Tehetetlenül nézik, ahogy kiürítik a bankszámlájukat – távoli hozzáféréssel lépnek be az áldozatok netbankjába a csalók

A többfaktoros hitelesítéshez nem elég a netbank belépési adatait megadni, még telefonos megerősítés is szükséges ujjlenyomat leolvasása vagy sms-kód beírása formájában. A hiszékeny áldozatokat azonban ez sem menti meg attól, hogy elvegyék az összes pénzüket, és ilyenkor sokszor még a bank is tehetetlen. Bemutatunk néhány jellemző csalási módszert, és tanácsot adunk, hogyan tudsz védekezni ellenük.

Távoli hozzáférést biztosító program telepítésével vernek át

A netes vásárlás során is óvatosnak kell lenni, de ma már az online piactereken már nem csupán a vevőket, hanem az eladókat is támadják a kibertér bűnözői – erre már a Magyar Nemzeti Bank (MNB), a rendőrség, a Nemzeti Kibervédelmi Intézet (NKI), a Magyar Bankszövetség, a Nemzeti Média- és Hírközlési Hatóság (NMHH) is figyelmeztet a kibertámadások megelőzése érdekében létrehozott KiberPajzs weboldalon.

Az eladó megkárosításának egyik leggyakoribb módja, hogy a magát „vásárlóként” bemutató csaló arra kéri, telepítsen valamilyen távoli hozzáférést biztosító programot (például AnyDesk vagy TeamViewer) a gépére vagy telefonjára annak érdekében, hogy „biztosítva legyen az átutalás fogadása”. Ha a tájékozatlan eladó eleget tesz a kérésnek, akkor jó eséllyel végignézheti, ahogyan belépnek az internetbanki fiókjába. A károsult gyakran még a többfaktoros hitelesítésben is segédkezik (például megadja a csalóknak az SMS-ben kapott kódot), ami azt eredményezi, hogy kizárják a saját banki profiljából és kiürítik a bankszámláját.

Ezt azonban nagyon egyszerűen el lehet kerülni. Csak annyit kell tudni, hogy pénzösszeg fogadásához a számlatulajdonos nevén és bankszámlaszámán (esetleg belföldi forintátutalások esetében bankszámlaszám helyett használt másodlagos azonosítóján, például e-mail-címén vagy mobiltelefonszám) kívül semmi egyébre nincs szükség.

Akinek ez nem elég, azzal meg kell szakítani a kapcsolatot. Emellett fontos, hogy senki ne töltsön le ismeretlen programot vagy applikációt számítógépre, telefonra.

Azt hazudják, hogy befektetik a pénzed – még hamis felületet is biztosítanak hozzá

Az online kereskedési platformok használatának buktatója, hogy jó néhány olyan „szolgáltató” is jelen van ezen a piacon, amely csalásra szakosodott

– derül ki a KiberPajzs másik aktuális tájékoztató anyagából. Ezek általában legálisan működő online kereskedési szolgáltatók honlapjait másolják. Közös jellemzőjük, hogy nincsenek kapcsolatban tényleges piacokkal, áltermékeket, álinformációkat jelenítenek meg.

Azt a látszatot keltik, hogy a fogyasztó ténylegesen befekteti a pénzét. A gyanútlan befektetőt korábbi nagyon „sikeres befektetések” miatt egyre nagyobb összegek befektetésére késztetik, sokszor telefonon, e-mailben vagy más online csatornákon keresztül is biztatják. A fogyasztók csak akkor fognak gyanút, amikor megpróbálják kivenni a pénzüket, amihez nem jutnak hozzá.

Az áldozatok gyakran bankjukhoz vagy az egyes utalásokat, bankkártyás tranzakciókat fogadó bankhoz fordulnak jogorvoslatért. Úgy vélik, hogy a bankoknak tudniuk kellett volna, hogy csalók számlájára kerülnek az átutalt vagy bankkártyás tranzakcióval teljesített összegek.

