November 20-án, vasárnap kezdődött a labdarúgó-világbajnokság Katarban. A világ legnagyobb figyelmet vonzó sporteseményét az internetes bűnözők és adathalászok is kihasználják: személyes adatokat lopnak el, és pénzt csalnak ki áldozataikból – hívja fel a figyelmet az ESET kiberbiztonsági vállalat.
A csalások egyik bevált fajtája, hogy a bűnözők elhitetik az áldozatokkal, hogy készpénzt, jegyet vagy olyan ellátást is tartalmazó csomagot nyertek, amely személyes részvételt tesz lehetővé egy mérkőzésen. A valódi szándékuk viszont az, hogy rávegyék az áldozatokat a személyes adataik átadására, pénz előre utalására vagy rosszindulatú szoftverek letöltésére és telepítésére.
A vállalat több olyan globális adathalász akciót azonosított, amelyek megpróbálják elhitetni az emberekkel, hogy kisorsolták őket egy nyereményjáték során, és a nyereményük átvételéhez nem kell mást tenniük, mint kitölteni néhány mezőt egy űrlapon, megadva a teljes nevüket, születési dátumukat és telefonszámukat. Az e-mailes mellékletként érkezett nyereményről szóló értesítés általában tartalmazza egy állítólagos kapcsolattartó nevét, aki segít a nyeremény átvételében. Ez a személy pedig azzal keresi fel az áldozatot, hogy mielőtt ténylegesen megkapná a nyereményét, fizessen be előzetesen valamilyen adót vagy díjat.
Kapcsolódó tartalom
Amint az utalás megtörtént, a támadók elérték céljukat: a pénz mellett személyes adatok birtokába jutottak, amelyekkel később további csalásokat hajthatnak végre vagy eladhatják az adatokat más kiberbűnözőknek.
A szakértők egy másik adathalász e-mailre is felhívják a figyelmet: a levélbe ágyazott képen egy „kattintson ide” ikon szerepel, amely azt ígéri, hogy egy klikk után már igényelhetik is jegyüket a szurkolók a mérkőzésére.
A valóság ezzel szemben az, hogy a kattintás után egy olyan felületre kerül az érdeklődő, ahol személyes adatokat kérnek vagy elindul a rosszindulatú tartalom letöltése a számítógépre vagy a mobiltelefonra.
Felhívták a figyelmet arra is, hogy az adathalász csalások egyik leginkább meggyőző és veszélyes változata, ha olyan rosszindulatú hasonmás weboldalra téved valaki, amely valódinak tűnik. Az ide vezető linkeket spam e-mailekben, hamis közösségi profilokon keresztül vagy fórumbejegyzésekben terjesztik. Függetlenül attól, hogy ezek a weboldalak valós felületeket másolnak le vagy sem,
céljuk hasonló: a személyes és pénzügyi adatok, bejelentkezési adatok, illetve egyéb érzékeny információk megszerzése, illetve kártékony szoftverek telepítése az áldozatok eszközeire.
A közlemény idézi Csizmazia-Darab Istvánt, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértőjét, aki elmondta, nagy eséllyel el lehet kerülni az átveréseket, ha néhány egyszerű szabályt betartanak az emberek. Az egyik ilyen, hogy nem nyerhettek a lottón, ha nem is játszottak. Ha pedig valaki ennek az ellenkezőjéről próbálja meggyőzni a felhasználót, nagy valószínűséggel be akarja csapni.
Kapcsolódó tartalom
Egy másik tanács szerint
senki ne fizessen előre azért, hogy valamilyen nyereményt megkapjon, mert ha előleget kérnek tőle valamiért cserébe, csak a pénzét akarják megszerezni.
Kellő óvatosággal megelőzhetők az adathalász támadások is, így például a felhasználó ne kattintson e-mailekben vagy más üzenetekben található linkekre vagy mellékletekre, hacsak nem biztos abban, hogy azok nem jelentenek veszélyt. Különösen igaz ez akkor, ha kéretlen üzenetekről van szó, amelyek a személyes, illetve banki adatokat kérik. A gyakori nyelvtani hibák, gyanús URL-címek, hiányzó vagy érvénytelen biztonsági tanúsítványok is jelei annak, hogy csalókkal áll szemben az internetező.
Fontos az is, hogy a felhasználó ne adjon ki személyes adatokat, illetve használjon erős, egyedi jelszavakat, és kétfaktoros hitelesítést minden fontos fiók esetében – áll a közleményben.