A Szövetségi Kereskedelmi Bizottság (FTC) szerint 2021-ben az amerikai fogyasztók összesen közel 6 milliárd dolláros kárt szenvedtek el online csalások miatt, ami 70 százalékos növekedést jelent az előző évhez képest. Tökéletesnek tűnő áloldalakat készítenek, ahol elhitetik, hogy belépőket nyerhetünk – melyek postázásához még a bankkártyaadatainkat is meg kell adni. Az ESET kiberbiztonági szakértői összegyűjtötték azokat az intő jeleket, amelyek segítenek időben felismerni az átveréseket.

Ma már nyelvileg is nagyot fejlődtek az átverések: a két évvel ezelőtt FedEx nevében elkövetett csalás ugyan magyar/szlovák nyelven, de hibásan, ékezetek nélkül igyekezett megtéveszteni a mobiltelefon-tulajdonosokat. Azóta az SMS-adathalászat, a smishing egyre nagyobb méreteket öltött, egyre pontosabb és nyelvileg tökéletesebb lett: a mostanában futó kampányban +33-as előhívószámmal rendelkező franciaországi telefonokról érkeznek az SMS-ek.

Vámkezelésre, címegyeztetésre, egyéb mondvacsinált blokkolási problémákra hivatkozva kártékony linkeket mellékelnek, amik aztán például a Google- és egyéb bejelentkezési adatokat próbálják meg tőlünk ellopni. Csak kisebb összeget (jellemzően egy-öt eurót) kérnek, ami nem tűnik nagy veszteségnek, ám sokan nem számolnak azzal, hogy hackereknek adták meg a bankkártyaadataikat, ezért ennél sokkal több pénzük is bánhatja.

Néhány esetben rögtön nyilvánvaló, hogy valami baj történt, például rákattintunk egy adathalász linkre, és a másodperc törtrésze alatt tudatosul, mit tettünk. Más esetekben azonban kevésbé nyilvánvaló, hogy áldozatokká váltunk. Előfordulhat, hogy egy harmadik félnél, valamilyen általunk használt szolgáltatásnál történt incidens: adatlopás vagy adatszivárgás által jutnak bankkártyaadataink vagy személyes adataink hackerek kezébe. Ezeket az adatokat általában egy csalók által használt kiberbűnözői piactéren értékesítik.

A személyes adatokat nagy mennyiségben vásárolják meg, majd automatizált támadásokhoz használják fel őket, többek között adathalászat, kifi zetéseket érintő csalás, kártyaazonosító- lopás vagy illetéktelen számlahozzáférés, illetve új számla nyitásával kapcsolatos (NAF) csalás során.

A felhasználói fiókok bejelentkezési adatait külön-külön tovább értékesíthetik, hogy a jogosulatlan vevők hozzáférhessenek például streamingvagy egyéb szolgáltatásainkhoz. A rossz hír az, hogy a lopott adatok folyamatosan áramlanak a kiberbűnözői alvilágba. 2022-ben csak az Egyesült Államokban több mint 1800 adatvédelmi incidenst jelentettek, amely 422 millió fogyasztót érintett, ez pedig 40 százalékos növekedést jelent 2021-hez képest.

Lássuk az 5 árulkodó jelet, amely arra enged következtetni, hogy online csalás áldozatai lettünk:

Szokatlan tranzakciók és/ vagy új hitelkeretek. Amennyiben (pénzügyi) adataink csalók birtokába kerülnek, egyszerűen felhasználhatják azokat fi zetési csalásokhoz – anélkül, hogy tudnánk róla. Személyazonosító adatainkkal pedig akár új hitelkártyákat is igényelhetnek. Előbbiről a bankszámlánkon tapasztalható szokatlan aktivitás révén értesülhetünk. Az új számla nyitásával kapcsolatos csalásokat (NAF) nehezebb észlelni, egészen addig, amíg nem kapunk egy levelet vagy egy e-mailt a késedelmes fi zetésekről. A felhasználók gyakran akkor értesülnek először a NAF-ról, amikor ellenőrzik hitelbírálati minősítésüket és/vagy elutasítja őket egy hitelintézet.

A megvásárolt termék nem érkezett meg. A csalók általában drága termékeket hirdetnek az interneten erősen nyomott áron, azonban a kínált áru valószínűleg nem létezik és csak a vevő pénzének megszerzése a cél. Vegyük intő jelnek, ha olyan előreutalásos alkalmazásokon keresztül kérik a vételárat, mint a Zelle, illetve a Venmo vagy a Cash App, amelyek nem nyújtanak vásárlói védelmet.

