A nyaralás előtti időszakban sok minden történik egyszerre. Szállást kell foglalni, repülőjegyet ellenőrizni, autót bérelni, belépőket venni, biztosítást kötni, programokat szervezni. Ebben a sűrű, kapkodós helyzetben könnyű gyorsan reagálni egy olyan e-mailre, SMS-re vagy közösségi médiás üzenetre, amely szerint a foglalás veszélybe került, a fizetési adatok hibásak, vagy sürgősen meg kell erősíteni a bankkártya adatait. Pontosan ezt használják ki az utazáshoz kapcsolódó payment phishing (adathalász) támadások. A csalók hamis fizetési oldalakra terelik az utazókat, ahol bankkártyaadatokat, belépési információkat vagy azonnali fizetést próbálnak kicsalni tőlük. A módszer különösen megtévesztő lehet, mert az üzenetek sokszor hivatalosnak tűnnek, akár szállásnévvel, foglalási azonosítóval, érkezési dátummal vagy más, valódinak ható adattal érkeznek.
Ebben a cikkben azt nézzük meg, hogyan működnek a hamis fizetési linkes utazási csalások, milyen üzenetekkel próbálják sürgetni az embereket, mire érdemes figyelni a domainek, HTTPS-oldalak és e-mail hitelesítés kapcsán, valamint hogyan jelennek meg ezek az átverések a közösségi oldalakon.
A payment phishing utazásnál
A payment phishing lényege, hogy a csaló fizetési helyzetet teremt. Nem feltétlenül azt írja, hogy „utalj pénzt”, hanem sokkal kifinomultabban dolgozik. Azt állítja, hogy
- a foglalást meg kell erősíteni,
- a bankkártyát újra kell hitelesíteni,
- az előleget be kell fizetni,
- vagy a rendszer nem tudta ellenőrizni a fizetési adatokat.
Az üzenet érkezhet e-mailben, SMS-ben, WhatsAppon, Messengeren, Instagramon, Facebookon vagy akár egy foglalási platformnak látszó felületen keresztül. A cél szinte mindig ugyanaz, hogy az áldozat rákattintson egy linkre, amely egy hamis fizetési oldalra vezet. Ez az oldal utánozhatja egy ismert szállásfoglaló platform, hotel, légitársaság, bank vagy online fizetési szolgáltató megjelenését.
A hamis oldal kérheti a bankkártyaszámot, lejárati dátumot, CVC-kódot, nevet, címet, telefonszámot, e-mail-címet, egyszer használatos banki jóváhagyó kódot vagy akár a netbankos belépési adatokat. Itt kezdődik az igazi kár. Amint az adatokat megadják, a támadók megpróbálhatnak
- fizetést indítani,
- kártyát hozzáadni digitális pénztárcához,
- hozzáférést szerezni egy fiókhoz,
- vagy további visszaélésekhez felhasználni az információkat.
Miért működik ilyen jól nyaralás előtt?
Az utazási csalások egyik legerősebb fegyvere az időzítés. A csaló pontosan tudja, hogy a foglalás előtti és indulás előtti napokban az utazó kevésbé türelmes, több a teendő, és nagyobb a félelem attól, hogy valami elromlik. Ha egy üzenet azt állítja, hogy a szállást 2 órán belül törlik, az ember nem feltétlenül kezd el hosszasan ellenőrizni minden részletet.
A sürgetés klasszikus manipulációs eszköz. A csaló nem hagy időt gondolkodni. Azt akarja, hogy a címzett azonnal kattintson, azonnal fizessen, azonnal igazolja a kártyáját, adja meg a felhasználónevét és a hozzá tartozó jelszót. A megbízható fogyasztóvédelmi ajánlások is kiemelik, hogy a gyors döntésre kényszerítés, a szokatlan fizetési mód és a hiányos vagy zavaros ajánlat gyakori intő jel az utazási csalásoknál.
Egy tipikus e-mail üzenet például így nézhet ki:
Tárgy: Fontos: foglalása megerősítésre vár[Text Wrapping Break]Tisztelt Vendégünk![Text Wrapping Break]A(z) 48291376 számú foglalás bankkártyás ellenőrzése sikertelen volt. Kérjük, 3 órán belül erősítse meg fizetési adatait, különben a rendszer automatikusan törli a foglalást.[Text Wrapping Break]Foglalás megerősítése: [link]
Ez azért hatásos, mert nem tűnik teljesen irreálisnak. Aki tényleg foglalt szállást, az tudja, hogy lehet előleg, lehet kártyaellenőrzés, lehet lemondási határidő. A csaló ezt a valós helyzetet fordítja ki.
