Egyre többen ismerik fel az online csalási kísérleteket - de még mindig nem elegen

Napjainkban életünk egy jelentős része az online térben intéződik. Ezt pedig jól tudják az internetes bűnözők is, akik újabb és újabb módszerekkel próbálkoznak. A leggyengébb láncszem mindig az ember, hiszen a legkomolyabb szoftveres és hardveres védekezés sem ér sokat, ha a felhasználók nem tájékozottak kellőképpen a veszélyekkel kapcsolatban. Az UniCredit Bank megbízásából készült kérdőívünkben arra voltunk kíváncsiak, olvasóink tapasztaltak-e már csalási próbálkozásokat, és tisztában vannak-e a legfontosabb biztonsági fogalmakkal.

Kísérletből nincs hiány

Első kérdésünk az volt, hogy olvasóink kaptak-e már átverős e-mailt vagy SMS-t, amelyet bank vagy egyéb szolgáltató nevében küldött valaki. A válaszadók 83 százaléka kapott ilyet, de felismerte a csalási kísérletet, és nem dőlt be neki. További 4 százalék észre sem vette, csak utólag, ugyanis a levelezője közvetlenül a levélszemét mappába száműzte ezeket. 5 százalék azonban úgy nyilatkozott, hogy nem tud róla, kapott-e effélét, és sajnos a válaszadók 2 százaléka nemcsak kapott átverős mailt vagy üzenetet, de be is dőlt neki. A közel 7000 válaszadót alapul véve ez bizony máris 140 ember, akit sikeresen hálóztak be a csalók - ha ezt a hazai internet- és mobilhasználókra vetítjük, már komoly számot kaphatunk.

Az is sokat elárul, ki hogyan vélekedik arról, milyen módon válhatna áldozattá. A válaszadók 72 százaléka szerint a legkomolyabb kárt a banki adatainak megszerzése okozná, 19 százalékuk szerint a személyes adatainak eltulajdonítása jelentené a legnagyobb gondot, és 1 százalékuk olyan fotókat, videókat is tárol az eszközein, amelyek kiszivárgása kellemetlenül érintené. 8 százalék magabiztos volt, ők azt mondták, nincs félnivalójuk.

Az álruhás átverők sikerre vihetik

A következő kérdéssorban arra voltunk kíváncsiak, mennyire tudatosak a felhasználók biztonsági kérdésekben. Szerencsére a kitöltők nagyobb része óvatos, de akad ellenpélda is. A válaszolók 61 százaléka megnézné az e-mail részletesebb adatait, hogy lássa, valóban az állítólagos feladótól származik-e. Ez helyes lépés lehet, hiszen sokszor a levél fejlécében a küldő által jól ismert szervezet vagy ember neve állhat, ha azonban jobban megnézzük, például az e-mail cím már árulkodó lehet. 61 százaléknak „jár a piros pont”, ahogy annak a 15 százaléknak is, aki úgy válaszolt, hogy gyanú esetén először felhívná a kérdéses szolgáltatót, hogy valóban tőlük származik-e az üzenet.

A maradék 23 százalék azt válaszolta, hogy ha a levél feladója rendben van, és a kinézete, hangvétele is stimmel, akkor elfogadja eredetiként. Sajnos ez a válasz óvatlan magatartást is takarhat, hiszen szinte gyerekjáték lemásolni ismert szolgáltatók grafikai elemeit és szövegezését, amiben akár a mesterséges intelligenciát is igénybe vehetik a csalók.

