Skip to main content

Kiberbiztonság

március 12, 2025

 

Útmutató a social engineering csalások és kiberfenyegetések azonosításához

Phishing, vishing, smishing, quishing, zishing? A kibercsalások típusai egyre bővülnek. A következőket kell tudnia.

Dianna Delling

Contributor

A technológia végtelenül megkönnyítette a mindennapi tevékenységeket, a kommunikációtól kezdve a vásárláson át az online banki ügyintézésig. A biztonsági fejlesztések a digitális életünket is biztonságosabbá teszik, mint valaha. A bűnözők azonban mindig keresik a bejutási lehetőségeket, és van egy sebezhetőség, amelyet nagyon nehéz megvédeni: az emberi érzelmek.

Csak az Egyesült Államokban a fogyasztók 2024-ben több mint  12,5 milliárd dollárt veszítenek csalás miatt - ez 25% növekedést jelent 2023-hoz képest - derül ki a Szövetségi Kereskedelmi Bizottság e héten közzétett jelentéséből. A fogyasztók a legtöbb pénzt, 5,7 millió dollárt befektetői csalások miatt veszítették el, míg a legtöbb bejelentés továbbra is a csalókkal kapcsolatos csalásokról érkezett. A csalók leggyakrabban e-mailben érik el áldozataikat, ezt követik a telefonhívások és az SMS-ek. 

csalás

/frôd/ - főnév

  1. csalás, trükközés
  2. egy olyan személy, aki nem az, akinek kiadja magát.

 

"A kiberbűnözők gyakran az emberi érzelmekre, például a félelemre, a kíváncsiságra, a szimpátiára vagy a büszkeségre támaszkodnak, hogy becsapják áldozataikat, hogy bedőljenek a csalásnak" - mondja Donna Mattingly, a Mastercard vállalati biztonsági oktatásért és tudatosságért felelős igazgatója. A social engineering csalások felhasználhatók pénzlopásra, rosszindulatú szoftverek (malware) telepítésére, üzleti hálózatokhoz való hozzáférésre bennfentes információkért vagy egész számítógépes hálózatok leállítására. Nehéz lehet átlátni, hogy a csalók mit akarnak elérni, mivel a csalási módszereik hihetetlenül bonyolulttá váltak.

Meggyőzőbbek is lettek. A kibercsalók hamis weboldalakat építenek és bonyolult hamis személyazonosságokat hoznak létre, hogy megtévesszék áldozataikat. Most pedig generatív mesterséges intelligencia technológiákat használnak félrevezető e-mailek, telefonhívások (a gen AI képes utánozni a szeretteink hangját), képek és videók (úgynevezett deepfakes) létrehozására, amelyek annyira kifinomultak, hogy szinte lehetetlen felismerni, hogy hamisítványok.

Még az óvatosságra nevelt embereket is be lehet csapni, amint azt egy nemrégiben Hongkongban történt incidens is bizonyítja. Ott egy multinacionális pénzügyi vállalat 25,6 millió dollárt veszített, amikor egy alkalmazottat rászedtek arra, hogy vállalati pénzeszközöket utaljon át egy bűnügyi számlára. Megtévesztették egy mélyen hamisított videokonferencia-hívással, amelyen olyan emberek vettek részt, akik kollégáknak tűntek és tűntek, beleértve a vállalat pénzügyi igazgatóját is, de valójában számítógép által generált csalók voltak.

A kiberbűnözéstől való védekezéshez hasznos tudni, hogy milyen típusú csalások vannak, így ki tudja őket kerülni.

Mi a social engineering?

A social engineering a megtévesztés és az érzelmi manipuláció alkalmazása valaki más viselkedésének befolyásolására. A digitális világban a kiberbűnözők social engineering taktikákat alkalmaznak, hogy rávegyék az embereket bizalmas információk felfedésére vagy olyan lépések megtételére, amelyek anyagilag károsíthatják őket vagy a munkáltatójukat.

Az ilyen típusú kibercsalások közé tartozhat az emberek meggyőzése, hogy készpénzt adjanak át vagy elektronikus úton küldjenek pénzt. A csalók arra is használják őket, hogy személyes adatokat, például társadalombiztosítási számokat, hitelkártyaszámokat vagy bejelentkezési adatokat szerezzenek, hogy később pénzt lopjanak, csalást kövessenek el vagy más bűnözőknek eladhassák.

A social engineering csalások célja lehet, hogy hozzáférjenek az Ön személyes számítógépéhez vagy vállalati számítógépes hálózatához, hogy adatokat vagy szellemi tulajdont lopjanak el, vírusokat vagy ransomware-t telepítsenek (káros szoftver, amely a felhasználók váltságdíjának kifizetéséig zárolja a fájlokat), vagy olyan rendszerhibákat okozzanak, amelyek leállítják az üzletmenetet.