Eltűnik a „romantikus ismerős”. Az FBI adatai szerint a romantikus csalások 2021-ben több mint 956 millió dollárt hoztak a szélhámosok konyhájára. Valószínűleg ez csak a jéghegy csúcsa, mivel sok esetet nem jelentenek be az áldozatok, akik túlságosan szégyellik bevallani, hogy átverték őket. A romantikus csalók online ismerkednek áldozatukkal társkereső felületeken, ám mielőtt élőben is megismerhetnénk, előtte pénzt kérnek különböző valótlan dolgokra, például orvosi számlákra vagy állítólagos utazási költségekre. Ha az áldozat később visszakérné a pénzét vagy már sokadszorra nem hajlandó többet utalni, a csalók egyszerűen eltűnnek, és soha többé nem hallani felőlük.

Nem sikerül belépni a felhasználói fiókokba. A bejelentkezési adatok megszerzésével a csalók hozzáférnek a fiókjainkhoz, és megváltoztathatják a jelszavainkat. A fiókokból különböző személyes adatokat lophatnak el, beleértve a tárolt hitelkártyaadatokat is. A bejelentkezéshez szükséges felhasználónév és jelszó önmagában is értékes. Az Instagram-fiókok egyenként 45 dollárt érnek egy jelentés szerint, szemben a társadalombiztosítási számmal, amely 2 dollárt ér a darkweben. Ez azért van, mert a közösségi fiókok megszerzésével spameket lehet küldeni a profilt követő más felhasználóknak, ismerősöknek.

Nem tudunk pénzt kivenni a kripto befektetéseinkből. Szintén elterjedtek a befektetési csalások, amelyek áldozatai 2021-ben összesen csaknem 1,5 milliárd dolláros veszteséget szenvedtek el, ennél nagyobb kárt csak az üzleti e-mailek feltörése okozott. A felhasználót jellemzően nagy hozammal kecsegtető befektetési lehetőségekkel győzik meg, amikor viszont az ügyfél ki akarja venni a pénzét, a csalók felszívódnak.

Mit tegyünk, ha átvertek bennünket? Amennyiben komoly összegről van szó, érdemes a hatóságokhoz fordulni. Ha pénzügyi adatokat loptak el, vegyük fel a bankunkkal is a kapcsolatot. Egyes banki alkalmazásokban néhány gombnyomással be tudjuk fagyasztani a feltehetően csalók által használt bankkártyákat. Kérjünk a banktól cserekártyát. Ahhoz, hogy a jövőben jobban fel legyünk készülve, és hatékonyabban tudjuk megelőzni a kibertámadásokat, érdemes átgondolni az alábbiakat.

Cseréljünk jelszót. Használjunk erős, egyedi jelszavakat, amelyeket ideális esetben megbízható jelszókezelő tárol. A két- vagy többfaktoros hitelesítés nagyobb védelmet biztosít az adathalászok és a csalókkal szemben. Rendszeresen frissítsük, tartsuk naprakészen az eszközeinket, szoftvereinket. Ne mentsük el a személyes és/vagy pénzügyi adatokat online fiókokban, böngészőben. Bár körülményesebb minden egyes alkalommal megadni az adatokat, sokkal biztonságosabb eljárás. Gondoskodjunk arról, hogy minden eszközünk és számítógépünk megbízható forgalmazótól származó, kártékony szoftverek elleni védelemmel rendelkezzen. Használjunk megbízható biztonsági megoldást minden eszközünkön. Ne kapkodjunk, ne hagyjuk sürgetni magunkat! Blokkolt csomagra hivatkozó SMS esetén álljunk meg és gondoljuk végig: egyáltalán várunk csomagot külföldről? Minden kattintás előtt álljunk meg egy pillanatra és gondoljuk át, hogy van-e bármi gyanús az üzenetben, legyen az a feladó, a link furcsasága vagy a szokatlan nyelvi fordulatok.

Az átverések sajnos igen sokfélék lehetnek, de odafigyeléssel nem elkerülhetetlenek. Ha mégis megtörténik, maradjunk nyugodtak, és a fenti tanácsokat megfogadva próbáljuk meg minimálisra csökkenteni a károkat.

(eset, szl)