Találtam egy adathalász oldalt, ami aktívan, gombnyomás nélkül lopta az emberek bankkártyaadatait.

Kaptam egy SMS-t, hogy fizessem be az MVM számlámat. Többször találkoztam ilyennel. Általában törlöm, de most kíváncsi voltam, mennyire profi a csapda, és hogyan próbálják megvezetni az embereket.

SMS a csalóktól.

Soha nem kattintok éles környezetből gyanús linkre. Most is egy izolált, védett rendszert használtam, aminek nincs köze a személyes adataimhoz, és az IP-cím sem az enyém. Ez lehetővé teszi, hogy biztonságosan benézzek a "színfalak mögé".

A link mögötti oldal 1/1 ugyanúgy nézett ki, mint az eredeti MVM-es fizetőfelület. Ugyanaz a logó, a színek, sőt, érvényes SSL biztonsági tanúsítványa (lakat ikon) is volt. Ezt fontos tudni: a lakat ma már nem azt jelenti, hogy az oldal megbízható, csak azt, hogy a kommunikáció titkosított közted és a csalók között.

Az adathalász oldal kinézete.

Sokszor a csalók futószalagon gyártják az ilyen oldalakat, és tele vannak hibákkal. De ha az ember benéz a motorháztető alá, látszanak az ijesztő részletek. A böngésző fejlesztői konzoljában észrevettem egy folyamatosan futó szkriptet. Ez a kód meg sem várta, hogy rányomj a "Küldés" gombra. Ahogy elkezdted begépelni a kártyaszámodat, karakterenként, valós időben küldte is ki az adatokat a csalóknak. Ha meggondoltad magad a fizetés gomb előtt, már akkor is késő volt.

Emellett egy másik kód is futott, ami IP-cím alapján szűrte a látogatókat: a biztonsági kutatókat vagy a Google botjait azonnal egy hibaoldalra irányította, hogy elkerüljék a lebukást.

Folyamatosan futó szkript.

Nem kattintottam semmire. Gyorsan utánajártam a technikai háttérnek, lekérdeztem a domain és a szerver adatait. Ezután elindítottam a bejelentéseket: összesen bő fél tucat helyre küldtem el a részleteket. Ment e-mail a szolgáltatóknak, töltöttem ki hivatalos visszaélés-bejelentő formokat, és természetesen az MVM dedikált címére is írtam. Ehhez egy Proton e-mailt használtam, ami semmilyen személyes adatot nem tartalmaz.

Tipp: ha visszaélést jelentesz, vedd figyelembe, hogy egyes szolgáltatók a bejelentés részleteit (például a bejelentő e-mail címét vagy az e-mail fejlécét) továbbíthatják a domain/host üzemeltetőjének. Ha az oldal rosszindulatú szereplőhöz kötődik, ez kockázatot jelenthet - ezért célszerű csak a gyanús URL-t és rövid leírást küldeni, vagy alias/ideiglenes e-mailt használni.

Másnap az oldal már nem volt elérhető.

Az oldal megszűnt létezni.

Azért írom ezt le, mert akik értünk az IT-hoz, azoknak kötelességük szólni. De nem kell fejlesztőnek lenned ahhoz, hogy megvédd magad.

Íme 3 dolog, amit bárki megtehet, ha gyanús üzenetet kap:

1. Használd a Mesterséges Intelligenciát: Ha kapsz egy furcsa SMS-t vagy e-mailt, másold be a szövegét a ChatGPT-be vagy a Geminibe ezzel a kéréssel: "Kaptam egy ilyen üzenetet. Elemezd kérlek, hogy mik az intő jelek, amik adathalászatra utalnak!" Az AI másodpercek alatt szétszedi neked, ha csalásról van szó.
2. Ellenőrizd a linket kattintás nélkül: Másold ki a kapott linket (anélkül, hogy megnyitnád), és illeszd be a www.virustotal.com/gui/home/url oldalra. Ez egy ingyenes eszköz, ami tucatnyi vírusirtó és biztonsági adatbázis alapján megmondja, ha a link kártékony.
3. Jelents te is (egyszerűen): Ha a Google böngészőjét használod, a safebrowsing.google.com/safebrowsing/report_phish oldalon három kattintással jelentheted az adathalász linkeket, de a magyar Nemzeti Kibervédelmi Intézet (nki.gov.hu) oldalán is megteheted ugyanezt.

Ha te is látsz ilyesmit: ne csak görgess tovább, és ne csak töröld. Cselekedj, jelentsd be, vagy legalább oszd meg az információt a szeretteiddel. Így sokkal gyorsabban kihúzhatjuk a talajt a csalók alól.