A gond az, hogy a kifogásolt tranzakciókat szinte minden esetben maga a károsult kezdeményezte, indította és hagyta jóvá. Így utólag nem igazán van esélye annak, hogy visszaszerezze a pénzét.

Az alapos tájékozódáson túl van néhány alapszabály, amit be kell tartanod:

• Semmiképpen ne adj meg kártyaadatokat, ne tölts le elektronikai eszközeidre távoli elérést biztosító szoftvereket!
• Átutaláskor vagy bankkártyás tranzakciónál ellenőrizd a kedvezményezett kilétét!
• Ébresszen gyanút, ha ismeretlen személy vagy cég számlájára kérnek utalást, esetleg a tranzakciót jóváhagyó kódot tartalmazó sms-ben a tranzakcióhoz nem köthető kedvezményezett neve vagy tranzakciótípus szerepel!

Az adathalászat mellett zsarolóprogramokkal is kényszeríthetnek ki pénzt

Az adathalászat (phishing) arra épül, hogy a felhasználókat általában könnyű lépre csalni hamis üzenetekkel. Főként olyan e-mailekkel, amelyekről azt hiszik, hogy valamelyik felettesüktől, a bankjuktól, valamilyen ismert szervezettől vagy weboldaltól kapták. Az adathalászok ma már AI-jal és ML-lel felerősített, kész hamis üzeneteket küldhetnek, amelyekkel rávehetik a becsapott személyt érzékeny adatai átadására.

A phishing gyakran folytatódik ransomware (zsarolóprogram) alkalmazásával, azaz zsarolással, amelyben az adatait kompromittáló károkozást elkerüléséért fizetnie kell a megtámadott vállalatnak.

A Lookout adatvédelmi cég adatai szerint 2022 minden egyes negyedévében a világ összes mobiltelefon-tulajdonosának felét érte adathalász-támadás. A becslést napi 210 millió eszköz, 175 millió alkalmazás és négymillió URL követésével készítették. E jelentésből az is kiderül, hogy

megugrott a beszéd-, az sms- és a QR-kód-alapú adathalászat. 

A Lookout becslése szerint a mobiltelefonokra építő adathalászat évente közel négymillió dollár kárt okozhat minden olyan nagyvállalatnál, amelynek legalább ötezer alkalmazottja van.

Kétélű fegyver a mesterséges intelligencia

A kiberbiztonsági szolgáltatások piaca évi 23,6 százalékos ütemben bővülve 2027-re eléri a 46,3 milliárd dolláros értéket – állítja az Internatinal Data Corporation (IDC) informatikai tanácsadó cég. Szakértők szerint a mesterséges intelligencia és a gépi tanulás lendületet ad az internetes biztonság erősítésének. A Forbes cikkírója ezzel egyetértve úgy véli, hogy a mesterséges intelligencia (AI) és a gépi tanulás (ML) kétélű fegyver:

segíthetnek az egyre kifinomultabb káros szoftverek, zsarolóprogramok és a felhasználókat megtévesztő, szélhámos akciók elleni védekezésben. Az adatok összevetésével például előre jelezhetik a várható bűncselekményeket.

Ugyanakkor a kiberbűnözők is használják egy ideje a mesterséges intelligenciát (AI) és a gépi tanulást (ML). Főként a gyengébben védett szervezetek, kkv-k, egészségügyi és oktatási intézmények elleni zsarolótámadásokban vetik be ezeket. Az Internet of Things (IoT) terjedése szintén szépen szaporítja azokat az eszközöket, amelyeket a technológiailag jól felszerszámozott bűnözők behatolási pontoknak tekinthetnek.

A technikai fejlődéssel párhuzamosan exponenciálisan nő a kiberbűnözés is. Az ilyen bűncselekmények kárértéke 2023-ban elérheti 8 ezer milliárd dollárt, ami 2025-re 10,5 ezer milliárdra nőhet – idézi a Forbes cikkírója a Cybersecurity Ventures szakfolyóirat becslését.

