



A “Nigériai” csalás
A „nigériai típusú” csalás a megtévesztés egyik legrégebbi, 19. század végén elterjedt formája. Kezdetben hagyományos, postai úton vagy faxon terjedt, de a telekommunikációs eszközök fejlődésével, valamint az internet és az e-mail terjedésével ennek a csalástípusnak is az online tér vált a fő platformjává.
A hamis levelekben, megkeresésekben jellemzően segítséget kérnek az elkövetők: menekültek vagyonának visszaszerzéséhez, jogtalanul elvett örökség, valamilyen okból átmenetileg hozzá nem férhető összeg megszerzéséhez stb. Közösségimédia-oldalakon, online társkereső portálokon terjed a nigériai csalás azon változata, melynél az elkövető romantikus kapcsolatot épít fel leendő áldozatával, mielőtt valamilyen megható történettel pénzt kér tőle. A megtévesztő történetet valódinak látszó, de hamis közösségimédia-profillal és eredetinek tűnő, de szintén fiktív iratokkal igyekeznek alátámasztani. Annak érdekében, hogy a történet hihetőbb legyen, előfordulhat, hogy a csalók nemzetközi átutalást kezdeményeznek, amit aztán visszavonnak, így mutatva, hogy az összeg valójában rendelkezésre áll, csak a levélben jelzett adminisztratív nehézség áll a kifizetés útjában. A levélben kért segítség kizárólag egy bizonyos pénzösszeg átutalását jelenti. Mindezért későbbi busás jutalmat ígérnek, amit azonban a károsultak végül nem kapnak meg, de a befizetett összeget elveszítik. Az is egy bevett forma, hogy a vagyon kimenekítéséhez a címzettnek meg kell adnia a bankszámlaadatait, aminek az eredménye természetesen nem az, hogy pénzösszeg érkezik rá, ellenkezőleg: az elkövetők immár hozzáférnek a bankszámlához, így akár le is nullázhatják azt.
Mit tegyen, hogy megelőzze a bajt?
- Semmilyen körülmények között ne adjon meg bizalmas információkat, banki adatokat vagy azonosítókat e-mailben érkező felkérésre!
- Ne kezdeményezzen fizetést levélben kapott felszólításra!
- Kéretlen levél esetén figyelje a nyelvezetet: a nigériai levelekre jellemző a pongyola megfogalmazás, a számtalan nyelvtani és stilisztikai hiba. Ám sok esetben épp ez támasztja alá a történetet: a „tört magyarság”, a megtévesztő történetben szereplő külföldi levélíró kísérlete, hogy magyarul próbáljon meg segítséget kérni. Ha ilyen levelet kap, legyen megfontolt és gyanakvó!
- Ne legyen hiszékeny: ne higgyen e-mailben érkező, már-már romantikus történeteknek! Nem reális, hogy ismeretlenek a könnyű meggazdagodás lehetőségét ajánlják fel másoknak. Ha ilyen tartalmú levelet kap, gyanakodjon!
PHISHING: ADATHALÁSZ BANKI E-MAILEK
Phishing: egy gyűjtőfogalom a csalárd adatszerzésekre (főként az e-mailes és hamis weboldalas megoldásokra utal, de ide érthető minden fajta adatszerzés).
Banki ügyfeleket célzó, csaló szándékú adathalász e-mail, amely személyes, pénzügyi vagy biztonsági információi megosztására veszi rá a címzettet. Ezek a levelek azonosnak tűnhetnek azokkal az üzenetekkel, amelyeket a bankok valójában küldeni szoktak: tartalmazzák a valódi e-mailek hivatalos céglogóit, kinézetét és stílusát, esetenként korábbi (hamis vagy valós) levélváltások részleteit is. Általában sürgető hangvételűek, például büntetéssel fenyegetnek arra az esetre, ha a címzett nem válaszol, de arra is kérhetik, hogy töltsön le egy mellékletet, vagy kattintson egy hivatkozásra. A kiberbűnözők arra építenek, hogy az emberek elfoglaltak és felületes áttekintésre, futó pillantásra a hamis e-mailek igazinak tűnnek. Ennek következtében a címzett nagyobb valószínűséggel veszi komolyan őket, és cselekszik a leírtak szerint.
Mit tehet?
