A DIGI és az NKM nevében küldött kamuszámlákkal próbálnak pénzt kicsalni a Magyarországon garázdálkodó adathalászok
Szeptember végén és október elején gyanús tartalmú és formátumú számlalevelek kezdtek terjedni az interneten; a Qubit szerkesztőségébe és több munkatársunk email-fiókjába is jutott belőlük. A levelek első ránézésre hivatalos online számláknak tűnnek. Az egyik típusú email feladója látszólag a Digi Kft., ami arról értesíti a címzettet, hogy „az ügyfélkapun keresztül már elérhető az aktuális havi e-számlája, amelyet jelen levelünkhöz csatoltunk is"; a másik fajta levélé az NKM Energia Zrt., ami örömmel jelenti a jó hírt, miszerint elkészült az új földgázszámlánk, amit az emailben szereplő linkre kattintva egyből be is lehet fizetni.
Csakhogy a levelek valójában francia és írországi emailcímekről érkeznek, a bennük elhelyezett, pénzbefizetésre szolgáló linkek nem a fenti cégek oldalaira, vagyis digi.hu-ra vagy a nemzetikozmuvek.hu-ra mutatnak, hanem a kifejezetten gyanús gateportals.com-ra és a karpataljaiadatbank.net-re, és aki megpróbálja befizetni az első pillantásra meggyőzőnek tűnő kamuszámlákat, adathalászok csapdájába esik.
A rutinos internetezők az ilyesminek ritkán dőlnek be: ők már látták az össze béna adathalászati kísérletet a nigériai hercegtől az adatváltoztatást sürgető kamulevelekig. De az adathalászok nem is a rutinos, hanem a tapasztalatlan felhasználókat célozzák, és az elmúlt két évtizedben mindig találtak valakit, aki bekapta a csalit. A mostani konkrét eseten bemutatva elmagyarázzuk, hogy milyen hibákat követnek el a támadók, és hogy hogyan buktathatjuk le az adathalászattal (phishing) foglalkozó csalókat.
What the phuck is phishing?
Az adathalászatra használt angol szó, a phishing csak 5-10 éve szivárgott be a köznyelvbe, de a kifejezés már 1996 óta létezik: azok a hekkerek találták ki, akik az America Online internetszolgáltatóhoz tartozó felhasználóneveket és jelszavakat loptak. Az f betű ph-ra cserélése John Draperig vezethető vissza, akit a világ Captain Crunch néven ismert meg, miután az 1970-es évek elején rájött, hogy hogyan lehet meghekkelni az amerikai telefonrendszert. Akkoriban ezt még nem hekkelésnek, hanem freakingnek nevezték, és a phone freak (telefonbetyár) szavak összevonása (phreaking) évtizedeken átívelő divatot teremtett.
A phishing találó kifejezés az ilyen jellegű adatlopásra: a támadók tudják, hogy nem mindenki fogja bekapni a horgot, de megpróbálják magukhoz csalogatni azokat, akik hajlanak rá. A horgász nem akarja az összes halat kifogni a tóból, csak annyit, amennyi a vacsorájához kell. De az sem véletlen, hogy a magyar nyelvben a phishinget adathalászatnak fordítjuk: a támadók már nem csalikat dobálnak, hanem hálókat vetnek ki, és abban reménykednek, hogy minél többen gabalyodnak beléjük.
Mi van a nevedben?
De hogyan lehet megkülönböztetni a hamis értesítést a valóditól? Figyeljünk az árulkodó jelekre; van belőlük épp elég. Ha ezek közül egyet vagy többet észlelünk, akkor nem árt gyanakodni.
Először is nézzük meg, hogy ki a feladó. Nem a nevét, hanem a címét. A felületes felhasználó gyakran csak a küldő nevére pillant rá, a címére ritkán. Ha meglátja a közműszolgáltató nevét, nem kételkedik benne, hogy az-e feladó, akinek mondja magát. Pedig az email névnek fenntartott mezőjébe mindenki azt ír, amit akar. A feladó címét jóval nehezebb meghamisítani – igaz, az sem lehetetlen.
Ökölszabály: a nagyvállalatok hivatalos címről kommunikálnak. Mindig. Gmailes vagy freemailes címről sosem kapunk hivatalos értesítést. A szóban forgó emailek tartományai közül kettő (az @astecpos.ie és a @mek.hu) létező doménekre mutatnak, de ezeknek semmi közük a közműszolgáltatókhoz; a @conzdigi.fr tartomány nem létezik.
A valódi cégeknek saját email-azonosítójuk van: a @ előtti rész a küldőt azonosítja, a @ utáni pedig a céges tartományt (domain). A Paypal hivatalos értesítői a @paypal.com címről érkeznek; ha viszont @paypal23.com címről kapunk emailt, az jó eséllyel csalás lesz. Ha rákeresünk a tartománynévre – vagyis beírjuk a Google-be, hogy paypal23.com –, könnyen kideríthetjük, hogy legális cégről van-e szó.
A támadók ebben az esetben a küldő azonosítójában próbálták magukat közműszolgáltatónak álcázni: digikft@mek.hu, nkm@conzdigi.fr. Nyilván arra játszottak, hogy ennyitől is elég hivatalosnak látszik a levél. Az avatatlanabbakat alighanem meg is téveszthetik ezzel a módszerrel.
Kedves Akárki, adja meg az adatait, most!
Nem véletlen, hogy a phishinget magyarul nem adathorgászatnak, hanem adathalászatnak hívják: a horgász egyesével fogja a halat, a halász tömegesen. A csalók is általában ezerszámra küldik ki az adathalász emaileket. A címeket onnan szerzik, ahonnan tudják, de a közkézen forgó adatbázisokban a címekhez többnyire nem társítanak neveket.
Ha az adathalászok tömeges támadást indítanak, nem névre szóló értesítést fogunk kapni, hanem Tisztelt Ügyfélként vagy Kedves Partnerként fognak emlegetnek minket. Ahogy ezúttal is. Nézzük csak:
Ökölszabály 2.0: minek adnánk pénzt bárkinek, aki a nevünket sem tudja? Ráadásul azonnal? Nem azért kerestük meg a pénzünket, hogy az első szembejövőnek a kezünkbe nyomjuk!
Persze, előfordul, hogy legális cégek kérnek minket sürgős intézkedésre. Ilyen elven működnek a Google biztonsági értesítései is: ha egy korábban nem használt eszközön vagy ismeretlen böngészőben lépünk be a profilunkba, e-mailben értesítést kapunk az aktivitásról, és rákérdeznek, hogy csakugyan mi voltunk-e azok. Ha mi használtuk a saját profilunkat, tudni fogjuk, hogy a Google mire kérdez rá; és a jelszócserét sem felugró ablakban követelik, hanem többlépcsős azonosítással, gyakran más eszközöket is bevonva.
A támadóknak viszont az a céljuk, hogy még azelőtt adjuk meg nekik az adatainkat, hogy belegondolnánk, mit is csinálunk. Jó, ha erre felkapjuk a fejünket; egy bank vagy egy nagyvállalat sosem kér tőlünk személyes adatokat emailben. Ha azt látjuk, hogy egy átirányított oldalon egy, a felhasználónevünket és jelszavunkat kérő ablak ugrik fel, éljünk a gyanúperrel, hogy nem a javunkat akarják, hanem a személyes adatainkat.
Ha nem vagyunk biztosak benne, hogy egy oldal valódi-e, próbáljunk meg egy nem létező emaillel és jelszóval belépni. A phishing oldalak ilyenkor általában azt jelzik, hogy sikeres volt a belépés – pedig ez csak az adathalászat első lépése. Ha sikerül belépnünk, biztos, hogy csalásról van szó: így akarják kicsalni tőlünk a további adatainkat. (Ugyanakkor a sikertelen belépés sem garancia arra, hogy megbízható oldallal van dolgunk.)
Hova irányítanak és mivel védekezzek?
A kamuszámlákat küldő adathalászok leveleiben található linkre kattintva átkerültünk egy hivatalosnak látszó oldalra, ahol felszólítottak a személyes adataink megadására. Az ügyesebb csalók ezt a trükköt azzal keverik, hogy a levélben feltüntetett küldő hivatalos oldalára mutató linkeket is elhelyeznek – például az adatkezelési gyakorlatra vagy az általános felhasználási feltételekre mutató hivatkozásokat. Ha kamuoldalakra mutató linkekkel keverik a hivatalos linkeket, az még a tapasztaltabb felhasználókat is megtévesztheti. A hamisított gázszámlában például elhelyeztek a Nemzeti Közművek oldalára mutató linkeket is; nagyjából minden hivatalosnak látszott. A Bankkártyás fizetés gombra kattintva azonban a szamlahunkm.com oldalra jutottunk, ami a megtévesztésig hasonlít az NKM hivatalos oldalára.
Schmidt Szabolcs már szeptember 30-án jelezte a Twitteren, hogy adathalász oldalról van szó. Ahogy a bejegyzésben is látszik, az oldalt azért hozták létre, hogy a felhasználók megadhassák a bankkártyaadataikat, beleértve a kártya hátoldalán látható háromjegyű CVC azonosítót. Ha a támadók kicsalják tőlünk ezeket az adatokat, később bárhol fizethetnek a bankkártyánkkal.
A csalás ellen azzal is védekezhetünk, hogy alaposan megvizsgáljuk az oldal URL-jét. Ebben az esetben már a webcím is árulkodó: ugyan miért jegyezne be egy magyar közműszolgáltató .com-os emailcímet? A Magyarországon működő szolgáltatók .hu-t használnak. Ha megvizsgáljuk a villany- és gázszámlás levelekben megadott webcímet a URL Scan oldalán, láthatjuk, hogy az oldalhoz egy kanadai IP cím tartozik. A digis levél fizetésre irányító linkje a karpataaljaiadatbank.net címre mutatott. Kárpátaljai Adatbank természetesen nem létezik; ez egy litván szerveren futó adathalász oldal volt.
Mire figyeljünk és mivel védekezzünk?
Összegezzük az elhangzottakat: figyeljünk a feladó címére, a levelekben található linkekre, a hivatkozott tartományokra, és azoknak az oldalaknak a megbízhatóságára, amikre átirányítanak minket. És nyugodtan gyanakodjunk, ha valaki a személyes adatainkat követeli – pláne ha sürgősen. De nyugodtabban alhatunk az online pénzügyeink felől, ha odafigyelünk néhány apróságra:
- Figyeljünk a furcsa képi elemekre. Gyanús, ha első pillantásra hivatalosnak tűnő, de valójában gyengébb minőségű grafikai elemeket használnak. Az NKM-es csalási kísérlet ilyen szempontból ügyesebb próbálkozás volt, hiszen a céloldal grafikai elemei a megtévesztésig hasonlítottak a közműszolgáltató hivatalos honlapjára. Máskor azonban a támadók felületesebbek; a nem megfelelő fejlécek és képi elemek használata azt sugallják, hogy kamuoldallal vagy kamulevéllel van dolgunk. Az is előfordulhat, hogy a támadók nem formázott levelet küldenek, hanem egyetlen, levélnek látszó képet, ami valójában egy, az adathalász oldalra átirányító hivatkozás. Bárhová kattintunk, mindenképpen a csalók oldalára kerülünk. Ökölszabály 3.0: nagyvállalatok soha nem küldenek ilyen levelet.
- Figyeljünk a fogalmazásra és a helyesírásra. Az általunk vizsgált levelekben is találtunk néhány hibát – persze, nem sokat, csak egy-egy rosszul elhelyezett vesszőt itt, egy furcsa fogalmazást ott, egy indokolatlan sortörést amott. Az automatikus számlaértesítőkhöz a cégek előre beállított sablonokat használnak, amiket gondosan átnéznek, mielőtt továbbítják őket, több százezer ügyfélnek. Gondolhatnánk, hogy a rossz helyesírás kész lebukás – pedig valójában nem az. A csalók ezt gyakran filterként használják: feltételezik, hogy aki nem veszi észre a helyesírási hibákat, azt könnyebb lesz lépre csalni. Ezzel lemondanak az írni-olvasni tudó potenciális célpontokról, de nem is őket támadják.
- Óvakodjunk a gyanús csatolmányoktól. Legális cégek és közműszolgáltatók szinte soha nem küldenek csatolmányt a leveleikhez, úgyhogy ha nem vagyunk biztosak benne, hogy kitől kaptuk a levelet, inkább ne a levélvágó bitkésünkhöz kapjunk, hanem a víruskeresőnkhöz. Az adathalászok előszeretettel küldenek dokumentumoknak álcázott (PDF, DOC) csatolt fájlokat, amik valójában futtatható (EXE) állományok, és vírusokat vagy billentyűzetfigyelő szoftvereket telepíthetnek a gépünkre.
- Frissítsük a böngészőnket és a víruskereső szoftverünket. A böngészőnk vagy a víruskeresőnk is figyelmeztethet rá, ha adathalász oldalon járunk. A Digi álcázott számlalevelében a befizetési oldalra mutató hivatkozást a Virustotal weboldalon listázott szoftverek közül a Certego, az ESET és a Fortinet adathalász (phishing) tartományként azonosította, a CyRadar pedig kártékonynak (malicious) találta. A villanyszámlás kamucégre az ESET és a Certego adott ki riasztást. Ha az antivírus szoftverek frissítése nem a mi hatáskörünkbe tartozik – mert például céges gépen nyitjuk meg az emailt –, érdemes a Virustotal gyorsan frissülő oldalán ellenőrizni a kérdéses oldal megbízhatóságát. Az is segíthet, ha megbízható böngészőket használunk: a Firefoxhoz vagy a Chrome-hoz készültek antiphishing bővítmények, amik kiszűrhetik az adathalász oldalakat, így minimálisra csökkenthető az ezekből fakadó kockázat.
(Kapott az adathalász emailekből? És kiröhögte vagy befizette? Írja meg nekünk a szerk@qubit.hu címre.)
Kapcsolódó cikkek a Qubiten: