5 trükk, amivel percek alatt ellopják a bakkártyák adatait: bárkire lecsaphatnak a bűnözők

A kiberbűnözés egy olajozottan működő gépezet, amely évente dollárbilliókban mérhető károkat okoz. A bűnüldöző szervek és a legtöbb felhasználó elől rejtett módon, a darkweben működő oldalakon a kiberbűnözők nagy mennyiségű lopott adatot, valamint az ezek megszerzéséhez szükséges hackereszközöket adnak-vesznek. Feltételezések szerint jelenleg 24 milliárd illegálisan megszerzett felhasználónév és jelszó kering ezeken az oldalakon. A legkeresettebbek közé tartoznak a friss kártyaadatok, amelyeket a csalók nagy tételben vásárolnak meg, hogy személyazonossággal való visszaélést kövessenek el.

Azokban az országokban, ahol Chip and PIN, másnéven EMV biztonsági rendszert vezettek be, nehéz a bűnözőknek az adatokat klónozott kártyákká alakítani. Ezért leggyakrabban online használják azokat, kártyát nem igénylő (CNP) támadásokhoz. A csalók gyakran luxuscikkeket vásárolnak az adatok segítségével vagy nagy mennyiségben vesznek ajándékutalványokat – ez is egy népszerű módja a jogellenesen szerzett pénzek tisztára mosásának. Nehéz pontosan felbecsülni az ilyen kártyák piacának méretét. A világ legnagyobb alvilági piacterének üzemeltetői viszont nemrégiben nyugdíjba vonultak, miután becslések szerint 358 millió dollárt kerestek.

Bemutatjuk az 5 leggyakoribb módszert, amelyekkel a hackerek megszerezhetik a kártyaadatokat, és tanácsokat is adnak arra vonatkozóan, hogyan lehet kivédeni, megelőzni a kártyaadatok megszerzéséért indított támadásokat:

1. Adathalászat

Az adathalászat a kiberbűnözők egyik legnépszerűbb adatlopási módszere. A legegyszerűbb trükk, amikor a hacker egy legitim szervezetnek (például banknak, e-kereskedelmi cégnek vagy műszaki vállalatnak) adja ki magát, hogy rávegye a felhasználót a személyes adatok megosztására vagy rosszindulatú szoftverek letöltésére. Gyakran arra ösztönzik áldozatukat, hogy kattintsanak egy linkre vagy nyissák meg a csatolmányt. Ezáltal a felhasználó egy adathalász oldalra juthat, ahol személyes és pénzügyi adatok megadására kérik. Az adathalászat 2022 első negyedévében minden eddiginél magasabb szintet ért el a statisztika szerint.

Az adatok alapján ezek az átverések az elmúlt években továbbfejlődtek. Manapság már előfordulhat, hogy e-mail helyett egy kártékony sms-t kap az áldozat a hackertől, aki egy futárszolgálatnak, kormányhivatalnak vagy más megbízhatónak tűnő szervezetnek adja ki magát. A csalók akár fel is hívhatják az embereket, hogy megerősítsék, valóban megbízhatóak, és így próbálnak kártyaadatokat
megszerezni az áldozatoktól. Az sms-ben történő adathalászattal (smishing) összefüggő esetek száma 2021-ben több mint kétszeresére nőtt az azt megelőző évhez képest, míg a hangalapú adathalászat (vishing) szintén jócskán megugrott egy felmérés szerint.

2. Kártevő szoftverek

A kiberbűnözői alvilág hatalmas piac, nemcsak az adatok, hanem a kártevő szoftverek tekintetében is. Az évek során különböző típusú kártékony programokat fejlesztettek ki információlopásra. Ezek közül néhány a billentyűleütéseket rögzíti – például amikor a kártyaadatokat gépeljük be egy webshopban vagy banki oldalon.

Hogyan telepítik a bűnözők ezeket az eszközöket a felhasználók gépeire?

Az adathalász e-mailek vagy sms-ek népszerű módszernek számítanak, ahogyan a kártékony online hirdetések is. Más esetekben népszerű weboldalakat fertőznek meg, és megvárják, hogy a felhasználók felkeressék azokat. Ezek a Drive-by-download típusú kártevő szoftverek azonnal települnek az eszközökre, amint valaki meglátogatja a fertőzött weboldalt. Az információtolvaj szoftverek pedig gyakran valódinak és megbízhatónak tűnő, de valójában rosszindulatú mobilalkalmazásokban is megtalálhatóak.

