SIMultán átverés

Igen kifinomult módszerrel férnek hozzá tolvajok az érzékeny adatainkhoz: a SIM-swap, vagyis a SIM-kártya csere nem újdonság, de időről-időre felbukkan, és manapság megint kísérleteznek vele, ezért érdemes odafigyelni a próbálkozásokra.

A mobilszolgáltatók, közüzemi cégek, bankok, hivatalok, állami szervek rengeteg pénzt és időt ölnek abba, hogy a felhasználók minél több mindent el tudjanak intézni online, az otthonuk kényelméből, anélkül, hogy sorba állnának vagy várakoznának. Egy ideje már sok helyen így tudjuk befizetni a mobiltelefon- vagy a villanyszámlánkat, így tudunk időpontot foglalni az új útlevelünk ügyintézéséhez, vagy épp ez az oka, hogy egy meleg takaró alól tudjuk megrendelni a forró levest. Ezek a megoldások, szolgáltatások a legtöbb esetben (főleg akkor, ha még pénzmozgás is történik az online térben) szeretnének meggyőződni arról, hogy aki a szolgáltatást használja tényleg jogosult is rá. Hogy az előbbi példánál maradjunk: a folyamat közben a rendszer megvizsgálja, valóban az rendeli-e az ételt, aki regisztrált az adott szolgáltatásra, majd fizetéskor a bankkártyát kibocsátó bank még duplán ellenőriz is minket.

Ezekért a tranzakciókért egy igen öreg, de elképesztően hatékony és meglepően biztonságos kód felel a legtöbb esetben, így mi nyugodtan alhatunk, egészen addig, amíg be nem következik valamilyen baj, amiért bizony leggyakrabban a meggondolatlan, elővigyázatlan felhasználó a felelős. A legnagyobb hibaforrás és biztonsági rés ugyanis mi magunk vagyunk, a felhasználók, akik bármilyen tökéletes rendszert képesek vagyunk kijátszani a saját kárunkra. Mindezt nevetséges jelszavakkal érjük el, vagy épp azzal, hogy mindenhol ugyanazt az 1-2 jelszót használjuk, így elég csak egy-két adatszivárgási botrány (amiből szinte minden hónapra jut egy), hogy megtörténjen a baj. Pillanatok alatt elveszíthetjük például az ellenőrzést a mobil előfizetésünk felett, vagy ami még rosszabb a netbankunk és ezáltal a saját pénzünk kezeléséből is kizárhat egy olyan támadó, aki kihasználja védekezésünk gyengeségeit.

Ej, ráérünk arra még? Nem!

„Á, nincs nekem annyi pénzem a bankban, kis hal vagyok, nem éri meg időt és energiát beletenni egy rablónak abba, hogy pont engem támadjon meg!” Sokszor halljuk ezt a kifogást, ami még akár igaz is lehetne, ha a SIM-swap és a hozzá hasonló csalásokat még mindig teljes egészében emberek követnék el, akik mérlegelik, kiből éri meg kitrükközni az adatait és a pénzét. A dolog ugyanis szinte minden esetben valamilyen automatizált folyamattal, például adathalász próbálkozással kezdődik: egy rossz e-mail feliratkozás, vagy véletlen kattintás egy url-re és máris mi magunk jelentkeztünk a rablók által üzemeltetett algoritmusnál, hogy “hahó, itt vagyunk, jönnénk raboltatni, ha épp alkalmas”.

Az adathalászatnak könnyen bedőlünk, hiszen látjuk a saját bankunk, vagy mobilszolgáltatók logóját a weboldalon, ahová irányítottak, még az URL is stimmel (első látásra, épp ezért érdemes akár háromszor is megnézni), miért ne adnánk meg a nevünket, e-mail címünket, születési évünket és egyéb alapvetéseket… Persze itt azért már gyanús lehet, hogy ezek az adatok miért nincsenek meg az adott szolgáltatónál, ha már ügyfelek vagyunk. Rosszabb esetben a háttérben, a tudtunk nélkül letöltünk egy olyan kémszoftvert, ami akár minden billentyűleütésünket rögzíti és automatikusan továbbküldi illetékteleneknek. Igen, akár a bankkártyánk adatait és CVC kódját is.

SIMtelen módszer

Igen ám, de 2021 elejétől már minden banki tranzakcióhoz kell a fent említett kétfaktoros azonosítás, ami a legtöbb esetben SMS formájában történik, így ha rossz kezekbe is kerülnek a bankkártyánk adatai, akkor sem lehet gond, hiszen a telefonunk a zsebünkben van, a megerősítő kódot a bűnözők nem fogják látni, így kár sem érhet minket, ugye? Dehogynem… Ugyanis sajnos az ellopott adatainkat már arra használják a tolvajok, hogy hamis meghatalmazással, a mobilszolgáltatónkat felkeresve új SIM kártyát igényeljenek – például azzal az ürüggyel, hogy elveszítettük az eredetit, vagy meghibásodott. A szolgáltató a saját oldaláról ilyenkor valósnak látja a kérést, és kiadja a kártyát, amit a csalónak már csak aktiválnia kell, és máris szabad előtte az út ahhoz, hogy a kétfaktoros azonosítást igénylő oldalak és szolgáltatások meglátogatásakor, esetleg jelszócserét igényelve náluk landoljon minden ellenőrzőkód. Ezáltal tényleg semmi sem gátolja meg őket, hogy az utolsó fillérig kipucolják a bankszámlánkat, hiszen minden digitális hitelesítési eszköz náluk van: az ellopott adataink is és az ellenőrző kódot biztosító mobilszám egyaránt.

Hogyan védekezhetünk?

A legfontosabb, hogy soha, semmilyen körülmények között ne adjuk meg az adatainkat üzenetküldőkön, fotón, de még hivatalosnak tűnő weboldalakon sem. Érdemes mindig inkább kétszer ellenőrizni a weboldal címét, ahol tevékenykedünk (általában egy-egy betű, vagy a domain végződése nem fog stimmelni, ha adathalász oldalon vagyunk, de a nyelvezet is árulkodó lehet), illetve az sem jó jel, ha egy olyan szolgáltató, aki elvileg minden adatunkat tudja, hirtelen újra minden adatunkra “kíváncsi”. Ezen felül, ha eleve mindenhol bekapcsoljuk a kétlépcsős azonosítást (az e-mail fióktól kezdve a Facebookig), akkor igencsak megnehezítjük a tolvajok dolgát és jó eséllyel keresnek egy felelőtlenebb felhasználót, akit megkopaszthatnak.

Ha pedig esetleg arra leszünk figyelmesek, hogy a telefonunk teljesen “meghalt” és nincs szolgáltatás, nem tudunk telefonálni, akkor érdemes azonnal a mobilszolgáltatónkkal felvenni a kapcsolatot, nehogy a tolvajok által aktivált új SIM kártyával (aminek hatására ugye a régi SIM elérhetetlen lesz) elkezdjék a “takarítást”. Ekkor ideiglenesen letilthatjuk a kártyát és kérhetünk egy újat, amely mellett az illetéktelenül megszerzett korábbi másolatok csupán haszontalan műanyagdarabok lesznek a csalók kezében.