„A bankok természetesen megkereshetik az ügyfeleiket egy ajánlat kapcsán, de az egyeztetések során nem kérnek el kártyaadatot, sem hitelesítő adatokat, mint például jelszó, egyszer használatos biztonsági kód megadását, sem pedig pénzügyi tranzakció kezdeményezését, ahogy számlaegyenleget sem – legyen az kártyás fizetés vagy átutalás”

– szögezte le Bártfai Gábor, a CIB Bank Információbiztonsági vezetője az Economxnak, miután az elmúlt hónapokban ismét számos csalásról számolt be a média.

A legtöbb online csalás sikerességéhez „kell” az ügyfelek aktív közreműködése is. A legtöbb esetben rajtunk áll, hogy csalás áldozatai leszünk, vagy sem. A szakértő szerint a biztonságtudatosság és érzékenység javításával, fejlesztésével mérsékelhető a sikeres visszaélések számossága és pénzügyi hatása is.

Kapcsolódó

A pénzügyi „hatás” ugyanis nem csekély:

  • a jegybank adatai szerint tavaly összesen több mint 18 ezer alkalommal hajtottak végre sikeres banki csalást Magyarországon;
  • az ügyfeleknek ez több mint 23 milliárd forintos kárt okozott;
  • azaz esetenként átlagosan 1,2-1,3 millió forintot csaltak ki egy-egy ügyféltől.
Kép: Economx

Hogyan „működnek” a bankkártyás csalások?

A legtöbbször „csalárd” weboldalon, telefonon, vagy valamely ismert szolgáltató / cég nevével visszaélve küldött hamis üzenetben (sms, vagy egyéb) jutnak hozzá a bankkártya-adatokhoz – kártyaszám, lejárati dátum, CVV-kód (biztonsági hitelesítő kód a kártya hátoldalán) –, és így hajtanak végre online tranzakciókat a visszaélők. Vagy a fenti kártyaadatok ismeretében – az ehhez szükséges megerősítő kódokkal – valamilyen „digitális pénztárca” szolgáltatáshoz regisztrálja a csaló a kicsalt kártyaadatokat, aki(k) a saját okostelefonjukon keresztül végez(nek) fizetési tranzakciókat.

A bankkártya mind fizikailag, mind online biztonságosan használható, ha megfelelő óvatossággal és körültekintéssel járunk el.

Jó tudni, hogy a kártyaadatokat egyébként a különböző kereskedők – például webshopok – még abban az esetben sem tárolják el, ha azt „elmentjük” – utóbbi is csak egy, a bank által generált azonosítót jelent, amelyet a bank fejt vissza kártyaadatokká. Ugyanakkor Bártfai Gábor szerint

a legbiztonságosabb az, ha létrehozunk egy virtuális kártyát (ami lehet többször használatos, vagy egyszerhasználatos), és azt használjuk online vásárlásra – ennek egyenlegét és akár időbeni érvényességét is az adott vásárláshoz igazíthatjuk, amellett természetesen, hogy meggyőződünk a kereskedő valódiságáról és hitelességéről.

Ugyanis nem zárható ki sosem teljes bizonyossággal az, hogy webshopnak álcázott internetes felülettel találjuk szembe magunkat, azaz valódi webáruházakat kísérteties hasonlósággal lemásolva csalárd céllal hoznak létre kiberbűnözők. Azonban a virtuális, limitált egyenlegű kártya határt képes szabni a lehetséges veszteségnek.

Általában nem programozó zsenik  „hekkelik” meg az ügyfeleket.

„Ha azt gondolod, hogy a csalók minden esetben informatikai zsenik, akik nagy halakat támadnak, tévedsz”

– fogalmazott az Economxnak Juhász Bettina, pszichológus, a Mélylevegő Projekt társalapítója. Szerinte ma már nem kell hozzáértő hackernek lenni ahhoz, hogy bizalmas információkat, például jelszavakat vagy bankszámlaadatokat csaljanak ki az emberekből: „elég az emberi pszichológiát és a társadalmi normákat kihasználni, hogy rávegyenek arra, hogy önként megoszd mindazt, amire szükségük van ahhoz, hogy hozzáférjenek az adataidhoz”.

A pszichológus néhány példát is hozott erre:

  • Idői nyomás és félelem kihasználása: A csaló hivatalos személynek adja ki magát (például az adóhivatal ügyintézőjének vagy épp rendőrnek), vagy a számlavezető bankod munkatársának. Felhívja a figyelmedet arra, hogy a szerződésed hamarosan lejár, vagy a fiókodat veszély fenyegeti, és azonnal cselekedned kell, ebben ő lesz a segítségedre. Ha telefonon hív, jellemzően gyorsan beszél és ragaszkodik az azonnali cselekvéshez.
  • Empátia és szimpátia kihasználása: A támadó egy álprofil mögé bújva egy személyes dráma történetét osztja meg egy közösségi média platformon. A történet célja, hogy kiváltsa az együttérzésedet, hogy ezáltal könnyebben manipulálhatóvá tegyen. Az érzelmekre hatva próbál információkat kicsikarni belőled és cselekvésre (például egy átutalásra) sarkallni.
  • Közösségi nyomás alkalmazása: A csaló beférkőzik egy csoportba, ahol manipulatív módon igyekszik befolyásolni a csoportdinamikát. A cél az, hogy a csoportnyomás révén az áldozatok azt higgyék, hogy a csoport érdekében adják ki a személyes információkat.
  • Vágyak, szükségletek kielégítésének ígérete: A csaló tüzetesen átnézi a közösségi média felületeidet, hogy képet kapjon arról, milyen vágyaid, szükségleteid lehetnek, és erre kínál tökéletes megoldást, amihez nincs más dolgod, mint az általa küldött linken megadni az adataidat, és már úton is lesz hozzád a termék.
  • Online vásárlások kihasználása: Elképzelhető, hogy te is gyakran rendelsz termékeket házhoz szállítással – épp ezt használják ki azok az sms-ek, amikben a helytelenül megadott szállítási információid sürgős javításához küldenek linket. Könnyen belesétálhatsz a csapdába, ha éppen több csomag érkezésére is vársz.

Kik vannak nagyobb veszélyben: a fiatalok vagy az idősebbek?

Juhász Bettina szerint vannak olyan kiberbűnözői pszichológiai trükkök, amelyek hatékonyabban célozzák meg az egyik vagy a másik célcsoportot, ugyanis ezek a korcsoportok különböző érzelmi és kognitív tulajdonságokkal rendelkeznek.

A fiatalok számára például már természetes a digitális világ, hajlamosak lehetnek naivabban bízni az online forrásokban és kommunikációban – pont emiatt könnyebben célozhatók, például a hamis ajánlatokkal, ingyenes játékokkal vagy alkalmazásokkal, amelyek valójában kártékony szoftvereket tartalmazhatnak. Az őket célzó trükkök gyakran tartalmaznak divatos trendeket, vonzó ajánlatokat vagy azonnali előnyöket, amelyekre a korosztályuk nagyobb valószínűséggel harap rá.

Az idősebb korosztályt többnyire olyan kiberbűnözői trükkökkel célozzák meg a szakértő szerint, amelyek kihasználják bizonytalanságukat az internetes technológiákhoz való alkalmazkodásban. Ilyen lehet például az, hogy az idős emberek sok esetben kiszolgáltatottak lehetnek a hamis telefonhívásoknak vagy e-mail üzeneteknek, amelyek a bankszámlájukról vagy a személyes adataikról szólnak, és sürgetik őket az azonnali intézkedésre.

„Összességében mindkét korosztály számára léteznek specifikus trükkök, amelyek hatékonyan kihasználják az őket érintő egyedi pszichológiai hajlamokat és tapasztalati szintet az online kiberbűnözés terén. Fontos az oktatás és az online biztonsági tudatosság fokozása minden korosztályban annak érdekében, hogy csökkentsük a kiberbűnözők sikereinek esélyét” – fogalmazott a pszichológus.

Hogyan kerülhető el, hogy átverjenek bennünket?

A digitális térben Juhász Bettina szerint gyakran

„semmi nem az, aminek látszik”.

