Egy ártatlannak tűnő rendszerüzenet, egy megszokott logó, és egyetlen rutinszerű kattintás. Ennyi választja el most a gyanútlan magyar felhasználókat attól, hogy percek alatt lenullázzák a bankszámlájukat. A kiberbűnözők szintet léptek: az új Ügyfélkapu-csalás nemcsak megtévesztő, de pszichológiailag is olyan profin felépített, hogy még az óvatosabbakat is lépre csalhatja.
Mikor kapott utoljára értesítést a tárhelyére? Valószínűleg nemrég. Megszoktuk, hogy a Nemzeti Adó- és Vámhivatal (NAV), a kormányhivatalok vagy épp az egészségügy digitálisan kommunikál velünk. Rutinná vált. Látjuk az e-mailt, látjuk a tárgyat – „Értesítés dokumentum érkezéséről” –, és a reflexeink működésbe lépnek. Kattintunk, belépünk, ügyintézünk.
Pontosan erre a tudatalatti automatizmusra épít az a brutális gyorsasággal terjedő csalássorozat, amelyre az elmúlt 24 órában több pénzintézet és kiberbiztonsági szakértő is figyelmeztetett. Ezúttal nem a „nigériai herceg” ír tört magyarsággal, és nem is egy gyanús csomagküldő szolgálat kér 400 forintot. Ez a támadás professzionális, célzott és könyörtelen.
A Pénzcentrum és a Portfolio legfrissebb információi szerint a csalók az Ügyfélkapu (illetve az új KAÜ-azonosítási rendszer) felületét klónozták le hátborzongató pontossággal. A célpontok olyan e-maileket vagy SMS-eket kapnak, amelyek vizuálisan megkülönböztethetetlenek a hivatalos állami értesítésektől. Nincsenek benne zavaró helyesírási hibák, a betűtípus stimmel, a logók a helyükön vannak. Az üzenet tartalma pedig mindig valami sürgető, de hihető adminisztrációs teendő: adóvisszatérítés, elmaradt befizetés rendezése, vagy egy fontos, határidős hivatalos irat átvétele.
A veszély mértékét jelzi, hogy a támadók nem érik be a belépési adatok ellopásával. A folyamat végén a gyanútlan áldozat szeme láttára, valós időben ürítik ki a bankszámlákat, kihasználva a modern banki rendszerek azonnali átutalási lehetőségeit.
A pszichológiai hadviselés itt a kulcs: a félelemkeltés (bírságtól való rettegés) vagy a nyereségvágy (adóvisszatérítés ígérete) kikapcsolja a kritikus gondolkodást. Amikor az ember azt olvassa, hogy „Sürgős: Végrehajtás előtti értesítés”, nem a URL-címet kezdi el elemezni, hanem a megoldást keresi. És a csalók tálcán kínálják a megoldást: „Kattintson ide a rendezéshez.”
Ez a csapda azonban sokkal mélyebb, mint gondolnánk. A háttérben nem amatőr hackerek, hanem szervezett bűnözői csoportok állnak, akik ipari méretekben dolgozzák fel a hiszékeny felhasználókat. De hogyan lehetséges, hogy még a kétfaktoros hitelesítésen is átjutnak? Miért nem védenek meg a banki biztonsági rendszerek? A következő oldalon részletesen elemezzük a csalás mechanizmusát, és bemutatjuk azt a technológiai trükköt, amivel a bűnözők gyakorlatilag „kicsavarják” a kezünkből a bankkártyánkat.