Tudjon meg többet az adathalászatról!
Mit jelent az e-mailes visszaélés?
Mint minden adathalász módszernek, így az e-mailen keresztül történő átveréseknek is az a célja, hogy az elkövetők megtévesztéssel, jellemzően valamely bank vagy vállalat nevével visszaélve adatokat csaljanak ki Öntől. Ezek az e-mailek általában olyan linkeket tartalmaznak, amik egy internetbanki belépő oldalra vagy egy fizetési felületre megtévesztően hasonlító weboldalra vezetnek.
Ilyen hamis oldalakon keresztül próbálhatják meg kicsalni a visszaélések elkövetéséhez szükséges adatokat, például személyes adatokat, internetbanki belépéshez szükséges adatokat, bankkártyaadatokat. Előfordul az is, hogy az e-mailben csatolmány van. A csatolmányok elnevezését úgy választják meg, hogy felkeltsék az Ön érdeklődését, és ösztönözzék a megnyitásra. A csatolmány azonban egy olyan kártevő szoftvert tartalmaz, ami a megnyitással települ az Ön gépére, ha nincs rajta megfelelő védelem. Ez a szoftver zárolhatja a gépen lévő adatokat, vagy a tudta nélkül megfigyelheti a gépet, hogy így szerezhessék meg a támadók a személyes adatait, beleértve jelszavait is.
Hogyan ismerhetem fel, ha át akarnak verni?
Ha az alábbi jellemzők bármelyikével találkozik egy OTP Banktól kapott e-mailben, mindenképp kezdjen el gyanakodni!
- Az e-mail feladója nem a bank, tehát nem a bank hivatalosan használt e-mail postafiókjából érkezik az üzenet. Azonban mivel ezt is egyszerűen lehet hamisítani, így célszerű a levél fejlécét ezzel a módszerrel megvizsgálni.
- Az e-mail a levélszemét (spam) mappába kerül automatikusan, mert a levelezőprogram valami gyanúsat észlelt benne.
- Az üzenet szövegét rossz magyarsággal, helytelen megfogalmazásokkal írták meg, keverve a tegező és magázódó megszólítást.
- A korábban kapott levelektől eltér a formátum: más betűtípust, szerkesztést, arculati elemeket, vagy esetleg hibás jogi nyilatkozatot használ.
- Maga az üzenet sürgető jellegű, esetleg nyereményjátékot hirdet vagy büntetéssel fenyeget.
- Az üzenet szövege utal egy korábbi levélváltásra vagy interakcióra, ami a valóságban nem történt meg.
- A feladó címe nehezen köthető a megszemélyesített szolgáltatóhoz, eltérő országbeli illetékességű, esetleg betűhibák, elütések vannak az e-mail-címben vagy a domain névben.
- A megtévesztő weboldal nem megfelelő, furcsának tűnő, ismeretlen URL címmel rendelkezik, vagy a böngésző szoftver biztonsági szűrője gyanús forrásként tűnteti fel azt, nem megfelelő a titkosítása (a böngésző címsora mellett nem lát lakat-ikont, illetve nem “https://” rövidítéssel kezdődik, ami a biztonságos kapcsolatot jelenti).
Természetesen nem csak az OTP Bankot megszemélyesítő átverésekkel találkozhat – ilyenkor mérlegelje, hogy az adott szervezetnek miért lenne szüksége azokra az adatokra, amiket kér. Érdemes gyanút fogni akkor, ha mondjuk az adóhatóság nevében az ügyfélkapun kívül olyan levelet kapunk, ami adó-visszatérítéssel kecsegtet, vagy valamely szolgáltató egy számlatartozás azonnali rendezésére szólít fel. Ma még nem tartunk ott, hogy egy szolgáltató valóban fontos tennivalóra e-mailben figyelmeztessen!
Mit tehetek ellene, mit tehetek a megelőzésért?
Az előbb felsoroltakból az következik, hogy az adathalász támadások ellen úgy védekezhet a leghatékonyabban, ha átgondolja a folyamat életszerűségét: miért kellene megadnia a bankkártyája adatait egy idegen hivatkozásra kattintva, vagy éppen miért küldene Önnek mondjuk az OTP Bank csatolmányt, amikor eddig nem tett ilyet soha?
Ha linket kap egy levélben, akkor érdemes inkább felkeresni az adott honlapot a link használata helyett, majd összevetni a két címsort a böngészőben. Bár ez több időt vesz igénybe, de így megbizonyosodhat arról, hogy valós online felülettel van-e dolga.
Nézze meg mindig, hogy a levél feladójának gyanús-e a címe, de mivel ez is könnyen hamisítható, ezért ezen felül javasolt mindig elolvasni az e-mail teljes tartalmát, illetve keresni az elütéseket, helyesírási vagy logikai hibákat. Ha még így sem biztos a kapott levél valódiságában, akkor érdemes közvetlenül felkeresni az adott szervezetet vagy szolgáltatót a hivatalos elérhetőségein, hogy tájékozódhasson és jelezhesse a problémáját.
Hanghívás
Mit jelent a telefonos visszaélés?
A telefonon történő átverések célja, hogy az elkövetők valamely bank vagy vállalat nevével visszaélve az Ön bizalmába férkőzzenek, hogy így bankkártya- vagy internetbanki adatokat csaljanak ki. A legismertebb módszer az, amikor az elkövetők egy adott szervezet vagy szolgáltató dolgozójának adják ki magukat és bankkártyás adatok egyeztetése miatt keresik meg.
Az átveréshez és az adatok megszerzéséhez gyakran biztonsági protokollra hivatkozva elkérik a bankkártyája számát azonosításhoz, vagy egy alkalmazást töltetnek le Önnel a telefonjára, amely a visszaélők számára teljes hozzáférést biztosít, így pontosan látják a megadott bejelentkezési adatokat, amiket később fel tudnak használni. Egy ilyen átverés során gyakran órákig is szóval tarthatják, hogy elvonják a figyelmét, ameddig végrehajtják a szükséges megfigyeléseket, vagy akár tranzakciókat is. A telefonos adathalászat azért jelent nagy kockázatot, mert ezekkel a módszerekkel a visszaélők olyan adatokat csalhatnak ki Öntől, amivel rövid idő leforgása alatt jelentős kárt tudnak okozni.
Hogyan ismerhetem fel, ha át akarnak verni?
Ha az alábbi jellemzők bármelyikével találkozik egy OTP Banktól kapott hívásban, mindenképp kezdjen el gyanakodni!
- A hívás során nemcsak a személyes adatait és egyes bankszámlához kapcsolódó adatait kérik el a beazonosításhoz, hanem kártyaadatokat és OTPdirekt azonosítókat is, amikre a bank munkatársainak sosem lenne szüksége.
- A telefonáló “munkatárs” arra hivatkozik, hogy egy gyanús tranzakció miatt a számláján lévő összeget biztonságba kell helyezni, amihez átmozgatás szükséges.
- A megkeresés során olyan szoftver letöltésére szólítják fel, aminek telepítésénél a rendszer jóváhagyást kér Öntől, hogy biztosítson hozzáférést az eszközéhez.
Természetesen nem csak az OTP Bankot megszemélyesítő átverésekkel találkozhat. Egy visszatérő módszer az is, amikor egy nyereményjátékra hivatkozva kódok beütését kérik Öntől egy ATM-be, valamint amikor állítólagos pénzügyi szakemberek bankkártyaadatokat kérnek ahhoz, hogy megforgassák a pénzét. Általános szabály: ha valami túl szépnek tűnik, akkor valószínűleg nem igaz.
Mit tehetek ellene, mit tehetek a megelőzésért?
