Az ESET biztonságtechnológiai cég legújabb bejegyzésében a kártyacsalásokról ír, és bemutat néhányat a leggyakoribb módszerek közül, amelyekkel a hackerek megszerezhetik a bankkártyánk adatait, egyúttal tippeket ad arra is, hogyan védhetjük ki ezek a támadásokat.
Az ESET kutatói bemutatják az 5 leggyakoribb módszert, amelyekkel a hackerek megszerezhetik a kártyaadatokat, és tanácsokat is adnak arra vonatkozóan, hogyan lehet kivédeni, megelőzni a kártyaadatok megszerzéséért indított támadásokat:
Adathalászat. Az adathalászat a kiberbűnözők egyik legnépszerűbb adatlopási módszere. A legegyszerűbb trükk, amikor a hacker egy legitim szervezetnek (például banknak, e-kereskedelmi cégnek vagy műszaki vállalatnak) adja ki magát, hogy rávegye a felhasználót a személyes adatok megosztására vagy rosszindulatú szoftverek letöltésére. Gyakran arra ösztönzik áldozatukat, hogy kattintsanak egy linkre vagy nyissák meg a csatolmányt. Ezáltal a felhasználó egy adathalász oldalra juthat, ahol személyes és pénzügyi adatok megadására kérik. Az adathalászat 2022 első negyedévében minden eddiginél magasabb szintet ért el a statisztika szerint. Az ESET adatai alapján ezek az átverések az elmúlt években továbbfejlődtek. Manapság már előfordulhat, hogy e-mail helyett egy kártékony SMS-t kap az áldozat a hackertől, aki egy futárszolgálatnak, kormányhivatalnak vagy más megbízhatónak tűnő szervezetnek adja ki magát.
A csalók akár fel is hívhatják az embereket, hogy megerősítsék, valóban megbízhatóak, és így próbálnak kártyaadatokat megszerezni az áldozatoktól. Az SMS-ben történő adathalászattal (smishing) összefüggő esetek száma 2021-ben több mint kétszeresére nőtt az azt megelőző évhez képest, míg a hangalapú adathalászat (vishing) szintén jócskán megugrott egy felmérés szerint.
Kártevő szoftverek. A kiberbűnözői alvilág hatalmas piac, nemcsak az adatok, hanem a kártevő szoftverek tekintetében is. Az évek során különböző típusú kártékony programokat fejlesztettek ki információlopásra. Ezek közül néhány a billentyűleütéseket rögzíti – például amikor a kártyaadatokat gépeljük be egy webshopban vagy banki oldalon. Hogyan telepítik a bűnözők ezeket az eszközöket a felhasználók gépeire? Az adathalász e-mailek vagy SMS-ek népszerű módszernek számítanak, ahogyan a kártékony online hirdetések is. Más esetekben népszerű weboldalakat fertőznek meg, és megvárják, hogy a felhasználók felkeressék azokat. Ezek a Drive-by-download típusú kártevő szoftverek azonnal települnek az eszközökre, amint valaki meglátogatja a fertőzött weboldalt. Az információtolvaj szoftverek pedig gyakran valódinak és megbízhatónak tűnő, de valójában rosszindulatú mobilalkalmazásokban is megtalálhatóak.
Digitális „lefölözés”. Az ESET figyelmeztetése szerint előfordul az is, hogy a hackerek kártékony szoftvereket telepítenek az e-kereskedelmi cégek fizetési oldalaira. Ezek láthatatlanok az áldozat számára, de képesek megszerezni a bankkártyaadatokat azok beírásakor. A felhasználók itt látszólag nem sokat tehetnek adataik biztonsága érdekében, azon túl, hogy csak nagynevű márkáktól és neves weboldalakon vásárolnak, amelyek valószínűleg biztonságosak. A digitális „lefölözéses” (digital skimming) esetek száma 150 százalékkal nőtt 2021 májusa és novembere között.
