A koronavírus-járvány idején több alkalommal is felhívtuk a figyelmet olyan internetes csalásokra, amelyek súlyos anyagi károkat okozhatnak. A kiberbűnözők most is igyekeznek kihasználni a netezők óvatlanságát, károsult olvasóink leveleire reagálva korábban mi is írtunk arról, mit lehet tenni, ha már megtörtént a baj. Viszonylag kevés szó esik ugyanakkor a SIM-cserés támadásokról (SIM-swapról), amikor a felkészült és tervszerűen eljáró csaló a mobiltelefon-szolgáltatón keresztül játssza ki áldozatát.
A bűnöző ilyenkor úgy veszi át az irányítást a telefonszámunk felett, hogy a való életben még csak találkoznunk sem kell vele, az eszközünk eltulajdonítása sem szükséges a súlyos visszaéléshez. A hétköznapi életben számos eset van, amikor mi magunk is kérnénk a mobilunkban rejtőző kis plasztikkártya cseréjét: elvesztettük a telefont, vagy például újat vásároltunk, de a kártya mérete nem illeszkedik az új készülékbe. Vagy csak megrongálódott, esetleg jobb ajánlatot találtunk másik szolgáltatónál. A SIM-cserés csalásoknál a bűnözök így verik át a szolgáltatókat is.
A SIM-swapping egy meglehetősen összetett támadási forma, amiről azt gondolnánk, csak a filmekben létezik, de koránt sincs így: 2015 óta négyszeresére nőtt az ilyen típusú támadások száma. A célpontok közt egyre gyakrabban vannak olyanok, akik a kriptopénz szektorban tevékenykednek, de ugyanúgy célpontok a hétköznapi emberek, akiknek az évek alatt megspórolt pénzüket nyúlják le. A legismertebb hacker, aki ilyen módon tett szert pénzre, a 21 éves Joel Ortiz volt, aki több mint 40 célpontjától szedett össze 7,5 millió dollárt, ezért pedig 10 év börtönt kapott.
Ha azt hinnénk, hogy a magyarok pénztárcája annyira nem izgatja a szélhámosok fantáziáját, tévedünk. Március végén számoltunk be a lakásvásárlásra készülő Attila ügyéről, akinek rémálommá vált az élete, mivel 30 millió forinttal károsították meg. Bár Attila ügyével kapcsolatban sok kérdés van még, és a nyomozás részleteit nem tudni, a lapunknak nyilatkozó biztonsági szakértő szerint az tűnik a legvalószínűbbnek, hogy ő is egy SIM-kártya csalás áldozatává vált. Az esetről írt cikkünket itt olvashatja.
Hogyan szedik rá az embert?
A folyamat fontos eleme a célpont megszemélyesítése. Ez úgy kezdődik, hogy a csaló rengeteg személyes adatokat gyűjt áldozatáról – akár adathalász e-mailek segítségével –, majd ezek birtokában felveszi a kapcsolatot a célpont szolgáltatójával.
A csaló gyakorlatilag megszemélyesíti áldozatát, és közli a szolgáltatóval, hogy elveszett vagy megrongálódott a telefonja, ezért azonnal új SIM-kártyára van szüksége
– mondta el lapunknak korábban Csizmazia-Darab István, az ESET biztonsági cég magyarországi képviseletét ellátó Sicontact Kft. IT-biztonsági szakértője.
A kapcsolatfelvétel történhet telefonon, weben, bátrabb esetben akár személyesen az üzletben. Ez a procedúra külföldről jellemzően telefonon is elvégezhető, ekkor az ügyfélszolgálat személyes adatokat kér az azonosításhoz. Elvileg a folyamat Magyarországon személyes ügyintézést igényelne, ám könnyen elképzelhető, hogy ezt némely esetben telefonon keresztül is hajlandóak elvégezni. A koronavírus-járvány idején pedig még inkább, hiszen az emberek inkább online intézik ügyeiket.
Ha ezzel aztán sikerül megszerezni az új SIM-kártyát, az áldozat telefonja a régi SIM-mel nem tud tovább a hálózatra kapcsolódni, és a csaló kapja meg az áldozatnak szánt SMS-üzeneteket is. Többek között hozzá futnak be az áldozatnak küldött egyszeri banki jelszavak is, amikkel hozzáférhetnek annak bankszámlájához is, majd indulhat a pénz csapolása.
A szakértő szerint bankok olyan szigorú, és rendszeresen ellenőrzött előírások mentén működnek, hogy minden tranzakció ellenőrizhető utólagosan a naplókból, így a gyanús pénzmozgás vagy annak első lépései biztosan lenyomozhatóak lesznek. Attila esetében az OTP visszautalta az összeget.
