JÁMBOR TÓTH KOLLÁTH Ügyvédi Iroda

Ezeknek a csalásoknak megszámlálhatatlan fajtájuk van, viszont kiemelendően fontosnak tartjuk, hogy a különböző típusú, a kibertérben belüli megtévesztésekre és a bennük rejlő potenciális veszélyre felhívjuk a minél szélesebb körű figyelmet. Ebben a cikkünkben az internetes csalásokkal fogunk foglalkozni, gyűjtőfogalmukat használva: az adathalászattal.

AZ ADATHALÁSZAT - MI AZ?

Az adathalászat (angolul: phising) egy olyan internetes csalást takar magában, mely a célszemélynek valamilyen érzékeny információjának az ellopására irányul, mint például jelszavak, banki adatok (ezek közül a leggyakoribbak a bankszámlaszám és a bankkártya adatai), melyet rendszerint eladási célra kíván az adathalász (angolul: phiser) felhasználni.

A számítástechnika fejlődésével többféle alakot öltött az adathalászás. Minden típus elkülöníthető egymástól különböző jellemzők alapján, mint például mit “támadnak”, mit igyekeznek megszerezni a leendő áldozattól, illetve milyen módon kívánják ezt megvalósítani. A megfelelő védekezés érdekében kiemelt fontosságú, hogy ezeket a típusokat különböző ismérveik alapján beazonosítsuk.

AZ ADATHALÁSZAT TÍPUSAI - MIRE FIGYELJÜNK?

A legelterjedtebb és egyik legjobban felismerhető típus az email-alapú halászat. Múltját tekintve már az 1990-es évektől jelen van, ez nevezhető az adathalászat legelső megnyilvánulási formájának. Ha email-alapú adathalászatról beszélünk, a támadás elektronikus levél alakját öltve érkezik a támadott félhez, melyben a célszemély személyes adatait akarja a csaló valahogyan megszerezni. Tartalmát tekintve nehéz kategorizálni, hiszen a személyes adatok illetéktelen lekérésének témája és tárgya minden egyes email esetében más és más, nincs két ugyanolyan levél. Gyakori, hogy arról informálja az email a kiszemeltet, hogy az email-címéhez tartozó egyik fiókja kompromittálódott, ezért sürgős lépéseket kell tennie a fiók helyreállítása érdekében. Az ezen típusú adathalászat kiemelendő jellemzője, hogy a csaló levél egy linket is tartalmazhat, melyre ha a felhasználó rákattint, átirányítja egy - hol megtévesztően jól dizájnolt, hol gyanúsan furcsán kinéző - másik weboldalra, mely kötelezi a felhasználót adatainak kiadására. Ennél a típusnál előfordulhat, hogy a megfogalmazás nem annyira szofisztikált. A mondatok tele vannak nyelvtani hibákkal, mint például a vessző helytelen használata vagy a mondatzáró pontok hiánya. A nyelvi megfogalmazása a levélnek továbbá nem feltétlenül tükrözi a magyar nyelvezetet, sokkal inkább hasonlít egy másik nyelvre, melyet tükörfordítással hanyag módon átfordítottak magyarra.

A “szigonyozás” (angolul: spear phishing) egy újabb említésre méltó típusa az adathalászatnak. Ilyenkor rendszerint nem magánszemélyeket vesznek célba az adathalászok, hanem embercsoportokat és szervezeteket, amik kisebb-nagyobb pénzügyi folyamatok vezénylését végzik, illetve ezen folyamatokért felelős felsővezetők is áldozatául eshetnek. Rendszerint cégek, bankok, civilszervezetek tartoznak a szigonyozás fő célpontjai közé, ezért ezeknek a szervezeteknek kiemelten fontos, hogy figyelemmel legyenek az ilyesfajta csapásokra. Bevett taktika a személyeskedés is: az adathalászok a célpontról előzetesen begyűjtenek személyes jellegű információkat - melyek az áldozat magánéletéhez tartoznak elsősorban - és ezek birtokában zsarolják meg az illetőt. A zsarolás leginkább egy vállalatnál vezető beosztású személy felé irányul, mely lehet akár fenyegető, manipuláló, és félrevezető is.

