Az ESET kiberbiztonsági szakértői bemutatnak néhányat a leggyakoribb módszerek közül, amelyekkel a hackerek megszerezhetik a bankkártyák adatait, egyúttal tippeket adnak arra is, hogyan védhetők ki ezek a támadások.
A kiberbűnözés egy olajozottan működő gépezet, amely évente dollárbilliókban mérhető károkat okoz. A bűnüldöző szervek és a legtöbb felhasználó elől rejtett módon, a darkweben működő oldalakon a kiberbűnözők nagy mennyiségű lopott adatot, valamint az ezek megszerzéséhez szükséges hackereszközöket adnak-vesznek. Feltételezések szerint jelenleg 24 milliárd illegálisan megszerzett felhasználónév és jelszó kering ezeken az oldalakon. A legkeresettebbek közé tartoznak a friss kártyaadatok, amelyeket a csalók nagy tételben vásárolnak meg, hogy személyazonossággal való visszaélést kövessenek el.
Azokban az országokban, ahol Chip and PIN, másnéven EMV biztonsági rendszert vezettek be, nehéz a bűnözőknek az adatokat klónozott kártyákká alakítani. Ezért leggyakrabban online használják azokat, kártyát nem igénylő (CNP) támadásokhoz. A csalók gyakran luxuscikkeket vásárolnak az adatok segítségével vagy nagy mennyiségben vesznek ajándékutalványokat – ez is egy népszerű módja a jogellenesen szerzett pénzek tisztára mosásának. Nehéz pontosan felbecsülni az ilyen kártyák piacának méretét. A világ legnagyobb alvilági piacterének üzemeltetői viszont nemrégiben nyugdíjba vonultak, miután becslések szerint 358 millió dollárt kerestek.
Az ESET kutatói bemutatják az 5 leggyakoribb módszert, amelyekkel a hackerek megszerezhetik a kártyaadatokat, és tanácsokat is adnak arra vonatkozóan, hogyan lehet kivédeni, megelőzni a kártyaadatok megszerzéséért indított támadásokat:
1. Adathalászat
Az adathalászat a kiberbűnözők egyik legnépszerűbb adatlopási módszere. A legegyszerűbb trükk, amikor a hacker egy legitim szervezetnek (például banknak, e-kereskedelmi cégnek vagy műszaki vállalatnak) adja ki magát, hogy rávegye a felhasználót a személyes adatok megosztására vagy rosszindulatú szoftverek letöltésére. Gyakran arra ösztönzik áldozatukat, hogy kattintsanak egy linkre vagy nyissák meg a csatolmányt. Ezáltal a felhasználó egy adathalász oldalra juthat, ahol személyes és pénzügyi adatok megadására kérik. Az adathalászat 2022 első negyedévében minden eddiginél magasabb szintet ért el a statisztika szerint.
Az ESET adatai alapján ezek az átverések az elmúlt években továbbfejlődtek. Manapság már előfordulhat, hogy e-mail helyett egy kártékony sms-t kap az áldozat a hackertől, aki egy futárszolgálatnak, kormányhivatalnak vagy más megbízhatónak tűnő szervezetnek adja ki magát. A csalók akár fel is hívhatják az embereket, hogy megerősítsék, valóban megbízhatóak, és így próbálnak kártyaadatokat megszerezni az áldozatoktól. Az sms-ben történő adathalászattal (smishing) összefüggő esetek száma 2021-ben több mint kétszeresére nőtt az azt megelőző évhez képest, míg a hangalapú adathalászat (vishing) szintén jócskán megugrott egy felmérés szerint.
2. Kártevő szoftverek
A kiberbűnözői alvilág hatalmas piac, nemcsak az adatok, hanem a kártevő szoftverek tekintetében is. Az évek során különböző típusú kártékony programokat fejlesztettek ki információlopásra. Ezek közül néhány a billentyűleütéseket rögzíti – például amikor a kártyaadatokat gépeljük be egy webshopban vagy banki oldalon. Hogyan telepítik a bűnözők ezeket az eszközöket a felhasználók gépeire?
Az adathalász e-mailek vagy sms-ek népszerű módszernek számítanak, ahogyan a kártékony online hirdetések is. Más esetekben népszerű weboldalakat fertőznek meg, és megvárják, hogy a felhasználók felkeressék azokat. Ezek a Drive-by-download típusú kártevő szoftverek azonnal települnek az eszközökre, amint valaki meglátogatja a fertőzött weboldalt. Az információtolvaj szoftverek pedig gyakran valódinak és megbízhatónak tűnő, de valójában rosszindulatú mobilalkalmazásokban is megtalálhatóak.