Hogyan védekezhetünk?
A gondosan kitervelt csalás első lépése, hogy a csaló minél több személyes információt próbál összeszedni a célpontról úgynevezett social engineering módszerekkel. A Telegraph cikke szerint a dörzsöltebb rosszakaróknak elég mindössze három kulcsfontosságú személyes információ rólunk, hogy hozzáférjenek fiókjainkhoz, bankkártyánkhoz, vagy a mobilunkhoz.
A név, születési dátum, cím kombinációval már sokfelé el tudnak indulni, főleg ha azt kiegészítik a közösségi média oldalakon fellelhető, hanyagul ott hagyott információkkal. Érdemes hát a legtöbb ilyen adat láthatóságát privátra állítani, vagy egyáltalán nem megadni őket.
Fontos ugyanakkor, hogy széles kelléktár áll a csalók rendelkezésre további információk elszipkázásához: adathalász e-mailek, sms-üzenetek, telefonhívások, illetve a sötét weben fellelhető fórumokon keresztül akár meg is vásárolhatók a korábban ellopott adatcsomagok. A közösségimédia-fiókokon megosztott, nyilvánosság számára is látható adatok felhasználásával pedig könnyen kitalálhatók a biztonsági kérdések válaszai, amik szülinapra, háziállatra, vagy kedvenc sportcsapatra vonatkoznak.
Mivel ez a támadási mód nagyban épít a megszerzett személyes adatokra, különösen körültekintően kell bánnunk azon adatainkkal, amikkel egy támadó megszemélyesíthet minket egy szolgáltató felé. Soha ne tegyük közzé a pontos címünket, születési dátumunkat, lakcímünket, vagy fotókat az okmányainkról, hiszen ezek olyan információk, amikkel már lehet olyan felhatalmazást hamisítani, amit széles körben elfogadnak.
– tanácsolja ennek kapcsán Makay József kiberbiztonsági szakértő, etikus hacker. Azt mondja:
Számítanunk kell az adathalász-támadásokra is, ami érkezhet telefonos megkeresés útján, illetve e-mailen is. Soha ne adjuk ki a személyes adatainkat olyanok számára, akik nem tudják minden kétséget kizáróan bizonyítani a kilétüket. Egy hivatalosnak tűnő e-mail még lehet hamis és a telefonvonal másik végén ülő személy sem biztos, hogy valóban a szolgáltatónk képviseletében keres minket adategyeztetés témában – még akkor sem, ha konkrétan meg tudta mondani néhány személyes adatunkat.
Amikor valaki személyes adatot kérne el, akár szolgáltató, bank, adóhatóság nevében, mindig legyünk gyanakvóak. A magyar neten időről időre terjednek ilyen jellegű kampányok.
Érdemes hát szelektálni az online profilunkon, első lépésként ellenőrizzük le a Facebookon, hogy melyek azok az információk, amik nyilvánosan is elérhetők velünk kapcsolatban. Korábban már írtunk arról, miért nem javasolt például megosztani a születésnapi dátumunkat. Sokan használják például a jelszavukban is a születési dátumukat, vagy adják meg azt óvatlanul PIN-kódként. A biztonsági kérdések esetében megadhatunk olyan helyes válaszokat, amik valójában nem is relevánsak: például az első háziállatunk nevének nyugodtan írjuk be, hogy fogkefe, vagy más, nem odaillő kifejezést.
A Cifas egyik kutatása szerint akik hasonló jellegű információkat osztanak meg magukról, sokkal nagyobb kockázatnak teszik ki magukat, mint akik rejtegetik mások elől a lakcímüket, telefonszámukat, születésnapjukat. Minél kevesebb dolgot tudnak rólunk leolvasni a neten ismeretlenek, annál jobb.
A mobilt használjuk az e-mail címek visszaállításához, bankfiókokhoz, közösségimédia-fiókokhoz.
A kétfaktoros azonosítás használata minden olyan online szolgáltatásnál javasolt, ahol van rá lehetőség, ám ez is a telefonszámokra támaszkodik. Így a SIM-cserés támadáskor pont nem szerencsés, ha a telefonszámunkra érkezik a kód. Szakértők szerint érdemes például a Google Authenticator szolgáltatást használni – ekkor már a fizikai készülékhez kapcsolódik a fiók, nem pedig a telefonszámhoz.
(Kiemelt kép: GettyImages)
