Emlékszel Hakapeszi Makira? A csoki imádó majomra, aki mindig kitalált valami fenemód vonzó találmányt, ami persze totális átverésnek bizonyult. De Hiszékeny úr elhitte. Mert el akarta hinni, hogy van működő szidásvágó varázsolló, bármit feledtető varázsradír, idő visszaállító óra meg a többi. A mai digitális átverések, közöttük is az adathalász (phishing) e-mailek egy jó része szintén azért működik, mert el akarjuk hinni, vagy úgy ránk ijesztenek egy kamu kijelentéssel, hogy ész nélkül ostobaságot csinálunk. És persze vannak a tökéletesre csiszolt, művészi átverések is, ám szerencsére ezek a ritkábbak. Következzen néhány történet a phishingről, amiket már egy tíz-tizenkét évesnek is el lehet mesélni.
Mi a phishing? Adathalászatnak (angolul phishingnek) nevezzük, amikor e-mailben vagy üzenetben olyan csaló oldalakra navigálnak bennünket, ahol adatokat (jelszavakat, bankkártya adatokat, személyes adatokat) próbálnak megszerezni tőlünk, esetleg közvetlenül fizetésre szólítanak fel. A phishing legtöbbször pénzügyi adatok megszerzésére irányul. Az üzenetek és az oldal, ahova irányítanak minket, gyakran valamelyik nagy és ismert cég hivatalos oldalaként tünteti fel magát, de persze nem az. A kamu oldal felhasználói felülete első pillantásra sokszor megegyezik a valódival, ám egyetlen célja, hogy megszerezze az adatainkat. Ha alaposan megnézzük az üzeneteket és az üzenetben szereplő url-eket, felismerhetjük az adathalász leveleket. Leghatékonyabban pedig úgy tudunk ellenük védekezni, hogy linkre kattintás nélkül töröljük ezeket az üzeneteket.
Néhány éve, amikor a lányom ötödikes- hatodikos volt, virágzottak a kéretlen "nyereményjátékos" sms-ek és felhívások. „Nyertél egy iPhonet! Már csak annyit kell tenned, hogy megadod a bankkártya adataidat és már küldjük is.” 11 évesen lelkesen küldte volna a kapott kódot sms-ben, de szerencsére előbb megkérdezett. Mára már kézenfekvő, hogy tapasztalaton kívül semmit sem lehet nyerni az ilyeneken: szinte már nem is kell magyarázni, hogy miért nyernél egy olyan nyereményjátékban, amibe nem is jelentkeztél, vagy egy nyeremény átvételéhez miért kellene megadni a bankkártya adatokat. Felnőtt fejjel ezek egyértelműen kamu üzenetek, ám az internet világával frissen ismerkedő fiataloknak és időseknek érdemes erre felhívni a figyelmüket, mert az ehhez hasonló üzenetek még mindig keringenek, igaz most már inkább a közösségi médiában.
Első pillanatban én is megijedtem, amikor egy ilyen felütéssel e-mail landolt a fiókomban. Az állt benne, hogy megszerezték a gépem adatait, felvételt készítettek a kamerámmal, belépőkódokat szereztek, tudják milyen helyekre látogattam, milyen filmeket néztem. Először itt fogtam gyanút, mert a levél a munkahelyi gépemre és e-mailemre érkezett, azon pedig nem szoktam filmet nézni. A levél szerint, ha a mellékelt QR kódra kattintok, megnézhetem, pontosan mi van a birtokukban, és aminek tárolásáról mindössze hatszáz dollárnyi bitcoinért nagy kegyesen lemondanak. Persze, nem kattintottam semmire (pont a QR kód indított volna valós támadás és kártékony kódot- „Hakapeszi, ha kap, eszi...”), majd a céges rendszergazdával közösen tiltottuk le a feladót. Ettől függetlenül a „kedves” üzenetet még kétszer újra megkaptam, változatlan szöveggel - így már nem volt nehéz megállapítani, hogy mindet robot küldte.
Néha hálát adhat az ember a viszonylagos nyelvi elszigeteltségnek. Míg a legtöbb világnyelven a gépi fordítók már egész tisztességes munkát végeznek, magyarul általában szemet szúr a szöveg hibás fogalmazása, még az e-mailt "hivatalosnak" tekintő nagymamák is rájöhetnek, ha figyelmesen végigolvassák. Szerencsénkre a hazai bankok nevében jelentkező, nyelvtanilag botladozó felhívások ritkán érnek célba, amikor a belépőkódjainkat firtatják - de sajnos készülhetünk, hogy a mesterséges intelligencia hamarosan már közel hibátlan leveleket tud majd írni magyarul is. De a legfőbb szabály ugyanaz marad: bank nem kér e-mailben jelszót és belépőkódokat. (Sőt, gyakran maga figyelmeztet az efféle átverésekre.) A „phishing” egyik legtipikusabb módszere a hamis weblinkek használata mellett, hogy egyszerűen elkérik a felhasználó nevet és jelszót.