- Legyen különösen éber, ha egy „banki” e-mail bizalmas információkat kér, például az online banki jelszavát! A bankok kizárólag biztonságos módon, az online banki felületen kommunikálnak az ügyfelekkel, sosem kérnek bizalmas adatokat ilyen formában!
- Ne kattintson az üzenetben lévő hivatkozásokra, és ne nyissa meg a mellékleteket, a webes bejelentkezések címeit inkább manuálisan gépelje be, vagy használja a hivatalos banki oldalt!
- Mindig legyen gyanakvó a mások által kezdeményezett olyan kapcsolatfelvételekkel szemben, amikor nem tud minden kétséget kizáróan megbizonyosodni a másik fél identitásáról! Különösen igaz ez az elektronikus kommunikációra: ne válaszoljon a gyanús e-mailekre!
- Vizsgálja meg alaposan az e-mailt! Keressen következetlenségeket és értelmetlennek tűnő dolgokat, például furcsa nyelvezet, helyesírási hibák, sürgető hangnem, szokatlan formátumú csatolmány (.zip stb.).
- Keressen nehezen észrevehető különbségeket a feladó címében: a nulla például „o” betűnek tűnhet! Vesse össze a küldő e-mail címét a bank korábbi üzeneteivel!
- Legyen különösen körültekintő a mobileszközök használatakor! Telefonon vagy táblagépen nehezebb lehet észrevenni az adathalász kísérleteket. Nem lehet a gyanús hivatkozások fölé vinni az egérmutatót, és a kisebb kijelző miatt a nyilvánvaló hibákat is nehezebb észrevenni. A gyanús e-maileket jelentse bankjának: minden vállalat szívesen veszi az ilyen típusú támadásokról szóló információkat. Ha kétségei vannak, hívja fel a bankját!
- Mindig tartsa naprakész állapotban szoftvereit, beleértve a böngészőt, a vírusirtó programokat és az operációs rendszert!
A phishing ismert fajtái:
- Email phishing: hivatalosnak tűnő e-mail, amelynek célja, hogy rávegye a címzettet pl. a jelszómódosításra, vagy egy olyan webhelyre átnavigálásra, amelyen megszerezhetik a személyes vagy banki adatait.
- HTTPS phishing: hasonló email phishing-hez. Ebben az esetben is hivatalosnak tűnő e-mailt küldenek az áldozatnak, melyben egy konkrét hamis webhelyre mutató hivatkozás található.
- Website spoofing: a fentiekhez kapcsolódik. Ebben az esetben egy, a hivatalos/valid weboldalra megtévesztésig hasonlító hamis weboldalt hoznak létre a csalók (erre van egy másik forma is, az a domain spoofing, ahol egy ismert vállalat domain nevét utánozzák).
VISHING: HAMIS BANKI HÍVÁSOK
Vishing: csalárd telefonhívások, amelyek érzékeny (személyes, banki, stb) adatok megszerzését célozzák.
A vishing (az angol „voice” és „phishing”, vagyis hang és adathalászat szavak kombinációja) olyan telefonos csalás, amelynél a támadó megpróbálja személyes, pénzügyi vagy biztonsági információi megosztására, vagy pénz átutalására rávenni az áldozatokat, akik általában banki ügyfelek. Tipikus formája a vishingnek, amikor a csaló az adathalász hívás során megpróbálja elhitetni a felhasználóval, hogy ténylegesen egy banki alkalmazottal beszél, és egy pénzügyi tranzakció során fellépett hiba vagy csalásgyanú miatt telefonál.
Mit tegyen hamis banki hívás esetén?
- Kezelje óvatosan, fenntartással a kéretlen telefonhívásokat!
- Minél sürgetőbb a hívás és az üzenet, annál gyanúsabb! Lassítson és gondolja át alaposan, hogy mit is kérnek valójában!
- Gyanús telefonhívás esetén ne adjon meg személyes adatokat és szakítsa meg a beszélgetést!
- Ha a kijelzett telefonszám valóban a bank ügyfélszolgálati telefonszáma, az sem garancia arra, hogy tényleg onnan keresik. Annak az ellenőrzésére, hogy az illető valóban az, akinek mondja magát, keresse meg a szervezet telefonszámát (a weboldalukon vagy online kereséssel), és lépjen velük kapcsolatba közvetlenül!
