Szerző: Koi Tamás

2023. december 21. 09:05

Banki csalók használják a mobilszámodat? Így jártál!

A telefonon keresztül érkező banki átverések, scamek mennyisége, illetve az általuk okozott kár értéke drámai mértékben nőtt az elmúlt években Magyarországon. De ma már nem csak azok lehetnek az ilyen esetek károsultjai, akiktől ténylegesen lenyúlják a pénzt.

Komoly kihívást jelent az összes érintett számára a telefonos (banki) csalókkal szembeni hatékony küzdelem, ahogy a bűnözők egyre kifinomultabb, rafináltabb trükkökkel csalnak ki pénzt áldozataikból, többek között a telekommunikációs hálózatok ordítónak tűnő hiányosságainak segítségével.

Az egyik ilyen, manapság előszeretettel alkalmazott módszer, amikor a csalók valós hívószámaikat álcázva biztonságosnak tűnő telefonszámokról keresik meg kiszemelt áldozataikat, aminek újabban velejárója, hogy idővel az általuk a csalásokhoz használt számok jogos tulajdonosai is áldozattá válhatnak.

A magyar hírközlésszabályozó hatósághoz, a Nemzeti Média- és Hírközlési Hatósághoz (NMHH) tartozó Média- és Hírközlési Biztoshoz már érkezett panasz ilyen előfizetőtől, aki jelezte, több alkalommal tett bejelentést a szolgáltatója, a Yettel Magyarország felé amiatt, hogy számára ismeretlen hívószámokról hívják azzal, hogy korábban ő kereste őket, illetve üzenetet küldött nekik.

Az operátor közölte, részéről nem történt mulasztás, és rendőrségi feljelentés megtételét javasolta.


A Biztoshoz forduló panaszos közel sincs egyedül. A HWSW-hez több olyan eset híre is eljutott, amikor egy-egy magán- vagy üzleti mobilszámra naponta több száz visszahívás érkezett ismeretlenektől, ezzel szinte lehetetlenné téve a mobilszolgáltatás rendeltetésszerű használatát. Ők a hívószám-hamisítás, vagy angolul caller ID spoofing áttételes áldozatai, akiket közvetlen anyagi kár ugyan nem ér, de mégis jelentősen megkeserítheti életüket a banki csalók tevékenysége.

dontcall

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A hívószám-hamisítás alapvetően az ismerős, de legalábbis belföldi hívószámokhoz társított bizalomra épít (mivel azt ma már nagyjából mindenki megtanulta, hogy külföldi, illetve teljesen ismeretlen előhívójú számról érkező bejövő hívás gyanús). A megtéveszteni kívánt hívószám ilyenkor rendszerint hívást kap egy olyan számról, amely úgy tűnik, hogy a saját kapcsolata vagy szolgáltatója (bankja) - vagy egy ahhoz nagyon hasonló felépítésű szám.

A hívást fogadó így azt hiheti, hogy onnan keresik, és bizalommal válaszol a kérdésekre, vagy ha megtévesztik, akkor a saját biztonsága érdekében végrehajtja az utasításokat, amiket a csaló kér (személyes adatok, azonosítók megadása, rosszindulatú szoftverek és applikációk telepítése, hozzáférés biztosítása a csalók részére) - ecsetelik a csalási módszer hátterét a Yettel szakemberei.

De hogyan fordulhat elő egyáltalán, hogy a vonal másik végén nem a szám jogos használója beszél?


Ennek megértéséhez jó pár évet vissza kell utazni az időben, a hívószámot megjelenítő rendszerek, majd a VoIP-szolgáltatások megjelenéséig:

Sajnos ez az iparágnak egy nagy adóssága/hiányossága. Amint egy hívás bejutott a különböző VoIP szolgáltatók közötti hálózatba, tehát továbbításra kerül valamerre, azonnal elveszik a lehetőség, hogy kiszűrjék a csalókat. Ez azért van, mert az elosztott rendszereknek köszönhetően úgy folynak a hívások, mint az interneten a csomagok: szinte bárkin keresztül jöhet a hívás valamilyen okból (ott nyaraló előfizető, olcsóbb útvonal, szerződéses viszonyok stb.), tehát nem lehet kijelenteni, hogy pl. egy magyar VoIP szolgáltatótól csak magyar számokról érkező hívásokat szabad továbbítani

-mondja Tomcsányi Domonkos, mobilhálózat-biztonsági szakértő.

A jelenség éppen a fentiekből fakadóan nem kizárólag egy-egy szolgáltató előfizetőit érinti, hanem minden mobilozót, ahogy a vezetékes telefont használókat is. Nem véletlen, hogy szolgáltatói oldalon az utóbbi időben érzékelhető módon megnőtt hívószám-hamisításos visszaélésekről számolt be lapunknak a Vodafone Magyarország is.

A cégnél lapunk megkeresésére hangsúlyozták, hogy mivel az ilyen hívószám-hamisításos hívások nem az adott ügyfél hívószámáról indulnak (a hívások jellemzően akár több nemzetközi partneren, úgynevezett international carrier-en keresztül érkeznek be a hazai végződtető hálózatokba), ezért ezek soha nem számlázódnak ki az csalás során felhasznált hívószám előfizetőjének.

Egy esetleges rendőrségi eljárás során törvényes adatszolgáltatás keretében kiadott, az adott hívószámra lekért híváslista pedig egyértelműen bizonyítja, hogy a hamisított hívószámról indított hívásokat nem az érintett ügyfél indította, vagyis a csalók által felhasznált szám jogos használóját semmilyen felelősség nem terheli. Más kérdés, hogy ha épp egy olyan áldozat hívja vissza, aki időközben rájött, hogy jelentős összegeket csaltak ki tőle percekkel korábban, a beszélgetés hangvétele egészen kellemetlen irányba is elmehet.