A „foglalás megerősítése” csapda
A leggyakoribb trükk a hamis megerősítő üzenet. A támadó azt állítja, hogy a foglalás ugyan megvan, de még hiányzik egy lépés. Ez lehet
- a kártya hitelesítése,
- biztonsági ellenőrzés,
- előleg zárolása,
- foglalási garancia,
- vagy azonosító validálása.
Például egy SMS üzenet így nézhet ki:
Kedves Vendégünk! A nyári szállásfoglalása (48291376) még nincs véglegesítve. A lemondás elkerüléséhez erősítse meg bankkártyáját ma 18:00-ig: [rövidített link]
A hamis foglalási azonosító különösen veszélyes elem. A számok, kódok, dátumok és automatikusnak tűnő rendszerüzenetek hivatalos hatást keltenek. Sok esetben már az is elég, ha az üzenetben szerepel egy reálisnak tűnő azonosító, mert a címzett úgy érzi, hogy valódi adminisztrációs folyamatról van szó.
Ha pedig a csalók valamilyen kiszivárgott vagy megszerzett foglalási adatot is használnak, az üzenet még meggyőzőbb lehet. Előfordulhat, hogy a név, a hotel neve, az érkezési dátum vagy a foglalás részletei is stimmelnek. Ettől azonban a link még lehet hamis. A valós adat nem bizonyítja, hogy az üzenet valódi.
A hamis fizetési oldal
A csalók ma már nem feltétlenül primitív, helyesírási hibákkal teli oldalakat készítenek. Egy hamis fizetési oldal lehet letisztult, mobilra optimalizált, logókkal ellátott, és akár HTTPS-kapcsolaton keresztül is működhet. Egy fontos félreértés az, hogy a HTTPS és a lakat ikon nem azt jelenti, hogy az oldal megbízható, csak azt, hogy a kapcsolat titkosított. Egy csaló weboldal is használhat HTTPS-t.
Ezért nem elég azt nézni, hogy van-e lakat a böngészőben. A domain sokkal fontosabb. A hamis oldalak gyakran hasonló, de nem azonos címeket használnak. Például egy ismert márkanév mellé bekerülhet egy plusz szó, kötőjel, furcsa végződés vagy elgépelés. A typosquatting lényege éppen ez, hogy a csalók olyan domaineket regisztrálnak, amelyek nagyon hasonlítanak egy valódi oldal címére, de valójában más webhelyre visznek.
Gyanús lehet például, ha a link:
- rövidített URL-t használ,
- furcsa országkódos vagy ismeretlen domainre vezet,
- a márkanév elé vagy mögé plusz szavakat tesz,
- nem a hivatalos foglalási platform vagy szállás weboldalára mutat,
- fizetés előtt újra bekéri az összes kártyaadatot,
- olyan oldalt nyit meg, ahol nincs normális impresszum, ügyfélszolgálati adat vagy visszalépési lehetőség.
A hamis oldal sokszor nem is rögtön pénzt von le. Először csak „ellenőrzi” a kártyát. Ez pszichológiailag kevésbé ijesztő, mint egy konkrét fizetés. A valóságban azonban a megadott adatokkal a támadó már dolgozhat.
A social media csapdája
Az utazásos payment phishing nemcsak e-mailben és SMS-ben terjed. A social media különösen erős terep lett, mert ott
- a vizuális élmény,
- a gyors reakció,
- valamint az impulzív döntés
egyszerre van jelen. Egy gyönyörű tengerparti apartman, egy „last minute balatoni utazás”, egy „csak ma foglalható görög szigeteki villa” vagy egy „nyereményutazás” könnyen megállítja a görgetést.
A csalók hamis Facebook-oldalakat, Instagram-profilokat, hirdetéseket, eseményeket és Marketplace-bejegyzéseket is használhatnak. Gyakori minta, hogy egy apartman vagy nyaraló túl szép, túl olcsó, és túl gyors döntést kér. A fotók sokszor lopottak, a leírás általános, a kommentek letiltottak vagy gyanúsan egyformák. A kapcsolatfelvétel után a beszélgetést privát üzenetbe terelik, majd jön a fizetési link.
Szia! Igen, még szabad az apartman július 12–18. között. Nagyon sok az érdeklődő, ezért csak annak tudjuk tartani, aki ma befizeti a 30% foglalót. Itt tudod biztonságosan rendezni: [link]
A közösségi médiában történő csalások elkerülésének érdekében különösen fontos, hogy ne csak az ajánlatot nézze az ember, hanem a profilt is.
- Mióta létezik az oldal?
- Van-e valódi aktivitás?
- Vannak-e hiteles értékelések?
- Ugyanazok a képek máshol is megtalálhatók?
- A fizetés hivatalos platformon belül történik, vagy külső linkre terelik?
Ha az egész folyamat a „gyorsan utalj, mert más is vinné” logikára épül, az már önmagában figyelmeztető jel.
Amikor a telefon sürget
A smishing, vagyis SMS-alapú phishing azért veszélyes, mert a telefonon érkező üzeneteket sokan személyesebbnek és sürgősebbnek érzik. Egy rövid SMS-ben nincs sok részlet, ezért a csaló könnyen elrejti a gyanús elemeket. Utazási helyzetben az SMS lehet például ilyen:
Repülőtéri transzfer:[Text Wrapping Break]A transzferfoglalás fizetése sikertelen. A sofőr csak megerősített foglalással indul. A rendezéshez kattintson az alábbi linkre: [link]
WhatsAppon és Messengeren a csalók még emberibb hangot tudnak használni. A beszélgetés lehet kedves, segítőkész, sőt akár magyarul is gördülékeny. A cél, hogy a címzett ne a hivatalos felületen intézze a fizetést, hanem egy külső linken.
A biztonságos domain és e-mail hitelesítés bizalmi kérdés
Az utazási payment phishing elleni védekezés nem csak a felhasználók figyelmén múlik. A szálláshelyeknek, utazási irodáknak, program- és jegyértékesítőknek technikailag is védeniük kell a kommunikációjukat. Itt jön képbe az SPF (Sender Policy Framework), a DKIM (DomainKeys Identified Mail) és a DMARC (Domain-based Message Authentication, Reporting and Conformance).
Az SPF segíthet abban, hogy csak az arra jogosult szerverek küldhessenek levelet az adott domain nevében. A DKIM digitális aláírással segít ellenőrizni, hogy az e-mail tartalma nem módosult-e útközben. A DMARC pedig szabályt ad arra, hogy mi történjen azokkal a levelekkel, amelyek nem mennek át az ellenőrzéseken.
Ez különösen fontos az utazási szektorban, ahol az e-mail sokszor közvetlenül pénzügyi döntéshez vezet. Ha egy hotel, apartmankiadó vagy utazási szolgáltató domainje nincs megfelelően védve, könnyebb lehet olyan leveleket küldeni, amelyek úgy néznek ki, mintha tőlük érkeztek volna.
Persze a technikai védelem sem varázspajzs. A csalók küldhetnek levelet hasonló domainről, feltört fiókból, közösségi médiás profilon keresztül vagy üzenetküldő alkalmazásban. De a megfelelő domain védelem, HTTPS, biztonságos weboldal, e-mail-hitelesítés és következetes ügyfélkommunikáció együtt sokkal nehezebbé teszi a dolgukat.
Mire érdemes figyelni foglalás előtt és után?
A legfontosabb szabály, hogy fizetési vagy kártyaellenőrzési linkre nem érdemes automatikusan kattintani. Ha üzenet érkezik arról, hogy a foglalást meg kell erősíteni, a legbiztonságosabb megoldás a hivatalos alkalmazás vagy weboldal külön megnyitása. Nem a levélben lévő linkről, hanem kézzel beírva a címet, vagy a már telepített hivatalos appon keresztül.
Érdemes ellenőrizni, hogy a fizetési kérés látszik-e a hivatalos foglalási felületen. Ha a szállás azt állítja, hogy fizetni kell, de a platformon nincs ilyen teendő, az gyanús. Ha a hotel közvetlenül ír, célszerű a hivatalos weboldalon szereplő telefonszámon vagy e-mail-címen visszaellenőrizni, nem azon az elérhetőségen, amelyet a gyanús üzenet adott meg.
Gyanús jel, ha az üzenet:
- azonnali fizetést kér,
- törléssel fenyeget,
- külső fizetési oldalra visz,
- bankkártya-adatokat kér „ellenőrzésre”,
- a kommunikációt kiviszi a hivatalos platformról,
- furcsa linket, rövidített URL-t vagy ismeretlen domaint használ,
- nyelvileg zavaros, de közben sürgető,
- túl jó ajánlatot ígér,
- ajándékkártyát, átutalást vagy fizetési appot erőltet.
A fogyasztóvédelmi ajánlások szerint is erős figyelmeztető jel, ha egy utazási ajánlatnál csak nehezen visszakövethető fizetési módot fogadnak el, például ajándékkártyát, kriptót, banki átutalást vagy bizonyos fizetési appokat.
Ha már megtörtént a baj
Ha valaki megadta a bankkártyaadatait egy gyanús oldalon, nem érdemes várni. Az első lépés a bank azonnali értesítése. Sok esetben a kártya letiltható, a tranzakció vitatható, és a további terhelések megelőzhetők. Ha netbankos belépési adat is kikerült, azonnali jelszócsere és kétlépcsős azonosítás szükséges.
Ha ugyanazt a jelszót máshol is használták, azt minden érintett fiókban cserélni kell. Ha a gyanús linkre kattintás után alkalmazást, fájlt vagy ellenőrző programot kellett letölteni, a készüléket is ellenőrizni kell. A gyanús adatmegadás után a bankot azonnal értesíteni kell, feltört fiók gyanújánál pedig a fiók-visszaállítási lépéseket kell követni.
Érdemes jelenteni az esetet a foglalási platformnak, a szálláshelynek és szükség esetén a hatóságoknak is. Ha a csalás social mediás hirdetésből indult, a hirdetést és a profilt is jelenteni kell. Ez nem mindig hozza vissza a pénzt, de segíthet abban, hogy más ne fusson bele ugyanabba a csapdába.
Biztonságos kommunikáció mint utazási szolgáltató
A szálláshelyeknek, utazási irodáknak és programértékesítőknek is érdemes előre gondolkodniuk. A vendég akkor lesz védettebb, ha pontosan tudja, milyen csatornán érkezhet valódi fizetési kérés, milyen domainről jönnek a hivatalos e-mailek, és milyen esetben nem kérnek adatot.
Hasznos lehet például minden visszaigazoló e-mailbe egy rövid biztonsági blokkot beilleszteni:
Fizetési adatokat kizárólag a hivatalos foglalási felületen kérünk. Külső linken, SMS-ben vagy közösségi médiás üzenetben nem kérünk bankkártyaadatokat. Gyanús üzenet esetén kérjük, a weboldalunkon szereplő elérhetőségen keressen minket.
Emellett fontos
- a weboldal SSL-tanúsítványa,
- a helyes domain használat,
- az e-mail-hitelesítés,
- a munkatársak képzése,
- továbbá a közösségi médiás hamis profilok figyelése.
Ha egy márka sok foglalást kezel, akkor a domain és e-mail biztonsága nem technikai részlet, hanem bizalmi kérdés.
A legjobb védelem a lassítás
A payment phishing azért működik, mert a csalók gyors reakciót akarnak. A legjobb védekezés gyakran éppen az ellenkezője, azaz lassítani egy percet. Megnézni a domaint, megnyitni külön a hivatalos appot, ellenőrizni, hogy valóban van-e fizetési teendő, felhívni a szállást a hivatalos számon, felvenni a kapcsolatot a bankkal. Nem a linkből kiindulni, hanem a hivatalos csatornából.
A nyaralás előtti izgalom, a jó ajánlatok keresése és az indulás előtti kapkodás tökéletes terep a csalóknak. De a legtöbb ilyen átverésben van egy közös pont. Valaki sürget, fenyeget vagy túl jó lehetőséget kínál, és közben fizetési linkre terel. Ha ezt a mintát sikerül felismerni, máris sokkal kisebb az esély arra, hogy egy „foglalás megerősítése” üzenetből kártyaadat-lopás legyen.
További kérdésed van a témában, vagy meg szeretnél győződni, hogy weboldalad biztonságosan működik és vevőid adatai védve vannak? Lépj kapcsolatba a Websupport csapatával, hogy kiemelt segítségben részesülhess!