Azt hiszed, hogy az SMS kód biztonságos? Az alábbi példák megmutatják, hogy nem 100%-os, sőt olyanon csúszik el az egész, amire elsőre nem gondolnánk. Az elmúlt időszakban megszaporodtak az olyan csalások, aminél némi figyelmetlenség után a csalók lazán elutaltak maguknak több tíz millió forintot, olyan eset is volt, ahol az SMS kódot is lazán meg tudták szerezni. A bankok sok esetben csak széttárják a kezüket, vagyis néhány kivételével. Az e-mail levelezésbe beékelődő számlacsalásra pedig több száz milliós példa is van. Üzleti környezetben még rosszabb, hiszen a vétlen munkatárs lehet nap mint nap annyi digitális dologgal találkozik, hogy egy kis változtatás fel sem tűnhet neki a napi hajtás közben. Cégvezetőként érdemes lesz új rutinokat bevezetned, amik bár aprók lesznek, de megmentik a cég pénzét. Lássuk az eseteket. Kezdjük a legmegdöbbentőbbel!
Ál-netbank-os applikációs csalás, 6,5 millió forint oda, sőt sim kártya „klónozás”
#horror-példa-1: Az ál-banki oldal csalás, sőt mindez felturbózva – 6,5 millió lett oda
Azt már biztosan ismered, hogy a csalók a netbankodhoz hasonló oldalt csinálnak, és megpróbálják elérni, hogy belépj. Nos ez még mindig így van, sőt itt is fejlődött már a csalás szintje. Hiszen a bankok úgy védekeznek ezzel, hogy kétlépcsős a belépés és SMS-t küldenek a mobilodra. Igen ám, de… hová is próbálod majd megadni!
Hát persze, hogy az áloldalon, amit a csalók azonnal használni is tudnak. DE! Ott is van egy csavar! Az Azonnali.hu -n egy vállalkozó beszámolt egy ilyen esetről, és a bank sem kártalanítja. 6,5 milliót utaltak el a számlájáról. A csalás a következőképpen zajlott.
- A cég munkatársa vélhetően egy e-mailben kattintott a hamis banki oldalra, ami szinte teljesen megegyezett a bank oldalával.
- A belépési adatokat megadta (máris tudják a csalók) az alkalmazott. DE ugye itt még nem kapott sms-t, hiszen hamis az oldal. A munkatárs gondolta, hiba van, későbbre halasztotta az utalásokat.
- A csalók letöltötték a bank applikációját.
- Az applikációba beléptek, majd kértek egy sms-t, ami hasonló ahhoz, mint amit be kell írni a netbanknál is. Belépéshez szükséges egyszer használatos kódja” helyett „Mobil-token aktiváláshoz szükséges egyszer használatos jelszava” szerepel az üzenetben.
- Itt a munkatárson volt a sor, aki megkapta és pont az áloldalon próbálta megadni ezt a kódot. Ez is programozva volt, hogy miután belépést csinál, feljöjjön egy oldal, ahol kéri az sms kódot. Gondolta a munkatárs, hogy csak később küldte a bank, hiba miatt.
- A csalók az applikációt sikeresen hozzákapcsolták a számlához. Majd így már könnyedén tudtak utalni.
- Itt a teljes sztori: 6,5 milliós netbankos/applikáció csalás – Azonnali.hu
#horror-példa-2: Átvették az irányítást a SIM kártyák felett – könnyített pálya volt innen már
Sőt itt három esetünk is van, teljesen ugyanaz a forgatókönyv.
- Három eset volt, ugyanaz volt a módszer:
- A módszer kiindulási pontja mindig egy nagyon kedvező áron meghirdetett ingatlan volt. Az érv az volt, hogy: az eladó külföldön élő unokatestvére haza akar települni családjával, és sürgősen pénzre van szüksége, ezért is kedvezményes az ár. Utalt arra is, hogy a rokon hamarosan több más érdeklődőnek is megmutatja a lakást, amelyről mindössze egy fotót töltöttek fel a hirdetési oldalra, a férfi azonban további képeket és videót is ígért emailben.
- Az eladó kérte, hogy töltsék le az AnyDesk nevű programot, amivel gyorsan tudnak nagy képeket küldeni egymásnak. Ez valójában távoli hozzáférést adott a csalóknak (ezen keresztül céges dokumentumokat szereztek tőlük). De ez még nem volt elég, kellett még az is, hogy SMS-eket is megszerezzék.
- Időpontot egyeztettek az ingatlan bemutatásához. De pont a találkozó előtti nap az érintettek mobilja megbénult. Ennek oka, hogy a csalók bementek a szolgáltatóhoz és simkártya cserét kértek (mindezt úgy, hogy egyik csalásnál céges számláról volt szó). A telefonszolgáltatók nem ellenőrzik az ügyintézésnél az aláírási címpéldányt, pedig bőszen szkennelik, nincs is meg hozzá az eszközük. Telekom, Telenor,, Vodafone mind átesett a csaláson, sajnos az ottani ügyintézők figyelmén is múlt a dolog.