Céljaik között szerepelhet akár a választások befolyásolása vagy a pénzügyi piacok manipulálása is. A kiberbűnözők hamis híreket, sajtóközleményeket vagy részvényteljesítmény-grafikonokat küldhetnek e-mailben vagy posztolhatnak, amelyek megtévesztik az embereket, hogy befektetéseket eszközöljenek.

Miért van a social engineering csalásoknak olyan sokféle formája?

A social engineering csalásoknak számos formája létezik, mivel a bűnözők mindig oda mennek, ahol az áldozatok vannak. Ahogy új kommunikációs és kapcsolattartási módokat találunk, a rosszfiúk új, a csatornákhoz illő módszereket találnak ki, hogy kihasználják érzelmi sebezhetőségünket.

Mi az adathalászat?

Az adathalászat olyan social engineering taktika, amely csalárd e-mailekkel csalja a címzetteket pénzküldésre vagy bizalmas információk felfedésére.

Emlékszik az 1990-es évekbeli "nigériai herceg" e-mailekre, amelyben egy magát afrikai királyi családtagnak kiadó személy sürgős pénzügyi segítséget kért? Ma már nevethetünk a feltevésen, de ez a széles körben elterjedt átverés az adathalászat egyik legkorábbi és legalapvetőbb példája volt. A kezdeti idők óta az adathalász csalások száma és összetettsége nőtt.

Melyek az adathalász e-mailek figyelmeztető jelei?

Az adathalász e-mailek figyelmeztető jelei a félelmet, pánikot vagy más erős reakciókat kiváltó üzenetek. Fenyegetőnek hangzanak, vagy azonnali cselekvésre szólítanak fel sürgős helyzetek bemutatásával, például pénzügyi vészhelyzetek, "szokatlan tevékenység" észlelése a számláján vagy kifizetetlen számlák.

A cél az, hogy az embereket megijesszék, és válaszra késztessék őket, mielőtt még lenne idejük tisztán gondolkodni. Sok adathalász e-mailben arra kérik a címzetteket, hogy kattintsanak egy linkre vagy töltsenek le egy mellékletet, de ez nem kívánt következményekhez vezethet, például egy rosszindulatú weboldalra való hivatkozáshoz, számítógépes vírus kiváltásához vagy veszélyes szoftver letöltéséhez.

Mi a teendő, ha egy adathalász linkre kattintott?

Ha egy adathalász linkre kattintott, válassza le számítógépét vagy eszközét az internetről. Ez megszakíthatja a rosszindulatú letöltéseket, vagy megakadályozhatja azok elindítását. Ellenőrizze rendszerét megbízható biztonsági szoftverrel, és kövesse az utasításokat, ha vírust vagy rosszindulatú programot észlel.

Ha az egyik fiókjában felhasználónevet és jelszót írt be, miközben egy hamis webhelyet látogatott meg, menjen a legális webhelyre, és azonnal változtassa meg azokat. Ha bármilyen esély van arra, hogy olyan információkat közölt, amelyekkel Önt anyagilag megkárosíthatják, forduljon bankjához, és kérjen utasításokat a további eljárásra vonatkozóan.

Ha olyan országban él, ahol vannak hitelinformációs irodák, érdemes felvenni velük a kapcsolatot. Az Egyesült Államokban a három nagy hitelintézet figyelheti az Ön fájlját a gyanús tevékenységek miatt. Azt is lehetővé teszik, hogy ingyenesen "befagyassza" és "feloldja" a hitelfájlját. Végezetül jelentse a kibercsalást vagy csalást a megfelelő hatóságoknak, és tájékoztassa barátait és kollégáit az átverésről, hogy ők ne legyenek arra csábítva, hogy megismételjék az Ön hibáját.

Mi az a spear phishing?

A Spear adathalászat az adathalászat célzott, személyre szabottabb formája. A csalók a kapcsolatfelvétel előtt utánajárnak a dolgoknak, így névvel szólíthatják meg Önt, vagy azt állítják, hogy egy céget vagy egy Ön által ismert személyt képviselnek.

Gyakran képesek sok részletet megtudni a közösségi médiából, ezért fontolja meg az adatvédelmi beállítások használatát a közösségi oldalakon, hogy korlátozza a bejegyzései nyilvánosságra kerülését.

Mi az a bálnavadász-támadás?

A Whaling olyan célzott adathalász-támadás, amely közvetlenül a vállalati vezetőket vagy más magas rangú személyeket céloz meg. Más szóval, a szervezet nagy halai ("bálnák").

Mi az a vishing?

Az adathalászat az adathalászat egy olyan formája, amely e-mail helyett telefonhívásokat vagy hangpostaüzeneteket használ.

Mi az a smishing?

