Korábbi bejegyzésemben megtárgyaltuk, hogy e-mailben számos ártó szándékú küldemény érkezhet, és annak fontosságát, hogy milyen fontos a feladó valós elektronikus levelezési címének ellenőrzése és az elővigyázatosság, az awareness.
Talán nem újkeletű, de terjedése miatt szükségesnek látom ejteni a telefonhívásokról is néhány szót. Legfrissebb hírek egyike, hogy a Magyar Nemzeti Bank központi, ügyfélszolgálati, illetve az emlékpénzeket forgalmazó lakossági pénztári telefonszámainak hamisításával, másolásával keresik fel csalók az embereket, és a bank nevében segítséget ajánlanak utalási, banki problémák megoldására, mindeközben személyes-, banki adatokat próbálnak megszerezni.
Az ilyen típusú csalások különféle történetekre épülhetnek. Meghiúsult beérkező utalás megerősítése, befagyasztott számla helyreállítása, tranzakciók megerősítése, stb… Közös pont ezekben a hívásokban, hogy a bankunk, szolgáltatónk nevében keresnek, és kínálnak ügyfélszolgálati megoldást a – nem létező – problémára. Adatok megadása mellett előfordul, hogy a push üzenetben érkező megerősítő kód (2FA/MFA) megszerzését célozzák, esetleg – adathalász – telefonos applikáció telepítését kérik a megoldás érdekében.
Ahogy az e-mailek valós feladójának azonosítása (e-mail cím és tartomány (domain) ellenőrzése) elengedhetetlen az elektronikus küldemények kapcsán, úgy a hívások ellenőrzése is kiemelt jelentősséggel bír(na), ha a csalók nem járnának előttünk néhány lépéssel. Számos technológiai megoldás közül talán legismertebb technológia a voice over internet protocol (VoIP) a digitális telefonálás terén. A lényege, hogy hagyományos „telefonvonal” nélkül is telefonálhatunk internet igénybevételével virtuális telefonszámok használatával. A hívószámok elrejtése, a hívásmaszkolás, vagy éppen a hívó fél telefonszámának módosítása egy másik – szolgáltatói – számra, már csak szoftver és tudás kérdése. A technológia önmagában nem jó vagy rossz, a felhasználás módja teszi azzá. Mindezekből tanulva kijelenthetjük, hogy már a szolgáltatónk telefonszámáról beérkező telefonhívás sem garancia arra, hogy valóban a – megbízható – szolgáltatónk van a vonal túlvégén.
Lássunk erre gyakorlati példát:
A szolgáltatónk telefonszámáról érkező – biztonságosnak hitt – telefonhívás során arra kérnek, hogy azonosítsuk magunkat adataink megadásával. Név, születési hely, idő, anyja neve, e-mail cím, bankszámlaszám… – mindez OSINT (Open Source Intelligence) útján online életünk nyomaiból, közösségi oldalainkról kellő időráfordítással, vagy postaládánkban elhelyezett számlakivonatainkból könnyedén beszerezhető, így az sem jelent biztonságot, hogy részben ismertek a hívó fél előtt az adataink. A kitalált történetnek megfelelően valamilyen problémára megoldást ajánl a hívó fél, amely során – óvatlanságunkra építve – további adatokat, sőt bankkártya adatokat is kér, amelyek megadása után gyakorlatilag átengedtük a bankkártyánk feletti rendelkezés jogát. Itt szeretném megjegyezni, hogy nem jelent az online fizetéseknél elvárt második faktor feltétlen biztonságot, hiszen számtalan külföldi webshopban nem előírás ennek használata.
Előbbi példa szofisztikáltabb változata, hogy az így vagy úgy, esetleg adathalász e-mail, sms, applikáció alkalmazásával megszerzett banki bejelentkező adataink birtokában kezdeményeznek egy hasonló hívást, esetleg éppen a bankunk hívószámának másolásával, majd ismét előkerül egy kitalált esemény. Képzeljük el, hogy elővigyázatosak vagyunk, és nem adjuk meg a személyes adatainkat, így a hívó fél azt mondja, hogy nem is kéri, leküld sms-ben, push üzenetben egy azonosító kódot, aminek ismerete igazolja személyünket. Megérkezik az üzenet, benne az azonosítóval, amit így bátran felolvasunk a hívónak. CSAKHOGY! Mi is történt valójában? A bank eredeti bejelentkezési felületén az ellopott, általunk megadott, valahogyan megszerzett bejelentkezési adatainkkal kezdeményezett egy bejelentkezést, de ahhoz szüksége lenne a második faktorra, a hitelesítő kódra is. Így egy kitalált történettel fentiek szerint felhív, a kódot megadjuk neki, és ezzel máris beengedtük az online bankfiókunkba, szabad kezet adva a továbbiakra…
Az ilyen és hasonló csalások mind az óvatlanságunkra építenek, sokszor sürgetően, dominánsan, azonnali döntéskényszert teremtve. Személyes véleményem szerint, ha valamiben a közreműködésünk, döntésünk szükséges, az sohasem lehet olyan sürgős, hogy ne lenne 1-2 percünk átgondolni. Az elektronikus levelek és webes tartalmak valós, mögöttes feladójának ellenőrzése, és a korábban tárgyalt minimális biztonság megteremtése – így különösen erős és egyedi jelszavak, vírusvédelem, 2FA/MFA stb… – az online térben adhat némi magabiztosságot, azonban a telefonon hívó fél ellenőrzése még nem elterjedt lakossági körben. Vannak rá megoldások, applikációk (Truecaller, Hiya stb…) amelyek egészen jó hatásfokkal felsimerik a spam jellegű hívásokat, de erre alapozni nem érdemes.
A legjobb amit tehetsz: Állj meg, gondold végid, és csak ezután cselekedj!
Addig amíg egy üzenet, vagy hívás valós feladója nem ellenőrizhető, úgy fokozott óvatossággal érdemes ezekhez viszonyulni, és nem szégyen ennek hangot adva visszahívást ígérve az adott szolgáltatót az ismert, valós elérhetőségén visszahívni.
A technológia fejlődésével a csalók kezében egyre több lehetőség van a hiteles csatornák kijátszására, másolására, adataink eltulajdonítására, de ezek túlnyomó részéhez mi magunk vagyunk a kulcs.
Legyünk elővigyázatosak, építsünk erős szoftveres és awareness várat adataink köré, és járjunk nyitott szemmel a biztonságunk érdekében.
Ha hasznosnak találtad, ide kattintva megoszthatod ismerőseiddel a Facebookon!