3. Digitális “lefölözés”

Az ESET figyelmeztetése szerint előfordul az is, hogy a hackerek kártékony szoftvereket telepítenek az e-kereskedelmi cégek fizetési oldalaira. Ezek láthatatlanok az áldozat számára, de képesek megszerezni a bankkártya-adatokat azok beírásakor. A felhasználók itt látszólag nem sokat tehetnek adataik biztonsága érdekében, azon túl, hogy csak nagynevű márkáktól és neves weboldalakon vásárolnak, amelyek valószínűleg biztonságosak. A digitális “lefölözéses” (digital skimming) esetek száma 150 százalékkal nőtt 2021 májusa és novembere között.

4. Adatsértések

Olykor a kártyaadatokat közvetlenül azoktól a vállalatoktól lopják el, amelyektől a felhasználó vásárol, legyen szó egészségügyi szolgáltatóról, e-kereskedelmi áruházról vagy éppen utazási irodáról. A hackerek szempontjából ez egy költséghatékony módszer, mivel egyetlen támadással hatalmas adathalmazhoz juthatnak hozzá.

5. Nyilvános Wi-Fi

Utazás közben csábító lehet ingyenesen használni a világhálót a nyilvános Wi-Fi hotspotokon keresztül a repülőtereken, szállodákban, kávézókban és más közösségi terekben. Viszont még akkor sem lehetünk biztosak abban, hogy a kapcsolat biztonságos, hogyha fizettünk azért, ugyanis hackerek is használhatják a hozzáférést, hogy kémkedjenek az adatok után, miközben a felhasználó beírja azokat az eszközébe.

Hogyan tartsuk biztonságban kártyaadatainkat?

Szerencsére számos módja van annak, hogy csökkentsük az adatlopások kockázatát. Csizmazia-Darab István, a Sicontact Kft. IT biztonsági szakértője szerint mindenképp érdemes figyelembe venni az alábbiakat:

Maradjunk éberek: soha ne válaszoljunk kéretlen e-mailekre, ne kattintsunk az abban szereplő linkekre, és ne nyissuk meg az ilyen e-mailek csatolmányait. Könnyen lehet, hogy kártevő szoftvereket tartalmaznak, vagy olyan hitelesnek tűnő adathalász oldalakra vezethetnek, ahol az adatok megadását kérik.

Ne osszunk meg információt idegenekkel, akkor sem, ha a beszélgetőpartner meggyőzőnek hangzik. Kérdezzük meg, honnan hívnak bennünket, majd keressük fel az említett szervezetet,
hogy ellenőrizhessük a hívás valódiságát. Ne használjuk az ismeretlen által megadott elérhetőségeket.

Ne használjunk nyilvános Wi-Fi hálózatot, különösen virtuális magánhálózat (VPN) nélkül. Amennyiben muszáj csatlakoznunk, ne csináljunk semmi olyat a hálózaton, amihez kártyaadatokat kell megadni (például online vásárlás).

Ne mentsük el a kártyaadatokat online vásárlás során, még akkor sem, ha ezzel időt takarítanánk meg a későbbi tranzakciók esetében. Így csökkenthető annak az esélye, hogy megszerezzék bankkártyaadatainkat, amennyiben az adott cég fiókját feltörik vagy megtámadják.

Töltsünk le minden számítógépünkre és eszközünkre (például mobiltelefonokra vagy táblagépekre) kártékony programok és adathalászat elleni védelmet egy megbízható és elismert biztonsági szolgáltatótól. Használjunk kétfaktoros hitelesítést bizalmas fiókjainknál. Ez csökkenti annak az esélyét, hogy hackerek lopott jelszavakkal feltörjék azokat.

Csak megbízható alkalmazásokat árusító boltból töltsünk le applikációkat (Apple App Store, Google Play)

Amennyiben online vásárolunk, csakis HTTPS protokollal rendelkező oldalakon keresztül tegyük azt (ez esetben a böngésző címsorában az URL-cím mellett egy lakatnak kell megjelennie). Így kisebb az esélye annak, hogy adataink illetéktelen kezekbe kerülnek.

Végül pedig jó módszer, ha figyeljük az összes bank- és kártyaszámlánkat. Ha gyanús tranzakciót észlelünk, azonnal értesítsük bankunk vagy kártyaszolgáltatónk csalással foglalkozó munkatársait. Egyes alkalmazások már lehetővé teszik, hogy befagyasszuk minden kiadásunkat bizonyos kártyákon, amíg meg nem bizonyosodunk arról, hogy valóban történt-e biztonsági incidens. Rengeteg módja van annak, hogy a bűnözők megszerezzék kártyaadatainkat, de mi magunk is sokat tehetünk azért, hogy megállítsuk őket.