A smishing az adathalászat egy másik típusa, amely SMS (szöveges) üzeneteken keresztül veszi célba a potenciális áldozatokat.

Mi az a quishing?

A quishing az adathalászat egyik típusa, amikor a csalók meggyőzik az embereket, hogy olvassanak be egy hamis QR-kódot, amely egy rosszindulatú weboldalra vezeti őket, ahol rávehetik őket bizalmas információk átadására vagy káros szoftverek letöltésére.

Mi az a zishing?

A zishing egy olyan adathalász technika, amely videokonferencia-hívásokon zajlik, és a deepfake technológiát használja az áldozatok megtévesztésére. A "z" a Zoom rövidítése, de ez bármilyen platformon előfordulhat.

Mi az az adathalász támadás?

A horgász adathalász olyan közösségi médiafelhasználókat vesz célba, akik egy vállalkozással vagy szolgáltatással kapcsolatos panaszokat tettek közzé. A csalók hamis közösségi médiaprofilokat hoznak létre, majd kapcsolatba lépnek az eredeti posztolóval, és ügyfélszolgálati képviselőnek adják ki magukat, aki segíteni szeretne. Személyes adatokat kérnek, és azokat bűncselekmények elkövetésére használják fel.

Mi az az e-mail hamisítás?

Az e-mail hamisítás az, amikor a csalók az e-mail címük vagy a megjelenített nevük álcázásával elrejtik személyazonosságukat, így az e-mailek úgy tűnnek, mintha olyasvalakitől érkeztek volna, akit a címzett felismer. Néha a csalók olyan közeli - esetleg csak egy betűvel eltérő - e-mail fiókokat használnak, hogy a címzettek nem veszik észre az eltéréseket.

Hogyan működik az üzleti e-mail kompromittálás?

Üzleti e-mail kompromittálásról akkor beszélünk, amikor a kiberbűnözők betörnek egy vállalati e-mail rendszerbe, hogy olyan e-maileket hozzanak létre, amelyek úgy tűnnek, mintha vezető pozícióban lévő személytől származnának. Az e-maileket úgy állítják össze, hogy meggyőzzék a többi alkalmazottat, hogy fedjenek fel bizalmas pénzügyi információkat, vagy engedélyezzenek olyan átutalásokat, amelyek csalárd számlákra küldenek pénzt.

Mi az a scareware támadás?

A scareware-támadás a számítógép-felhasználókat rémületbe ejti, hogy rosszindulatú szoftvereket telepítsenek vagy vírusfertőzött fájlokat nyissanak meg. A felhasználó kaphat egy felugró értesítést, amely tévesen arra figyelmeztet, hogy a számítógépét veszélyes vírus fertőzte meg. Ezután arra utasítják őket, hogy vásároljanak hamis szoftvert vagy küldjenek pénzt a számítógép feloldásához.

Mi az a romantikus vagy mézesmadzag átverés?

A romantikus vagy mézesmadzag átverés az, amikor a bűnözők valósághű profilokat hoznak létre társkereső alkalmazásokon és weboldalakon vagy közösségi médiaplatformokon, és romantikus érdeklődést színlelnek a potenciális áldozatok iránt. A kapcsolat ígéretével kecsegtetve pénzt kérnek, csalárd befektetési vagy kriptovaluta-programokat erőltetnek, vagy személyes adatokat kérnek a pénzügyi számlákhoz való hozzáféréshez.

Romance csalók gyakran dolgoznak körül társkereső webhely biztosítékok javaslata egy lépést a szövegek vagy e-mailek nem sokkal a beszélgetések megkezdése után.

Mit tegyek, ha átvertek?

Ha átverték, vegye fel a kapcsolatot a bankjával és minden más, a pénzügyi számláit kezelő vállalkozással, és tájékoztassa őket a történtekről. Változtassa meg a felhasználóneveket és jelszavakat, és engedélyezze a többfaktoros hitelesítést a digitális interakciókhoz. Segítsen a jövőbeli áldozatoknak a bűncselekmény bejelentésével.

A legtöbb országban van egy központi hatóság, amely a kibercsalásokkal és csalásokkal foglalkozik. Az Egyesült Államokban forduljon a Szövetségi Kereskedelmi Bizottsághoz annak weboldalán vagy a 877-IDTHEFT (438-4338) telefonszámon. Az Europol rendelkezik az egyéni jelentési weboldalakkal rendelkező tagállamok listájával. 

Ez a történet eredetileg 2024. március 7-én jelent meg, és az FTC új statisztikáival frissítették.  

Csalásmegelőzés

Védje magát, családját és vállalkozását

 

 

Egyszerű lépésekkel megvédhetjük digitális interakcióinkat és elkerülhetjük a csalásokat. Tekintse meg az Amerikai Kiberbiztonsági és Infrastruktúra Ügynökség tippjeit.

 

 

 

További információ