Egyre több szolgáltatásra fizetünk elő. Van Dropboxunk, van Steam fiókunk, e-mail fiókunk, netbankunk, víruskereső előfizetésünk és sok minden más is - ez adja az alkalmat a csalóknak, hogy a valós címet eltérítve arra kér minket, azonnal, AZONNAL újítsuk meg a szolgáltatást, különben oda a vírusvédelem, a feltöltött fényképeink, az elmentett játékmenet vagy bármi más. Ha lépre megyünk, akkor esetleg tényleg eltűnnek ezek - vagy a jelszavainkat vehetik meg pár dollárért a sötét net valamelyik zugában, hogy a nevünkben vígan használják a tárterületet, a fotókat vagy kedvelt játékainkat – legrosszabb esetben a bankszámlánk tartalmát.
A fenti átveréshez hasonlóan a hamis webcímek játsszák a főszerepet ott is, ahol például megszokott webboltunk helyett egy csaló fogad, aki persze, készséggel felveszi a rendelést, valamint a kártyánk adatait is, hogy a pénzzel lelépjen mindennemű szolgáltatás nélkül. Az itthoni boltok talán kevésbé vannak szem előtt, de a nagy, nemzetközi szolgáltatók oldalait (és az ismertebb bankok netes oldalait) folyamatosan támadják, ezért érdemes újra és újra meggyőződni, oda tértünk be, ahova valóban indultunk.
„Jesszusmária, mit rendeltél, fiam?”- pánikolhatunk első pillantásra, amikor „Számlalevél” tárgyú e-mailt kapunk. Bár neten rendelni ma már tényleg tudnak akár a nyolcévesek is, a teljesen ismeretlen feladótól érkező számla vagy fizetési felszólítás nagy valószínűséggel hamis, a csalók abban bíznak, hogy ahová nagyszámú valós számla érkezik, a hamisat is automatikusan iktatják és fizetik, ha kellően hivatalosnak látszik. Magánszemélynek, kis-és nagyvállalkozásnak is tanácsos minden egyes számlát összevetni a valós rendelésekkel – sőt, még azok egy részét is le lehet mondani, ha nem az, nem annyi és amúgy sem érkezett meg a kért határidőre.
Rossz lelkiismeretünkre apellál a következő csalásfajta, amely valamelyik kormányszervnek álcázza magát, aki "lebuktat" a vélt adócsalásért, illegális letöltésért, törvénybe ütköző tartalom birtoklásáért vagy terjesztéséért. Ha esetleg vaj lenne a fejünkön, első ijedtségünkben még akár komolyan is vehetjük a zsarolást, hogy némi pénz ellenében ejtenék a vádat, de aztán marad a józan ész: szó sincs arról, hogy a valódi rendőrség, valódi adóhivatal, valódi szerzői jogi szervezet ilyesféle alkukba menne bele. Akkor könnyű az efféle csapdát kikerülni, ha valóban nincsenek efféle kihágásaink se online, se máshogyan.
Magyarországon egyelőre csak telefonon hívják rá a gyanútlan nagyikra a frászt, hogy az unoka mondjuk balesetet okozott és sürgősen pénzre van szüksége - a tengerentúlon ennek már létezik olyan változata, ahol e-mailben vagy chaten kérnek efféle segítséget a bajba jutott családtag nevében. Van, aki nehezen győzi le ilyen helyzetben a pánikot és azonnal mondja a kért bankkártya adatokat - pedig a pánik a legrosszabb tanácsadó.
Vaskos számlát kaphat, aki idegen, fura országkóddal kezdődő számot hív vissza, ha hirtelen megcsörren a telefonja, majd abbamarad a hívás. A tengerentúli változatban a hívó esetleg arra utasítja a hívottat, hogy különféle kódokat ütögessen be (mondjuk egy szolgáltató nevében), ami szintén súlyos pénzekbe kerülhet a gyanútlan "Hiszékeny úrnak". Ha nem külkereskedünk egzotikus, távoli országokkal, ne igyekezzünk annyira visszahívni onnan senkit.
A Google játékos kvízét, amiben a hasonló átverések felismerésének képességét mérhetjük le, leginkább az angolul jól tudóknak ajánlhatjuk. Első nekifutásra én 6 kérdésre válaszoltam helyesen a 8-ból, azzal pl. nem tudtam mit kezdeni, hogy a PDF dokumentum is tartalmazhat kártékony kódot. A tizenöt éves lányom viszont rengeteget fejlődött az ötödikes korában majdnem beküldött "nyereményjáték" óta: már csak egy kérdésre nem sikerült helyes választ adnia, amibe azért a magyar környezetben talán kicsit idegen szituációk iránt érzett gyanakvása is belejátszott. Ha a nagyobbacska gyerek tud már elég jól angolul, érdemes kipróbálni a tesztet!