3. Digitális “lefölözés”
Az ESET figyelmeztetése szerint előfordul az is, hogy a hackerek kártékony szoftvereket telepítenek az e-kereskedelmi cégek fizetési oldalaira. Ezek láthatatlanok az áldozat számára, de képesek megszerezni a bankkártya-adatokat azok beírásakor. A felhasználók itt látszólag nem sokat tehetnek adataik biztonsága érdekében, azon túl, hogy csak nagynevű márkáktól és neves weboldalakon vásárolnak, amelyek valószínűleg biztonságosak. A digitális “lefölözéses” (digital skimming) esetek száma 150 százalékkal nőtt 2021 májusa és novembere között.
4. Adatsértések
Olykor a kártyaadatokat közvetlenül azoktól a vállalatoktól lopják el, amelyektől a felhasználó vásárol, legyen szó egészségügyi szolgáltatóról, e-kereskedelmi áruházról vagy éppen utazási irodáról. A hackerek szempontjából ez egy költséghatékony módszer, mivel egyetlen támadással hatalmas adathalmazhoz juthatnak hozzá.
5. Nyilvános Wi-Fi
Utazás közben csábító lehet ingyenesen használni a világhálót a nyilvános Wi-Fi hotspotokon keresztül a repülőtereken, szállodákban, kávézókban és más közösségi terekben. Viszont még akkor sem lehetünk biztosak abban, hogy a kapcsolat biztonságos, hogyha fizettünk azért, ugyanis hackerek is használhatják a hozzáférést, hogy kémkedjenek az adatok után, miközben a felhasználó beírja azokat az eszközébe.
Hogyan tartsuk biztonságban kártyaadatainkat?
Szerencsére számos módja van annak, hogy csökkentsük az adatlopások kockázatát. Csizmazia-Darab István, a Sicontact Kft. IT biztonsági szakértője szerint mindenképp érdemes figyelembe venni az alábbiakat:
• Maradjunk éberek: soha ne válaszoljunk kéretlen e-mailekre, ne kattintsunk az abban szereplő linkekre, és ne nyissuk meg az ilyen e-mailek csatolmányait. Könnyen lehet, hogy kártevő szoftvereket tartalmaznak, vagy olyan hitelesnek tűnő adathalász oldalakra vezethetnek, ahol az adatok megadását kérik.
• Ne osszunk meg információt idegenekkel, akkor sem, ha a beszélgetőpartner meggyőzőnek hangzik. Kérdezzük meg, honnan hívnak bennünket, majd keressük fel az említett szervezetet, hogy ellenőrizhessük a hívás valódiságát. Ne használjuk az ismeretlen által megadott elérhetőségeket.
• Ne használjunk nyilvános Wi-Fi hálózatot, különösen virtuális magánhálózat (VPN) nélkül. Amennyiben muszáj csatlakoznunk, ne csináljunk semmi olyat a hálózaton, amihez kártyaadatokat kell megadni (például online vásárlás).
• Ne mentsük el a kártyaadatokat online vásárlás során, még akkor sem, ha ezzel időt takarítanánk meg a későbbi tranzakciók esetében. Így csökkenthető annak az esélye, hogy megszerezzék bankkártyaadatainkat, amennyiben az adott cég fiókját feltörik vagy megtámadják.
• Töltsünk le minden számítógépünkre és eszközünkre (például mobiltelefonokra vagy táblagépekre) kártékony programok és adathalászat elleni védelmet egy megbízható és elismert biztonsági szolgáltatótól, például az ESET-től.
• Használjunk kétfaktoros hitelesítést bizalmas fiókjainknál. Ez csökkenti annak az esélyét, hogy hackerek lopott jelszavakkal feltörjék azokat.
• Csak megbízható alkalmazásokat árusító boltból töltsünk le applikációkat (Apple App Store, Google Play)
• Amennyiben online vásárolunk, csakis HTTPS protokollal rendelkező oldalakon keresztül tegyük azt (ez esetben a böngésző címsorában az URL-cím mellett egy lakatnak kell megjelennie). Így kisebb az esélye annak, hogy adataink illetéktelen kezekbe kerülnek.
Végül pedig jó módszer, ha figyeljük az összes bank- és kártyaszámlánkat. Ha gyanús tranzakciót észlelünk, azonnal értesítsük bankunk vagy kártyaszolgáltatónk csalással foglalkozó munkatársait. Egyes alkalmazások már lehetővé teszik, hogy befagyasszuk minden kiadásunkat bizonyos kártyákon, amíg meg nem bizonyosodunk arról, hogy valóban történt-e biztonsági incidens. Rengeteg módja van annak, hogy a bűnözők megszerezzék kártyaadatainkat, de mi magunk is sokat tehetünk azért, hogy megállítsuk őket.