Az iskolák, közintézmények sincsenek biztonságban

A szakértők szerint jelenleg az adathalászattal előkészített zsarolótámadás jelenti a legnagyobb veszélyt, mind a magán-, mint a közszféra szervezeteire. Ez igaz a támadások számát és az anyagi kár nagyságát tekintve is.

Az idézett felmérés szerint 2022-ben a közintézmények és magánszervezetek 76 százalékát érte ransomware-támadás. Ezek 64 százaléka volt valóban megfertőzve valamilyen káros szoftverrel. Az érintett szervezetek fele tudta helyreállítani adatait azt követően, hogy kifizette a váltságdíjat a kibertámadás leállításáért. Riasztó, hogy a megtámadottak 66 százalékát, azaz kétharmadát egyszerre több egymástól független behatolás érte.

Ezek az adatok megdöbbentőek annak tükrében, hogy az emberek többsége az elektronikus levelezéstől a pénzügyi műveletekig ma már nagyon sok mindenre használja mobiltelefonját. A védekezés legalapvetőbb eszközei az alkalmazottak felkészítése az adathalász akciókra. Ezt nem lehet elégszer ismételni, mivel a támadók is reagálnak a felhasználók tanulására. Például a korábbi árulkodó jeleket, a rosszul írt szavakat és ehhez hasonló hibákat javították adathalász üzeneteikben.

A legbiztosabb védekezést a hozzáférések folyamatos ellenőrzése jelenti. Például korlátozni lehet az alkalmazottak hozzáférését azzal, hogy csak kétlépcsős azonosításon átjutva férhetnek hozzá bizonyos adatokhoz. Sok cég megtiltja alkalmazottainak bizonyos webhelyek felkeresését, így nehezítve meg az adathalász feladók dolgát. További jó tanács lehet az érzékeny adatokból backup (biztonsági mentés) készítése, ha lehet titkosítással kiegészítve és külön hardverre telepítve.

A főnököd nevében küldött emaillel próbálhatnak átverni

Az adathalászattal összefüggésben 2022 negyedik negyedévében a harmadik negyedévhez képest 64 százalékkal nőttek az úgynevezett business email compromise (BEC) támadások. Ezek jelentős részében a támadók a vállalatok vezetői nevében írt e-mailekkel verik át az alkalmazottakat. A csalók az esetek négyötödében a vezetőkre jellemző fogalmazást használtak elektronikus leveleikben.

Az egyik leggyakoribb taktika, hogy az alkalmazottat privát telefonszáma megerősítésére kérik főnöke nevében, amit azután voice-phishingre használnak. Riasztó körülmény az is, hogy ezek a fajta csalások egyre kevésbé kötődnek az angol nyelvhez. Az ilyen adathalászat 80-90 százalékkal nőtt Hollandiában, Svédországban, Spanyolországban, Németországban és Franciaországban.

A másik ismert szélhámosság a Magyarországon leginkább nigériai csalásként ismert módszer szintén egyre jobban terjed, amelyben hamis pénzügyi befektetésekre bírják rá a megtévesztett felhasználót. Az amerikai versenyhatóság szerepét betöltő Federal Trade Commission (FTC) adatai szerint az ilyen csalások 2022-ben 8,8 milliárd dollár kárt okoztak az embereknek. Ez 30 százalékkal magasabb a 2021-es kár összegénél. A legriasztóbb körülmény talán az, hogy egy év alatt 1,1 millió azonosítólopásról érkezett jelentés FTC-hez.

