Súlyos sebezhetőségre figyelmeztet a Fortinet Az orosz Turla hackercsoport támadhatta meg az egyik európai külügyminisztériumot Orosz állami hackerek forráskódokat lophattak el a Microsofttól Mi az a Ransomware-as-a-Service? 110 milliós bírságot kapott a KRÉTA meghekkelt fejlesztője Szoftverengedélyezési folyamat – Kiberbiztonsági ellenőrzőlista Letartóztatták a LockBit néhány tagját, kiadtak egy dekriptáló szoftvert Broken Object Level Authorization sérülékenység javítása, megelőzése A titkosított Signal üzenetküldő bevezetet a felhasználóneveket Információbiztonság vs. kiberbiztonság Felhőalapú kiberbiztonsági tanácsadás és audit Kiberbiztonsági partnerprogram CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

„Az Ön bankszámláját feltörték! Kérjük, ide utalja át a pénzét!”

A hagyományos emailalapú adathalász és egyéb, csaló típusú kibertámadások között az elmúlt években a telefonos támadások is hatalmas sebességgel terjedtek. 5-10 évvel ezelőtt szinte hallani sem lehetett ilyen támadásokról lakossági szinten, mostanra viszont szinte minden pénzügyi szervezet kénytelen volt nyilatkozatot közzétenni a csalások megelőzése érdekében. És a bulinak még nincs vége, a telefonos támadások egyre kifinomultabbak.

A telefonos adathalászat (vishing, voice phishing) leggyakoribb célja az, hogy a támadók a jellemzően véletlenszerűen kiválasztott célpontoktól minél több szenzitív adatot szerezzenek be, amit aztán eladhatnak, vagy egyéb, célzottabb támadások során használhatnak fel.

Ezeket a támadásokat általában felbérelt laikusok végzik, akik ugyan tisztában vannak a tevékenységük törvénytelenségével, de összességében ők „csak” felkészített emberi interfészek (a telefonos ügyfélszolgálatos kiberbűnöző megfelelője) egy jól felépített bűnözői hálózat és a célpontok összekötésére.

Makay Ágnes Krisztina, social engineering szakértő ezúttal a vishing és a phone scam összevontan alkalmazott formáját mutatja be, aminek már vannak magyar áldozatai is.

Makay Ágnes KrisztinaA magára banki ügyfélszolgálatosként hivatkozó elkövető az azonosító adatokat csak a hitelesség látszatáért kéri be, a hangsúly azon a hamis állításán van, hogy a célpont bankszámlájáról valaki nagy összegű tranzakciót indított, a telefonhívás pedig ellenőrzés céllal történik. A célpont általában jelzi, hogy nem ő indított ilyen utalást, az elkövető pedig szintén a hitelesség kedvéért felülvizsgálatot ígér az ügyben.

A támadó nem sokkal később jelentkezik a felülvizsgálat eredményével, ami szerint a bankszámlát feltörték, ezért arról a teljes összeget át kell utalni a bank által létrehozott új bankszámlára.”

A bankszámla feltörése a valóságban persze nem történt meg, az új számlaszám pedig valójában a kiberbűnözőké. Az áldozatokat szó szerint ráveszik arra, hogy utalják el önként minden pénzüket a kiberbűnözők bankszámlájára. A gyakorlat ráadásul azt mutatja, hogy a kevésbé gyanakvó, a témában kevésbé jártas emberek át is utalják a pénzüket ezekre a számlákra, ahonnan aztán már nem lehet visszavenni.

Mivel a külföldi számlák, valamint a feketén alkalmazott háttéremberek és strómanok miatt az ötletgazdáknak nem kell attól tartaniuk, hogy lebuknak, nem néhány ezer forintos, észrevehetetlen tételekről van szó, hanem több millió forintról áldozatonként. A problémát pedig súlyosbítja, hogy a rendőrség szinte tehetetlen.

Borospince és a Színház művelet

A Budapesti Rendőr-főkapitányság Gazdasági Bűnözés Elleni Főosztálya 2022. júliusában ugyan bejelentette, hogy közel 100 személyt tartóztattak le egy kiterjedt, 1,2 milliárd forintos állami és önkormányzati kárt okozó csalássorozat felderítése során az Europol segítségével, de az ehhez hasonló, emberi időn belül megoldható esetek csupán a jéghegy csúcsát jelentik.

Rengeteg kibertámadási kampány és azok rendkívüli erőforrásokat igénylő felderítése van jelenleg is folyamatban, de a nyomozások éveket vehetnek igénybe, az áldozatok kártalanítása pedig szinte lehetetlen, csupán az új célpontok megvédésére van esély.

Hogyan védekezhetünk a telefonos kibertámadások ellen?

Számos szolgáltató az ügyfélélmény érdekében kockáztatja az ügyfelek adatainak és pénzének biztonságát, de legyen bármilyen is egy adott szolgáltatás gyakorlata, ragaszkodjunk a másik fél hitelességének ellenőrzéséhez!


A Makay Kiberbiztonsági Kft. célja, hogy a hazai szervezetek számára olyan etikus social engineering szolgáltatást nyújtson, ami segít felmérni az ügyfelek aktuális védekezési potenciálját, megtalálja a gyenge pontokat és láncszemeket, valamint ezek alapján olyan védelmi képességekkel ruházza fel, amikkel megelőzhetőek a súlyos pénzügyi és reputációs károkat okozó incidensek.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek
Megosztás