Ferikém, utalj már át erre a számlára egymilliót! Köszi: Főnök. És Feri már utalja is, mert nem akar lusta alkalmazott lenni. Csak az a bibi, hogy a levelet nem a főnöke írta, és az egymillióval egy csaló tűnik el a szürke, digitális ködben.

Zsaroló- és egyéb vírusok, adathalász levelek, hackertámadások és adatlopások – ezektől volt hangos az elmúlt években a techmédia, és tény, hogy mindegyik módszer kifejezetten veszélyesnek számít még ma is. Viszont van egy olyan támadási forma, amelyről valamiért kevesebb szó esett a fentieknél, pedig például az FBI szerint ez okozta a legnagyobb anyagi kárt 2019-ben: ebben az évben 1,77 milliárd dollárt kerestek vele az élelmes bűnözők, és gyaníthatólag azóta is sokakat vernek át így. A módszer neve angolul Business Email Compromise, röviden BEC, magyarul pedig az eltereléses csalás névváltozat terjedt el. Mutatjuk, mi is ez, és miért kell innentől kezdve még saját anyukánktól érkező levelet is Columbo felügyelőt megszégyenítő gyanúval kezelnünk.

A bizalom a legnagyobb ellenség

Az eltereléses támadásokban az az igazán veszélyes, hogy a legtöbbször semmilyen szinten nem jelzi ki őket a gépünkre telepített biztonsági szoftver, vagy épp a céges védelmi rendszer. Nem vírusról, vagy valami egyéb trükkös kódról van ugyanis szó, hanem egy egyszerű e-mailről, amelyet úgy álcáznak a titokzatos küldők, mintha egy általunk ismert személytől érkezett volna. Ilyesmire már van lehetőség különféle szoftverekkel és webes szolgáltatásokkal – ilyenkor csak abban az esetben derül ki a turpisság, ha a levelezőszolgáltatásunk fel van készítve ilyesmire, vagy mi magunk gyanakodunk és ezért minden egyes levélnél jobban utánanézünk, ki bújik meg az ismerős név mögött.

A csalók a legtöbbször fontos pozíciókban dolgozó kollégák, vezetők címeit használják, de ugyanígy fedeztek már fel családtagok, vagy barátok nevében írogatókat is. A módszer minden esetben ugyanaz: a beérkező üzenet a bizalmunkra épít, eszerint a megfelelő ember kérésére minden további gyanakvás nélkül megteszünk bármit – akár pénzt is utalunk oda, ahová kérik.

Képzeljük csak el a bevezetőben vázolt esetet! A főnökünk ír, hogy azonnal intézzük el az utalást egy fontos partnernek. A küldő neve egyértelművé teszi (legalábbis számunkra), honnan kaptuk az utasítást, mi pedig nem akarunk késlekedni, hiszen a szövegben is szerepelt, hogy fontos és sürgős a dolog. Így hát a legtöbben bizony kérdés nélkül teljesítik a kérést, és akár csak napokkal később derül ki a csalás, amikor például boldogan újságoljuk a főnöknek, milyen gyorsan elutaltuk a pénzt, és jön a meglepett kérdés: milyen pénzt?

Hasonlóképpen az is a bizalom számlájára írható, hogy ha a beérkező levél mondjuk a testvérünktől vagy a gyerekünktől eredeztethető, és csak annyi van benne, hogy bocs, villámgyorsan át kéne utalni ennyit és ennyit egy bizonyos számlára, holnap már adom is vissza, csak nincs nálam a kártyám, és merül a telefonom – ha csak tízből egyvalaki dől be ilyesminek, az is bőven elég a csalók számára.

Amikor aztán valahogyan rájövünk arra, hogy a fenti esetekben bizony nem az kért tőlünk pénzt, akire gondoltunk, már késő cselekedni: a csalók ugyanis gondosan felépített számla-láncolatokat használnak, és az utalásaink már rég valamilyen harmadik világbeli banánköztársaság pénzintézeteiben pihennek lenyomozhatatlanul, vagy a dark web útbaejtésével valahol kriptopénzre váltották a csalók, amit megint csak lehetetlenség követni.