Vannak azonban stratégiák, amelyekkel ki lehet védeni ezeket a támadásokat is:

  • Tudatosság fejlesztése, edukáció: A tudatosság hatalom – hangsúlyozza a szakértő. Ugyanis minél többet tudunk a manipulációs trükkökről, annál könnyebben tudjuk felismerni azokat. „Ha például tudod, hogy az időnyomás kihasználása egy gyakori stratégia, akkor be fog kapcsolni az agyadban a vészcsengő az »azonnal meg kell változtatnod a jelszavad, különben…« típusú üzenetekre” – ez az első és legfontosabb lépés a védekezésben Juhász Bettina szerint.
  • Kritikus gondolkozás fejlesztése: Szkeptikusan közelíts a dolgokhoz! – javasolja. Kérdőjelezd meg a forrásokat (például fura e-mail cím vagy épp ismeretlen domain), gondolkodj kritikusan, és figyelj a potenciális manipulációs „red flagekre”!
  • Biztonsági szoftverek: Fontosak a biztonsági szoftverek is, de ne feledjük, azok sem biztosítanak védelmet mindennel szemben, nem szabad figyelmen kívül hagyni az emberi faktort sem.
  • Önismeret fejlesztése: „Ismerd meg önmagad!” – érdemes tudni arról is, hogy milyen területeken könnyebb ránk nyomást helyezni – ugyanez igaz a vágyainkra és a félelmeinkre is. Ha ezekkel tisztában vagyunk, úgy könnyebben észrevehetjük, ha manipulálni próbálnak ezek felhasználásával.

A pénzügyi károkat lelki problémák követhetik

Ha pedig beüt a baj, és mindezek ellenére mégis kibertámadás áldozatai leszünk, akkor viselkedésünk a támadás típusától és a kár mértékétől függően változhat.

Juhász Bettina szerint a viselkedési reakciók három csoportba sorolhatók:

  • Szégyen és titkolózás: az áldozatok gyakran szégyellik a kibertámadást, különösen, ha az személyes hibával vagy gondatlansággal kapcsolatos. Ennek következtében hajlamosak arra, hogy megpróbálják elrejteni az incidenst mások elől, hogy elkerüljék a negatív megjegyzéseket vagy kritikát.
  • Zavarodottság és pánik: sok áldozat zavart vagy pánikba esik a támadást követően. Gyakran érzelmi vagy mentális stresszt élnek át, ha veszteséget szenvedtek el.
  • Reménytelenség és frusztráció: az áldozatok gyakran tehetetlennek és frusztráltnak érzik magukat egy kibertámadás után, mert nem tudják helyreállítani az elveszett vagy veszélyeztetett adatokat, vagy nehezen tudnak megbirkózni az incidenssel.

A kibertámadás bárkivel megtörténhet kortól, nemtől vagy társadalmi helyzettől függetlenül. Hogyan lehetne feloldani, hogy ne legyen tabu, titok az, ha valaki kibertámadás áldozata lett? A pszichológus szerint az áldozatok „segítése és a tabuk ledöntése” érdekében

fontos, hogy a társadalom és a szervezetek nyíltan és együttérzően reagáljanak az ilyen incidensekre.

„Összességében a tabuk megtörése és az áldozatok támogatása fontos lépés a kibertámadások elleni küzdelemben és az áldozatok felépülésében. A nyílt és megértő nyilvános megközelítés segíthet abban, hogy az áldozatokat ne hagyják magukra, és ne szégyenítsék meg őket tapasztalataik miatt” – fogalmazott lapunknak Juhász Bettina, hozzátéve, hogy a legtöbb esetben „a legfontosabb, hogy nyíltan beszéljenek az incidensről, és segítséget kérjenek másoktól”. A megosztás ugyanis segíthet az áldozatoknak megérteni, hogy mi történt velük, és megtalálni azt a támogatást és segítséget, amire szükségük van a lelki megbirkózáshoz.

Abban az esetben, ha mégis kiderül, hogy illetéktelenek jutottak a banki adatainkhoz, azonnal vegyük fel a kapcsolatot a bankunk ügyfélszolgálatával és ezzel egyidőben rendőrségi feljelentést kell tenni!