A cikk elkészítésében szakmai partnerünk az ESET biztonsági megoldások hazai forgalmazója, a Sicontact Kft.
Ma már rengeteg csalás, átverés vesz bennünket körül, és régóta nem csak e-mailben érkező spamek (kéretlen levelek), vagy böngészés közben kéretlenül felugró ablakok formájában. Ilyen próbálkozások elérhetnek bennünket a közösségi média üzeneteink között, de sajnos egyre gyakrabban SMS útján is.
A smishing a klasszikus megtévesztéses adathalászat, azaz phishing és az SMS, vagyis Short Message Service, magyarul rövidüzenet-szolgáltatás szavak összekeveredéséből keletkezett. Emlékezetes lehet az a két évvel ezelőtt a FedEx nevében elkövetett tömeges csalás, amely már magyar nyelven igyekezett megtéveszteni a mobiltelefon tulajdonosokat. Ennek kezdő elemeként egy magyar nyelvű SMS üzenet érkezett, amely egy eleve gyanús, idegen webhelyről elérhető alkalmazás telepítését kérte, pedig a csomag ellenőrzéshez ez nem is lenne szükséges. A linkről a vírusos applikáció letöltése, majd telepítése próbált elindulni, de ehhez engedélyt is kért, amit sokan simán megadtak.
Ha valaki óvatlan volt, és a vírusvédelem nélküli készülékén gyanútlanul kattintott, telepített, valamint figyelmetlenül minden engedélyt megadott a kártékony kódnak, akkor nem csak a telefonjáról kimenő SMS-ek okozhattak neki veszteséget, hanem a fertőzött telefonról minden adat ellophatóvá vált – és általában a támadók el is lopták –, így volt, akinek a banki adataival is visszaéltek. Emellett sokan csak a hónap végén, a saját fertőzött készülékükről rejtve kiküldött SMS üzenetek elszámoló számláját látva szembesültek azzal, hogy valami nincs náluk rendben. Volt olyan áldozat, akinek a telefonjáról 4700 SMS üzenetet küldtek el, ami akkor 160 ezer forintos plusz számladíjat, vagyis veszteséget jelentett.
Rengeteg hírben számoltak már be arról, hogy még a hivatalos Google Play áruházba is időnként rosszindulatú, trójai alkalmazások kerülnek be, vagy ami szintén nagyon gyakori trükk: népszerű játékok hamisított hasonmásaival terjesztenek kártékony kódokat. Ezek a módszerek az egyéb alternatív alkalmazás letöltési oldalakon nagyságrendekkel gyakoribbak. Androidos eszközökön a Google Play a legbiztosabb forrás, ám önmagában ez még nem garancia.
Hogyan kerülhetjük el a kártékony kódokat?
Jó módszer, ha az alkalmazás kiválasztásakor itt is előre ellenőrizzük a fejlesztőket, a használni kívánt engedélyek listáját, illetve megnézzük a felhasználói értékeléseket, véleményeket még a telepítés előtt. Az alkalmazások telepítésével kapcsolatosan ne felejtsük el, hogy mindig vegyük a fáradtságot, és olvassuk el, mire kér engedélyt a telepíteni kívánt applikáció. Ha túl kíváncsi, és a működéséhez józan ésszel végig gondolva egyáltalán nem szükséges – pl. SMS küldés, címjegyzékhez hozzáférés, fizetős hívások önálló indítása, stb. –engedélyeket is szeretne, gondolkodjunk, vagy akár inkább álljunk el a telepítéstől és keressünk másik alternatívát. Sokszor maga a felhasználó a leggyengébb láncszem, aki gondolkodás nélkül, kapkodva mindent feltelepít és minden alkalmazás hozzáférés kérésre jóváhagyóan kattint.
