A Magyar Nemzeti Bank adatai szerint 2024 harmadik negyedévében is közel 9 milliárd forintos kárt okoztak a bankkártyás, illetve elektronikus fizetési forgalomhoz kapcsolódó visszaélések. A csalók átutalásokon keresztül nagyjából 6 milliárd, bankkártyás csalásokkal pedig 2,8 milliárd forintot loptak el az áldozatoktól. Az alábbi esetek mindegyike egy valamire mutat rá: bármilyen fejlett biztonsági megoldások léteznek is a vírusvédelmi szoftverektől a tűzfalakig, a leggyengébb láncszem legtöbbször az ember.

Kiberbiztonsági szakértők szerint 2025-ben a nagyméretű nyelvi modellek és a deepfake technológiákban rejlő fenyegetések kerülnek majd előtérbe, soha nem látott mértékű kiberkockázati veszélyt jelentve a nagyvállalatokra és az egyéni felhasználókra egyaránt.

„ál-BKK” = Bedőlsz, Kegyetlenül Kifosztunk

Sajnos bőven válogathatunk hazai példákból! Tavaly augusztusban indult például egy hamis Facebook-oldal, amely úgy állította be magát, mintha a Budapesti Közlekedési Központhoz tartozna. Itt aztán az első 500 vásárlónak mindössze 950 forintért ígért Budapest-bérletet hat hónapra. Ehhez valóban csak ezt a kis összeget kellett kifizetni, és egy rövid űrlapot kitölteni – természetesen érzékeny adatokkal, aminek eredményeképp a „nyertesek” az ezer forintos álomár sokszorosát veszítették el.

Októberben a Fővárosi Állatkert nevében indult hasonló kampány: a csalók az intézmény 155. születésnapja alkalmából indítottak belépőjegyeket ígérő nyereményjátékot a Facebookon, ahol aztán a kommentelőket privát üzenetben ostromolták bankkártya adataikért, általában arra hivatkozva, hogy az állítólagos nyeremény eljuttatásához szükséges postaköltségre kérnek pénzt.

Apróhirdetés, nagy veszteség

2023-ban indult, de mind a mai napig virágzik az a csalássorozat, amelyben olyanokat céloznak meg, akik internetes apróhirdetési oldalakon próbálnak eladni valamit. A bűnözők vevőként jelentkeznek, majd egy átverős weboldalra mutató linket küldenek, amelyen a bankkártya adataik megadására kérik az eladót, hogy villámgyorsan kifizethessék a terméket. Ezután bediktáltatják az eladóhoz érkező hatjegyű kódot, de ez már nem az utaláshoz, hanem egy digitális e-pénztárca nyitásához kell, hogy aztán egy erre alkalmas bankautomatából a maximálisan elérhető összeget vehessék fel.

Csomagod érkezett! Vagy mégsem?

Az alábbi eset sem egyedi, de jól bemutat egy ma is gyakori csalási formát. Az áldozat SMS-t kapott az egyik ismert csomagküldő szolgálattól, amely azt állította, rosszul adta meg egy küldeménye címét, de azt egy kisebb összeg fejében, a jó cím megadásával újra kiszállítják. Az üzenetben található link a cég weboldalával egy az egyben megegyező felületre vitte, tökéletes logóval, grafikai felépítéssel, online fizetési felülettel. A többi már nem meglepő: aznap éjjel a bankjától érkezett egy – ezúttal valóban hiteles – üzenet, melyben értesítették, hogy letiltották a kártyáját, arról ugyanis gyors egymásutánban Aliexpress-rendeléseket fizettek ki, összesen 800 ezer forint értékben. Az összegnek azóta sem tudtak a nyomára bukkanni.

Rajongunk a csalókért: Taylor Swift és az olimpia esete

A helyzet világviszonylatban sem jobb, sőt! Napjaink egyik legnagyobb pop szenzációja Taylor Swift, akinek koncertjeire percek alatt elkapkodják a jegyeket. A tavalyi turnéjának brit szakasza előtt sem volt ez másképp, ezt használták ki a csalók, akik a valódi jegyárusító oldalakhoz megtévesztően hasonlító hamis oldalakat hoztak létre, ahova e-mailekkel csalogatták a rajongókat. A Lloyds Bank már áprilisban, az első koncertek előtt mintegy két hónappal bejelentette, hogy a jegyet vásárlók több mint egymillió fontot veszítettek óvatlanságukkal. A jelenség azonban nem csak a zeneiparra jellemző: 2024-ben az olimpiára fogytak nagy számban a hamis jegyek, amelyek csak arra voltak jók, hogy átverjék az óvatlan sportrajongókat.

