Újabb csaláskísérletek a Kolozsvári Tömegközlekedési Vállalat nevében is
A csalók fantáziája és ravaszsága nem ismer határokat – ezt már sokszor megállapíthattuk az évek során a rendőrségi híreket olvasva, és a megállapítás még inkább igaz manapság, amikor a digitális világban további eszközök és lehetőségek állnak a rossz szándékú személyek rendelkezésére. A napokban például a Kolozsvári Tömegközlekedési Vállalat (CTP) nevében zajló adathalász kampányra figyelt fel több kolozsvári személy: az egyik közösségi hálón futó „reklám” új típusú, a vállalat és a Kolozsvári Polgármesteri Hivatal által kiadott utazási kártyát népszerűsít, amelyet most akciósan, mindössze 11 lej 69 baniért lehet megvásárolni – korlátolt mennyiségben –, és ezért az összegért egy éven át lehet vele utazni bármilyen tömegközlekedési eszközön. A nagyobb hihetőség érdekében az utazási kártyát maga Emil Boc polgármester fogja és mutatja a reklámban…
A bizalmat fokozandó úgy tűnik, hogy a posztot már több mint tucatnyian megosztották, és többtucatnyian szóltak hozzá – ha a kommenteket megnézzük, „én már megvettem”, „szuper lehetőség”, „én már használtam is”, „gratulálunk a kezdeményezéshez, remek” típusú hozzászólásokat olvashatunk. Pedig nyilván csalás az egész (a CTP már pénteken, közleményben elhatárolódott a történettől) – de akkor mégis ki kommentel hozzá olyasmit, hogy ő már megvette és használja?
Nos, ebből is látszik, miért kell ügyelnünk például Facebook-fiókunk biztonságára: a megosztások és hozzászólások olyan fiókoktól jönnek, amelyeket korábban „elloptak”. Ugye, hogy mindenkinek van néhány olyan ismerőse, akinek két-három profilja is van, mert újat készített, miután az előzőt „ellopták” tőle?
A laikusokban az is felmerül: ha valaki hirdetést ad fel mondjuk a Facebookon, azért fizetnie is kell, tehát így utol lehet érni a csalót. Csak hát mi van akkor, ha az illető szintén lopott kártyaadatokat használt?
Egyébként a hasonló, közösségi hálókon keringő becsapásoknak éppen a bankkártya- és egyéb személyes adatok ellopása, az ún. phishing a célja, hogy azok birtokában a csaló kiüresítse a bankszámlákat, és hogy azokat – például a fentebbi módon – felhasználja a következő csalás előkészítéséhez…
És a CTP-s „reklám” még nem is a csúcs, ami a hasonló online csalásokat illeti. Néhány hónapja ún. deepfake videókkal (olyan anyagok, amelyek nagyon valósághűek, de azokat mesterséges intelligencia és gépi tanulás segítségével gyártják, és olyan személyeknek tudnak szavakat vagy tetteket tulajdonítani általa, amiket valójában nem mondtak vagy tettek meg) próbálkoztak a csalók, amelyekben ismert hazai személyiségek – Marcel Ciolacu miniszterelnök vagy Mugur Isărescu, a Román Nemzeti Bank elnöke… – ígértek busás hasznot bizonyos államkötvények vagy állami cégek (természetesen fiktív) részvényeinek megvásárlása által.
De nem csak az online térben járhatunk pórul: a csalók telefonhívásban vagy sms-ben is próbálkoznak. A leendő áldozat például sms-t kap, amelyben jogosulatlan banki tranzakcióra figyelmeztetik és arra utasítják az áldozatot, hogy hívjon fel egy megadott „banki” telefonszámot további útmutatásért. Ha ezt megteszi, megpróbálják például rávenni arra, hogy töltsön le valamiféle „biztonsági szoftvert/programot” – ez persze korántsem a biztonságot szolgálja, sőt lehetőséget ad a csalónak arra, hogy hozzáférjen a telefonhoz, és lássa a rajta tárolt adatokat, tranzakciókat. Hasonló programok akár automatikusan is letöltődhetnek a telefonunkra, ha rákattintunk például egy sms-ben érkezett linkre. Ilyeneket például futárszolgáltatók vagy éppenséggel a Román Posta nevében küldenek, azt próbálva elhitetni az áldozattal, hogy csomagja érkezett, de valamilyen oknál fogva nem tudják kézbesíteni, a linkre kattintva pedig pontosítani tudja a szállítási adatokat. Egy másik módszer az, hogy elhitetik az internetezővel, hogy a posta vagy valamelyik hazai repülőtér potom áron eladja az át nem vett/ottfelejtett csomagokat, poggyászokat.