- Az érintettek mivel már zavarta őket, hogy nem tudják használni a mobilt, bementek a szolgáltatóhoz, cserét kértek. Volt, aki ekkor jött rá a csalásra. A csalók már rég kipucolták a számlákat.
- A Bankok közül egyedül az OTP kártalanította a károsultakat. Az OTP egy külön oldalon fel is hívja a figyelmünket a különböző adathalász megoldásokra, és mire figyeljünk. Itt például leírják, hogy ne telepítsünk szoftvert más kérésére a gépünkre. Jó tipp!
A csalókat nem kapták el!
E-mailben kapott számla, de más a bankszámlaszám – 560 millió forint bánta
Általában cégeket érintő csalás ez, és sajnos sokakat érint ez a csalás. Ezt írta egy cég a csalóknak:
„Nekünk mindegy, hova küldjük”
Több millió dollárt csaltak el egy magyar számlával a legnagyobb múltú sportrendezvénytől – G7
Jövőre rendezik az Amerika Kupa nevű vitorlásverseny következő fordulóját, a szervezésre szánt pénz egy része azonban egy magyar bankszámlán landolt. Júliusban derült ki, hogy ismeretlen csalók 2,8 millió új-zélandi dollárral (560 millió forinttal) rövidítették meg az aucklandi verseny szervezőit, most pedig újabb részletek derültek ki.
A csalók 2019 nyarán jelentkeztek be a szervezőknél, egy olyan e-mail címről, amely nagyon hasonlított a Circle-O ügyvezetőjéére (circle helyett clrcle volt benne). Egy júliusi kifizetésről érdeklődtek, amelyet az új-zélandi szervezők már kifizettek. Valamiért azonban azt hitték, hogy a következő, októberi utalás miatt írtak. Amikor ez kiderült a csalók számára, szeptemberben küldték a számlát, azt kérve, hogy egy új, magyar bankszámlaszámra utalják a pénzt. „Nekünk mindegy, hova küldjük” – jött a válasz, és elutalták a 2,8 millió dollárt. Az eset július elején derült ki, és vezető hír volt Új-Zélandon.
- Az ilyen e-mailes számlacsalásnál általában feltörik az adott cég levelezését, megismerik az együttműködéseket és könnyedén bekapcsolódnak egy olyan levelezési láncba, ahol akár új számlát lehet kiállítani.
- Itt a csalásnál fontos tudni, hogy a bankok a bankszámlaszám alapján azonosítják a bankszámlákat, a név rajta valójában formális. Ezért lehet az, hogy megtévesztő a cégek számára.
- Csaltak el így már magyar cégtől is több száz milliót, de még a Facebook és a Google és áldozata lett az ilyen csalásnak: Facebook, Google 100 millió dollárt csaltak ki tőlük. A két cég beszerzési osztálya hitelesnek tűnő emaileket, számlákat kapott a csalótól egy másik partnerük nevében, akivel egyébként is “szoros” kapcsolatot ápolnak a cégek. A dolgozóknak nem tűnt fel semmi változás, amikor a tajvani Quanta Computer-től kaptak újabb és újabb számlákat, ám ezeket nem a valós cég állította ki, hanem a csaló, aki még bélyegzőt is szerzett. 2013-tól egészen 2 éven át tudott így pénzt kihúzni a két cégtől. Most sikerült végére érni az esetnek, és a pénz nagy része visszakerült hozzájuk.
- De már láttunk a környezetünkben is két ilyen esetet, egyesült királyságbeli utalásnál és kínai utalásnál is.
Ennél a csalásmódnál figyelj oda, hogy
- Figyelni, és telefonon egyeztetni az adott céggel, ha változást látunk a kiállított számlán
pl. számlaadatok, bankszámlaszám. - Az emailcímeket figyelni, ellenőrizni, és ha változás van, szintén telefonon érdeklődni a cégnél.
- Utalásokra figyelni és közbeiktatni még több ellenőrző pontot.
Forrás: 6,5 milliós netbankos csalás – Azonnali.hu
Telefonját blokkolva loptak el 30 milliót az OTP ügyfelétől, 2020. március – 24.hu
Egy óvatlan kattintás miatt 51 millió forintot loptak el egy budapesti házaspártól 2020. június – 24.hu
Krimibe illő csalással nullázták le egy magyar család bankszámláját 2020. szeptember – 24.hu
Több millió dollárt csaltak el egy magyar számlával a legnagyobb múltú sportrendezvénytől – G7
Fotó: Envato License