Az utóbbi időben Magyarországon is mindennapossá vált az internetes adathalászat. Ami a bankszámlánkat is érintheti. Ahogy egy névtelenséget kérő banki szakember fogalmaz, mindez nem véletlen. A veszélyes pedig az, hogy ezek a támadások már olyan élethű imitációk, amelyek tökéletes megtévesztést tudnak elérni.
Bizonyára mindenki tapasztalja, hogy emailjei között olyan bankoktól is kap az azonosítási kódjait elkérő elektronikus leveleket, amelynek nem is ügyfele. A veszély akkor kezdődik, ha ezek között olyan is van, ami a saját pénzintézetétől, vagy más szolgáltatójától (ahogy legutóbb az egyik telekommunikációs társaságtól) érkezik és életszerűnek is tűnik a levél, amelyben mondjuk azt kérik: valamilyen technikai átállás miatt adjuk meg a személyes adatainkat, belépési kódjainkat.
Az Üzletnek nyilatkozó bankbiztonsági szakember szerint – ha egyáltalán elolvassa valaki az ilyen levelet – itt kell felvillannia a képzeletbeli piros lámpának. A biztonsági aranyszabály ugyanis az, hogy egy bank – semelyik bank -, soha sem nem kér az ügyfeleitől olyan adatokat, amelyek a személyes azonosító és belépő kódjaikat tartalmazzák! Vagyis ha valaki egy ilyen levelet kap, legyen nagyon-nagyon óvatos!
A másik fontos tudnivaló az, hogy a banki adathalászatnál (szaknyelven fishing-nél) sosem a bank van megtámadva az interneten keresztül, hanem az ügyfél! A pénzintézet nem is tud arról, hogy ügyfele veszélyben van! Hogy mindez miért kulcskérdés és milyen veszélyeket rejt a gyanútlan ügyfelek számára, az az alábbiakból kiderül.
De előbb szóljunk magáról a jelenségről. Az ilyen adathalászat lényege az, hogy a csalók a normál banki webes felület hű másolatát elküldve operálnak. Méghozzá nemcsak az adott bank ügyfeleit támadják, hanem mindenkit, akinek a címlistájához hozzájutottak az internet fekete bugyrának tartott dark weben, vagy egyszerűen a fekete piacon, ahol pénzért minden kapható: címlista, szerver, a hamis weboldalt elkészítő szoftver.
Ami ebben a legveszélyesebb az az, hogy – a megadott limitek függvényében -, nagyon komoly összegek „elhalászásáról” van szó és a hamisítói iparág is szofisztikálódik. Mindez még akkor is nagy veszélyeket rejt, ha a tapasztalatok szerint ez első/néhány tranzakció után a bank is megkezdi a támadás elhárítását. De ma már a pénzintézeti oldalak hamisítványai is a szó szoros értelmében megszólalásig hasonlítanak az eredetikre. Tehát amíg a korábbi, primitív megjelenésű, a google fordító hibáival tarkított szövegű hamisítványokat viszonylag egyszerű volt kiszűrni észrevenni, a mostani adathalász levelek felismerése nem annyira egyszerű, különösen akkor, ha valaki a munkájában elmélyedve szinte automatikusan nyitja meg és olvassa a leveleit.
A technikai fejlődés eredményeként a magyar fogyasztók számára már nincs meg az a látszólagos védelem, ami korábban abból fakadt, hogy országunk kicsi, a nyelvünk bonyolult és nemzetközi viszonylatban kevesebb ügyfelet ér el a támadás, mint egy nagyobb országban. Azzal, hogy ma már a legfejlettebb internetes technológiák is megfizethetők, a csalóknak is megéri az olyan kisebb piacokon is bepróbálkozniuk, amelyeket korábban kerültek. Ez pedig azért is nehéz helyzetbe hozza a magyar bankokat, mert az ügyfelek edukációja ebben a témában nehéz, ugyanis kevés az olyan platform ahol nem csak elérik őket, de jelezni is tudják a valós veszélyt.
És itt térünk vissza arra, hogy az óvatlan ügyfél számára miért jelent kellemetlen (kisebb összegnél), vagy súlyosabb (nagyobb limitnél) akár a teljes megtakarítását kockáztató veszélyt az, ha egy ilyen hamis oldalon megadja a titkos kódjait. Amit – ahogy jeleztük – egyik bank sem kér el soha! Ha viszont a hamisítók élethű oldalára ellátogatva megadjuk az azonosításunkra szolgáló kódokat, a bank már semmit nem tehet. A szabályok szerint ugyanis ezeket a tranzakciókat éppen úgy kell kezelnie, mint az általunk indított legális pénzügyleteket – hiszen semmi oka és lehetősége nincs arra a pénzintézetnek, hogy gyanakodjon és megállítsa az ügyletet.
Ilyenkor a bank egyetlen védekező mechanizmusa léphet életbe, de az is csak a kirívó esetekben. Mondjuk ha valaki 10 éve csak Magyarországon bonyolít tranzakciókat, vagy mondjuk csak Európában utazik, a megszokottól eltérő helyről – mondjuk Malájziából, vagy Nigériából (ami azért persze feltűnőbb) -, és/vagy összegszerűségről érkező tranzakció esetén meg tudja állítani az átutalás folyamatát és az ügyfelet felhívva kérheti az azonosítást és jóváhagyást. Más kérdés, hogy az egyre gyorsabb átutalás – különösen a hamarosan gyakorlattá váló átutalás – kötelezettsége mellett a bankok már az ilyen jellegű vészreakció lehetőségét is elveszítik. Vagyis az ügyfeleknek még a korábbiaknál is jobban kell ügyelniük a pénzükre. Mert ha egy adathalász oldalon valaki megadta az adatait és a megadott összeget, mint egy legális tranzakció keretében leemelték, a bank már tehetetlen – az ügyfél nagy valószínűséggel bukta a pénzét.
Az még a szerencsésebb, ha valaki, még azután, hogy gyanút fogott, miután a hamis oldalon megadta az adatait, figyelmezteti a bankot. A pénzintézet ilyenkor azonnal blokkolja a tranzakciót, és a hozzáférést. Az ügyfél pedig kérhet új azonosítókat, de például addig is jöhet pénz a számlájára – miközben a számlán lévő összeg is megmenekül. Amennyiben valaki azt tapasztalja, hogy az adathalászok megpróbálták levenni a pénzét, vagy ezt meg is tették, nemcsak a saját jövőbeni védelme, de a többi ügyfél biztonsága miatt is érdemes risztani a bankot, amely az első ilyen jelzésre blokkolja a támadó szerverét, hogy az ne tudja a megtévesztő oldalt üzemeltetni.
Ezért is van az, hogy amint azt névtelen informátorunk kifejtette: a pénzintézetek maguk is abban érdekeltek , hogy – mint egy fedett nyomozó -, bekerüljenek a megtévesztendő ügyfelek közé, mert minél hamarabb értesülnek az adathalászatról, annál hamarabb tudnak számukra védelmet nyújtani.