Mondanám, hogy a postás hozta, de emailben érkezett a következő levél:

Date: Tue, 5 Dec 2006 15:53:35 +0900 From: Budapest Internetbank Customer Service To: *******@tiszanet.hu Subject: Attention for all clients

Üdvözöljük a Budapest Internetbank Számlavezetési Rendszer oldalán! Kedves számlatulajdonos! 2006. december 1-jén a rendszerünkben a banknak pénzmosással, hitelkártya csalással, terrorizmussal kapcsolatban és a visszaélések ellenõrizése céljából zárolnia kellett néhány számlát. Az ezekkel a számlákkal kapcsolatos információt megkapták levelezõ bankjaink, valamint a helyi, szövetségi és nemzetközi hatóságok. A kiterjedt adatbázis-mûveletek miatt néhány számla esetleg megváltozott. Arra kérjük tehát ügyfeleinket, hogy ellenõrizzék csekk- és megtakarítási számláikat, hogy ezek aktívak-e, vagy hogy a jelenlegi egyenlegük megfelel-e a valóságnak. A bank az összes ügyfelét értesíti jelentõsebb visszaélés vagy bűnügyi cselekmény esetén, és megkéri Önt arra, hogy ellenõrizze számlája egyenlegét. Ha úgy véli, vagy azt találja, hogy a számláján visszaélést követtek el, errõl értesítsen bennünket úgy, hogy belép az alábbi hivatkozáson keresztül. Belépés A belépéshez írja be azonosítóját és jelszavát, majd nyomja meg a 'Belépés' gombot. Kérdés esetén hívja a TeleBankot: 06-40-477-777. Észrevételek, javaslatok

Annyit hallani mostanában adathalászatról (hozzáértőktől meg phishing-ről, mert az úgy jóval nagyobb okosságnak tűnik), hogy már szinte vártam, hogy kapok valami ilyesmit. Kiváncsi voltam, mert ugyan sokat hallani erről, de konkrétan még sosem láttam... Nos tehát a fenti levél lenne az, aminek rá kellene szednie a rászedhetőket, és bizony elég jól "meg vagyon csinálva " ez a levél, hiszen a látszólagos feladó, a segítségkérési lehetőség, a telefon, a fogalmazás mind valós. Éppen olyan, mint a Budapestbank emailjei szoktak lenni....

Persze aki nem Budapestbankos, az talán meglepődik egy ilyen levélen (jómagam is ebben a cipőben károk), de azok, akik a BB internetes ügyfelei, azok bizony eljuthatnak odáig, hogy az egyetlen becsapásra (hiszen a levél tartalmilag részben igaz is!), a Belépés-ra kattintsanak.

Márpedig maga a Belépés linkje is mindössze pár betűvel tér el a valóstól (.net a .hu helyett), és bizony a megjelenés is szinte ugyanaz. Íme az adathalász kép a baloldalon, a valódi BB-oldal pedig jobboldalon.



























Gondoltam ki is próbálom, ha már ilyen szépen hasonlítanak egymásra. Kisült, hogy az adathalász oldal a beadott azonosító/jelszó után átirányít a BB eredeti oldalára, és be is léptetne oda, ha jó adatokat kap. Magyarán ha az internetbankoló elég figyelmes, akkor észre sem fogja venni, hogy becsapták és ellopták az adatait. Majd csak akkor, ha már nem általa indított utalások mennek KI a számlájáról.

Mit lehet mondani egy ilyen esetismertető után? Leginkább csak újabb kérdések vetődnek fel...

• Vajon milyen büntetőjogi következménye lenne, ha az oldal készítőjét elkapnák?
• Mi ez a bűntett? Szélhámosság? Lopás?
• Ha csak kicsi összegeket kezd utalni magának az adatlopó, vajon észerfogja venni a számla tulajdonosa?
• Mit tehetnének a bankok? Hogyan tudnák megvédeni ettől az embereket?
• Ha nem lehet az emberek megvédeni, akkor mit tehetnek az emberek önvédelem?

Amikor már kellően megrémítenek a kérdések, akkor meg lehet nézni, hogy mekkora veszélyt jelent az adathalászat, hiszen a többi bűnözés is állandóan körülöttünk van, mégis tesszük a dolgunk. Nos, a Wikipédiában a phising térnyeréséről az alábbi grafikon tájékoztatja az olvasót:

Egyetlen év alatt duplázódott, és minden bizonnyal ez a növekedés minden évben megtörténik majd, hiszen ilyen oldal elkészítése ma jóformán gyerekjáték. A statisztika nem hat tehát nyugtatólag... A veszély folyamatosan exponenciális növekedésben van.

Mégis pozitívan tudjuk befejezni az esettanulmányt, hiszen csak három -- igaz néha könnyedén eltéveszthető -- szabályt kell betartanunk, hogy ne kerülhessenek adataink illetéktelenek birtokába:

1. Soha nem adunk meg semmiféle személyes adatot, amit nem feltétlenül muszáj;
2. Csak olyan webcímen adunk meg adatokat, amely webcímről előzetesen bizonyított forrásból értesültünk.
3. Emailbeli kérdésekre soha nem adjuk meg semmiféle adatunkat.

Ja, és nem vagyunk magunk, mert létezik, és védelmünkön dolgozik a sok-sok nagy és kicsi számítástechnikai vállalat által támogatott Anti-Phishing Working Group, amelynek oldalán további ijesztő esetek mellett az is látszik, hogy azért ezt a bűnözést is üldözik hozzáértő emberek is.

Szóval óvatosan, figyelmesen, de csak tegyük továbbra is amit tennünk kell.