- Ne használja az ellenőrzéshez a hívó által megadott telefonszámot! A szám hamis lehet, vagy kifejezetten a csaláshoz hozhatták létre.
- A csalók az interneten könnyen megszerezhetik az alapvető információkat Önről vagy a vállalatról, amelynek dolgozik, például a közösségimédia-profilok felhasználásával. Nem bízhat meg a hívóban csak azért, mert ő ismeri ezeket az adatokat.
- Soha ne adja meg a betéti vagy hitelkártyája PIN-kódját, CVV kódját, vagy az online banki jelszavát! A bankok/banki ügyintézők sosem kérik el ezeket az információkat!
- Soha ne telepítsen mások kérésére olyan programot számítógépére vagy telefonjára, amit nem ismer!
- Soha ne utaljon pénzt telefonon érkező kérésre! Egy bank sosem kér ilyet.
- A csalási szándékú hívásokat jelentse a bankjának!
SMISHING: HAMIS BANKI SMS-EK
Smishing: csalárd szöveges (főként SMS) üzenetek, amelyek célja személyes, érzékeny adatok megszerzése. Sokszor egy beágyazott link van az üzenetben (pl. csomagod érkezett).
A smishing (az angol „SMS” és „phishing”, vagyis SMS és adathalászat szavak kombinációja) olyan csalás, amelynél a támadó SMS segítségével próbál megszerezni személyes, pénzügyi vagy biztonsági információkat. A küldő megbízható forrásnak álcázza magát, úgy tesz, mintha egy bank, kártyakibocsátó, futárszolgálat, közműszolgáltató vagy valamilyen egyéb szolgáltató képviseletében jelentkezne. Az üzenet arra kéri a címzettet – általában sürgető módon –, hogy nyisson meg egy weboldalra vezető hivatkozást, telepítsen egy alkalmazást, vagy hívjon fel egy telefonszámot a fiókja ellenőrzése, frissítése vagy újraaktiválása érdekében. A hivatkozás hamis weboldalra mutat, a telefonszámon pedig egy csaló jelentkezik, aki az adott cég munkatársának adja ki magát. Célja olyan információk megszerzése, amelyek segítségével aztán ellophatják az áldozat pénzét.
Mit tegyen, ha hamis banki SMS-t kapott?
- Ne kattintson kéretlen szöveges üzenetekben érkezett hivatkozásokra, mellékletekre vagy képekre a küldő személyazonosságának ellenőrzése nélkül! Az ellenőrzéshez keressen rá a számra az interneten (ha csalásról van szó, valószínűleg nem Ön lesz az első), vagy hasonlítsa össze a számot az érintett szervezet hivatalos telefonszámával!
- Ne hagyja, hogy siettessék! Végezze el a megfelelő ellenőrzést, bármennyi időbe is kerüljön!
- Ha ismerős számról érkezik az SMS, az sem garancia arra, hogy megbízható. Lehetséges, hogy egy ismerőse már áldozatul esett a csalóknak, így fel tudják használni az ő telefonszámát és adatait.
- Soha ne válaszoljon olyan SMS-re, amely a PIN-kódját, az online banki jelszavát vagy bármilyen más biztonsági azonosító adatát kéri!
- Azonnal vegye fel a kapcsolatot a bankjával, ha azt gyanítja, hogy egy smishing üzenetre válaszolt és megadta banki adatait!
MEGHAMISÍTOTT BANKI OLDALAK
Az adathalász banki e-mailekben (phishing) található hivatkozások gyakran egy meghamisított banki weboldalra vezetnek, ahol a célszemélyt a pénzügyi és személyes adatai megadására kérik. Ezek a webhelyek szinte teljesen ugyanolyanok, mint a mintának használt valódi (hivatalos, céges) honlap. Általában tartalmaznak azonban egy felugró ablakot, amelyik a banki hitelesítő adatok megadását kéri. Gyanús lehet továbbá a gyenge minőségű grafika, valamint a sürgető hangvételű üzenetek, tartalmak. A valódi bankok nem használnak ilyen ablakokat, tartalmakat.
Mit tegyen, ha adathalász banki e-mailt kapott?
- Soha ne nyissa meg a bank webhelyét e-mailben található hivatkozásra kattintva!
- Mindig gépelje be a hivatkozást, vagy használja a „Kedvencek” közé elmentett linket!
