Találtam egy adathalász oldalt, ami aktívan lopta az emberek bankkártya adatait.

Kaptam egy SMS-t, hogy fizessem be az MVM számlámat. Többször találkoztam már ilyen üzenettel. Általában nem foglalkozom vele és törlöm, de most kíváncsi voltam, mennyire profi a csapda, és hogyan próbálják megvezetni az embereket.

SMS a csalóktól.

Soha nem kattintok éles környezetből gyanús linkre. Ezúttal egy izolált, védett környezetet használtam, ahol nincs hozzáférés semmilyen személyes adatomhoz, és az IP-cím sem az enyém. Ez a megközelítés lehetővé teszi, hogy biztonságosan lássam, mi történik „a színfalak mögött”.

Az oldal 1/1 ugyanúgy nézett ki, mint az eredeti számlabefizetés kezelőfelület, ahogy általában ez lenni szokott az ilyen fajta csalásoknál (névszerint phising, adathalászat - célja az adataid kinyerése → sokszor egy tökéletes másolat az eredeti weboldalról). Ugyanaz a logó, ugyanaz a favicon, és a böngésző maga még csak nem is figyelmeztetett. SSL biztonsági tanusítvánnyal is rendelkeztek.

Az adathalász oldal kinézete.

Sokszor a csalók nem is nagyon bajlódnak a nyomok eltüntetésével. Olyan rengeteg ilyen oldalt hoznak létre nap mint nap, hogy egyszerűen nem éri meg nekik a fáradságot, és sajnos így is rengetegen beleesnek a csapdába. Bár a laikus szemnek a felület talán teljesen hitelesnek tűnik, ha az ember egy picit a színfalak mögé néz, rögtön kibukik a valóság. Nekem a böngésző fejlesztői konzolján akadt meg a szemem valamin, amit egy átlagfelhasználó jó eséllyel sosem venne észre: egy folyamatosan futó szkript volt látható, ami meg sem várta a kattintást a küldés gombra, a leütés után azonnal küldte is ki a bankkártya-adatokat. Karakterenként.

Folyamatosan futó szkript.

Nem kattintottam semmire, nem is kellett.

Mivel rutinosabban mozgok ebben a világban, gyorsan utánajártam a technikai hátttérnek is. Ellenőriztem a domain regisztrációs adatait, a szolgáltatót, a regisztert és a DNS-szervereket - ezek bárki számára publikusan elérhető információk, ha tudja, hol keresse őket.

Ezt követően legalább hat-hét helyen tettem bejelentést. Ehhez egy Proton e-mail-címet használtam, ami nemcsak biztonságosabb a Gmailnél, de semmilyen személyes adatot nem igényel. Ez kritikus szempont, ugyanis a visszaélések bejelentésekor a szolgáltatók néha továbbítják a panaszt a domain tulajdonosának – azaz jelen esetben magának a csalónak, így nem szerettem volna, ha az adataim náluk kötnek ki. Végül az MVM dedikált visszaélés-bejelentő címére is elküldtem a részleteket.

Másnap az oldal már nem volt elérhető.

Az oldal megszűnt létezni.

Nem azért írom le mindezt, hogy hősködjek.

Azért írom, mert a mai világban brutálisan könnyű átverni az embereket, főleg az idősebbeket, akik nem tudják, mi az a konzol, és miért gyanús, ha bejelentkezés nélkül kérnek tőlük egy fizetési tranzakciót.

Mi, akik értjük ezt, kötelességünknek érezzük, hogy szóljunk. Nem kell ehhez nagy szaktudás. Csak figyelem, és egy bejelentés.

Ha te is látsz ilyesmit: ne csak görgess tovább. Cselekedj. Így sokkal hamarabb és gyorsabban megelőzhetünk további csalásokat.