Következő kérdésünk az volt, mit tesz, aki gyanúsnak talál egy levelet. 26 százalékuk levélszemétként jelöli meg, mert a legtöbb levelező rendszer tanul az ilyen esetekből, és a spam fiókba küldött üzenetek feladóit, fontosabb jellemzőit megjegyzi, ezután pedig nagyobb eséllyel szűri ki automatikusan. A válaszadók 68 százaléka azonnal törli az ilyen üzeneteket, ami szintén hasznos megoldás, bár a spam megjelölése jövőbiztosabb módszer. 5 százalék azt válaszolta, megnyitja a levelet, hogy jobban megvizsgálja. Ez az eljárás azonban rejthet veszélyeket, már egy e-mail megnyitásával és előnézetével is aktiválódhatnak kártékony kódok, célszerűbb inkább a vizsgálódást profikra vagy a levélszeméttel betanított levelezőrendszerünkre hagyni.

Futároktól az álismerősökig: módszerek és védvonalak

1. Itt a csomag!

Megkérdeztük azt is, melyik csalási formákkal találkoztak már a kérdőív kitöltői. Király Ferenc, az UniCredit Bank Bankbiztonsági vezetője úgy látja, a bűnözök „eszköztára” sajnos elég széles. „Ahogy a kérdőív adataiból is látszik, sokaknak van olyan ismerőse, aki online csalás áldozata lett. Nem csoda, hiszen a csalók – ahogyan kollégáimmal tapasztaljuk – folyamatosan újabb módszerekkel próbálkoznak, vagy éppen régebbi csalások »élik a reneszánszukat«. Nagyon fontos tudni, hogy a csalók sokszor igazodnak az éppen aktuális trendekhez, így az év végi ünnepek előtti időszakban, amikor megugrik a vásárlások száma, megnő a webáruháznak vagy futárszolgálatnak maszkolt, valójában adathalász oldalakról érkező e-mailek, sms-ek száma is. Ugyanígy az adóbevallás időszakában kaphatunk látszólag a NAV-tól érkező, banki adatok megerősítésére felszólító sms-t. És ez csak néhány példa arra, milyen elképesztő módon tudják a csalók aktualizálni a módszereiket."

A kérdőívre adott válaszok alapján a leggyakoribb az úgynevezett futárszolgálatos csalás, amivel válaszadóink közel háromnegyede (71%) találkozott már. Ez a legtöbbször olyan SMS-eket és e-maileket jelent, amelyben a próbálkozók valamilyen futárcég, csomagküldő vagy posta nevében küldenek üzenetet, miszerint érkezett egy küldeményük, de az átvételéhez egy bizonyos, általában kisebb összeget kérnek.

A védekezés egyszerű: egyrészt gondoljuk végig, tényleg várunk-e csomagot bárhonnan.

Ha épp nem, szinte biztosak lehetünk benne, hogy nem a derült égből érkezik valamilyen váratlan ajándék. Ha pedig épp valóban úton van valamilyen rendelés, azt kell átgondolni, honnan és mit várunk – esélyesen a csomagküldő neve sem ugyanaz, és a legtöbbször a kézbesítéshez nincs szükség extra összegekre. A legtöbb csomagküldő és a posta is lehetővé teszi a küldemények követését saját alkalmazásaiban vagy weboldalaikon – nézzünk szét inkább ezeken! Semmiképp ne bökjünk rá a fizetős hivatkozásra – vagy teljesen illetéktelenekhez kerül az utalásunk, vagy rosszabb esetben a banki belépési adatainkat is ellopják.

2. Ne akadjunk horogra!

A második „legnépszerűbb" csalási formát, az adathalászatotot is látta már a válaszadók több mint kétharmada (67%). Ilyenkor valamilyen szervezet nevében kapunk levelet, elsőre a feladó és a levél kinézete, szövege is gyanún felül állhat. A témák között azonban már sok minden lehet: a netbanki jelszavunk megerősítésére kérnek, valamilyen hihetetlen akciót vagy épp teljesen ingyenes ajándékot lengetnek be, esetleg arra figyelmeztetnek, hogy a gépünk vagy fiókunk veszélyben van. Egy a lényeg, szeretnék, ha minél előbb a levélben található linkre kattintanánk.