- Használjon olyan böngészőt, amely lehetővé teszi a felugró ablakok blokkolását!
- Előugró ablakok általában bizalmas adatokat kérnek Önről. Ne kattintson rájuk és ne adjon meg személyes adatot az ilyen oldalakon!
- Amennyiben a bank szeretné felhívni a figyelmet valamilyen fontos dologra, a figyelmeztetést az online banki felületen jeleníti meg.
HAMIS TRANZAKCIÓK JÓVÁHAGYÁSA
A bankok az online belépéshez és a tranzakciók jóváhagyásához kétlépcsős hitelesítést követelnek meg, az ügyfélnek a jelszón kívül egy másik módon is azonosítani kell magát. Ez az azonosítás történhet az ügyfél birtokában lévő kódgenerátorral, az ún. tokennel, amely a sorozatszámától és a használat időpontjától függően egy egyszer felhasználható, rövid ideig (1-2 perc) érvényes kódot szolgáltat, vagy az ügyfél által megadott telefonszámra érkező SMS-ben szereplő szám megadásával. Előfordulhat azonban olyan eset is, amikor a másodlagos hitelesítéshez elégséges csak a telefonon megjelenő felugró gombot megnyomni, vagy az ujjlenyomat-olvasóhoz hozzáilleszteni az ujjat. Ezek a jóváhagyási kérelmek megjelenhetnek az ügyfél telefonján akkor is, ha nem személyesen maga az ügyfél, hanem a bankszámlája felett rendelkező más személy kezdeményezte a belépést vagy a tranzakciót. Ha egy csaló próbál belépni vagy hamis tranzakciót indítani, az ügyfélnek ugyanúgy meg kell adnia a másodlagos hitelesítési adatokat ahhoz, hogy a belépés vagy a tranzakció sikeres legyen.
Mit tegyen, ha hamis azonosítási folyamatot észlel?
- Mindig ellenőrizze, hogy a belépési kísérletet vagy a tranzakciót, melyet jóvá akar hagyni, valóban Ön, vagy az Ön által megbízott személy kezdeményezte! Sose hagyjon jóvá ismertlen kérést!
- A kapott jóváhagyó SMS-ben ellenőrizze a jóváhagyásra váró műveletet, az összeget és a címzettet, ha szerepel benne!
- A banki műveletek jóváhagyásához használt tokent sose hagyja felügyelet nélkül!
- Használjon a mobiltelefonján képernyőzárat!
- Csak saját ujjlenyomatait regisztrálja a telefonjába!
- Állítsa be úgy a mobiltelefonját, hogy az SMS-ben kapott üzenetek tartalma csak a képernyőzár feloldása után legyen látható!
HAMIS BEFEKTETÉSI LEHETŐSÉGEK
A befektetésekkel kapcsolatos legelterjedtebb csalásoknál olyan területeken kínálnak vonzó lehetőségeket, mint például a részvények, a kötvények, a kriptovaluták, a ritka fémek, a tengerentúli ingatlanok vagy az alternatív energia. Ezeket a befektetési lehetőségeket gyakran – a tudtukon és beleegyezésükön kívül – közismert emberek, sportolók, modellek képeivel és ajánlásával hirdetik.
Mit tegyen, ha ilyen ajánlatot kapott?
- Mindig gyanakodjon, ha folyamatosan kapja a kéretlen telefonhívásokat; ha gyors megtérülést ígérnek és biztosítják arról, hogy a befektetés biztonságos; ha az ajánlat csak korlátozott ideig él; ha az ajánlat csak Önnek érhető el, és megkérik, hogy senkinek se szóljon róla!
- Pénz átadása vagy befektetése előtt mindig kérjen pénzügyi tanácsot egy pártatlan féltől, szakértőtől!
- Utasítsa el a befektetési lehetőségekkel kapcsolatos kéretlen telefonhívásokat!
- Óvakodjon a jövőbeli csalásoktól! Ha egyszer már befektetési csalás áldozatává vált, a csalók valószínűleg újra megkeresik, vagy eladják adatait más bűnözőknek!
- Értesítse a rendőrséget, ha gyanakszik!
Befektetések kockázatairól, előnyeiről és hátrányairól szóló bővebb tudnivalókért olvassa el a Jogosulatlan szolgálatók és a Tájékoztató az online befektetési lehetőségek kockázatairól c. cikkeket, vagy lapozza fel a Befektetések c. Pénzügyi Navigátor füzetet!