Ez tehát a jó hír, a rossz viszont az, hogy a hívószámok hamisítására jelenleg nincs bevett, minden esetben működő ellenszer, sem készülékoldalon, sem hálózati oldalon - igaz, itt legalább már látni többé-kevésbé (de legalább elméletileg) jól működő próbálkozásokat.

smartphone_woman

A mobilszolgáltató egyetlen esetben, a saját előfizetője számával a saját hálózatában történő visszaéléseket tudja biztosan megakadályozni - hívja fel a figyelmet a Magyar Telekom. Ezekben az esetekben lehetőség van védelmet beállítani a visszaélésben érintett telefonszámra, amely megakadályozza, hogy újabb hamisított hívások végződjenek a Telekom hálózatában ezzel a telefonszámmal. Mobil hívószámok esetében a védelem beállítása azonban csak akkor lehetséges, ha az ügyfél honos hálózatban használja az előfizetését, roaming helyzetben ugyanis az előfizető forgalmazását is ellehetetlenítené. 

Végleges megoldásként a Yettel és a Magyar Telekom is a hívószámcserét javasolja, a Yettel szakemberei ugyanakkor hozzáteszik, hogy - bármennyire is nehéz ilyen helyzetben - érdemes türelemmel lenni, a jelenség ugyanis a tapasztalatok szerint 1-2 napon belül magától megszűnik, mivel a hamisítók másik számra váltanak.

A témában kerestük a Nemzeti Média- és Hírközlési Hatóságot is, ahol az ilyen esetekre rendőrségi feljelentést javasoltak, egyébként az általánosabb, a közvetlen áldozatok tudatosságát növelő, témában kiadott sajtóközleményre hívták fel a figyelmet. 

A hatóság és a telekommunikációs szolgáltatók összefogása révén ugyanakkor bizonyos technológiai megoldások alkalmazásával és erős tudatosítással minden oldalról lehet törekedni a károk mérséklésére. Erre jó példa az Egyesült Államok, ahol a helyi szabályozó szerv, a Szövetségi Kommunikációs Bizottság (FCC) hosszú ideje valóságos keresztes hadjáratot folytat a csalárd hívásokat is magukba foglaló ún. robothívásokkal (robocall) szemben. Az okozott kár mértéke mindenesetre a tengerentúlon is tetemes, egyes becslések szerint az így elkövetett csalásokkal okozott anyagi kár tavaly elérte a 87 milliárd dollárt és több tízmillió amerikait érintett.

A probléma az USA-ban még a koronavírus-világjárvány kitörése előtt, 2019-ben annyira akuttá vált, hogy a Kongresszus megszavazta a TRACED nevű jogszabályt (Telephone Robocall Abuse Criminal Enforcement and Deterrence Act), mely egyebek mellett arra kötelezte az FCC-t, hogy írja elő az országban működő operátoroknak egy fejlettebb, a hívószámok hitelesítésére alkalmas protokollkészlet használatát.

Keverve, felrázva


Ez az ún. STIR/SHAKEN (Secure Telephone Identity Revisited/Signature-based Handling of Asserted information using toKENs), mely nagyon leegyszerűsítve egyfajta digitális aláírást visz a hívásfelépülési folyamatba és ellenőrzi, hogy a megjelenített hívószám mögött ténylegesen milyen hívószám található, ha pedig nincs egyezés, lehetőséget ad arra a szolgáltatónak, hogy eldobja a kapcsolatot még mielőtt kicsöngene a hívás a hívott félnél.

Szakértők szerint ugyan a STIR/SHAKEN a tudatosság növelését célzó kampányokkal együtt hozzájárult a károk mérsékléséhez, a problémára ez sem jelent biztos megoldást:

A helyzet pont olyan, mint minden biztonsági intézkedésnél amelyiket egy globálisan elosztott rendszerben megpróbálnak bevezetni: amíg van szereplő aki nem használja és tőle muszáj forgalmat elfogadni, addig a rés továbbra is ott van.

-hangsúlyozza Tomcsányi.

Az operátorok ettől függetlenül külföldi mintára hazánkban is alkalmazhatnának hasonló megoldást, ám mivel viszonylag könnyen megkerülhető ez a védvonal is, alighanem a rendszer implementálásának költségeire tekintettel elvetették a lehetőségét, hogy legalább egymás között használják ezt a fajta hívószám-hitelesítést.

Az esetek most tapasztalható gyakorisága alapján a mobilhasználók előbb-utóbb vélhetően ezért megtanulják, hogy már a hívószámok sem feltétlenül azok, amiknek látszanak, azaz nem azonosítják minden kétséget kizáróan a vonal túlsó végén lévő felet. Ezzel a hívószám-hamisítás is végeredményben egy lesz a személyes adatok illetéktelen felhasználásával járó esetek közül, pont amikor valaki más nevével él vissza jogosulatlanul, rosszhiszeműen, a csaláshoz használt számok tulajdonosai pedig bosszankodhatnak tovább, legalábbis addig, míg a hívószám-hamisítást használó bűnözők nem találnak egy újabb, még agyafúrtabb átverési módozatot.

Például amikor valakinek nem csak a (mobil)számát, hanem a hangját is felhasználják majd és mesterséges intelligencia segítségével szintetizálják egy klasszikus unokázós típusú csaláshoz…

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról