Veszélyes bűnözők vadásznak a budapesti BL-döntőre bejutni akaró szurkolókra

Hamarosan Budapestre figyel az egész futballvilág. Május 30-án a Puskás Arénában csap össze a francia PSG és az angol Arsenal, a tét pedig a Bajnokok Ligája trófeája. Ugyanakkor nemcsak a szurkolók, hanem a csalók is megjelentek az interneten, akik nem pusztán a drukkerek pénzére, hanem az adataira is vadásznak.

A BL-döntőt mindenki élőben akarja látni, de különösen a párizsi, a londoni és a budapesti szurkolók tesznek meg mindent azért, hogy ott legyenek a stadionban. Ezt az elszántságot igyekeznek kihasználni az online csalók. Főleg abban az esetben, ha valaki nem is csak egy egyszerű belépőt akar venni, hanem komolyabb szolgáltatásokra vágyik. Rájuk „utazik” egy csalásokra szakosodott csoport. Hamis VIP-belépők, álexkluzív ajánlatok, kamu céges meghívók ígéretével támadnak az adathalászok, és aki bedől nekik, az meccs helyett a rendőrségre mehet feljelentést tenni. Az átverések egyre kifinomultabbak, és nem csak a naiv futballrajongókat veszik célba, de komoly üzletembereket is.

Az internet bűnözői már nem véletlenszerűen bombázzák az embereket. Vállalkozókat, cégvezetőket keresnek meg személyre szabott üzenetekkel LinkedIn-profilokra, céges hírekre építve. A módszer neve: spear phishing, vagyis célzott adathalászat. Most éppen annak ígéretével verik át az embereket, hogy eljuthatnak a budapesti BL-döntőre.

Már az is megdöbbentő, milyen áron kínálják a belépőket: az interneten például találtunk olyan hirdetést, amelyben két jegyért 9,9 millió forintot kértek… De létezik még ennél is nagyobb lehúzás, károkozás, amit a Bajnokok Ligájával összekötve próbálnak meg véghez vinni a szélhámosok.

A csalók célcsoportja immár megváltozott: a tehetősebb, vezető pozícióban lévő üzletembereket, komoly vállalkozókat „támadják”, a csalás pedig már olyan kifinomult, hogy sokan be is dőlnek nekik. A bűnözők módszere egyszerű: először is olyan embert keresnek, akinek a közösségi médiában folytatott tevékenységéből kiderül, hogy rajong a fociért. A célszemélynek jegyet ígérnek, közben pedig alapadatokat kérnek el, amelyek segítségével a bűnözők megkaparintják a céges hozzáféréseket is.

– Nem csak azt kockáztatják, hogy meglopják őket. A csalók hozzáféréseket szereznek céges rendszerekhez, ügyféladatokhoz is. Ez már üzleti kockázat, amit a kisebb vállalkozásoknak és a nagyvállalatoknak is komolyan kell venniük – mondta Wittinghoff Dániel, a Mastercard kibervédelmi üzletfejlesztési igazgatója.

A módszer ismert

A forgatókönyv klasszikus: „limitált VIP-jegy, csak ma, csak neked!” – a linkre kattintva hamis oldal jön be, ahol a meccsjegy reményében sokan megadják a bankkártyájuk adatait. Máskor egy ismerős kolléga vagy partner nevében érkezik az üzenet, feltört e-mail-címről. Ugyanakkor vannak árulkodó jelek arra, hogy ez nem teljesen „kerek” történet.

– Az ajánlat többnyire túl jól hangzik, hogy igaz legyen, és még sürgetik is a célszemélyt. Ekkor kell, hogy megszólaljon a vészcsengő. A BL-döntőre már nincs úgynevezett soha vissza nem térő ajánlat – szögezi le Nemes Máté, a fizetéstechnológiai cég csalásmegelőzésért felelős igazgatója, hozzátéve: az egyetlen biztos védekezés, hogy jegyet csak az UEFA hivatalos csatornáján szabad venni. Mivel ez már szinte lehetetlen, minden ilyen megkeresés esetén érdemes szólni a munkahely IT-biztonsági embereinek!

Mire kell figyelni?

A lényeg, hogy a beérkező „ajánlat” esetén ellenőrizni kell a feladó e-mail-címét, azaz nem elég a böngészőben megjelenő nevet elfogadni valódinak. Sok esetben gyanús lehet a webcím is, hiszen az UEFA helyett akár UFEA is szerepelhet benne. Amennyiben kriptovalutás vagy közvetlen utalásos fizetést kérnek, szinte biztosan csalókkal van dolgunk.