​A bankkártya adatok jelentős értéket képviselnek a kiberbűnözők számára, akik serényen gyűjtik is azokat.

A bűnüldöző szervek és a legtöbb felhasználó elől rejtett módon, az úgynevezett darkweben a kiberbűnözők nagy mennyiségű lopott adatot, valamint az ezek megszerzéséhez szükséges hackereszközöket adnak-vesznek. Feltételezések szerint jelenleg 24 milliárd illegálisan megszerzett felhasználónév és jelszó kering ezeken az oldalakon. A legkeresettebb adatok közé a kártyaadatok tartoznak, amelyeket a csalók nagy tételben vásárolnak, hogy aztán visszaéléseket kövessenek el.

Azokban az országokban, ahol Chip and PIN, másnéven EMV biztonsági rendszert vezettek be, nehéz a bűnözőknek az adatokat klónozott kártyákká alakítani. Ezért leggyakrabban online használják azokat, kártyát fizikailag nem igénylő támadásokhoz. Sokszor luxuscikkeket vásárolnak a lopott adatok segítségével vagy nagy mennyiségben vesznek ajándékutalványokat.

Az ESET kutatói összegyűjtötték azt az öt leggyakoribb módszert, amelyekkel a hackerek megkaparinthatják a bankkártya adatokat.

1. Adathalászat

Az adathalászat a kiberbűnözők egyik leggyakrabban alkalmazott adatlopási módszere. A legegyszerűbb trükk, amikor a hacker egy legitim szervezet (például bank vagy e-kereskedelmi cég) alkalmazottjának adja ki magát, hogy rávegye a felhasználót a személyes adatok megosztására vagy rosszindulatú szoftverek letöltésére. A támadók gyakorta arra ösztönzik az áldozataikat, hogy kattintsanak egy linkre vagy nyissanak meg egy csatolmányt. Ezáltal a felhasználó egy adathalász oldalra jut, ahol személyes és pénzügyi adatok megadására kérik.

Manapság előfordulhat, hogy e-mail helyett kártékony SMS-t kap az áldozat a hackertől, aki egy futárszolgálatnak, kormányhivatalnak vagy más megbízhatónak tűnő szervezetnek adja ki magát. Az SMS-ben történő adathalászattal (smishing) összefüggő esetek száma 2021-ben több mint kétszeresére emelkedett az azt megelőző évhez képest, míg a hangalapú adathalászatok (vishing) száma szintén jócskán megugrott.

2. Kártevő szoftverek

A vírusírók az évek során különböző típusú kártékony programokat fejlesztettek ki információlopásra. Ezek közül sok a billentyűleütéseket rögzíti – például amikor a kártyaadatokat gépeljük be egy webshopban vagy banki oldalon.

Gyakoriak az úgynevezett Drive-by-download típusú kártevő szoftverek, amelyek azonnal települnek az eszközökre, amint valaki meglátogat egy fertőzött weboldalt. Mindezek mellett az adatlopó szoftverek gyakran valódinak és megbízhatónak tűnő, de valójában rosszindulatú mobilalkalmazásokban is helyet kapnak.

3. Digitális “lefölözés”

Előfordulhat olyan eset is, amikor a hackerek kártékony szoftvereket telepítenek az e-kereskedelmi cégek fizetési oldalaira. Ezek láthatatlanok az áldozat számára, de képesek megszerezni a bankkártya adatokat azok beírásakor.

4. Adatsértések

Olykor a kártyaadatokat közvetlenül azoktól a vállalatoktól lopják el, amelyektől a felhasználók vásárolnak, legyen szó egészségügyi szolgáltatóról, webáruházról vagy utazási irodáról. A hackerek szempontjából ez egy “költséghatékony” módszer, mivel egyetlen támadással hatalmas adathalmazhoz juthatnak hozzá.

5. Nyilvános Wi-Fi

Utazás közben csábító lehet ingyenesen használni a világhálót a nyilvános Wi-Fi hotspotokon keresztül a repülőtereken, szállodákban, kávézókban és más közösségi terekben. Ezek a nyilvános hálózatok azonban – kiegészítő védelem nélkül – bizalmas adatok megadásakor vagy munkavégzéskor inkább kerülendőek.

Hogyan tartsuk biztonságban kártyaadatainkat?

• Soha ne válaszoljunk kéretlen e-mailekre, ne kattintsunk az azokban szereplő linkekre, és ne nyissuk meg az ilyen levelek csatolmányait.
• Ne osszunk meg információt idegenekkel, akkor sem, ha a beszélgetőpartner meggyőzőnek hangzik.
• Ne használjunk nyilvános WiFi hálózatot, különösen virtuális magánhálózat (VPN) nélkül.
• Ne mentsük el a kártyaadatokat online vásárlás során, még akkor sem, ha ezzel időt takarítanánk meg a későbbi tranzakciók esetében.
• Töltsünk le minden számítógépünkre és mobil eszközünkre kártékony programok és adathalászat elleni védelmet nyújtó biztonsági alkalmazást.
• Használjunk kétfaktoros hitelesítést a fiókjainknál.
• Csak megbízható helyről töltsünk le alkalmazásokat (Apple App Store, Google Play), és ekkor is megfontoltan, körültekintően járjunk el.
• Rendszeresen figyeljük az összes bank- és kártyaszámlánkat. Ha gyanús tranzakciót észlelünk, azonnal értesítsük a bankunkat.
• Használjunk netes vásárolásokra alkalmas internetes vagy virtuális kártyákat, amelyek mögött mindig csak a szükséges mennyiségű pénz található.

Forrás: Biztonságportál

Forrás: HVG

Elérkezett a fő nyaralószezon, ezért Szappanos Gábor, Sophos kiberbiztonsági szakértő megválaszolta a leggyakoribb utazással kapcsolatos kérdéseket, amelyek miatt az emberek aggódnak, ahelyett, hogy indulás előtt tájékozódnának róluk vagy egyáltalán nem gondolnak rájuk addig, amíg túl késő nem lesz.

1. kérdés: Készítsek biztonsági másolat indulás előtt?

1. válasz: Igen. Az a gyanúnk, hogy utazás közben nagyobb valószínűséggel veszíted el vagy rongálod meg a telefonod, laptopod (vagy ami még rosszabb, ellopják), mint otthoni vagy irodai munka közben. Jegyezd meg ezt az egyszerű, de hatékonyságra sarkalló Sophos mondást: “Az egyetlen biztonsági másolat, amelyet megbánhatsz az, amelyet nem készítettél el.”

Ha mindenről megbízható biztonsági másolat készítesz indulás előtt, akkor szabadon csökkentheted az eszközeidre feltöltött digitális tartalom mennyiségét, ezzel redukálva azon adatok mennyiségét, amelyeket esetleg be kell jelentened vagy be kell mutatnod a határátkelőnél. (Lásd a 3. kérdést.)

2. kérdés: Titkosítsam a laptopomat és a mobiltelefonomat?

2. válasz: Igen. A legtöbb modern mobiltelefon már előzetes titkosítással rendelkezik, de annak biztonsága függ a megfelelő zárkód meglététől, amelyet a mögöttes titkosító és visszafejtő kulcsok hozzáféréséhez használnak. Ne elégedj meg egy egyszerű biztonsági kóddal az utazáshoz, csak amiatt, hogy ha bajba kerülnél és azt gondolnád, hogy elfelejted.

Válassz egy szép, hosszú zárkódot (10 vagy annál több számjegyet ajánlunk és most nem olyasmire gondolunk, mint a 00000 vagy 12345 12345), és gyakorold rendszeresen a használatát néhány napig, mielőtt elindulnál, amíg könnyen vissza nem tudsz rá emlékezni!

3. kérdés: Kell aggódnom az országhatárok átlépése miatt?

3. válasz: Az aggodalom nem vezet eredményre. Ne aggódj, készülj fel!

Számos határellenőrzéssel rendelkező ország fenntartja magának a jogot arra, hogy a belépés feltételeként elektronikus eszközei zárolásának feloldását és a betekintést kérje. Egyes országok akár úgynevezett “forensic copy” (“törvényszéki másolat”) készítését kérhetik, amely azt jelenti, hogy minden szektort lemásolnak az eszközről, még olyan lemez szektorokat is, amelyek általad korábban törölt adatokat tartalmaznak. (Ez elég sokáig eltarthat, így egy 10 perces határátkelés többórás késéssel járhat.)

Bizonyos országokban nem csak az otthoni címedet és telefonszámodat kell megadni, hanem az e-mail címeidet és közösségi média elérhetőségeidet is.

Szinte biztos, hogy jogodban áll megtagadni az ilyen jellegű részletek átadását, de cserébe feltételezned kell, hogy az ország, amelynek területére be akarsz lépni, megtagadhatja tőled az engedélyt – “az én konyhám, az én szabályaim” helyzet egyik jellemző példája.Tehát készülj fel indulás előtt és ellenőrizd a belépési követelményeket minden olyan helyre nézve, amelyet meg szeretnél látogatni. Ha nem tetszenek a feltételek, akkor vagy ne menj oda vagy ne vidd magaddal az összes elektronikus eszközödet, vagy minden adatodat.

4. kérdés: Használhatom a publikus wifit, amikor úton vagyok?

4. válasz: Ha akarod. A nyilvános wifi veszélyeit gyakran eltúlozzák és javarészt elkerülhetők, ha ragaszkodsz a megfelelő titkosítással bíró alkalmazásokhoz és ha csak olyan weboldalakat használsz, amelyek URL-je https://-sel kezdődik, ami a “secure HTTP”, azaz “biztonságos HTTP” rövidítése. Ez kódolja az adatokat, mielőtt azok elhagynák a laptopodat vagy telefonodat és (elméletileg) csak azután alakítja vissza a kódolást, miután az adatok elérték a másik véget. A közöttük lévő számítógépek nem tudnak egyszerűen betekinteni vagy rejtve módosítani az oda-vissza haladó adatokat.

Ha azonban olyan szolgáltatásokhoz akarsz hozzáférni a felkeresett országban, amelyek speciális digitális tanúsítvány telepítését követelik meg (például “biztonsági vagy szabályozási okokból”), az azt jelenti, hogy a böngésző-tevékenységed biztosan lenyomozható, amíg ott tartózkodsz és még azután is kémkedhetnek utánad, hogy hazaértél.

Ha nem szereted a publikus wifi használatát, fontold meg egy feltölthető adatcsomaggal bíró helyi SIM-kártya vásárlását a látogatás idejére. De ne feledd, hogy a legtöbb ország megköveteli a telefonszolgáltatóktól, hogy rendelkezzenek úgynevezett törvényes lehallgatási lehetőségekkel, így a mobil adatcsomag nem “névtelen” csak azért, mert egy boltocskában vásároltál egy “eldobható”, “burner” SIM-kártyát.

5. kérdés: Használhatok kioszk számítógépeket a repülőtereken és hotelekben?

5. válasz: Ne. Nyomatékosan javasoljuk, hogy ne tedd, hacsak nem tudod elkerülni azt. (Ha elkerülhetetlen, limitáld a bejelentkezéseid számát és a felfedett adatok mennyiségét, amennyire csak lehetséges. Ha például egy hotel kioszk számítógépét kell használnod a beszállókártya kinyomtatásához, mielőtt elindulnál a reptérre, ne nézz rá közben a Facebook fiókodra is!)

A kioszk számítógépekkel nem csak az a baj, hogy bíznod kell az üzemeltető cégben, például a szálloda vagy a repülőtér működtetőjében és minden technikai dolgozóban, aki a szervízelésüket végzi, hanem mindenki másban is, aki korábban használta ezeket a kioszk PC-ket és módosíthatott valamit rajtuk. Egy meghackelt wifi hozzáférési ponttal szemben, amely csak (remélhetőleg titkosított) adatokat tud megtekinteni közted és a célállomás között, egy feltört kioszk számítógép korlátlan hozzáférést kap az általad küldött és fogadott összes adathoz a még titkosítás nélküli időintervallum alatt. Nyomon követhet minden billentyűleütést, képernyőképet készíthet minden végzett tevékenységről és pontos másolatot őrizhet meg mindenről, amit csak kinyomtatsz.