Nem ki, hanem MI!

A hongkongi rendőrség tavaly februárban számolt be egy már tényleg ijesztő esetről: egy multinacionális cég pénzügyes kollégája részt vett egy többszereplős videó-konferencián, amelyen a főnöke megkérte, hogy utaljon át 25 millió dollárt egy számlaszámra. A kolléga ezt meg is tette. Nem sokat kellett várni, hogy kiderüljön a turpisság, a meetingen rajta kívül ugyanis minden egyes résztvevőt mesterséges intelligencia segítségével állítottak elő. A konferenciahívás résztvevőinek arca, hangja és mimikája annyira meggyőző volt, hogy az áldozat egy percig sem gyanakodott.

Az átvertek átverése

A következő esetet a szomszédunkból, Romániából jelentették, itt derült fény az egyik legpofátlanabb csalásra. Ismeretlenek ugyanis pont olyan áldozatokra utaztak, akiket már valamilyen formában kár ért egyéb átverések során. Az elkövetők közösségi médiában terjesztett linkekkel olyan weboldalakra vezették őket, amelyek jogi segítséget ígértek nekik, valamint azt állították, hogy visszaszerzik az elvesztett pénzösszegeket. Azonban a reménykedők itt olyan kérdőíveket töltöttek ki, amelyekkel ismét hozzáférést adtak a banki szolgáltatásaikhoz, hogy aztán a bűnözők még a maradék pénzüktől is megszabadítsák őket… másodszorra.

Tanulj és védd magad!

Amennyiben bárkit anyagi kár ér az online térben, azonnal értesítenie kell a bankját és a rendőrséget. A jogszabályok szerint a bank köteles minden tőle telhetőt megtenni a pénz visszaszerzése érdekében, de nem garantált, hogy sikerrel is jár.

Mint azt a példák is mutatják, az online térben elkövetett visszaélésekre egyelőre nincs tökéletesen megbízható védőháló, ami segítene talpra állni, ha egy rossz kattintásból, adatmegosztásból eredően kicsúszik a talaj a lábunk alól. Ugyanakkor a legtöbb esetben a megfelelő figyelem és az egészséges gyanakvás elegendő lenne, hogy megóvjuk az adatainkat és a megtakarításainkat – írják.

Amellett, hogy nem derül ki, hogy ki üzemelteti és hogyan kezeli az adatokat, egy orosz mérőkód is fut rajta, és más jelek is arra utalnak, hogy orosz fejlesztésű szolgáltatásról van szó.

A kódgenerátorok úgy használhatók, hogy az alkalmazást össze kell kötni a fiókunkkal, ahová be szeretnénk lépni, így a következő bejelentkezéskor már a generált kódot is meg kell adni a felhasználónév és a jelszó után, különben nem enged be az oldal. A TOTP.APP is így működik, de nem okostelefonos alkalmazásként, hanem weboldalként, amelyet böngészőben lehet megnyitni, így akinek gondot okoz az okostelefonos megoldás, vagy csak nem szimpatikus neki, anélkül is tudja használni az Ügyfélkapu+-t – teszik hozzá.

A 24. hu szerint viszont péntek este eltűnt az orosz mérőkód a TOTP.APP oldalról.

Az Ügyfélkapu szolgáltatójaként működő IdomSoft ezután közleményt adott ki, hogy az oldal nem kezel személyes vagy érzékeny adatokat. Az orosz kód pedig azért sem tudna Ügyfélkapu-adatokat bárhova továbbítani, mert ilyenekhez maga a TOTP.APP sem fér hozzá. Mindazonáltal biztonságtechnikai szakértők részéről több kritika is érte a kormányt, amiért orosz fejlesztésű szolgáltatást ajánl egy uniós ország állampolgárainak állami ügyintézéséhez.

A Telex olvasója időközben észrevette, hogy a mérőkód már nem fut az oldalon. Egy másik változásra is figyelmes lett: a tájékoztató üzenet szerint a TOTP.APP kódja és domain neve húszezer dollárért, mintegy nyolcmillió forintért eladóvá vált.

Photo by Chris Yang on Unsplash

]]>