NEM BANKI SZOLGÁLTATÓK NEVÉVEL TÖRTÉNŐ VISSZAÉLÉS
Ennél a csalástípusnál az elkövetők hasonló módon próbálják megkárosítani áldozataikat, mint a phishing, vishing vagy a smishing esetén: hivatalosnak tűnő adathalász e-mailekkel, hívásokkal vagy sms-ekkel próbálják személyes vagy bankszámlaadatok megadására, illetve fizetésre, pénz utalására rávenni célpontjaikat.
Ezekben az esetekben azonban nem banknak vagy pénzügyi szolgáltatónak álcázva, hanem valamilyen nagy ügyfélkörrel rendelkező szolgáltató – pl. közmű-, telekommunikációs vagy kábelszolgáltató – nevében keresik fel áldozataikat. A futárcégek üzenetei is szolgálhatnak visszaélés alapjául. Ezekben jellemzően adategyeztetésre, vagy fizetési késedelemre, hátralék befizetésével kapcsolatos felszólításra hivatkozva a bankszámlaadatok megadására, illetve pénz befizetésére szólítják fel a megcélzott ügyfeleket. A hivatalosnak látszó üzenetekben olyan linkeket is elrejthetnek a támadók, amelyek segítségével rosszindulatú szoftvert telepíthetnek az eszközre.
Mit tegyen annak érdekében, hogy ne váljon ilyen csalás áldozatává?
Mivel a csalásoknak ez a formája nagyban hasonlít a smishingre, vishingre és phishingre, ugyanúgy lehet megelőzni őket, és ugyanazok a teendők is, mint a banki adathalász e-mailek, telefonhívások és sms-ek esetén:
- Legyen különösen éber, ha egy szolgáltató e-mailben, telefonon vagy sms-ben bizalmas információkat, banki adatokat, azonosítókat kér, vagy azonnali fizetésre szólít fel! Soha ne adja meg ezeket az információkat, ha e-mailben, telefonhívásban vagy sms-ben kérik őket!
- Egy szolgáltatótól érkező e-mail tartalmazhat fizetési késedelemmel kapcsolatos figyelemfelhívást, de ilyen esetben is legyen megfontolt: ne kattintson meggondolatlanul a levélben található linkekre és az esetleges sürgető hangvétel ellenére se kezdeményezzen fizetést a hátralék mihamarabbi rendezése érdekében! Bankszámlaadatait, banki azonosítóit se adja meg automatikusan! Ellenőrizze a szolgáltató hivatalos csatornáin, hogy valóban ők küldték-e a levelet, a felszólítást, és annak tartalma valós-e!
- Ne telepítsen az e-mailben, sms-ben kapott linkekről szoftvert! Mindig a szolgáltató hivatalos oldalán megadott linket vagy a hivatalos alkalmazásboltokat (pl. Google Play, App Store) használja szoftvertelepítéskor!
- Kezelje óvatosan, fenntartással a kéretlen telefonhívásokat! Minél sürgetőbb a hívás és az üzenet, annál gyanúsabb!
- Gyanús telefonhívás esetén ne adjon meg személyes adatokat és szakítsa meg a beszélgetést! A hívó telefonszámát jegyezze fel, majd keresse a szolgáltatót valamelyik hivatalos csatornán, és jelezze neki a gyanús megkeresést!
- Ne használja az ellenőrzéshez a hívó által megadott telefonszámot! A szám hamis lehet, vagy kifejezetten a csaláshoz is létrehozhatták.
- Soha ne utaljon pénzt telefonon érkező kérésre! Egy szolgáltató sosem kér ilyet.
- A csalási szándékú hívásokat jelentse a szolgáltatónak!
WANGIRI: VISSZAHÍVÁSOS TELEFONOS CSALÁS
A Japánból származó wangiri a mobiltelefonoknak köszönhetően vált az egyik legelterjedtebb csalástípussá. Lényege, hogy a csalók tömegesen generált számítógépes hívások részeként ismeretlen, általában külföldi – jellemzően 2-essel kezdődő országhívóval rendelkező afrikai, vagy 5-össel kezdődő országhívóval rendelkező közép-amerikai – számról hívják fel áldozataikat, ám a hívást egy-két csöngés után bontják a visszahívás reményében. A visszahívás azonban a belföldinél magasabb tarifán zajlik, és a csalás akkor is eredményes, ha a hívás látszólag sikertelen: például folyamatosan kicsöng, vagy épp nem csöng ki, hanem vonalszakadást vagy folyamatosan foglaltat jelez.