Szolgáltatók nevében is gyakoriak a becsapási kísérletek: valamelyik energiaszolgáltató vagy telefonos társaság „üzeni meg” sms-ben, hogy tartozunk neki, és azzal fenyeget, hogy levágja a szolgáltatást, ha nem fizetünk azonnal a megadott linken. Sőt, a bankok nevét is sokszor használják e célból a csalók, akik nemcsak valamilyen tranzakcióra „hivatkozva” kereshetik fel a potenciális áldozatot, hanem adatfrissítést kérnek vagy éppen a bankszámla zárolásával fenyegethetnek, vagy éppen arra kérik az ügyfelet rámenősen, hogy töltse le a banki alkalmazást a telefonjára.
A telefonos csalások esetében sok esetben már az ún. spoofingtechnikát használják. Ez magyarul hívószám-hamisítást jelent, vagyis nem a hívást kezdeményező személy reális telefonszáma jelenik meg a készülékünk kijelzőjén, hanem másik, a hívó által előre beállított szám, amelyről a potenciális áldozat azt gondolhatja, hogy vaklamely közismert szolgáltató/intézmény száma. Ennek segítségével a csaló könnyebben el tudja hitetni a felhasználóval, hogy ténylegesen banki alkalmazottal beszél, és miután elaltatta a gyanakvást, már könnyen fontos információkat, adatokat tud „kiszedni” az áldozatból. A telefonálók – mint ahogyan korábban az ún. balesetmódszer esetében is tették – gyakran igyekeznek valamivel ráijeszteni áldozatukra, illetve sürgetik, hogy ne legyen ideje logikusan gondolkozni, és ne jöjjön rá idejében az átverésre.
A csalók nem félnek használni a pénzügyi igazgatóság, adóhivatal (ANAF) vagy éppen a román rendőrség nevét sem, ezekben az esetekben általában e-mailen próbálnak kapcsolatba lépni a potenciális áldozatokkal, olyan e-mail-címeket használva ehhez, amelyek nagyon hasonlítanak ezen intézmények hivatalos e-mail-címeihez. Ezekben a levelekben felhasználják továbbá az állami intézmények logóját, fejlécét, pecsétjét, de akár az ott dolgozó tisztviselők aláírását is. A „rendőrséges csalás” esetében ezen elemek felhasználásával a csalók olyan dokumentumokat készítenek, amelyek a hivatalos rendőrségi idézéseket utánozzák, az áldozatokat pedig rendkívül súlyos bűncselekményekkel, például gyermekpornográfiával, pedofíliával vagy szexuális zaklatással vádolják meg bennük, amivel pánikot és zavart keltenek. Sürgős válaszlépést kérnek – például, hogy a „gyanúsított” hívjon fel egy bizonyos telefonszámot az ügy tisztázása végett, egyes esetekben személyes adatokat kérnek, de akár felajánlják, hogy ha a tettes küld egy bizonyos pénzösszeget a probléma „megoldása” érdekében, elsimítják az ügyet.
„A megtévesztésnek ez a formája komoly pszichológiai hatással van az áldozatokra. A szexuális bűncselekményekkel kapcsolatos vádak rendkívül súlyosak, ami pánikhoz, stresszhez és akár meggondolatlan cselekedetekhez is vezethet. Egyes állampolgárok kísértésbe eshetnek, hogy a helyzet gyors tisztázása érdekében személyes vagy pénzügyi információkat adjanak meg, ami személyes adatok ellopásához vagy anyagi veszteséghez vezethet” – írta nemrég az ilyen típusú csalásokra figyelmeztető közleményében az Országos Rendőr-felügyelőség.
Hogy mégis mit lehet tenni annak érdekében, hogy ne váljunk a fentiekhez hasonló bűncselekmények áldozatává?
Mindenképp alapszabály, hogy ne hozzunk gyors, elhamarkodott (pénzügyi) döntéseket nyomás alatt, és ne adjunk ki a bankszámlánkhoz/bankkártyánkhoz tartozó személyes, bizalmas adatokat.
Legyünk óvatosak, ha valaki ismeretlen hív, és kezeljük fenntartással e kéretlen telefonhívásokat! Ne ugorjunk be sürgetésnek, ijesztgetésnek – mondjuk azt, hogy át kell gondolnunk, vagy hogy utcán vagyunk és nem hallunk jól, és hívjuk vissza az intézményt, de ne a telefonáló által megadott számon, mert az hamis lehet, hanem keressük meg a hivatalos telefonszámát. Ne feledjük: a csalók manapság az interneten könnyen megszerezhetik rólunk az alapvető információkat (például a közösségimédia-profilunkból), így ne bízzunk meg a telefonálóban csak azért, mert úgy tűnik, hogy „tudja”, kivel beszél.