A pártoktól független amerikai Bipartisan Policy Research Center felsorol több olyan kiberbiztonsági kockázatot, amelyek kifejezetten 2023-ban jelentkezhetnek:

• Az orosz–ukrán háború. A Nyugat és Oroszország kiéleződött konfliktusában csökkentek a kibertámadások, dezinformációs kampányok, vállalati kémkedések indításával kapcsolatos gátlások.
• A kiberháborús fegyverkezési verseny erősödése. A bűnözők bárki számára elérhető eszközökre támaszkodhatnak, ami megkönnyíti a támadásokat. A több támadás jobb védekezést igényel.
• Világgazdasági ellenszél. A magas infláció, a tőkepiacok hullámzása mérsékelheti a kiberbiztonságra fordított befektetéseket.
• Hiányzó biztonsági intézkedések. A vállalatok és más szervezetek ugyan sokat javítottak kiberbiztonságukon, ám ma is előfordul, hogy nincs felelős vezetője a folyamatos védekezésnek.
• Hiányos infrastruktúra. Sok nem piaci szervezet gyengén felkészült kiberbiztonsági szolgáltatóval működik együtt, miközben jellemzően ezek használnak elavult szoftvereket.
• A szakemberek hiánya. A megfelelően képzett, hozzáértő kiberbiztonsági alkalmazottak hiánya növeli a sikeres kibertámadások lehetőségét.

Egyre több céget támadnak meg

Finoman szólva is veszélyes az átlagemberek, a vállalatok és más szervezetek köré épülő digitális környezet

– vezeti fel friss kiberbiztonsági helyzetértékelését Chuck Brooks világszerte ismert kiberbiztonsági szakember, egyetemi professzor a Forbes magazinban megjelent cikkében. Ebben a környezetben minden vállalat, minden márka, minden információ- és jövedelemáramlás a kiberbűnözők célpontja.

Az elmúlt 12 hónapban a cégvezetők 34,5 százaléka tapasztalt az interneten indított támadást vállalata számviteli nyilvántartási rendszere vagy pénzügyi adatai ellen – derül ki a Deloitte Center for Controllership tanácsadó cég felméréséből. Ezen a csoporton belül a megkérdezettek 22 százaléka jelentett legalább egy esetet, míg 12,5 százalékuk cége ellen egynél több behatolási kísérlet indult.

A vállalatvezetők 48,8 százaléka, azaz lényegében fele arra készül, hogy a következő egy évben a korábbinál több kibertámadás éri cége pénzügyi elszámolási rendszerét és adatait. Eközben csak 20,3 százalékuk számolt be arról, hogy szervezete szerződéses kapcsolatban szorosan együttműködik valamilyen külső internetes biztonsági szolgáltatóval a károk megelőzése érdekében.

A biztonsági rések szó szerint informatikai rendszerek legmélyén vannak kódolva

A nyílt forrással kapcsolatos sérülékenységek 84 százaléka a kódolás szintjén jelentkezik – derül a szoftverek biztonságával foglalkozó amerikai Synopsys adataiból. Mivel a legtöbb alkalmazás valamilyen szinten támaszkodik nyílt forráskódra, ez nem jelentéktelen biztonsági probléma. A sérülékenység magában foglalhat rosszul megírt kódokat, a biztonsági funkciók hiányát és a szoftverkomponensek gyenge illesztését.

A Synopsys jelentése megállapítja, hogy számos olyan kódszintű sérülékenység ismert, amelyeket a vállalatok, más szervezetek nem kezelnek. Eközben a légi iparban, az autógyártásban, a közlekedésben és a logisztikában használt szoftverek teljes kódkészletének 73 százaléka nyílt forrású.

Ezek réseit behatolási tesztekkel lehet felfedezni, tudatosan használva a javítószoftvereket (patching). A jelentésből kiderült, hogy a vállalatok nem kellően élnek az utóbbi lehetőséggel. A Synopsys szakemberei 1481 kódszintű vizsgálatot végeztek, és a rendszerek 91 százalékban idejétmúlt nyílt forrású komponenseket találtak. Olyanokat, amelyeknek létezik frissítése vagy javítószoftvere, de nem alkalmazták ezeket.

A Forbes szakszerzője szerint a nyílt forráskóddal kapcsolatos veszélyek elkerülésének legjobb eszköze a Software Bill of Materials (SBOMS) használata. Ezek szoftverkönyvtárak, amelyek felsorolják egy-egy rendszer programösszetevőit és azok származását. Így megkönnyítik folyamatos monitorozásukat és kockázatelemzésüket.