Mit tegyen, hogy ne váljon ilyen csalás áldozatává?
- Ne vegye fel a telefont, ha híváskor ismeretlen külföldi hívószámot jelez ki a telefonja, és ne is hívja vissza rögtön – először ellenőrizze azt! Különösen legyen óvatos akkor, ha olyan külföldi számról hívják, ahol nem él ismerőse vagy ahonnan nem vár hívást, illetve, ha az országhívó 2-essel vagy 5-össel kezdődik (ld. fentebb: afrikai és közép-amerikai azonosítók)!
- Egy internetes kereséssel utánajárhat annak, hogy az adott telefonszámmal kapcsolatban korábban felmerül-e a csalás gyanúja: ha igen, nagy valószínűséggel talál ezzel kapcsolatos információt a világhálón.
- Az ismeretlen előhívószámokról érkező külföldi hívások egyedileg és csoportosan is letilthatók. Az egyedi hívószámokat a készülék beállításaiban lehet letiltani, míg az előhívószámok csoportos letiltása a szolgáltató ügyfélszolgálatán kérhető.
HAMIS ONLINE AJÁNLATOK
A fogyasztók és a vállalkozások egyre többet vásárolnak és adnak el az interneten. Az online ajánlatok sokszor valóban kedvezők, de óvakodjon a csalóktól!
Mit tegyen, hogy elkerülje a hamis online ajánlatokat?
- Ha lehet, belföldi kiskereskedelmi webhelyeken vásároljon, így nagyobb valószínűséggel kerülheti el, oldhatja meg az esetleges problémákat!
- Nézzen utána a dolgoknak: vásárlás előtt olvasson értékeléseket, ismertetőket az adott termékről!
- Kizárólag biztonságos fizetési szolgáltatásokkal fizessen! Gyanakodjon, ha pénzküldési szolgáltatás használatát kérik!
- Csak biztonságos internetkapcsolat használatakor fizessen, ne használjon ingyenes vagy nyilvános wifihálózatokat!
- Csak biztonságos készülékről fizessen! Gondoskodjon az operációs rendszer és a biztonsági szoftverek folyamatos frissítéséről!
- Óvakodjon a hihetetlenül jó ajánlatokat kínáló reklámoktól vagy a csodát ígérő termékektől! Valószínűleg hamis, ha túl szépnek tűnik ahhoz, hogy igaz legyen.
- Ha olyan felugró ablak jelenik meg a képernyőn, amely nem várt nyereményről tájékoztatja Önt, jusson eszébe, hogy ez nagy valószínűséggel egy rosszindulatú program!
- Ha nem érkezik meg a termék, vegye fel a kapcsolatot az eladóval! Ha nem válaszol, vegye fel a kapcsolatot bankjával és az online piactér üzemeltetőjével!
SZEMÉLYESADAT-LOPÁS A KÖZÖSSÉGI MÉDIÁBAN
A csalók különböző módszerek alkalmazásával megpróbálják elérni, hogy Ön megadja személyes adatait (név, e-mail cím, jelszó, hitelkártyaszám stb.). Ezt annak ellenére is megtehetik, hogy Ön megfelelő védelmet alkalmaz, közösségimédia-fiókjainak tartalmát nem láthatja mindenki, vagy ha óvatosságból nem oszt meg túl sok információt a profiljában (olyanokat, amelyekkel ellophatják a személyazonosságát). Az adatok birtokában aztán jóvá nem hagyott vásárlásokat hajthatnak végre az Ön hitelkártyájával, bankszámlát nyithatnak; telefon-előfizetést vásárolhatnak; hitelt vehetnek fel; illegális üzleti tranzakciókat hajthatnak végre; eladhatják adatait más csalóknak.
Mit tegyen személyes adatai védelme érdekében?
- Rendszeresen tekintse át közösségimédia-fiókjai adatvédelmi és biztonsági beállításait! Áldozzon némi időt annak a megismerésére, hogy mit mutat a profilja Önről a külvilág számára!
- Gondolja át alaposan, hogy mennyi információt és fényképet oszt meg a közösségimédia-oldalakon! Felhasználásukkal a csalók hamis személyazonosságot hozhatnak létre, vagy megpróbálhatják átverni.
- Végezzen online kutatást! Keressen rá az adott termék nevére vagy a munkaajánlatra, és nézze meg, mit mondanak a többiek! Használjon olyan szavakat a keresőkifejezésben, mint „felülvizsgálat”, „panasz” és „csalás”!
- Jelentse a közösségimédia-platform üzemeltetőinek azokat a profilokat, amelyekről azt gyanítja, hogy csaláshoz hozták létre őket! Tiltsa le őket, ha az ismerősei vagy a követői, és szakítson meg velük minden kapcsolatot!
- Ha valódi ismerőseitől kap szokatlan vagy gyanús üzenetet, illetve lát általuk közzétéve furcsa posztot, gyanakodjon és jelentse a közösségimédia-platform üzemeltetőjének!
- Ellenőrizze rendszeresen a hitelkártyája és a betéti kártyája kivonatait! Ha olyan dologért terhelték meg a számláját, amelyet nem Ön rendelt meg, vegye fel a kapcsolatot a bankkal és a kártyatársasággal!
Egyéb, a fentiekben nem részletezett csalási formák:
- Pharming: a támadás során az áldozat eszközére rosszindulatú kódot telepítenek, ami figyeli és gyűjti a bejelentkezési adatokat (ilyennel lehet találkozni egy validnak tűnő alkalmazás (pl. játék) telepítése során is)
- Evil twin phishing: hamis Wi-Fi hálózat létrehozása, amely valódinak tűnik (ha valaki bejelentkezik, és bizalmas adatokat ad meg, a hacker rögzíti az adatait)
- Angler phishing: hamis közösségi média bejegyzések / hirdetések használata adatszerzésre (legtöbbször ráveszik az áldozatot arra, hogy töltsön le valamit, vagy kattintson egy linkre)
- Social engineering: ez a klasszikus átverős, megtévesztős, manipulálós dolgok gyűjtőneve (sok a fentiek közül ide is tartozik)
MUNKAHELYI CSALÁSOK
HAMIS ÜGYFÉL VAGY BESZÁLLÍTÓ
Ebben az esetben valaki megkeresi a vállalatot, aki egy ügyfél, beszállító vagy hitelező képviselőjeként azonosítja magát. A megkeresés érkezhet telefonon, levélben, faxon vagy e-maiben. A csaló azt kéri, hogy az egyik partner jövőbeli számláinál módosítsák valamelyik banki adatot, például a kedvezményezett bankszámlaszámát vagy másodlagos számlaazonosítóját. Az így megadott bankszámla felett a csaló rendelkezik.
Mit tegyen, ha hamis ügyféllel vagy beszállítóval áll szemben?
- Ellenőrizzen minden, állítólagosan a hitelezőktől érkező kérelmet – főleg akkor, ha azt kérik, hogy a jövőbeli számláknál módosítsák valamelyik banki adatot!
- Ne használja a módosítást vagy ellenőrzést kérő levélben, e-mailben szereplő kapcsolattartási adatokat! Keressen egy korábbi üzenetet, és annak a kapcsolattartási adatait használja!
- Jelöljön ki egy megbízott kapcsolattartót azoknak a vállalatoknak az esetében, amelyek számára rendszeresen indít kifizetéseket!
- Vezessen be egy rendszert adott összeghatár feletti kifizetések esetében, amelynek kifejezetten a helyes bankszámlaszám és kedvezményezett ellenőrzése a célja! Ez lehet például egy megbeszélés az érintett vállalattal.
- A számla kifizetésekor egy ellenőrzött e-mail címre küldjön tájékoztatást a kedvezményezettnek! A biztonság szavatolása érdekében szerepeltesse a fogadó bank nevét és a bankszámlaszám utolsó négy számjegyét, illetve a másodlagos számlaazonosítójának jellemző részletét (pl. adóazonosító utolsó négy karakterét)!
- Korlátozza azokat az adatokat, amelyeket megoszt az alkalmazottakról a közösségi médiában!
Jelentse a vezetőségnek vagy a megfelelő osztálynak (IT, biztonsági stb.) a csalási kísérleteket!