A védekezés alapja, hogy semmire nem kattintunk, aminek a hitelességéről száz százalékig nem győződtünk meg. A fent említett módon megnézhetjük például, hogy a feladó e-mail címe nem valamilyen eltérő küldőt feltételez-e, de gyanús lehet az is, ha például magyartalan a megfogalmazás; ilyenkor a nemzetközi csalók valamilyen fordítóprogram próbálkoznak. De a józan ész is segít: nincs olyan bank vagy szolgáltató, amely egyszerű levélben vagy üzenetben kérdez rá a jelszavunkra vagy egyéb adatainkra.

3. Halló, van egy fantasztikus ajánlatunk!

Az ügyfélszolgálatos csalás néven ismert formát szintén jó páran megtapasztalták már (43 százalék). Csörög a telefon, felvesszük, és valaki egy olyan szervezet nevében jelentkezik, amelynek ügyfelei vagyunk, de legalábbis ismerjük. Az ilyen csalók meggyőzően beszélik be az áldozatoknak, hogy egy sokkal jobb mobilos tarifacsomag, egy kedvezményesebb tévés előfizetés, egy ingyenes szoftver vagy valami hasonló ajánlat miatt telefonálnak - aztán viszont jön a feketeleves, hiszen fontos adatainkat kérik el, máskor adatlopásra, konkrét pénzszerzésre szolgáló szoftvereket telepítenek az ingyen játék vagy a gyorsabb internetet biztosító ajándék leple alatt.

A legegyszerűbb védekezési mód, ha az ügyfélszolgálatostól mi magunk kérünk először azonosítást. Pontosan ki ő, honnan telefonál, milyen adatainkat ismeri. Fontos: mi semmit ne segítsünk, de ha ő nem tudja az ügyfélszámunkat, a pontos lakcímünket, esetleg azt, hogy épp milyen előfizetéseket, szolgáltatásokat veszünk tőlük igénybe, az már árulkodó lehet. A leghatékonyabb módszer pedig az, hogy bontjuk a hívást, és ellenőrzésképpen mi magunk hívjuk fel az adott céget, hogy valóban ők kerestek-e az imént. Ismeretlen külföldi számokkal, nem kijelzett hívókkal pedig nem szabad foglalkozni.

4. Ha hihetetlenül olcsó, akkor ne is higgyük el!

A hamis webáruházak legalább ilyen gyakoriak, a válaszadók 41 százaléka látott már ilyet. Webshopot építeni nem nehéz, ahogy az sem, hogy azt a csalók feltöltsék néhány árucikkel. Mi kattintunk, rendelünk, fizetünk - és persze semmi nem érkezik.

A törvényi szabályozásoknak megfelelően a magyar, de a nemzetközi webáruházaknak is kell lennie valamilyen tájékoztatójának, ahol megtalálható az üzemeltető cég minden adata, beleértve a címet, a telefonszámot és egyéb kontaktokat. Ha ilyesmit nem találunk, az máris hangos veszélyjelzés, de ha mégis van valami efféle, akkor is keressünk rá máshol, hogy valós adatokról van-e szó. Másrészt pedig ismét a józan észre kell hagyatkoznunk: bármilyen csábítóan is hangzik a legújabb mobil ötvenezerért, egy teljes konyhai készlet 999 forintért („csak most, csak önnek, csak ma”), ilyesmire a valóságban szinte nulla az esély.

5. Manci vagyok, küldj pénzt!

A személyiséglopás szintén elterjedt módja sokféle csalásnak és megtévesztésnek. Ez egyrészt történhet úgy, hogy valakinek megszerzik a közösségi média fiókját, például egy elvesztett telefonba belépve, vagy akár a fent említett adathalász módszerek egyikével. Innentől máris az illető nevében posztolhatnak és küldhetnek üzenetet - efféle csalással is válaszadóink 21 százaléka találkozott már.

Az ilyen kísérletek ellen is van védekezés: figyeljük az érkező üzenetek és posztok tartalmát és nyelvezetét. Ha az ismerősünkre nem jellemző hivatkozást vagy tartalmat oszt meg, esetleg kísérő szöveg nélkül csak egy linket küld, ne dőljünk be. Kérdezzünk rá, hogy valóban ő van-e a túloldalon; sokszor már választ sem kapunk. Ha jön is valamilyen visszajelzés, kérdezzünk rá olyasmikre, amit csak a valódi ismerősünk tudhat, esetleg keressük meg más csatornákon, hogy tényleg ő van-e a profilkép mögött.

Sokan próbálkoznak azzal is, hogy hírességek - zenészek, színészek, egyéb celebek - hivatalos fiókjainak adják ki magukat. Itt is hasonló szándékkal próbálkoznak, csak épp a rajongást kihasználva. A híresség közvetlenül soha nem keres meg minket, hogy a legszerencsésebb követőjeként külön velünk beszélgessen - ráadásul az ilyen chatek vége úgyis az, hogy a további csacsogáshoz lépjünk be egy fizetős privát klubba, vásároljunk VIP-kártyát... Szóval itt is győzzön a józan ész, és tiltsuk le, valamint jelentsük az efféle csalókat!

6. Manci barátja vagyok, baj van, küldj pénzt!

Az „unokázós átveréssel" ugyan csak a kitöltők 6 százaléka találkozott, de a módszer egyre népszerűbb. A nevét onnan kapta, hogy általában idősebb embereket hálóznak be vele. Csörög a telefon, esetleg jön egy SMS egy ismeretlen számról, az illető mint a hívott unokájának a barátja mutatkozik be, és a nevében kér pénzt, arra hivatkozva, hogy az unoka bajban van.

A próbálkozás nagyon átlátszó, de a hirtelensége, az ügyesen kiváltott sokkhatás miatt mégis többen bedőlnek. A legfontosabb a hidegvér: ha tudjuk, kérdezzük ki az illetőt a részletekről, esélyesen már a rokonunk nevét sem tudják pontosan. Jelezzük, hogy kérünk pár percet, majd hívjuk közvetlenül azt, akire hivatkoznak  ̶̶̶  legtöbbször azt sem fogja tudni, hogy a nevében próbálkoznak.

7. ...és még minden, amit csak el tudunk képzelni (sőt az is, amit nem)

A válaszadók 28 százaléka egyéb csaló próbálkozásokról is beszámolt. Ilyen lehet például, amikor apróhirdetési oldalon próbálunk eladni valamit, és a vevő elküldeti magának az árut, az utalás viszont sehol. Említhetjük az olyan illegális oldalakat is, ahol torrentfájlok vagy egyéb letöltések formájában filmeket, játékokat, szoftvereket kínálnak - ezek néha valóban le is töltődnek, viszont „láthatatlan ajándékokkal" megtűzdelve, például vírusokkal, trójai programokkal, amelyek komoly károkat okozhatnak. Ahány csalási forma, annyiféle védekezés lehetséges, például a hardveres és szoftveres lehetőségek (vírusirtó, tűzfal), de megint hangsúlyozzuk: a legfontosabb a józan ész.

Így védekezünk mi

A következő kérdésekben azt firtattuk, milyen módszerekkel igyekeznek olvasóink megvédeni magukat és adataikat. Rákérdeztünk a kétfaktoros hitelesítés használatára. Itt 72 százalék kifejezetten tudatos, ők azt mondták, minden ilyesmit támogató szolgáltatásban használnak második megerősítést. 21 százalék azonban már úgy nyilatkozott, hogy csak néhány szolgáltatásban veszi igénybe. A válaszadók 3 százaléka csak az Ügyfélkapuban használ dupla hitelesítést, valószínűleg azért, mert itt kötelező, további 3 százalék pedig nem törődik ezzel a módszerrel.