6. kérdés: Mi a helyzet a hotelszobákban és Airbnb-kben elhelyezett kémkamerákkal?

6. válasz: Ezt részben meg tudjuk válaszolni, de nem olyan egyszerűen és nem olyan pontossággal, mint amit valószínűleg szeretne az ember.

Sajnos a vendégek szobáiban elrejtett kémkamerák valós problémát jelentenek és a világjárványt megelőző 2019-es évben három különböző esetről is írtunk, amikor a vendégek kukkoló kamerákat találtak a szobáikban: egy ausztráliai farm dolgozói szállójában, egy írországi Airbnb házban és egy dél-koreai hotelben. (Örömmel tudatjuk, hogy az első és az utolsó esetben az elkövetőket letartóztatták és vádat emeltek ellenük.) Néha a rejtett kamerákat viszonylag könnyű észrevenni, ha gondosan átkutatod a szobát vagy szobákat. A kémkamerák azonban elég aprók lehetnek ahhoz, hogy szinte bárhol elrejtsék őket és nem mindig láthatóak az ingatlan nyilván wifi hálózatán.

Sajnos ez azt jelenti, hogy ha nem találsz kémkamerát, abból még nem következik, hogy nincs is.

Csak a következőket tudjuk tanácsolni:

• Keress nyilvánvaló rejtekhelyeket! Furcsán elhelyezett órák, dupla füstjelzők, olyan helyeken lévő elektronikus kütyük, ahol nincs rájuk szükség, szellőzőnyílásokba helyezett digitális eszközök nyomai és így tovább…
• Ha ilyesmit találsz, fényképezd le és fényképezd le az ingatlant is igazolásképpen, hogy nem okoztál olyan kárt, amelyeket az elkövető kifogásként vagy ellened felhozott vádként, “viszontkeresetként” használhatna fel!
• Tartsd magadon a ruháidat és ha teheted, hagyd el az ingatlant!
• Jelentsd az esetet a helyi rendőrségnek és a hotel főirodájának vagy a bérbeadónak!

A jelszavak vagy zárkódok begépelése közbeni felvétel rögzítésének csökkentése érdekében takard el a billentyűzetedet vagy a telefonod, amikor kritikus adatokat viszel be olyan helyen, amelyben nem teljesen bízol meg. Pont úgy, ahogy azt teszed (vagy tenned kéne), amikor bankautomatát vagy fizetési terminált használsz egy üzletben.

7. kérdés: Mi a teendő akkor, ha magammal szeretném vinni a munkahelyi laptopomat?

7. válasz: Mi nem tudjuk megválaszolni ezt a kérdést. Csak a munkahelyed tudja, így az egyszerű válasz ez: “Kérdezd meg!” Ha nemet mondanak, akkor ennyi. Hagyd hátra a gépet, akár a munkahelyeden elzárva.

Ha igent mondanak, valószínűleg megkérdezik, hová mész, majd tanácsokat adnak (vagy konkrét követelményeket) a választott úticélodhoz. Fogadd meg a tanácsaikat! Elvégre is, ha a cég úgy gondolja, az adatai extra kockázatnak lehetnek kitéve az általad meglátogatott országban, akkor szinte biztos, hogy a személyes adataid is extra kockázatnak vannak kitéve. Így a munkahelyi tanácsokat pozitívumként kezeld, ne akadályként!

Összefoglalva

Röviden: érezd jól magad, de

• ne vigyél magaddal több eszközt vagy adatot, mint amire szükséged van,
• indulás előtt tájékozódj az úticélodra érvényes adatvédelmi és felügyeleti szabályokról és
• légy tisztában a környezeteddel, amikor személyes adatokat adsz meg.

Emlékezz erre: Ha kételyeid vannak, ne adj ki semmit!

És: Ha az életed a telefonodon tárolod, miért nem hagyod inkább otthon?

Egy, a vakációdhoz még elegendő olcsó telefon vásárlása kevesebbe kerülhet, mint a tengerparti koktélok első köre, amelyekre alig vársz már a megérkezéskor…