HAMIS VEZETŐI UTASÍTÁS E-MAILBEN VAGY TELEFONON
Ezzel a módszerrel általában kifizetési jogkörrel rendelkező alkalmazottat támadnak az elkövetők, akit hamis számla kifizetésére, vagy jóvá nem hagyott átutalás indítására próbálnak rávenni. Arra építenek, hogy az alkalmazottak igyekeznek gyorsan teljesíteni azokat a feladatokat, amelyek közvetlenül a felső vezetéstől érkeznek. A csalók általában részletes információkkal rendelkeznek a szervezetről, és az e-mail rendkívül meggyőzőnek látszik. Ez a fajta megkeresés kéretlen e-mail vagy telefonhívás formájában érkezik, látszatra a megfelelő felsővezetőtől. Rendszerint a téma bizalmas kezelését kéri, de sürgeti az ügyintézést, ugyanakkor szokatlan, a belső előírásoknak ellentmondó kéréseket tartalmazhat.
Mit tegyen, ha gyanús feladatot kap?
- Tartsa be szigorúan a kifizetésekre és beszerzésre vonatkozó biztonsági eljárásokat! Ne hagyjon ki eljárási lépéseket, és ne engedjen a nyomásgyakorlásnak!
- Mindig gondosan ellenőrizze az e-mail-címeket a bizalmas információk, pénzátutalások esetében! A csalók gyakran használnak a valódihoz nagyon hasonló e-mail címeket, amelyek csak egy karakterben térnek el az eredetitől.
- Ne az e-mailre válaszolva próbáljon meggyőződni annak valódiságáról, hanem inkább telefonáljon vagy más csatornán ellenőrizze a feladatot! Ha van rá mód, hívja fel a felsővezetőt, vagy asszisztensét/titkárságát!
- Amennyiben kétségei vannak egy átutalási utasítással kapcsolatban, mindig kérdezzen meg egy kompetens munkatársat, még akkor is, ha a feladat diszkrét kezelésére kérték!
- Soha ne nyisson meg e-mailben kapott gyanús hivatkozásokat vagy mellékleteket! Különös körültekintéssel járjon el, ha a vállalati számítógépeken nyitja meg személyes e-mail-fiókját!
- Korlátozottan terjessze az információkat, és kezelje óvatosan a közösségi médiát! A munkahelyi számítógépén, laptopján ne nyisson meg privát közösségi oldalt, és ne tegyen közzé semmilyen, a munkájával vagy a munkahelyével kapcsolatos tartalmat, információt! Ne osszon meg a vállalati hierarchiára, biztonságra és eljárásokra vonatkozó információkat!
Minden esetben értesítse az IT-osztályt, ha gyanús e-mailt vagy telefonhívást kap!
A munkahelyi csalások a fentiekben nem részletezett egyéb formái:
- Spear phishing: egy adott személy megcélzása egy szervezetben, hogy megpróbálják ellopni a bejelentkezési adataikat (a támadók itt gyakran először információkat gyűjtenek a személyről a támadás megkezdése előtt, hogy kellően elő legyen készítve a megkeresés).
- Whaling (CEO fraud): a fenti egy formája, amikor egy felsővezető a célzott személy.
- BEC (avagy business email compromise): szorosan kötődik az előző kettőhöz, itt a lényeg, hogy a csaló úgy tesz, mintha egy szervezet vezetője lenne, annak nevében küld utasításokat az alkalmazottaknak e-mailen keresztül (ehhez általában kell, hogy hozzáférjenek egy felső vezető email fiókjához).
- Ransomware: ez a zsarolóvírus (általában cégeket találnak be, a lényege, hogy tartalmakat blokkolnak és váltságdíjat kérnek a feloldásért, illetve újabban már csak fenyegetnek azzal, hogy küldenek egy zsaroló vírust, ha nem fizetsz előre)
- DDoS (avagy distributed denial-of-service): túlterheléses támadás, hogy átmenetileg elérhetetlenek legyenek weboldalak (sokszor ezért is kvázi váltságdíjat kérnek, hogy abbahagyják, de egyre inkább kombinálják a fentivel, és azért terhelnek túl, hogy bejuttassanak egy zsaroló vagy trójai vírust egy rendszerbe)
Partnereinknek
A figyelemfelhívó kampányban résztvevő Partnereink az Arculati Kézikönyvet és további tartalmakat innen tölthetik le.