Az adathalászat, vagyis az ügyfelek megtévesztésére épülő online csalás mára globálisan a drogkereskedelemmel összemérhető bűnelkövetési formává vált. „A kiberbűnözésnek szó szerint bárki áldozatává válhat, ezért különösen fontos, hogy banki dolgozóként edukáljuk a környezetünket, és próbáljunk jó példát mutatni a tudatos védekezésre” – mondja a téma kapcsán Báthori Krisztián, az MBH Bank bankbiztonsági ügyvezető igazgatója.

Szinte nap mint nap találkozhatunk a sajtóban olyan hírekkel, amelyek valamilyen bank vagy más nagyvállalat nevében elkövetett csalásokról számolnak be. Mi áll ezeknek a bűneseteknek a hátterében?

Mivel mára szinte a mindennapok részévé vált, hogy elektronikus csatornákon keresztül intézzük a pénzügyeinket, ezzel a folyamattal párhuzamosan a visszaélések helyszíne is áthelyeződött a kibertérbe. Fontos érteni, hogy bár kiberbiztonsági fenyegetésekről beszélünk, a kifejezés mögött az esetek túlnyomó többségében nem bravúros technikai tudású hackereket kell látnunk, hanem olyan jól szervezett, cégszerűen működő csapatokat, amelyek többnyire az ügyfelek pszichés manipulálásával érik el a céljaikat.

Napjainkban kifejezetten gyakori – a bankoláshoz szükséges adatok megszerzésre épülő – adathalászat, a telefonos, vagy a marketplace típusú csalás, illetve azok a bűncselekmények, amelyek során az elkövetők, többnyire vírusírtásra hivatkozva, telepítenek távoli elérést biztosító alkalmazásokat az áldozatok készülékeire. Ezek a csalási módszerek mind az ügyfeleket célozzák,  és a sikerük is azon múlik, mennyire tudják megtéveszteni őket.

Képes az IT security szakma lépést tartani a kiberbűnözők folyamatosan változó módszereivel és technikáival?

Mint minden kriminalisztikai területen, itt is állandó a verseny az elkövetők és a szektor biztonsági szakemberei között. A feladatunk nem csak az, hogy felderítsük és megakadályozzuk az éppen aktuális csalási kísérleteket, de az is, hogy új, innovativ megoldásokat, technológiákat kutassunk fel és kezdjünk alkalmazni. Fontos kiemelni, hogy a csalások túlnyomórészt nem technikai jellegűek, ezért a védekezésben is korlátozottak a lehetőségeink. Bevezethetünk bonyolult jóváhagyási rendszereket, de egy ponton túl mindig a felhasználó döntésén, éberségén múlik, hogy besétál-e a csapdába.

Az utóbbi években elterjedt kétfaktoros jóváhagyási megoldások tehát nem orvosolják a helyzetet?

A kétfaktoros azonosítás megnehezíti ugyan az elkövetők dolgát, de már ma is léteznek kiforrott trükkök arra, hogyan lehet megkerülni ezt a védelmi megoldást. Mondhatjuk, hogy akkor menjünk még egy lépéssel tovább: vezessünk be egy harmadik azonosítási kört. Természetesen meg lehet ezt tenni, de könnyű belátnunk, hogy hiába jön a harmadik, a negyedik vagy az ötödik biztonsági kapu, a felhasználók figyelmét és tudatosságát nem tudjuk ilyen módon pótolni.

Számolnunk kell azzal is, hogy  a tranzakciók jóváhagyásának elsődleges eszköze napjainkban az okostelefon, így ha valaki egyszer óvatlanul hozzáférést biztosít a készülékére a csalók által használt, távoli elérést biztosító vagy key logger funkcióval rendelkező szoftvernek, onnantól akárhány falat építhetünk a folyamatba, csak azt érjük el, hogy egyre körülményesebbé válik az ügyfélélmény.

Báthori Krisztián, az MBH Bank bankbiztonsági ügyvezető igazgatója

Nem létezik olyan védelmi technológia, ami nem a többfaktoros jóváhagyások logikája mentén működik, mégis képes növelni a tranzakciók biztonságát?

Várhatóan a jövőben nagy szerep jut majd ebben a szektorban is a különböző mesterséges intelligencia alapú technológiáknak: Már most is léteznek olyan megoldások, amelyek figyelembe veszik az ügyfel szokásait, és akkor riasztanak, ha olyan esemény történik, ami a korábbiakhoz képest nagyon szokatlannak tűnik. Ha például valaki rendszeresen Budapesten használja a bankkártyáját, aztán hirtelen történik egy nagy összegű bankkártyás vásárlás Dél-Amerikában, miközben délelőtt még a szokásos módon fizetett a kávéjáért egy pesti kávézóban, az egyértelműen gyanúra okot adó eset.

