Történetünk alanya, aki elég sok horrorsztorit olvasott az adathalászatról, kibercsalásokról, klasszikus X-generációs állampolgár: még boltba jár vásárolni, de a műszaki cikkeket azért általában már internetes webáruházban nézi ki, vásárolja meg, majd használja, amíg végleg tönkre nem megy. Futárszolgálatot csak vásárlásnál vesz igénybe, talán egyszer küldött valamit ilyen „szekrényes” módon. Az online piactereken sincs nagy tapasztalata. És majdnem ez lett a veszte, ugyanis egy ilyen platformon kivételesen egy még működő készüléket kívánt értékesíteni.
Az áru használt, de nem lestrapált, jó állapotban van, így egy kora este meg is hirdette az egyik legismertebb hazai online piactéren, amely befogadta a hirdetést, és megírták, ellenőrzés után ki is megy. Pár perc elteltével alanyunk telefonja csipogott, Viber üzenet érkezett: megvan-e még az ilyen és ilyen címen meghirdetett áru? Alanyunk azért megpróbál utánajárni, ki fia-borja az, aki ilyen gyorsan rácsapna, de boldog, hogy a „kacattól” (számára az) megszabadulhat. Név alapján rákeres Facebookon, kismillió találat, ám a leendő vevő telefonszáma magyar, a Viber profilképen egy késő negyvenes apuka van a kisfiával. Olyasmi figura lehet, mint ő maga – gondolja.
Alanyunk tehát megválaszolja, hogy oké, mehet a dolog. Jó, a vevő futárszolgálaton keresztül vásárolna, közli, a kütyüt majd a futár becsomagolja. Az ékes magyar nyelvbe még némi humor is került, úgyhogy úgy tűnik, az üzletet nyélbe ütik. Vevő közli, nemsokára megy a megerősítő mail, lehet, hogy a spambe kerül, de kattintson a megerősítéshez, és akkor a pénzt is megkapja. Megvan a bizalom eladó és vevő között, hurrá!
Alanyunk boldog, gyorsan túlad a terméken. Meg is érkezik a mail, ahogy a „friss barát”, a leendő vevő ígérte, feladó helyén az online piactér neve, emberünk boldogan kattint az ott levő megerősítő gombra.
És itt követte el az első hibát:
nem figyelte, hogy feladóként valami vadidegen e-mail cím szerepel.
A link látszólag az online piactérre vitte (még a böngésző címsorában is annak neve szerepelt, kiegészülve mindenféle „order” meg egyéb „informatikai krikszkrakszokkal”), ahol a kértyakibocsátó bank kiválasztását kértek tőle, a kattintás után pedig a számlavezető bankjához megtévesztésig hasonló felületre került. Gondolta, az online piac szerződésben áll ezzel a hazai bankkal.
Alanyunk ezért szépen sorban ütötte be a kártyaadatokat. Majd belépési kódot és jelszót kértek tőle. Hoppá, a bank már régóta nem jelszavasan, hanem kétfaktoros hitelesítés (push üzenet és biometrikus azonosítás) után enged be a netbanki felületre!
Főhősünket azonban annyira lefoglalta az áru eladása, hogy az egyébként évek óta nem használt jelszót, valamint (ó, borzalom!) a PIN-kódot is megadta.
A felület ezt követően pár perc türelmet kért tőle, mellette pedig egy chatbot adta az utasítást, hogy hamarosan SMS-üzenet érkezik, az ott kapott kódot üsse be, push üzenet érkezik, nyomjon rá. Ezek azután vagy jöttek, vagy nem.
Hamarosan alanyunk telefonja csipogott: készpénzfelvét Prágában (!) 88 ezer forint összegben. Majd pár másodperc múlva újabb csipogás: készpénzfelvét Prágában elutasítva. Két perc múlva újabb csipogás: készpénzfelvét Prágában 53 ezer forint összegben. Pár másodperc múlva újabb üzenet: készpénzfelvét Prágában elutasítva.
Fotó: DepositPhotos.com
Alanyunk morcos, ideges, érzi, hogy valami nem stimmel. Belépett az internetbankjába, ahol látta, hogy az egyenlege ezzel az összesen 141 ezer forinttal csökkent, és ott van zárolt (tehát még le nem könyvelt) egyenlegként.
Közben újabb push üzenet érkezett: tranzakció jóváhagyása 99 ezer forint értékben. Alanyunkat annyira azért nem teljesen ragadta el az eladási láz, ilyen átutalásra ő nem adott megbízást, és különben is gyanús volt a prágai készpénzfelvét (sikertelen?) kísérlete. Telefonján rányomott a „tranzakció elutasítása” gombra, majd megszakította az egész folyamatot.
Akkor látta, érkezett egy másik e-mail is az online piactértől. Az immár valós, a platformhoz tartozó e-mail címről érkezett üzenetben az állt, a hirdetés rendben van, egyúttal mögötte hosszan-hosszan részletezték,
a felület soha nem kér banki adatokat, azokat semmiképp ne adják meg, és ha ilyenre tévednek, azonnal hagyják el azt a weboldalt.
Közben alanyunk egy másik Viber-üzenetet is kapott, ez az újabb „jelentkező” is az adott online piactéren meghirdetett készülék iránt érdeklődött. Itt már azért feltűnő volt a magyar névhez, ráadásul becenévhez tartozó külföldi (egyébként szlovén) telefonszám.
Történetünk „főhőse” nyakába vette a várost, még aznap este elment az adott bank legközelebbi fiókjához, az ATM-en (mely kamerával felvételt is készít) megváltoztatta a PIN-kódot, majd azzal a lendülettel az applikációban
letiltotta a kártyát is.
Másnap reggel nyitás után nem sokkal megjelent a bankfiókban, megérdeklődve, mi is történt: valóban elutasították-e a két, összesen 141 ezer forintnyi készpénzfelvétet? Alanyunknak óriási szerencséje volt! A banki ügyintéző megerősítette, ezt a két tranzakciót elutasította a bank, és az elutasításról szóló SMS-üzeneteket is valóban a pénzintézet informatikai rendszere küldte ki. Így „tanulópénzként” csupán a bankkártyacsere költségeit kell állnia.
A tanulságokat alanyunk az alábbi 5+1 pontban foglalta össze lapunknak:
1. Ha ismeretlen platformon először vagy nem elég gyakorlottan járunk el, mindig várjuk meg a valós visszaigazoló e-mailt. Fokozottan figyeljünk a feladó e-mail címére!
2. Ismeretlen személy közösségimédia-üzeneteit hagyjuk figyelmen kívül! A kiberbűnözők nem mémek meg vicces grafikák előállítására használják a mesterséges intelligenciát, hanem arra, hogy chatbot révén a jól profilozott áldozat bizalmába férkőzzenek, így az általuk küldött üzenet nem egy száraz e-mail lesz, hanem egy „leendő üzleti partner” már-már baráti levele. Nagyon jópofa dolog azt hinni, valós partnerrel csevegünk kedélyesen egy üzletkötés előtt, de helyette a biznisz hevében is őrizzük meg hidegvérünket, és mindig az adott platform üzenetküldő felületén kommunikáljunk!
3. Már-már klisészámba megy, de nem lehet elégszer ismételni: fokozott óvatossággal járjunk el bankkártyaadataink megadásakor! Valóban vannak felületek, ahol tényleg érdemes regisztrálni a kártyát, ott azonban nem irányítanak a bank felületére, illetve a kártya valós voltának igazolása vagy egy SMS-kóddal, vagy egy előre jelzett százforintos terheléssel történik, amit egy-két napon belül vissza is térítenek.
4. Szintén klisé, de a legfontosabb: belépési kódokat, jelszót, PIN-kódot soha ne adjunk meg!
5. Ha megtörtént a baj, azonnal szakítsuk meg a folyamatot, és tiltsuk le a bankkártyát! Inkább költsünk pár ezer forintot egy új kártyára, mint hogy kiberbűnözők hat-hét számjegyű összeggel csapolják meg a számlánkat!
+1. Egy jó bank informatikai rendszere érzékeli a gyanús tranzakciókat és automatikusan elutasítja azokat. Ilyen gyanús ügylet lehet egy budapesti netbankos vagy mobilbankos bejelentkezés mellett a prágai készpénzfelvét kísérlete. A bank kiberbiztonsági rendszere azonban nem jogosít fel se figyelmetlenségre, se könnyelműségre!
