A tét Te vagy, év végén is! Téli kiberbiztonsági tippek és podcast az SZTFH-tól

A karácsonyi vásárlási szezonnal rengeteg kedvezményes, online vásárlási ajánlat válik elérhetővé az interneten. Ezt az időszakot a kiberbűnözők minden évben kihasználják: csaló ajánlatokat küldenek e-mailben vagy a közösségi média felületein, kamu weboldalakat, webshopokat hoznak létre, esetleg jótékonysági szervezeteknek adják ki magukat, vagy éppen egy-egy ismertebb ember bőrébe bújva próbálják átverni a potenciális áldozatokat, esetleg cégek toborzó munkatársainak adják ki magukat Mindezek mellett persze szükséges megemlíteni, hogy a különféle, online üdvözlőkártyák és animációk is veszélyt jelenthetnek, illetve ezen időszak során a szolgáltatók vagy hivatalos szervek nevében elkövetett online csalások száma is megnő. A módszerrel a csalás hitelességét próbálják növelni, és pszichológiai manipulációt alkalmazva, azonnali cselekvésre próbálják rávenni az embereket. A támadók minden esetben pénzszerzésre, valamint a pénzügyi és a személyes adatok megszerzésére törekednek.
Évről évre egyre nagyobb az e-kereskedelmi üzletek forgalma a novemberi és decemberi időszakban. Ilyenkor több tízezres és százezres nagyságrendben vásárolnak termékeket a fogyasztók, ami akár 35-40 százalékos növekedést is jelenthet az év többi időszakához képest. Ez a növekedés nem csak az online kereskedőknek jelent jó lehetőséget, de a kiberbűnözőknek is, hiszen számukra a több vásárló több célpontot jelent. Ezen időszak során globálisan 400 %-kal nő az online csalások száma, ami nem véletlen, hiszen az e-kereskedelem is rohamos tempóban növekszik. A hazai internetfelhasználók 74%-a vásárolt már webáruházból, és ez idén sem lesz másképp. A statisztikákat önmagukért beszélnek és figyelemfelhívóak: minden ötödik felhasználó érintett lehet egy-egy adathalász vagy online csalás kapcsán. Ma Magyarországon a bankkártyát és bankszámlákat érintő napi károk összege eléri az átlag 75 millió forintot.

Ebben a témában a Szabályozott Tevékenységek Felügyeleti Hatósága egy olyan kiadványt készített, ami nem csak a karácsonyi időszak kiberveszélyeire hívja fel a figyelmet, hanem értékes információkat tartalmaz a különféle online csalások tekintetében, amelyek nagy része a novemberi, decemberi időszak során tetőzik, de a fogyasztók és a felhasználók az új esztendő során, januárban sem dőlhetnek hátra. A csalási statisztikák kapcsán fontos kiemelni, hogy az elmúlt évek során december 11-e és 23-a között a legaktívabbak a kiberbűnözők, az átverések csúcsidőszaka a karácsony előtti két hét, majd közvetlenül az év vége és az új év első napjai: december 30-a és január 6-a között. Ezért ez a kiadvány valóban nem csak az ünnepek előtt, hanem alatt és utána is hasznos.

Ha valakit most azonnal érdekel, hogy miként is védekezhetünk és melyek a leggyakoribb módszerek, illetve mik a gyanús jelek, azoknak mutatjuk is az SZTFH 13+1 pontját.

Lehetőleg olyan weboldalakat keressünk fel vásárlási szándékunkkal, amelyeket ismerünk és ahonnan már rendeltünk korábban. Jegyezzük meg a már felkeresett és megbízhatónak minősült online áruházakat és vásároljunk a jól bejáratott weboldalakról, webshopokból!

Ha mégis új helyről rendelünk, akkor ellenőrizzük, hogy a weboldalhoz tartozó domaint mikor jegyezték be, ha a közelmúltban, az legyen gyanús. Nézzük meg, hogy van-e ügyfélszolgálati elérhetősége (e-mail cím, telefonszám, esetleg telephely), illetve más kapcsolattartási információ a honlapon: ha ezek hiányoznak, az legyen gyanús. Ellenőrizzük, hogy létezik-e az oldalon ÁSZF vagy bármilyen részletes vásárlási tájékoztató: ha ezek hiányoznak, az legyen gyanús!

A kiberbűnözők a valós webshopok arculati elemeinek felhasználásával képesek olyan megtévesztő honlapokat kialakítani, amelyek szinte teljesen úgy néznek ki, mint az eredeti. Ilyen esetben árulkodó lehet a webcím, ezért figyeljünk arra, hogy ezek tartalmaznak-e extra karaktereket, elütéseket. Ha egy weboldal HTTP protokollt használ, akkor az nem a legjobb előjel, ugyanis az ilyen oldalak nem képesek megvédeni a továbbított információkat, szóval ez legyen gyanús! Ha a webcím HTTPS-sel kezdődik, akkor az jó kiindulás, hiszen az a titkosításra támaszkodik, annak érdekében, hogy a támadók ne tudják a webhely és látogatóik között továbbított adatokat megismerni. Annak ellenőrzése, hogy a meglátogatott webhely HTTPS-t használ-e, nagyon egyszerű: elég egy gyors pillantást vetnünk a címsorra. A HTTP-weboldalakon a „Nem biztonságos" megjelölés jelenik meg, míg a HTTPS-weboldalakon az URL-cím melletti bal sarokban egy lakat ikon látható. Fontos azonban, hogy önmagában még nem elég a biztonsághoz!

De ne csak egy helyen! Minden online áruház és eladó esetén érdemes elolvasni mások korábbi tapasztalatait, és az ár összehasonlító oldalak értékeléseit. Amennyiben egy boltról, vagy termékről jellemzően negatívan nyilatkoznak a felhasználók, megfontolandó lehet elállni a vásárlási szándéktól. A jogsértő webáruházakról létezik egy nyilvántartás, ezt is érdemes böngésznünk. Higgyük el, ezt a kis időt megéri rászánni.

Legyünk gyanakvóak minden év végi akció és hihetetlennek tűnő ajánlat kapcsán! Amennyiben egy nagyon vonzó hirdetéssel találkozunk a közösségi médiában, esetleg e-mailben, vagy egy olyan termékkel, amit egy híresség nevével és arcával próbálnak meg eladni, az legyen gyanús. Nem érdemes egyből a linkre kattintani, inkább keressük fel a hivatalos webáruházat (hiszen lehet, tényleg létezik az akció), és ott ellenőrizzük le az aktuális leértékeléseket. Kerüljük az érzelmeken alapuló vásárlásokat!

Legyünk óvatosak a piaci áraktól jelentősen eltérő kínálatokkal. A csalók kihagyhatatlan és „sohavisszanemtérős" ajánlatokkal igyekeznek rávenni minket az online vásárlásra. Ne feledjük, az eredeti ár 10-20 százalékáért nem kapunk sem okostelefont, sem játékkonzolt, sem porszívót. De még televíziót, parfümöt és hajszárítót sem!

Először ellenőrizzük, hogy az adott webshophoz kapcsolódó tranzakció biztonságos oldalon (fizetési szolgáltatókon keresztül), vagy a webáruház saját felületén történik-e. Utóbbi mindenképpen legyen gyanús! Amennyiben módunkban áll, válasszuk az utánvétes fizetést! Ha erre nincs lehetőség, az legyen gyanús! Ha mindenképpen előreutalással fizetünk, a rendeléshez érdemes külön erre a célra használt hitelkártyát vagy virtuális bankkártyát alkalmazni. Ezekre a kártyákra minden esetben annyi összeget különítsünk el, amennyi épp szükséges a vásárláshoz, és állítsunk be vásárlási limiteket is.

Egyre gyakoribb, hogy az online karácsonyi és újévi köszöntő e-üdvözlőlapok, vagy GIF formátumú animációk káros kódokat rejtenek magukban, ezért kerüljük az ilyen mellékletek megnyitását. Sőt, manapság már egyes karácsonyi háttérképek, dalok, csengőhangok is tartalmazhatnak rosszindulatú programokat, ezért kizárólag megbízható, legális forrásból töltsünk le ilyen fájlokat! Előtte azért nem árt átgondolnunk, hogy valóban szükségünk van-e minderre.

Az ajándékutalvány csalások legáltalánosabb formája az, ha olyan e-mailt vagy szöveges üzenetet kapunk, ami elsőre, de akár másodjára is úgy néz ki, mintha az egy jó hírű cégtől érkezett volna. Ezekben az üzenetekben általában azt állítják a bűnözők, hogy ingyenes ajándékutalványt nyertünk, vagy egy bizonyos kód használata esetén kedvezményt kaphatunk a vásárlásból. Az üzenetekben található linkek azonban egy hamis webhelyre vezetnek, ahol az utalvány érvényesítéséhez, vagy a „vásárláshoz"meg kell adnunk személyes és / vagy pénzügyi adatainkat. Ez legyen gyanús! Soha ne adjuk ki személyes adatainkat, vigyázzunk rájuk!

Az év végéhez közeledve a jótékonysági és adományozási csalások száma minden évben a többszörösére ugrik. Ilyen esetek során a kiberbűnözők hamis webhelyeket vagy e-mail-kampányokat hoznak létre, amelyek azt állítják, hogy valamilyen karitatív célra gyűjtenek pénzt. Az emberek jóhiszeműségét használják ki, így az adományozás előtt mindenképpen tájékozódjunk. Győződjünk meg arról, hogy hová megy a pénz, és hogyan fogják felhasználni, egyáltalán létezik-e az a szervezet, akinek a nevében gyűjtenek. Ha a szervezet semmilyen konkrét információval nem tud szolgálni a tevékenységről, vagy semmilyen releváns információt nem találunk a cégről, a kezdeményezésről, az legyen gyanús!

Kerüljük a könnyen kitalálható, ránk jellemző, rövid szavak és szóösszetételek jelszóként való használatát. Jelszavaink legalább 12 karakterből álljanak, tartalmazzanak számokat és speciális karaktereket. Ha van kedvenc idézetünk, versünk, zeneszámunk, akkor akár az egyik sorát jelszóként is használhatjuk.

Egy plusz biztonsági réteget, ami online fiókjaink és a támadók közé állhatnak! Engedélyezzük és állítsuk be a kétfaktoros (2FA), vagy a többfaktoros hitelesítést (MFA) minden olyan online helyen, ahol ez lehetséges (közösségi média, e-mail fiók stb.). Ennek köszönhetően jelszavaink, jelkódjaink mellett lesz még egy tényező, amivel saját magamat igazolhatom, ezzel megnehezítve a kiberbűnözők dolgát. Többféle MFA-típus közül választhatunk: lehet biometrikus azonosító, fizikai biztonsági kulcs vagy akár hitelesítő alkalmazás. Ne feledjük, a biztonsági ellenőrző kérdések gyakran hátrányt jelenthetnek, mivel pszichológiai manipulációval relatív könnyen kijátszhatók, ezért ezeket MFA-ként ne használjuk.

Főleg év elején szaporodnak meg ezek a csalások, amikor a bűnözők fejvadászoknak és toborzó munkatársaknak adják ki magukat közösségi média felületeken és e-mailben. Ilyenkor a csalók azt állítják, hogy látták a profilunkat és van számunkra egy állásuk. Ezután egy űrlap kitöltésére akarnak rávenni minket, ami már az átverés része: az űrlap tartalmazhat rosszindulatú programot, illetve ezen keresztül kérhetnek tőlünk olyan érzékeny személyes adatokat, amelyek megadásával könnyen bajba kerülhetünk. Szóval ezek legyenek gyanúsak, és ilyenkor ne érdekeljen minket (a nem létező) állás.

Ha a nagy év végi rohanásban szeretnénk egy kicsit lelassítani, akkor hallgassuk meg az SZTFH karácsonyi podcast különkiadását, amelyben az idei év legérdekesebb, legtanulságosabb eseteit beszélték át a meghívott vendégek Olivérrel, a kibertéren kívülivel. Meghallgatom!