Ha a rendszer detektál egy ilyen gyanús tranzakciót, meg tudjuk tenni, hogy egy automatikus riasztást követően a bank call centere azonnal felhívja az ügyfelet, hogy erősítse meg: valóban ő kezdeményezte-e a tranzakciót. Ilyen eszközök megjelenhetnek a jövőben, de látni kell, hogy a legfontosabb alappillér a támadások kivédésére mindig az ügyfél-edukáció, hiszen az alapvető kulcs az ügyfél kezében van.

Elvárható egy laikus ügyféltől, hogy mindig naprakész legyen az aktuális kiberbiztonsági fenyegetésekkel kapcsolatban?

Mély szakmai ismereteket természetesen nem várhatunk el, de erre nincs is szükség. Mindenki számára megérthető, alapvető szabályok betartásával a visszaéléseket több mint 90%-kal vissza lehet szorítani. Az edukáció lényege, hogy a nyelvezet bárki számára érthető legyen, ne kelljen hozzá IT-ismeret. Ilyen egyértelmű és világos üzenet, hogy a bank soha nem kéri el telefonon a belépési jelszavakat, az SMS-ben kapott kódokat vagy a pontos bankkártya-adatokat.

Ezeket az egyszerű tényeket kell a lehető legváltozatosabb csatornákon kommunikálnunk – ahogy azt tesszük is. Az MBH Bank nagyon aktívan dolgozik azért, hogy növelje az ügyfelek ismereteit és tudatosságát: többek között részletes tájékoztatást adunk a tipikus csalási esetekről a weboldalunkon, de részt veszünk a Kiberpajzs nevű, sok nagy hazai gazdasági szereplőt összefogó figyelemfelhívó kezdeményezésben is.

Adatbiztonságról beszélve sokan nem tartják valószínűnek, hogy éppen ők kerülnének a kiberbűnözők célkeresztjébe. Mit lehet tenni, ha az érintettek nem érzékelik a fenyegetés komolyságát?

Ez a „miért pont engem akarnának megtámadni” logika alapvetően téves, és sajnos arról árulkodik, hogy az illető nem ismeri a csalási technikák működését. Az ilyen típusú átverések többnyire nem konkrét emberek ellen irányulnak, hanem a nagy merítés módszerét alkalmazzák: tömegesen próbálják becserkészni az áldozatokat, épp ezért bárki célkeresztbe kerülhet. Banki dolgozóként szerintem megkülönböztetett felelősségünk van abban, hogy jó példát mutassunk és a saját környezetünkben ráirányítsuk a figyelmet erre a veszélyre, hiszen mi talán pontosabban érzékeljük a kockázat nagyságát.

Biztos tippek a csalások elkerüléséért

  • A csalók sokszor már telefonszámokat is képesek sikeresen lemásolni, ezért úgy tűnhet valóban az adott szolgáltató hívja az ügyfelet. Ez a trükk is kivédhető, amennyiben megfogadjuk azt az egyszerű tanácsot, hogy senkinek sem adunk meg belépési vagy jóváhagyási jelszavakat és nem telepítünk semmit a digitális eszközünkre. Amennyiben csak ezeket a tanácsokat megfogadják az ügyfelek, már a legtöbb esetben hatástalanították a csalók módszereit.

  • A csalók a legtöbb esetben a felfokozott érzelmi hangulatot használják ki. Előfordul például, hogy a hívás során banki ügyintézőnek adják ki magukat, majd azt hazudják, hogy csalók éppen most viszik el a hívott ügyfél pénzét, és ennek megakadályozásához van szükség minél gyorsabban az ügyfél adataira.) A folyamatos presszió hatása alatt az ügyfélnek nincs ideje átgondolni a helyzetet – a csalók pedig épp ezt használják ki. Ezért is fontos a higgadtság és az, hogy az ügyfél maga keresse fel a bankját, ne higgyen soha a vonal túl végén ülőnek.

  • Számos esetben megelőzhető, ha ismerjük az elkövetők trükkjeit, illetve azt, hogy mire érdemes figyelnünk felhasználói oldalról:
    • E-mail-ben/SMS-ben kapott linket soha NE nyiss meg
    • Saját magad gépeld be a keresett oldal nevét a fejlécbe, ne linkről vagy keresőből nyisd meg azt
    • Mindig olvasd el figyelmesen a kapott SMS-t és gyanú esetén haladéktalanul hívd a bankod