Macerás módszerek helyett kényelmes pénzpumpa

A szakértők szerint a BEC csalásokat nem új elkövetők számlájára kell írni, egyszerűen akadnak olyan tech-bűnözői csoportok, akik megelégelték azt, hogy egyre több munkát kell befektetni vírusok megírásába, majd a biztonsági megoldások miatt a kódok folyamatos átalakításába. Ilyen például az orosz Cosmic Lynx, amely korábban zsarolóvírusokkal és trójaikkal keserítette meg az emberek életét, de mára kényelmesebb módszert választottak. A korábbi, időigényes tevékenység helyett inkább készítenek néhány saját levelezőszervert, trükkös módszerekkel beszerzik az áldozatok (és munkatársaik, valamint ismerőseik) e-mail címeit, majd az előre megfogalmazott, esetleg hevenyészve lefordított üzeneteket valamilyen algoritmussal szabják személyre. A megszólításba automatizmusokkal behúzzák a célszemély keresztnevét, a címzésbe ugyanígy egy ismerősük neve kerül, és már megy is a levél a mit sem sejtő áldozathoz.

Ez a módszer persze hatalmas szórással dolgozik, hiszen az algoritmusok által küldözgetett levelek egy részét elkapják a jól trenírozott spamszűrők, és néha a nyelvezet buktathatja le a csalást, de az e-mailek milliói közül ha csak egy százaléknak sikerül az átverés, az is hatalmas károkat tud okozni. Jellemzően az FBI által jelzett, 1,77 milliárd dolláros évi összeg fényévekkel megelőzi az ugyancsak 2019-ben számolt, zsarolóvírusok által okozott károkat, amelyek “mindössze” 9 millió dollárra rúgnak.

Légy résen!

Az eltereléses csaláson alapuló leveleket tehát bizonyos esetekben nem kapja el sem a spamszűrő, sem egyéb biztonsági megoldás. Mit lehet ilyenkor tenni? A legegyszerűbb tanács talán az, amit az X-Akták főszereplője kapott már a sorozat elején: “Ne bízzon senkiben, Mr. Mulder”. Ez a gyakorlatban azt jelenti, hogy hagyjunk minden beérkező e-mail esetében pár másodpercet arra, hogy ellenőrizzük a valódiságát. Tudjuk, a mai üzleti világban a gyorsaság mindennél fontosabb, de egy sokszámjegyű utalást ne vegyünk készpénznek (micsoda képzavar!), egy gyors utánanézéstől nem dől össze a világ.

Egyrészt megtehetjük, hogy az e-mail küldőjénél megnyitjuk a kis lenyíló ablakot, amely további információt ad a levélről. Ha itt azt látjuk, hogy elvileg a küldő egy általunk ismert személy és az e-mail címe is jónak tűnik, nézzük meg, van-e alatta további információ, például egy “via valami@valami” köztes cím, vagy egy teljesen ismeretlen “reply-to” cím. Ha ilyesmit látunk, esélyesen csak felhasználták az ismerősünk nevét és címét, de közben egy spamküldőről származik az üzenet.

És persze a legegyszerűbb az, hogy gondolkozzunk józan ésszel. Egy milliós utalásra felszólító levelet tényleg csak hányaveti módon, két sorban küld el nekünk bármilyen felelős vezető? A rokonunk vagy barátunk tényleg képtelen felhívni minket, mielőtt bármilyen pénzt kér szokatlan módon? Inkább férjen bele egy megerősítő telefon, SMS vagy egyéb üzenet – legfeljebb azt a választ kapjuk, hogy “igen, tényleg én küldtem”, és akkor megnyugodhatunk. Ha viszont a “milyen levél, én nem küldtem semmit” reakció fogad, akkor meg fogjuk köszönni azt az extra ellenőrzési kört.