Az adathalász támadások ellen úgy védekezhet a leghatékonyabban, ha átgondolja a megkeresés életszerűségét: miért kérné egy banki dolgozó arra, hogy töltsön le a készülékére egy olyan programot, aminek nincs köze a bankhoz? Vagy miért kéne a banknak egy külső szoftver ahhoz, hogy biztonsági intézkedéseket hajtson végre? Miért keresné fel Önt egy megbízott, hogy pusztán kedvességből extra bevétellel kecsegtessen?
Ha ilyen hívásokat kap telefonon, akkor érdemes megszakítania a beszélgetést, és inkább közvetlenül keresse fel az adott szervezetet vagy szolgáltatót a hivatalos elérhetőségein, hogy tájékozódhasson és jelezhesse a problémáját.
SMS
Mit jelent az SMS-csalás?
Az SMS-csalás nagyon gyakori visszaélési formává vált napjainkban. Célja ennek is az adathalászat, azaz hogy a jóhiszeműségét kihasználva adatokat csaljanak ki Öntől. Itt viszont gyakran csomagküldő cégek, illetve hasonló szolgáltatások nevében érkeznek a megkeresések. Az SMS-ek általában egy futárszolgálat által kiszállítandó csomagra hivatkoznak, amit az ügyfél csak akkor vehet át, ha az üzenetben megküldött hivatkozásra kattintva megadja bankkártyájának adatait. A csalók azzal számolnak, hogy sokan majd azt feltételezik, vagy megfeledkeztek egy megrendelt csomagjukról, vagy valamely családtagjuk rendelt valamit, csak elfelejtett szólni erről. Előfordulhat, hogy nyereményjátékra hivatkozva próbálják rávenni a gyanútlan áldozatokat, hogy kattintsanak az üzenetben található linkre. Azt megnyitva az adathalászok közvetlenül elkérhetik bankkártyánk adatait, vagy a linkkel egy olyan applikáció letöltésére irányíthatnak, amellyel könnyen hozzáférhetnek személyes adatainkhoz, jelszavainkhoz. Az applikációt sok esetben eltávolítani sem lehet, így az telefonunk kikapcsolása után is tovább működik.
Ha látszólag az OTP Bank nevében érkezik az SMS, az abban szereplő link általában egy internetes oldalra vezet, ami megtévesztésig hasonlít a bank internetbanki belépő felületére. Ezen keresztül pedig könnyen megszerezhetik jelszavainkat és adatainkat, amellyel hozzáférhetnek a bankszámlánkhoz is.
Ahogy látszik, a legtöbb SMS-en keresztüli adathalászat során több lépésen keresztül próbálnak adatokat kinyerni tőlünk. Ezért nemcsak az SMS alapján, de a felületen is, amelyre az SMS-ben küldött link irányít, lehetőségünk van kiszúrni, hogy csalási kísérletről van szó.
Hogyan ismerhetem fel, ha át akarnak verni?
- Vizsgálja meg az üzenet szövegét! Ha ékezetek nélküli szavak szerepelnek az üzenet szövegében, vagy helyesírási hibákat fedez fel, az gyanúra ad okot!
- Az üzenetben szereplő link nem egy létező, ismert szolgáltató vagy webáruház webcíme, hanem általában egy ismeretlen, betűkből és számokból kombinált URL.
- Korábban a szolgáltatótól kapott SMS-ek egy másik számról érkeztek.
- Az üzenetben a korábban a szolgáltatótól kapott SMS-ektől eltérő szerkesztést használnak, más a megszólítás, vagy nem pontos a küldő megnevezése.
- Maga az üzenet sürgető jellegű. Esetleg nyereményjátékot hirdet, vagy arra utal, hogy csak a link megnyitásával teljesül az SMS-ben jelzett szolgáltatás.
Mit tehetek ellene, mit tehetek a megelőzésért?
