszolgálaton tudni fognak! A csalók egyébként azzal is megpróbálhatják elérni, hogy maradjunk vonalban, hogy hosszas várakozási időt lengetnek be arra az esetre, ha úgy döntenénk, mi magunk hívjuk fel a bankot - ez semmiképp ne állítson meg senkit.