A digitális csalás lélektana és eszköztára
2020-09-30
A felismerés, megelőzés miatt érdemes elemezni a csalás lélektanát, folyamatát, és abban az áldozat megtévesztés miatti közreműködésének központi szerepét. A csalás sikeres kivitelezésének nélkülözhetetlen feltétele, hogy a címzett tévedésbe essen, valósnak fogadja el a valótlant, és aszerint is cselekedjen. E momentum alapján a digitális csalások elleni védekezés fő iránya a biztonsági megoldások mellett a képzés, a támadásoknak kitett személyek, munkavállalók ismeretszintjének növelése. Ezt kívánjuk segíteni az alábbiakkal...
A csalás hagyományos definíciója szerint azt jelenti, hogy az elkövető jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz. Ez a meghatározás egyébként a Büntető Törvénykönyvből származik. Ez a hagyományos definíció tökéletesen leírja az elkövető motivációját, az elkövetés módszerét, és hát benne van a sértett fél közreműködése is, hiszen a csalás végrehajtásának legfontosabb momentuma, hogy ő tévedésbe essen, valósnak fogadja el a valótlant – és ennek egyenes következményeként saját cselekvésével jogtalan haszonhoz segítse az elkövetőt.
A tévedésbe ejtés
A tévedésbe ejtés a kulcsmozzanat – az elkövető ezzel váltja ki a sértett cselekvését, ezzel jut hozzá a haszonhoz, a pénzhez, és így a sértett tulajdonképpen a saját cselekvése által károsodik, amelyet a tévedésbe ejtése és esése indít el. Ez a tudati elem, a „tévedésbe ejtés / esés” és az abból következő saját cselekvés a digitális csalásoknál is kulcsmozzanat. Majdhogynem közömbös is, hogy milyen platformon – élőszóban, mobiltelefonon, SMS-ben, e-mailben, interneten stb. - érkezik és nyilvánul meg a csalási szándék, sikeres kivitelezésének feltétele, hogy a címzett tévedésbe is essen, azaz valósnak fogadja el a valótlant, és ennek megfelelően cselekedjen is.
A tévedésbe ejtés eszköze, módja egy olyan fedősztori a csaló részéről, amelyet alkalmasnak vél arra, hogy attól a címzett valóban tévedésbe essen, tehát végrehajtsa a kért műveletet. Tipikus fedősztorik: „banki belépési adatok frissítése szükséges”, „új rendszerre állt át a szolgáltató”, „nyereményjátékot szervezünk, és ahhoz kérjük adja meg..”, „tárgynyereményt nyert, és pénzre válthatja”, „mi vagyunk a NAV és visszafizetjük az adóját / túlfizetését” stb. – és az e-mailbe belinkelt oldalon kérik az érzékeny adatokat.
Kifinomultabb dolog lehet, amikor elsődlegesen nem is a „fő” belépési adatokhoz akarnak hozzáférni, hanem valami harmadrangú oldalon próbálnak jelszót megszerezni, majd azt vagy annak kombinációit használva jutnak be az e-mail fiókba és ezáltal akár később a banki felületre.
Tehát előfordulnak olyan kísérletek is, hogy látszólag egyáltalán nem az a cél hogy pénzt húzzanak le, de miután van hozzáférés egy e-mailhez, könnyebb lehet egy másikba bejutni mert az emberek szeretnek hasonló jelszavakat használni. Ezért fontos, hogy jelentősen eltérő és erős jelszavak legyenek beállítva, és a két lépcsős azonosítás be legyen kapcsolva minden kritikusabb oldalon. A fedősztori lényeges eleme, hogy a csaló üzenet küldője a címzett előtt legitimnek, hitelesnek tűnjön, például az e-mail külső megjelenésében, dizájn-elemeiben is valóban a számlavezető banktól érkezőnek tűnjön.
A saját cselekvés
A címzettből a saját cselekvése által lesz sértett, az elkövetőnél a sértett saját cselekvése által realizálódik a haszon. A sértett saját cselekvésével teszi lehetővé a csalás elkövetését, és ez a saját cselekvés jellemzően két formában nyilvánul meg: banki és online belépési adatok kiadásával, vagy direkt pénzfizetéssel. A bankkártya adatok, banki oldalak belépési jelszavak kiadása azonnali és közvetlen hozzáférést eredményeznek a csalónak a sértett bankszámlájához, így azonnali és közvetlen károsodást is okoznak. A nem banki adatok - e-mail fiók vagy internetes fiók belépési adatainak kiadása nem közvetlenül, de ugyanezt eredményezhetik. Ez azt teszi lehetővé – például - hogy a csaló a sértett nevében lépjen fel – írjon e-mailt az üzleti partnernek, hogy az esedékes utalást egy új – természetesen jogosulatlan - bankszámlára kell teljesíteni. Ehhez alapvetően még nincs is szükség mástól ellopni az adatokat (persze az által még jobb a megtévesztés), de a nagyon hasonló domain nevek, e-mailcímek ugyanúgy megtévesztőnek hatnak, főleg hogyha a címzett nem is nézi meg rendesen ezeket, csak a kiírt név alapján tájékozódik.
Az adatok saját cselekvéssel történő direkt kiadásával egyenrangú veszélyhelyzet, ha azokhoz gondatlanságból engedünk hozzáférést. Például munkavállalónk számítógépének képernyőjére ragasztva egy sárga cédulára vannak felírva a belépési adatok – a banki is – hogy az ügyintéző el ne felejtse azokat. Ugye, ennek kockázatait nem kell tovább magyaráznom. Hasonlóan kockázatos az „ugyanaz a jelszavam mindenhol” szcenárió. A tévedés alatti saját cselekvés legdurvább formája, amikor a sértett nem adatot ad ki, hanem a csaló javára maga hajtja végre a pénzfizetést, utalást.
Az elborult agy szindróma
Ki kell emelni, hogy a sértett a saját cselekvését jogszerűnek és helyesnek gondolja, nem ismeri fel, hogy éppen tévedésbe ejtés és csalás áldozata – ezért is hajtja végre a csaló által kért műveletet. (Ha nem így lenne, maga is a csalás részese lenne, de most nem ezt az esetkört tárgyaljuk.)
Ezt nevezhetjük az elborult agy szindrómának is: aki tévedésbe ejtve cselekszik, annak a tudatát manipulálták, elaltatták az óvatosságát, eloszlatták kétségeit, és kialakították benne azt a meggyőződést, hogy a csalónak való megfelelés, az együttműködés, a kért művelet végrehajtása maga a helyes cselekvés.
A csalási szándék felismerését az ismerethiány, képzetlenség mellett elfedheti a napi munkavégzési rutin is, amely ellen nehezebb is a védekezés.
***
KKV információbiztonsági kézikönyv és intézkedéscsomag
Kiadványunk eszközöket és megoldásokat ad mikro, kis- és középvállalkozások számára üzleti titkaik hatékony megóvásához, továbbá az olyan pénzügyi és vagyoni veszteségek megelőzéséhez, amelyek adatkezelési gondatlanság vagy szervezetlenség, adatlopás, csalás, visszaélés miatt következhetnek be. Az információbiztonsági intézkedéseket rendszerbe foglaljuk, adunk hozzá szabályzatot, szerződési és tájékoztatási formulákat, kockázatértékelés mintát. Kiadó: Adónet.hu, Szerző: dr. Szabó Tibor, Cziva Gergely, ára: 25.400,-Ft. Megrendelés: Önadózó Webáruház
***
Dr. Szabó Tibor ügyvéd jegyzeteinek követése a Facebookon: https://www.facebook.com/drszabotiborugyved/