Munkatársunk a legnagyobb hazai bank egyik fiókjában járva érdekes helyzetbe került, amikor az ügyintéző felhívta a figyelmét a bankszámlán lévő lekötetlen betét "veszélyeire". Az utóbbi hónapokban többször előfordult, hogy a lekötetlen pénzt az interneten keresztül hackerek leemelték a számláról - kezdte az ügyintéző, aki erre hivatkozva azt javasolta kollégánknak, hogy kösse le a pénzét, mert lekötetlenül nem biztonságos. A bankos kisasszony mondandóját alátámasztandó hozzátette, hogy két-három ilyen esetről van tudomása, és nem csupán az említett pénzintézetnél, hanem több banknál is előfordultak hasonló történetek. A bankok természetesen mindent megtesznek, hogy biztonsági rendszereiket fejlesszék, de azért nem árt az óvatosság - vette védelmébe munkaadóját (is) az ügyintéző. Az elmondottak alapján a lekötés után már biztonságban tudhatjuk pénzünket a számítógépes kalózoktól.

Cáfolnak a bankok

Az eset kapcsán megkerestük OTP Bank szóvivőjét, aki elmondta, hogy nincs tudomása ilyen esetekről. Hozzátette: az ügyintéző valószínűleg a lekötésből származó kedvezőbb kamatozást hangsúlyozta, és emellett mutatott rá, hogy a lekötött betét nagyobb biztonságban van, mint a látra szóló. (Ez egyébként így van, gondoljunk csak a kártyahamisítókra, akik bankautomatán keresztül csupán az utóbbihoz férhetnek hozzá.) A szóvivő hangsúlyozta, hogy az internetbankolásnak megvannak a maga egyszerű szabályai - tartsuk titokban jelszavunkat, ne hagyjuk megnyitva az oldalt mások előtt, számítógépünk rendelkezzen vírusvédelemmel, kémprogramok és spam elleni védelemmel és bekapcsolt tűzfallal. Aki ezeket betartja, annak nem kell tartania attól, hogy a pénzét leemelik számlájáról. Érdemes emellett hangsúlyozni, hogy egyik pénzintézet sem kér ügyfeleitől bizalmas adatokat telefonon, vagy e-mailben a bank elektronikus szolgáltatásaival kapcsolatban.

Más hitelintézetnél is érdeklődtünk. A K&H Banknál közölték: nem volt rá példa, hogy ügyfeleket ilyen módon megkárosítottak volna. Ez a cég illetékese szerint a társaságnál használt chipkártyás rendszerrel magyarázható, a chipkártya ugyanis olyan digitális kódot tartalmaz, amit nem lehet hamisítani. A Raiffeisen sajtóreferense hétfőre ígérte a hivatalos választ.


Halásznak a tolvajok

Az elektronikus adatforgalom elterjedése óta a tolvajok számos rafinált módszert fejlesztettek ki a felhasználók bizalmas információinak ellopására, melynek többsége ellen azonban már kellő körültekintéssel is lehet védekezni.

A phishing - azaz illegális adathalászat - legrégibb és egyben legelterjedtebb módszere az úgynevezett megtévesztő phishing, melynek során az adathalász a számlainformációkat kezelő intézetek nevében hivatalosnak látszó e-mailt küld felhasználók nagy csoportjának, amelyben számlaadataik megerősítését, illetve új szolgáltatásokra történő feliratkozásukat kéri. (Magyarországon több bank nevében is küldtek már ilyen elektronikus levelet, legutóbb - néhány napja - az MKB ügyfelei kerültek célkeresztbe.)

A gyanútlan felhasználó az üzenetbe foglalt linkre kattintva eljut egy az adathalász által létrehozott - rosszabb esetben az eredetire megszólalásig hasonlító - hamis oldalra, ahol az üzenetben foglalt instrukcióknak megfelelően önként kiszolgáltatja számlaadatait. Ezeket aztán az adathalászok szabadon felhasználhatják bankszámlája megcsapolására.

Rosszindulató szoftver a gépen

A phishing egy másik gyakori módja a felhasználók számítógépére települt kártékony szoftvereken - úgynevezett malware-eken - alapuló adathalászat. A malware-ek e-mail üzenetek csatolmányaként, weblapokról letölthető fájlokként, vagy a számítógépek biztonsági réseit kihasználva jutnak el a legveszélyeztetebbnek számító kis- és középvállalkozók számítógépeire, hogy a merevlemezre települve gyűjtsék össze a felhasználók információit.

A malware-ek egyik különösen veszélyes fajtája a klaviatúrán keresztül betáplált, illetve a monitoron megjelenített információk összegyűjtését és az interneten keresztüli továbbítását végzi. A rosszindulatú program a böngészőbe épült segédprogramnak álcázza magát, és láthatatlanul küldi az információkat az adathalásznak.

Méla lesben

A phishing agresszívebb formájának számít az úgynevezett eltérítés - hijacking -, amikor a felhasználó tevékenységének folyamatos figyelése segíti az adathalászt abban, hogy a megfelelő pillanatban átvehesse az irányítást az elektronikus adatforgalom felett. A hálózati mozgást figyelemmel kísérő adatkalóz csak akkor avatkozik közbe, amikor a gyanútlan felhasználó a számlakezelő felületre adatai megadását követően a szokott módon már rácsatlakozott. Az ekkor működésbe lépő rosszindulatú szoftver a számlatulajdonos tudta és az számlaadatok tényleges ellopása nélkül végez illegális tranzakciókat.


Átirányítva

Nagy mennyiségű számlaadat rövid idő alatt történő ellopására alkalmas - ám szerencsére ritkább - az úgynevezett pharming, azaz a domainnévrendszer-alapú adathalászat. Az adatkalózok ilyenkor a pénzintézetek DNS-ét (domain name system - domainnév-rendszer) módosítják, oly módon, hogy a felhasználók által beírt URL-címek a bankok weboldalai helyett egy az eredeti mására létrehozott hamis oldalra irányítják a számlatulajdonosokat. A felhasználók, nem tudván, hogy nem a bank oldalán tartózkodnak, gyanútlanul kiszolgáltatják személyes adataikat, amelyeket a kalózok aztán szabadon felhasználnak.

Rabló a levegőben

Amint arról korábban beszámoltunk, egy nemrégiben megrendezett szakmai konferencián a szakértők arra hívták fel a figyelmet, hogy wi-fi is veszélyessé vált. A hotspotok közelében ugyanis - a megfelelő eszközök birtokában - mára könnyűvé vált a felhasználók adatainak levegőben történő eltérítése. A támadás során a hacker ellopja az azonosításra szolgáló cookie fájlokat, amely hozzáférést biztosíthat a felhasználó e-mail üzeneteihez, és az általa fenntartott oldalakhoz. A szakemberek ezt a technológiát egy Gmail postafiók feltörésével illusztrálták.

Az új programok viszont - a Hamster és a Ferret - megkerülik a titkosított oldalakon keresztül küldött, kódolt információkat, ám a kódolatlan szöveges fájlokat figyelik és "elrabolják" a wi-fi hotspotokon. A támadó ugyan nem tudja megváltoztatni a jelszót, vagy a fiók beállításait, ám ezeken felül ugyanolyan jogosultsága van, mint a jogos felhasználónak.