A “bálnavadászat” (angolul: whaling) a fentebb említett szigonyozás egy továbbfejlesztett változata. Nevéből eredően, a “nagy bálnák” a fő célpontjai, metaforikus értelemben olyan személyekre irányul, akik különleges és nagy mértékű befolyással rendelkeznek. Ezek az emberek főszabály szerint multinacionális vállalatok vezérigazgatói és celebek, viszont idővel kitágult a célszemélyek köre és akár politikusok, feltalálók, illetve influencerek és modellek is áldozatokká válhatnak. Módszertanában nem különbözik az előzőektől, ugyanúgy alkalmazzák a bálnavadászok a személyeskedés és zsarolás technikáit. A támadás formája viszont úgy van kialakítva, hogy az a célpont figyelmét minél jobban felkeltse, tekintettel arra a tényre, hogy ezek az emberek alaposan megszűrik az ő hozzájuk címzett e-maileket és üzeneteket. Ilyen lehet például egy bírósági idézés, vagy akár egy hamisított végzés az adott személy cégének megszüntetéséről. A bálnavadászat esetében különösen gyakoriak a jogi célzatú támadások, mivel pszichológiailag egy jogi témájú probléma tudja felkelteni a legjobban a figyelmét ezeknek a felsővezetőknek.

A következő típus, melyről szót kell ejtenünk, a hangalapú támadás vagy telefonos csalás (“vishing”: a “phising” és a “voice”, mint hang ötvözete). A célja változatlanul a személyes vagy érzékeny adatok kihalászása, viszont ez egy telefonos hívás során megy végbe. Az áldozat minél hatékonyabb megtévesztésére törekszik leginkább a csaló: minden egyes esetben hazudik valódi kilétéről. Minden esetben próbálja meggyőzni a célpontot arról, hogy a fontos adatok önként történő kiadása a célszemély érdekében álljon, érdekeihez fűződjön. Gyakran mutatja be magát egy ügyintézőnek, aki előzetes kutakodás után pont ahhoz a szervhez tartozik (például bank, telekommunikációs vállalat, mobil szolgáltató), amelynek ügyfele az áldozat. Felhívhatja a banktól, azt hazudva, hogy az ügyfél bankszámlájának adatai nyilvánossá váltak, és a további adatszivárgás elkerülése érdekében adjon meg további adatokat a feltételezett csalás megoldása végett. A célpont kaphat egy telefonos hívást egy olyan számról, melyet a hívó fél a hitelesség és a helyzet súlyossága miatt titkosított, majd a telefonáló megfenyegeti a tudatlan áldozatot, hogy egy jelentős pénzösszeg ellenében szabadon engedi elrabolt rokonát/rokonait. Rendszerint idős emberek esnek áldozatául ezeknek a hívásoknak, mivel az ő generációjuk van leginkább kitéve a technológia fejlődésével hozott új kihívásoknak, illetve a csalók szerint ők a leginkább labilisak érzelmileg, pláne ha családtagjaikról van szó. A hívószám titkosítása azt a célt is szolgálja, hogy ne lehessen lekövetni/lenyomozni az adathalászt, függetlenül a próbálkozása sikerétől vagy sikertelenségétől, elkerülve az esetleges büntetőjogi felelősségre vonást és a lebukást. Természetesen az előbbiekben kifejtett technikák, mint például a pszichológiai manipuláció és az érzelmi zsarolás ugyanúgy jelen vannak, de vannak specifikus módszerek is, melyek ehhez a csalástípushoz tartoznak. Ilyen például a hívószám-hamisítás (angolul: “spoofing”), mellyel tökéletesen lemásolhatják az adott intézmény máshol is feltüntetett telefonszámát, növelve hitelességüket. A váróhívással (angolul: wardialing) egyszerre nagy mennyiségű telefonszám elérésére képesek automatikus tárcsázás útján. A telefonos csalások néhány függetlenebb felületen is jelen vannak már, mint például a WhatsApp, vagy a Viber. Ilyen felületekre való regisztráláskor fontos szem előtt tartani, hogy a telefonszámunk bárki számára elérhetővé válhat, mivel az adott platform adatbázisában elraktározódik és így ügyes hackerek illetéktelen kezébe kerülhet egy komolyabb adatszivárgás fennállásakor.

A “smishing”, avagy az SMS-alapú adathalászat elnevezéséből adódóan olyan csalásfajta, amely szöveges üzenetek formájában zajlik le az adathalász és adatbirtokos között. A név a “phising” és az SMS szavak kombinációjából jött létre. Lényegét tekintve teljesen megegyezik az email-alapú adathalászattal, egyedül a felület különbözik a két adathalászat típus között. A csalók gyakran kihasználják azokat a szolgáltatásokat, amelyek szokás szerint SMS-en keresztül értesítik a felhasználókat, illetve szöveges üzeneteken keresztül kommunikálnak velük. Ilyen például az internetes rendelésről küldött visszaigazoló üzenet, egy nyereményjáték győztesének értesítése SMS-ben, vagy akár egy fiók regisztrálásához szükséges megerősítő linket tartalmazó üzenet.

JOGI MEGOLDÁSOK - MIT TEHETÜNK, KIHEZ FORDULHATUNK?

Mielőtt az adathalászat általi sérelmek orvoslására térnénk, fontos leszögeznünk, mely jelenleg hatályban lévő jogszabályok irányadóak Magyarországon.

Az adathalászat bűncselekményként történő kezelése elsősorban a Büntető Törvénykönyv (2012. évi C. törvény, Btk.) rendelkezésein alapul. A Btk. 375. §-a értelmében “aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.”

Az információs rendszer elleni bűncselekmények körében a Btk. 423. §-a az információs rendszer felhasználásával elkövetett csalást szabályozza: “aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.” Emellett a 219. § a személyes adattal való visszaélést szankcionálja, amely szintén alkalmazható az adathalász támadások kapcsán.

Az adatvédelmi jogi szabályozás keretében az Európai Unió Általános Adatvédelmi Rendelete (GDPR) is releváns, amely szigorú előírásokat tartalmaz az adatkezelők és adatfeldolgozók számára. A számunkra fontos rendelkezés adathalászat kapcsán a 32. cikk (1) bekezdése, amely az adatkezelők és adatfeldolgozók biztonsági kötelezettségeit írja elő: „Az adatkezelő és az adatfeldolgozó az adatkezelés biztonságának biztosítása érdekében megfelelő technikai és szervezési intézkedéseket hajt végre, figyelembe véve a technika állását, a megvalósítás költségeit, valamint az adatkezelés jellegét, terjedelmét, körülményeit és céljait, továbbá a természetes személyek jogaira és szabadságaira jelentett kockázatot.”

Ennek értelmében a vállalatoknak megfelelő védelmi intézkedéseket kell alkalmazniuk az adathalász támadások elkerülése érdekében, és ha ezt elmulasztják, akár súlyos bírságokra és egyéb szankciókra számíthatnak.

Ezen jogszabályi rendelkezések ismeretében most már ki tudunk térni az adathalászat által jelentett problémák orvoslásához alkalmazható jogi lehetőségekre, eszközökre:

A csalást rögvest jelenteni kell. Amennyiben valaki adathalászat áldozata lett, haladéktalanul jelenteni kell az esetet a hatóságok felé. Magyarországon a Nemzeti Kibervédelmi Intézet (NKI) foglalkozik kiberbűnözési esetekkel, emellett a rendőrséghez is lehet fordulni a helyi kapitányságon.

Amennyiben banki adatok kerültek veszélybe, az érintett bankkal vagy pénzintézettel azonnal fel kell venni a kapcsolatot. A legtöbb bank lehetőséget biztosít a kártya vagy számla ideiglenes zárolására, így minimalizálható a további kár.

Ha esetleg még nem került sor biztonsági intézkedések megtételére, akkor azonnal meg kell ejteni ezeket a lépéseket. Az érintett fiókok jelszavainak haladéktalan megváltoztatása, kétlépcsős azonosítás (two-factor authentication - 2FA) aktiválása, valamint az eszközök biztonsági ellenőrzése és vírusirtóval való átvizsgálása alapvető lépések lehetnek a károk enyhítésére. Ezekre érdemes akkor is sort keríteni, ha még nem történt kár, mert akár potenciális prevencióként szolgálhatnak.

Az áldozatok polgári jogi úton is érvényesíthetik igényeiket. Ha a csalás következtében anyagi kár keletkezett, akkor kártérítési igényt lehet benyújtani az elkövető ellen, amennyiben az beazonosítható. Egyes esetekben az adathalász támadásban érintett szolgáltatók is felelősséggel tartozhatnak, ha nem gondoskodtak megfelelő védelmi intézkedésekről.

Továbbá van lehetőség különböző hatóságok és szakértők bevonására is. Az adatvédelmi incidensek kivizsgálására a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) jogosult, amelyhez panasszal lehet fordulni, ha személyes adataink illetéktelen kezekbe kerültek. Emellett egy tapasztalt IT-biztonsági szakember, illetve jogász segítsége is hozzájárulhat a helyzet kezeléséhez.

Ügyvédi Irodánk rendszeresen foglalkozik olyan ügyekkel, amelyekben jóhiszemű magánszemélyek áldozatául estek adathalászati csalásoknak. Fiatal és tehetséges jogászaink adatvédelmi jogi kérdésekben és kibertámadásokkal kapcsolatos jogi megoldásokban szakértői támogatást és tanácsokat nyújtanak. Amennyiben szenvedett már el kárt Ön adathalászat által, forduljon bizalommal tapasztalt ügyvédjeinkhez, akik örömmel segítenek Önnek a hatékony jogérvényesítésben.

KITEKINTÉS - ADATHALÁSZAT A VINTED FELÜLETÉN

Az adathalászat nem csupán a banki szolgáltatásokat vagy a közösségi médiát érinti, hanem egyre gyakrabban fordul elő online piactereken is. Az egyik legújabb célpont a Vinted, amely népszerűsége miatt különösen vonzó a csalók számára.

A Vinted egy egyre népszerűbb online piactér, ahol magánszemélyek adhatnak el és vásárolhatnak ruhákat, cipőket és kiegészítőket. Az utóbbi időben azonban egyre több felhasználó számolt be arról, hogy adathalász csalás áldozata lett a platformon. A csalók kifinomult módszerekkel próbálják megszerezni a gyanútlan felhasználók személyes és banki adatait, gyakran azzal a trükkel, hogy hamis fizetési linkeket küldenek vagy hivatalosnak tűnő üzenetekkel próbálják rávenni őket adataik megadására.

Az egyik leggyakoribb módszer, hogy az eladónak egy üzenetet küldenek, amelyben azt állítják, hogy a vételárat már kifizették, de az összeg felszabadításához meg kell adniuk banki adataikat egy külső oldalon. Más esetekben a vásárlókat próbálják becsapni azzal, hogy egy hamis Vinted-felületre irányítják őket, ahol az állítólagos fizetéshez el kell menteniük bankkártyájuk adatait. Ezek az oldalak gyakran a hivatalos platform tökéletes másolatai, így első pillantásra nehéz felismerni a csalást.

A hasonló visszaélések elkerülése érdekében érdemes néhány alapvető óvintézkedést betartani, melyeket már az előző bekezdésekben részleteztünk:

1. Csak a Vinted hivatalos felületén belül intézzük a fizetéseket és a kommunikációt. Ha valaki külső linket küld egy fizetés lebonyolítására, az nagy valószínűséggel csalás.
2. Ellenőrizzük az URL-t. A hamis oldalak címében gyakran van egy apró eltérés (pl. "vinted-secure.com" a hivatalos "vinted.com" helyett).
3. Ne osszunk meg banki adatokat vagy jelszavakat üzenetben. A Vinted soha nem kéri ezeket a felhasználóktól.
4. Figyeljünk a gyanúsan kedvező ajánlatokra. Ha valaki túl gyorsan akar vásárolni vagy irreálisan magas árat ajánl egy termékért, érdemes óvatosnak lenni.

VÉGSZÓ

Az adathalászat modern világunk egyik legelterjedtebb és legveszélyesebb online fenyegetése, amely folyamatosan fejlődik és egyre kifinomultabb módszerekkel támadja a gyanútlan felhasználókat. Ahhoz, hogy elkerüljük ezeket a csapdákat, elengedhetetlen a tudatosság és az alapvető kiberbiztonsági intézkedések betartása.

Legyen szó e-mailes, telefonos vagy egyéb típusú adathalászatról, a legjobb védekezés mindig a megelőzés. Ismeretlen feladóktól érkező gyanús üzenetek figyelmen kívül hagyása, azonosítóink és banki adataink védelme, valamint a kétlépcsős hitelesítés alkalmazása jelentősen csökkentheti a kockázatokat. Emellett, ha mégis áldozattá válunk, ne habozzunk azonnal jelenteni az esetet a hatóságoknak és az érintett szolgáltatóknak, illetve jogi útra terelni az ügyet.

A jogi védelem kulcsfontosságú az adathalászat elleni küzdelemben. Ha valaha is úgy érzi Ön, hogy áldozattá vált, ne habozzon jogi segítséget kérni. Ügyvédi Irodánk minden lépésnél segít Önnek, hogy jogait megvédje és megkapja a megfelelő kompenzációt.

A digitalizáció világában a kiberbiztonság többé nem csupán technikai kérdés, hanem mindannyiunk közös felelőssége. Egy kis odafigyeléssel és elővigyázatossággal nagyban hozzájárulhatunk saját és mások adatainak védelméhez.

Szerző: Répássy Csanád