Ez egy újabb érv lehet amellett, hogy érdemes vigyázni, és csak a hivatalos piacterekről, megbízható alkalmazásokat telepíteni a készülékeinkre. Android-os eszköz esetében mindenképpen hasznos, ha használunk valamilyen ismert vírusvédelmet – ez a lehetőség egyelőre az iPhone telefonoknál még nem áll rendelkezésre. A mobil eszközön futó átfogó vírusvédelmet nyújtó termékek – mint például az ESET Mobile Security – az alap funkciók mellett adathalászat elleni modult, proaktív lopásvédelmet, hívásszűrési lehetőséget, valamint a biztonságos bankolást segítő Fizetésvédelmi modult is tartalmaznak. Az adathalászat elleni védelem az ESET mobilvédelem esetén kiterjed az előzőekben említett SMS-ben érkező adathalász kísérletek elleni védelemre is.
Hogyan ismerhetjük fel az adathalász SMS-eket?
Manapság, amikor a mesterséges intelligencia alapú rendszerek – például a ChatGPT – már elég jó minőségű szövegeket tudnak generálni a világ minden nyelvén, egyre több SMS alapú csalás érkezik magyarországi számokra is. Ezek változatos témakörökben próbálják félrevezetni a gyanútlan felhasználókat: a csomagküldés mellett például hamis állás ajánlatokat is kínálnak. Ennek során az egyik gyakran alkalmazott módszer, hogy a felkínált link valamilyen link rövidítési szolgáltatással van elfedve, vagyis nem látszik, hogy milyen weboldalra továbbít bennünket. Ekkor szintén érdemes óvatosnak lenni: az ilyen átverős üzeneteket ne nyissuk meg, inkább azonnal töröljük őket.
Hogyan védekezhetünk telefonos fizetés során?
Sokan használják a mobiljukat fizetésre is, hiszen az érintésmentes kártyák mellett ma már a telefonok is képesek ezt a funkciót ellátni olyan szolgáltatásokon keresztül, mint pl. az OTP Simple, az Apple Pay vagy a Google Pay, amelyek a kártyaadatok megadása és beállítása után lehetővé teszik, hogy ezekkel fizessünk. Az érintéses NFC (Near Field Communication) a telefonokon is használható, és a biztonság érdekében ehhez a fizetéshez használt alkalmazás általában további biztonsági megoldásokat követel, PIN-kód, ujjlenyomat, arcszkennelés vagy egyéb, a telefonon rendelkezésre álló funkció formájában. Ezeknél a szolgáltatásoknál is érdemes néhány óvintézkedést megtenni a biztonság érdekében. Állítsunk be alacsony fizetési limiteket, online vásárlások esetében pedig használjunk egyszer használatos vagy virtuális kártyát.
Az ESET Mobile Security Fizetésvédelem funkciója további extra védelmet is biztosít a fizetésre használt mobilalkalmazásokhoz: megvédi a pénzügyi adatokat a haladó szintű adathalászat és az egyéb kártevők ellen. A Fizetésvédelem megakadályozza, hogy a többi alkalmazás észlelje a védett alkalmazások elindítását, és abban is meggátolja őket, hogy lecseréljenek adatokat, illetve, hogy elolvassák a képernyőn látható információkat a védett alkalmazásokban.
Összefoglalva
Az Android rendszerű eszközökön is rendszeresen próbálják a felhasználókat hamis, félrevezető üzenetekkel, kártevőket tartalmazó applikációkkal és más átverésekkel támadni, emiatt mindenképpen érdemes ezeken sokoldalú és megbízható védelmi alkalmazást használni. Mivel iOS-es eszközökre jelenleg még nem létezik vírusvédelem, így ezeken még inkább körültekintőnek kell lenni. A mobileszközökre megjelenő hibajavító biztonsági frissítéseket (az operációs rendszer és a felhasználói applikációk tekintetében is) érdemes mindig lefuttatni, hiszen a legtöbb esetben ezek sebezhetőségeket, kihasználható hibákat foltoznak be. Végül pedig készüljünk fel rá, hogy SMS-ben érkezve is egyre gyakrabban futhatunk majd bele valamilyen csalásba vagy kártevőt tartalmazó oldalra mutató linkbe, ezért az óvatosság és a gyanakvás minden esetben indokolt.
Erről a témáról, és még sok más IT biztonsággal kapcsolatos témáról rendszeresen szó esik az ESET „Hackfelmetszők – Veled is megtörténhet!” című kiberbiztonsági podcastjának havonta megjelenő adásaiban.