Mérlegelje, mennyire életszerű a megkeresés, például az adott szolgáltató miért kérné el SMS-ben a bankkártyája adatait. Az ilyen gyanús SMS-ek esetében érdemes utánajárni, tényleg az adott szolgáltató küldte-e azt – mindenképp az SMS-ben hivatkozott szolgáltató hivatalos elérhetőségein érdeklődjön.
A legfontosabb viszont, hogy semmiképp se nyissa meg az SMS-ben kapott ismeretlen linket! Az adathalász applikáció nem települ magától, így fontos, hogy ne kövesse a telepítési lépéseket. Ha pedig közvetlenül SMS-ben kérnek adatokat, ne válaszoljon rá. Az OTP Bank SMS-ben sem kér jelszavakat vagy PIN-kódokat, sem más bizalmas adatokat. A bank munkatársai kizárólag akkor kérhetnek személyes adatokat, ha egy konkrét, folyamatban lévő ügyben keresik, az Ön által megjelölt módon és elérhetőségeken.
Applikáció
Mit jelent az applikáción keresztül történő csalás?
A mobilbankolás elterjedésével az applikáción
keresztüli csalások is egyre gyakoribbak. Az ilyen esetekben is az adathalászat
az elsődleges cél, a jelszavak vagy a bankkártyaadatok megszerzése. A csalók
e-mailben vagy SMS-ben is küldhetnek linket egy adathalász applikációhoz (ld. E-mailes csalás és SMS-csalás fejezetek),
de akár szembejöhetnek gyanús alkalmazások Google Play-ben vagy Apple Store-ban
is. Első ránézésre ezek nagyon hasonlíthatnak egy adott szolgáltató hivatalos
applikációjához, így könnyen megtéveszthetik a gyanútlan felhasználókat. A
legnagyobb problémát az okozhatja az adathalász applikációk esetében, hogy a
visszaélők irányítást szerezhetnek a készülékünk felett, ha ezeket letöltjük.
Így például azt is láthatják, hogy milyen belépési adatokkal érjük el az
internetbankot – persze ezen kívül is hozzáférhetnek minden egyéb adathoz, amit
a készüléken tárolunk.
Hogyan ismerhetem fel, ha át akarnak verni?
Az e-mailben, SMS-ben kapott linkekről letölthető applikációkat mindenképp kezeljük fokozott elővigyázatossággal! Ha ismeretlen, nem hivatalos applikációs áruházakra mutatnak a linkek, semmiképp se nyissuk meg őket, mert nagy valószínűséggel csalási szándékkal töltetnék le velünk az applikációt! Ám akkor is legyünk résen, ha a biztonságosabb, hivatalos applikációs áruházakról (Google Play, Apple Store), szeretnénk appot letölteni!
Ilyenkor az alábbiak adhatnak okot gyanúra:
- Az applikáció neve nem egyezik a szolgáltató hivatalos applikációjának a nevével. Ha nem is tudjuk fejből a pontos megnevezést, ennek általában utána tudunk nézni az adott szolgáltató weboldalán.
- Az adott szolgáltató színeit használják az applikáció logójában, de az mégsem teljesen ugyanaz, mint a szolgáltató hivatalos logója.
- Az applikáció leírása összefüggéstelen, zavaros, sokszor nyelvtani hibákat is tartalmaz.
- Az értékeléseknél sok a negatív a komment, ami a biztonsághoz vagy az applikáció engedélyeihez kapcsolódik.
- Egy kis fejlesztő esetében gyanús lehet, ha rövid időn belül túl nagy a letöltésszám, ezért ellenőrizze, mikor adták ki az applikációt, és ahhoz képest hányan töltötték le.
- Az applikáció engedélyt kér személyes adatok használatához, de nem kéri Öntől adatvédelmi nyilatkozat elfogadását a letöltési folyamat közben.
Az applikáció nevén kívül azt is fontos ellenőrizni, ki a fejlesztője. Például az OTP hivatalos applikációja esetében az OTP Bank Nyrt.-nek kell szerepelnie a Google Play és az App Store áruházakban.
Mit tehetek ellene, mit tehetek a megelőzésért?
Csak biztonságos forrásból, Google Play és App Store áruházakból származó applikációt töltsön le a telefonjára, de ilyenkor is legyen körültekintő!
Olvassa el a véleményeket az applikációról!
Ha valaki negatív tapasztalatot szerzett az app letöltése után, jó eséllyel meg fogja osztani azt, hogy a káros applikáció többeknek már ne okozhasson problémát. Rendezze a véleményeket idejük szerint, hogy a legfrissebbek látszódjanak legelöl! De nemcsak letöltés előtt, hanem a letöltés fázisában is van esély kiszűrni a káros appot. Minden esetben nézze meg, mire is ad engedélyt az applikációnak.
Site és domain
Mit jelent a weboldalon történő visszaélés?
Az adathalászat egyik legnehezebben kivédhető módja, amikor az elkövetők egy internetbanki belépő oldalra vagy egy fizetési felületre megtévesztően hasonlító weboldalon keresztül próbálják meg Öntől kicsalni a személyes adatait, belépési adatait, vagy a legtöbb esetben akár a bankkártyája adatait is. Ezekre a megtévesztő oldalakra általában egy hamis e-mailben vagy SMS-ben kapott linkkel próbálják meg elvezetni, és ha ez nem kelt Önben gyanút, akkor könnyen abban a helyzetben találhatja magát, hogy egy első ránézésre megbízható oldal jelent veszélyt az adatai biztonságára.
Hogyan ismerhetem fel, ha át akarnak verni?
- A böngésző címsorában lévő webcímben alig észrevehető elütések vannak, számokkal helyettesítenek betűket, nem “.hu”-ra végződnek, vagy esetleg gyanúsan sok ponttal elválasztott részt tartalmaznak.
- A böngésző címsora mellett nem lát egy lakat-ikont, illetve nem “https://” kezdődésű, ami a biztonságos kapcsolatot jelenti. Ugyan az ezekkel rendelkező oldalak szándéka is lehet kártékony, de azt garantálják, hogy a beleegyezése nélkül nem férhet hozzá senki rajtuk keresztül a bizalmas adataihoz.
- A korábban látott weboldalaktól eltér a formátum: más betűtípust, szerkesztést, arculati elemeket, vagy esetleg hibás “disclaimert” (jogi nyilatkozatot) használ. De a megfelelő logók és arculati elemek használata sem garantálja egy oldal valódiságát, hiszen ezeket nagyon egyszerű lemásolnia és szerkesztenie bárkinek.
Természetesen nem csak az OTP Bankot megszemélyesítő átverésekkel találkozhat – ilyenkor mérlegelje, hogy az adott szervezetnek miért lenne szüksége azokra az adatokra, amiket kér.
Mit tehetek ellene, mit tehetek a megelőzésért?
Ha linket kap egy levélben,
akkor érdemes inkább felkeresnie az adott honlapot a link használata helyett, majd
összevetni a két címsort a böngészőben. Ha átverésre gyanakszik, akkor inkább
gépelje be kézzel az adott oldal linkjét a kattintás vagy másolás helyett. Bár
mindegyik megoldás több időt vesz igénybe, de így könnyebben megbizonyosodhat
arról, hogy valós online felülettel van-e dolga.
Ha még így sem biztos egy
weboldal valódiságában, akkor érdemes közvetlenül felkeresnie az adott
szervezetet vagy szolgáltatót a hivatalos elérhetőségein, hogy tájékozódhasson
és jelezhesse a problémáját.
Általánosságban elmondható, hogy soha ne bízzon meg oldalakban, amik hagyományos HTTP protokollt használnak az újabb, biztonságosan kódolt formátum helyett. Valamint ha nyilvános helyen böngészi az internetet, akkor figyeljen oda arra, hogy ki láthat rá arra, amit csinál. Ezekkel biztosíthatja, hogy a tudta nélkül senki ne férhessen hozzá az adataihoz.