Miért lenne pedig fontos mindez? Abból a kérdésből, hogy ki milyen telefonos képernyőzárat használ, kiderült, hogy 8 százalék semmilyet, de további 27 százalék is valamilyen viszonylag gyorsan feltörhető módszert alkalmaz (PIN-kód vagy berajzolható ábrák). Márpedig a telefon könnyen elveszíthető, ellopható, de már az is veszélyes, ha pár percig felügyelet nélkül hagyjuk - illetéktelenek pillanatok alatt kinyerhetik az összes belépési adatunkat. Ha pedig nem használunk kétfaktoros hitelesítést, akkor a csalóknak mindenük megvan hozzá, hogy sikerrel járjanak.

Itt azok is veszélyben vannak, akik a következő kérdésre, amely a jelszavaik bonyolultságára célzott, azt válaszolták, hogy csak számjegyekből áll (2 százalék). De már a betűk és számjegyek kombinációját is egyre könnyebb feltörni (31 százalék). Az igazán hatékony jelszavak hosszú és bonyolult karaktersorok, amelyekben kis- és nagybetűk, számok és speciális karakterek is találhatók.

Hasonlóan eredményt adott az a kérdés, ahol arra voltunk kíváncsiak, ki használja ugyanazt a jelszót több szolgáltatáshoz is. 18 százalék így tesz, mert nehéz megjegyezni többféle kódot, de még az a 60 százalék is nagyon sok, akinek van ugyan több jelszava, de van több olyan szolgáltatás, amihez ugyanazt használja. Sajnos, ha illetéktelenek megszerzik a jelszavunkat akár egyetlen fiókhoz is, máris bajba kerülünk, ha ugyanazt használjuk például a netbankhoz. A többféle jelszó megjegyzése nem könnyű, de segíthetnek a jelszókezelő programok, amelyek egyetlen mesterjelszó használatával megmutatják a bennük tárolt összes többit.

A csalók nem adják fel - mi se tegyük!

Végezetül két kérdést tettünk fel a saját tapasztalatokról: megkérdeztük, hogy családban, ismerősi körben volt-e már olyan, aki online csalás áldozata lett. Az eredmény riasztó: a válaszadók több mint fele (53%) ismer ilyet.

A banki csalásokra külön rákérdeztünk, hiszen ez az egyik leginkább fájó próbálkozás. Azt kérdeztük, hogy olvasóink szerint mi a teendő akkor, ha arra gyanakszanak, hogy valaki banki csalással próbálkozik ellenük. A kitöltők 51 százalék mondta, hogy a banki ügyfélszolgálatot hívná, 29 százalékuk a kártyát, számlát blokkolná, 9 százalék pedig a rendőrséget értesítené.

Az első két megoldás a legbiztosabb, leggyorsabb módja annak, hogy gyorsan megelőzzük a gyanított csalás végrehajtását; Király Ferenc is úgy látja, egyre inkább tudatosak vagyunk az online csalók elleni harcban.

„A válaszok alapján sokan felismerik és óvatosan kezelik a gyanús megkereséseket, de a

probléma sajnos óriási, ezért mindenkinek fokozottan kell figyelnie a gyanús jelekre”

– mondja a szakember. 

„Az UniCredit Banknál folyamatosan azon dolgozunk a kollégáimmal, hogy ebben támogassuk ügyfeleinket: gyanús tranzakció esetén a banki mobilappban vagy akár a telefonos ügyfélszolgálatunkon az „Azonnali blokkolás” funkció segítségével zárolhatják a számlájukat, kártyájukat.

Emellett a bankszektor Kiberpajzs kezdeményezésével összhangban weboldalunkon folyamatosan mutatjuk meg a legfrissebb csalási módokat, és adunk tippeket ezek elkerülésére, de e-mailben, social media felületeinken is tájékoztatjuk ügyfeleinket. Legyünk óvatosak: ha valami gyanús, ne siessünk reagálni, ellenőrizzük, hogy biztosan nem csalással van-e dolgunk.”

BRAND & CONTENT