Adatsértések. Olykor a kártyaadatokat közvetlenül azoktól a vállalatoktól lopják el, amelyektől a felhasználó vásárol, legyen szó egészségügyi szolgáltatóról, e-kereskedelmi áruházról vagy éppen utazási irodáról. A hackerek szempontjából ez egy költséghatékony módszer, mivel egyetlen támadással hatalmas adathalmazhoz juthatnak hozzá.
Nyilvános wifi. Utazás közben csábító lehet ingyenesen használni a világhálót a nyilvános wifi-hotspotokon keresztül a repülőtereken, szállodákban, kávézókban és más közösségi terekben. Viszont még akkor sem lehetünk biztosak abban, hogy a kapcsolat biztonságos, hogyha fizettünk azért, ugyanis hackerek is használhatják a hozzáférést, hogy kémkedjenek az adatok után, miközben a felhasználó beírja azokat az eszközébe.
Hogyan tartsuk biztonságban kártyaadatainkat? Szerencsére számos módja van annak, hogy csökkentsük az adatlopások kockázatát. Mindenképp érdemes az alábbiakat tanácsokat megfogadni, és alkalmazni.
Maradjunk éberek: soha ne válaszoljunk kéretlen e-mailekre, ne kattintsunk az abban szereplő linkekre, és ne nyissuk meg az ilyen e-mailek csatolmányait. Könnyen lehet, hogy kártevő szoftvereket tartalmaznak, vagy olyan hitelesnek tűnő adathalász oldalakra vezethetnek, ahol az adatok megadását kérik.
Ne osszunk meg információt idegenekkel, akkor sem, ha a beszélgetőpartner meggyőzőnek hangzik. Kérdezzük meg, honnan hívnak bennünket, majd keressük fel az említett szervezetet, hogy ellenőrizhessük a hívás valódiságát. Ne használjuk az ismeretlen által megadott elérhetőségeket.
Ne használjunk nyilvános wifihálózatot, különösen virtuális magánhálózat (VPN) nélkül. Amennyiben muszáj csatlakoznunk, ne csináljunk semmi olyat a hálózaton, amihez kártyaadatokat kell megadni (például online vásárlás).
Ne mentsük el a kártyaadatokat online vásárlás során, még akkor sem, ha ezzel időt takarítanánk meg a későbbi tranzakciók esetében. Így csökkenthető annak az esélye, hogy megszerezzék bankkártyaadatainkat, amennyiben az adott cég fiókját feltörik vagy megtámadják.
Töltsünk le minden számítógépünkre és eszközünkre (például mobiltelefonokra vagy táblagépekre) kártékony programok és adathalászat elleni védelmet egy megbízható és elismert biztonsági szolgáltatótól.
Használjunk kétfaktoros hitelesítést bizalmas fiókjainknál. Ez csökkenti annak az esélyét, hogy hackerek lopott jelszavakkal feltörjék azokat.
Csak megbízható alkalmazásokat árusító boltból töltsünk le applikációkat (Apple App Store, Google Play).
Amennyiben online vásárolunk, csakis HTTPS-protokollal rendelkező oldalakon keresztül tegyük azt (ez esetben a böngésző címsorában az URL-cím mellett egy lakatnak kell megjelennie). Így kisebb az esélye annak, hogy adataink illetéktelen kezekbe kerülnek.
Végül pedig jó módszer, ha figyeljük az összes bank- és kártyaszámlánkat. Ha gyanús tranzakciót észlelünk, azonnal értesítsük bankunk vagy kártyaszolgáltatónk csalással foglalkozó munkatársait. Egyes alkalmazások már lehetővé teszik, hogy befagyasszuk minden kiadásunkat bizonyos kártyákon, amíg meg nem bizonyosodunk arról, hogy valóban történt-e biztonsági incidens. Rengeteg módja van annak, hogy a bűnözők megszerezzék kártyaadatainkat, de mi magunk is sokat tehetünk azért, hogy megállítsuk őket.