Alapszabály, hogy a bankok – de más intézmények sem – nem kérnek soha telefonban, emailben és sms-ben személyes adatokat, jelszavakat, aktiválási kódokat, bankkártyaadatokat, PIN-kódot, CCV-kódot stb. Az online fiókok, a bankkártyák védelmére továbbá használjunk kétlépcsős hitelesítést.
A „gyanús” e-mailek, sms-ek sokszor nyelvtanilag helytelenek vagy helyesírási hibákat tartalmaznak – bár a mesterséges intelligencia használatával ezeket a hibákat is egyre gyakrabban kiküszöbölik a szélhámosok. További hasznos tipp, hogy a különböző alkalmazásokban más-más felhasználónevet és jelszavat használjunk.
Legyünk folyamatosan éberek, amikor valamilyen honlap, weboldal személyes adatokat kér, és ha ezt valamilyen okból kifolyólag valóban meg kellene adnunk, nézzük meg, hogy tényleg a megfelelő – és nem például klónozott, az eredetihez hasonló – oldalon vagyunk. Ha online vásárolunk, győződjünk meg afelől, hogy az oldal biztonságos, vagyis az oldalcím előtt egy lakat látható, és az oldal címe https://-sel kezdődik, nem pedig http//:-vel. Kerüljük az ismeretlen honlapok nagyon jó, ellenállhatatlan ajánlatait, hiszen ezek az esetek többségében nem valósak.
Ne kattintsunk rá akármilyen, e-mailben vagy a közösségi médiában kapott linkekre, még akkor sem, ha azok ismerősöktől származnak. Ezek is lehetnek spamek, amelyeket a tudtuk nélkül küldtek, és vírusokat tartalmaznak.
Ne adjunk hozzáférést ismeretlen személyeknek a számítógépünkhöz, telefonunkhoz az ezt lehetővé tevő programok révén, még akkor sem, ha „segíteni” akarnak valamilyen számítógépes probléma megoldásában vagy applikáció telepítésében. Soha ne telepítsünk ismeretlen hívók vagy üzenetküldők kérésére programot a számítógépünkre vagy telefonunkra!
Telepítsünk megfelelő vírusellenőrző és tűzfalprogramot a gépünkre, és óvakodjunk az olyan honlapoktól, amelyek pop-up típusú, felugró ablakokat használnak az ellenőrzéshez, illetve többször kérik, hogy adjuk meg a fizetési ellenőrző kódot – ezeket azonnal zárjuk le.
A hamis felhasználókat, honlapokat ugyanakkor jelentsük a „lemásolt” intézménynek és a Nemzeti Kiberbiztonsági Igazgatóságnak (Directoratul Naţional de Securitate Cibernetică – DNSC) is; utóbbinál ezt – és bárminemű online csalási kísérletet – a 1911-es sürgősségi telefonszámon vagy az alerts@dnsc.ro e-mail-címen lehet megtenni. Ugyanakkor, ha már megtörtént a baj, azonnal tegyünk feljelentést a rendőrségen, cseréljük le az érintett applikáció jelszavát, és ha a kártyaadataink is kitudódtak, azonnal tárcsázzuk a bankot is, hogy zárolják a számlánkat/bankkártyánkat, mielőtt a csaló minden pénzünket „elkölti”.
A Nemzeti Kiberbiztonsági Igazgatóságnak a honlapján (dnsc.ro) egyébként számos útmutató van a különféle csalások megelőzéséhez, és az intézmény rendszeresen ismerteti az éppen aktuális csalási módszereket is, ugyancsak megelőzés, figyelemfelhívás céljából. Hasonló tartalmakat találunk a magyarországi Nemzeti Kibervédelmi Intézet (nki.gov.hu) honlapján is, továbbá számos bank, pénzügyi vagy éppen állami intézmény honlapja is tájékoztat a nevükben zajló csalási „kampányokról”, egyben hasznos, általános érvényű tanácsokat is közölve arról, hogyan kerülhetjük el az áldozattá válást.
Végül, de korántsem utolsósorban, ne feledjünk el józan paraszti ésszel gondolkozni… Hatalmas külföldi örökség (egy rokontól, akiről soha nem is hallottunk)? Óriási lottónyeremény (miközben nem is lottózunk)? Ezerszeres megtérüléssel kecsegtető befektetés? A valós árnak alig a tizedéért kínált termék vagy szolgáltatás? Ha valami túl szép ahhoz, hogy igaz legyen, az valószínűleg nem is igaz…