Júzer Mánuel

A zsebünkben hordott okostelefon manapság már messze több, mint egy kommunikációs eszköz: hozzáférést ad a legszemélyesebb adatainkhoz, a bankszámlánkhoz és a teljes digitális identitásunkhoz. Ezzel azonban nemcsak mi vagyunk tisztában, hanem a kiberbűnözők is. Az elmúlt években a klasszikus e-mailes adathalászat mellé felzárkózott a „smishing”, vagyis az SMS‑es csalás, amely soha nem látott intenzitással érte el hazánkat is. Ezek az üzenetek nem ügyetlen próbálkozások, sokkal inkább tudatosan felépített, manipulatív támadások a felhasználókkal szemben.

Forrás: GettyImages

A szolgáltatók nevében elkövetett visszaélések

A csalók módszerének alapja az utánzás. Olyan cégek nevében küldenek üzeneteket, amelyekkel a legtöbben rendszeresen kapcsolatba kerülünk. A leggyakoribb álnevek között szerepelnek a csomagküldő szolgálatok (DPD, GLS, Foxpost, Magyar Posta), a streaming platformok (Netflix, Disney+), valamint a bankok.

A forgatókönyv szinte mindig ugyanaz: érkezik egy sürgető hangvételű SMS, amely szerint „címhiba miatt nem kézbesíthető a csomag”, „lejárt az előfizetés a sikertelen fizetés miatt”, vagy „biztonsági okokból zárolták a banki hozzáférést”. Az üzenet tartalmaz egy linket, amely egy megtévesztően élethű, hamis weboldalra vezet. Itt a felhasználó - abban a hitben, hogy hivatalos felületen jár - saját maga adja meg a bankkártyaadatait vagy az online banki belépési kódjait.

Forrás: duol.hu

Miért dőlünk be mégis?

A sürgető üzenetek stresszhelyzetet teremtenek, ezért nem meglepő, hogy ilyenkor a racionális gondolkodás háttérbe szorul, és az érzelmi alapú, gyors döntéshozatal kerül előtérbe.

Különösen veszélyesek a streaming szolgáltatók nevében érkező értesítések. Mivel ezek havidíjas rendszerek, egy sikertelen fizetésről szóló üzenet teljesen hihetőnek tűnik. A felhasználó attól tartva, hogy nem fér hozzá a kedvenc sorozataihoz, gondolkodás nélkül rákattint a linkre, ezzel pedig saját maga adja át a csalóknak a teljes hozzáférését.

Sokan abban bíznak, hogy a feladó neve alapján meg tudják különböztetni a valódi üzenetet a csalótól. A valóság azonban az, hogy a modern technika lehetővé teszi az úgynevezett ID‑spoofingot, vagyis, hogy a támadók tetszőleges feladói nevet jeleníthetnek meg. Így az üzenet akár a korábbi, valódi üzenetekhez is bekerülhet, ami tovább növeli a hitelesség látszatát.

A megelőzés aranyszabályai

A szakértők egyhangú véleménye szerint a leghatékonyabb védekezés a tudatos magatartás. Íme a legfontosabb óvintézkedések:

• Soha ne kattintsunk direkt linkre! Ha értesítést kapunk egy szolgáltatótól, ne az üzenetben lévő hivatkozást használjuk! Nyissuk meg a hivatalos alkalmazást vagy írjuk be a böngészőbe a szolgáltató ismert webcímét, és ott ellenőrizzük a fiókunk állapotát!
• Figyeljük a domaint! A csaló oldalak URL-címei gyakran csak egy karakterben térnek el az eredetitől (például netfIix.com az i betű helyett nagy I-vel szerepel). Ha a link furcsa karaktereket vagy hosszú számsorokat tartalmaz, azonnal gyanakodjunk!
• A bank soha nem kéri a jelszavunkat! Egyetlen legitim pénzintézet vagy szolgáltató sem kéri el SMS-ben vagy e-mailben a jelszavunkat, a PIN-kódunkat vagy a CVC-kódunkat. Aki ezeket kéri, az bizonyosan csaló!
• Használjunk kétlépcsős azonosítást! Ez az egyik legerősebb védelmi vonal. Még ha meg is szerzik a jelszavunkat, a telefonunkra érkező külön jóváhagyás nélkül nem tudnak belépni a fiókunkba.

Mit tegyünk, ha már megtörtént a baj?

Ha későn eszmélünk, és megadtuk az adatainkat, azonnal lépjünk kapcsolatba a számlavezető bankunkkal, és kérjük a bankkártya és az online banki hozzáférés zárolását! Ezt követően tegyünk feljelentést a rendőrségen (még akkor is, ha az összeg csekélynek tűnik), hiszen a hatóságok csak a bejelentett adatok összesítésével tudják felderíteni a szervezett bűnözői csoportokat.

Ne feledd: egyetlen valódi szolgáltató sem fog SMS-ben sürgetni, hogy perceken belül add meg banki adataidat! Maradj éber, és ne hagyd, hogy a kiberbűnözők a félelemre vagy a kényelemre alapozva hozzáférjenek a pénztárcádhoz!