Így vehetik palira a Jófogáson: megtörtént eset!

A G Data munkatársa szeretett volna eladni néhány kinőtt babaholmit és gyerekjátékot, ezért meghirdette a tárgyakat az egyik legismertebb magyarországi piactéren, a Jófogáson. Az első 24 órában két adathalász is bejelentkezett nála ugyanazzal a trükkel.

Az első adathalász „Mariska” volt, aki néhány órán belül üzenetet írt a meghirdetett babaápolási termékkel kapcsolatban. Semmi különös, csak e-mail-címet kért a „szállítás megszervezéséhez”:

Arra már eleve fel lehet figyelni, hiszen a Jófogáson egyébként nincs szükség e-mail-cím megadására, hiszen üzenetet lehet küldeni a piactér rendszerén keresztül, és a telefonszámot is láthatja a vevő, amennyiben az eladó azt nyilvánossá tette.

Az e-mail-cím elkérése mellett gyanús volt a nyelvezet is, például az e-mail „E.mail”-nek írása, az ékezetek hiánya vagy a „chatbox” szó használata. Egy magyar felhasználó valószínűleg nem a “jofogas szállítását” szervezné meg, hanem vagy a jófogással a szállítást, vagy a termék szállítását. Az ilyen apróságok felett könnyen elsiklunk a mindennapokban, pedig jobb, ha a szemünket érzékennyé tesszük rájuk, mivel jó eséllyel azt jelzik, hogy nem magyar felhasználóval levelezünk.

És bár az e-mail-cím megadása önmagában sem tanácsos (mivel az felkerülhet a levélszemétküldők listájára), ezek után megadott egy e-mail-címet, hogy lássa, mi lesz ebből.

Mariska gyorsan küldte a következő két üzenetet: tájékoztatást arról, hogy a fizetés befejeződött, és egy kamu képernyőképet az állítólagos tranzakcióról.

Érdemes felfigyelni az ékezetek használatára a postaláda szóban.

Kamu képernyőképet küldött üzenetben a kamu vásárló.

A valódi átverés ekkor kezdődik: egy adathalász e-mail érkezik a postafiókba, amelynek feladója látszólag a Jófogás, de a feladó URL címe elárulja, hogy valójában nem a piactértől jött:

Intő jel, hogy amennyiben a „Fogd a penzt” gomb fölé visszük az egeret, egy url rövidítő szolgáltatás (tinyurl) által adott link jelenik meg, azaz a kattintás valódi célját elrejtette a levél készítője. Szerencsére a szolgáltatásnak van előnézet funkciója, így kattintás nélkül is megismerhetjük a valódi url-t, íme (a teljes cím végét kitakartuk):

A TinyUrl elárulja a valódi domaint

A webcímeket úgy kell olvasnunk, hogy mindig a .com (vagy .hu stb.) előtti rész jelenti a domaint, a ponttal elválasztva balról ehhez csatlakozó rész pedig az úgynevezett subdomaint. Míg a domain tulajdonosa általában igazolt és visszakereshető, subdomaineket szabadon lehet létrehozni bármilyen domainhez. A jófogás valódi webcíme a jofogas.hu, a „jofogas.track-de…com” viszont nem ehhez a domainhez tartozik.

Ha pedig a „track-de…com” webcímről megkérdezzük a ScamDoc és a Scamadviser nevű webes szolgáltatásokat, mindkettő figyelmeztet, hogy feltehetően átverésről van szó, mivel a domain túl fiatal, nemrég került bejegyzésre (1), várhatóan nem lesz hosszú az élettartama (2), és olyan országhoz kötődik, amelyből rendszeresen dolgoznak adathalászok (3).

Mire erre a pontra elértünk, az adathalász már ismeri az e-mail-címünket és feltehetően a telefonszámunkat is (utóbbit a Jófogás profilunkról).

A G Data itt megállt, de ha valaki továbbmegy, a következő oldalon feltehetően bekérik a bankszámlaszámát, a bankszámlához tartozó nevet. Kérhetnek még regisztrációra is, ahol meg kell adnunk nevünket, születési dátumunkat.

Innen, ha kártevővel szeretné megfertőzni a hacker a gépünket, akkor feltehetően megkér, hogy telepítsünk valamilyen „kiegészítőt”, ami a fizetési oldal megjelenítéséhez vagy a pénz nyomon követéséhez szükséges.

Egyszerű csalási módszer az is, ha egy mikrotranzakcióra kérnek: a bankszámlaszámunk ellenőrzéséhez adjuk meg kártyánk adatait, ahonnan levonnak pár száz forintot, hogy ellenőrizni tudják, működik-e a számla. Ha fogadni szeretnénk egy 10-15 ezer forintos utalást, egy pár száz forintos kártyaellenőrzés nem tűnik elviselhetetlennek, pláne, ha megígérik, hogy ezt visszatérítik majd.

De az is elképzelhető, hogy telefonos útra terelik a csalást. Miután már ismerik bankszámlánkat, telefonszámunkat és e-mail-címünket, felhívhatnak bennünket a bankunk nevében azzal, hogy látják, valaki utalni szeretne a számlánkra, és rutinellenőrzés miatt egyeztetni szeretnék, hogy várunk-e ilyen összeget.

A hackerek számára számos lehetőség és forgatókönyv áll rendelkezésre, hogy átverjék a felhasználókat, ezért csak az óvatosság segít.

Meg persze az, hogy (kb. 10 nap elteltével) végre a Jófogás is megjelenített egy figyelmeztető üzenetet: