Tech

Új bejelentés a rendőrségtől, ezt kell tudni a csomagküldős SMS-csalásról

A jelenlegi járványügyi helyzetre való tekintettel Facebook live formában szervezett sajtótájékoztat tartott péntek délelőtt az ORFK, amelynek tárgya a közelmúltban egyre inkább terjedő új, csomagküldős SMS csalás, valamint az ezzel kapcsolatos nyomozás volt.

Az eseményen Bor Olivér, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet szóvivője, valamint Halász Viktor r. százados, a Készenléti Rendőrség Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztály Felderítő Osztály vezetője beszélt az esetről.

Halász Viktor elmondta: több bejelentést kaptak az SMS-csalásról, sajnos sokan rá is kattintottak az URL-re. Kiterjedt víruskampányról van szó, ami több ezer embert érint hazánkban: a Kibervédelmi Intézet az elmúlt 48 órában több mint 2500 bejelentést kapott. A megfertőzött készülékek száma alacsony, de még nem adnának ki becslést erre vonatkozóan.

Mint ismeretes, a káros kód hozzáférést kap a telefon minden funkciójához és minden adathoz hozzáfér, ezálrtal tudja továbbítani az elkövetőknek. A telefonszámok nem kötődnek közvetlenül az elkövetőkhöz, sőt a linkek sem. A vírus forráskódját elemezve arra jutottak, hogy szofisztikált vírusról van szó, külön titkosítási metódust használ. A hasonló vírusokhoz képest nemcsak célszervert kell találni, hanem éppen azt is, amit az elkövetők éppen használnak. Ez versenyfutásra készteti a nyomozókat. A malware forráskódjának elemzésén hazai és nemzetközi szakemberek dolgoznak. Reális esély van a vezérlőszerver megtalálására.

Az SMS kampányhoz kapcsolódó káros kód vizsgálat során megállapítást nyert, hogy az a Flubot variánsa, amely főként pénzügyi szolgáltatások/banki adatok megszerzésére specializálódott, a funkciók alapján képes egyszer használatos jelszó (One-Time-Password / OTP) adatok ellopására is. Az SMS linkjén található malware képes hozzáférni a megfertőzött készülék SMS küldési lehetőséghez. Így a bűnözők a csaló üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más hívószámokra. A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött SMS.

Az üzenetekben be nem fizetett szállítási díjra hivatkozva pénzt, illetve adatokat próbálnak megszerezni, valamint káros kód letöltését próbálják elérni az androidos eszközök felhasználóinál. Az sms-ekben a csalók egyes esetekben linket helyeznek el, amelynek megnyitására próbálják rávenni a címzettet, például egy küldemény nyomon követésére hivatkozva. Ha az áldozat megnyitja az üzenetben kapott hivatkozást, olyan honlap jelenik meg, amely jól utánozza a valódi csomagküldő cég bejelentkezési felületét. Más esetekben alkalmazás letöltését kérik a csomagküldemény nyomon követéséhez, a feltételezett applikáció helyett azonban egy adatlopó vírus települ, amellyel a csalók majdnem minden szolgáltatáshoz hozzáférnek.

Az eddigi adatok szerint az üzenetek magyar mobilszolgáltató hálózatából érkeztek.

Az NBSZ NKI azt javasolja, hogy aki ilyen üzenetet kap, keressen rá az adott cég hivatalos honlapjára, és ott bejelentkezve ellenőrizze az üzenet valóságtartalmát. Soha ne kattintson az üzenetben lévő alkalmazás letöltésére, ha pedig mégis megnyitotta, azonnal végezzen el gyári visszaállítást az érintett eszközön. Az eddigi ismeretek szerint a kártevő az alábbi alkalmazások felhasználóit célozza.

- MKB Mobilalkalmazás
- K&H mobilbank
- Budapest Bank Mobill App
- OTP SmartBank
- UniCredit Mobile Application
- George Magyarország

Kripto tőzsdék, online Kriptotárcák:
- Blockchain Wallet
- Coinbase - Buy& Sell Bitcoin Crypto Wallet
- Binance - Buy& Sell Bitcoin Securely
- Blockchain Wallet


A malware vizsgálata alapján azonban a fenti lista változhat, ugyanis a célzott alkalmazások listája nincs előre rögzítve a kártevőben.

A fertőzésben érintett készülékek esetén a FluBot kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat.

Amennyiben a program pénzügyi vagy kriptovalutákhoz kapcsolódó alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást "elfedi" (egy ún. overlay technikával), és az eredeti alkalmazás mellett, egy az eredetihez hasonló adathalász felületet nyit meg, amely képes a felhasználói (felhasználónév, jelszó) adatok kinyerésére és továbbítására egy külső vezérlőszerverre.

Mit kell tenni?

A FluBot fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja a Kibervédelmi Intézet:

- A "FluBot Malware Uninstall" nevű alkalmazás letöltése a Google Play Áruházból, majd telepítése.
- A fertőzött készülék Wi-Fi és mobil adatkapcsolatának leállítása.
- A képernyőn megjelenő utasítások követése.
- Az utasításokat követve, a rosszindulatú alkalmazás eltávolítása.
- A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
- "FluBot Malware Uninstall" nevű alkalmazás eltávolítása.

Amennyiben a "FluBot Malware Uninstall" nevű alkalmazás segítségével a fertőzés nem szüntethető meg, abban az esetben javasolt:
- a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.) biztonsági mentés készíteni, majd
- a készülék gyári beállításokra történő visszaállítása.

A csaló üzeneteket bejelenteni a csirt@nki.gov.hu e-mail címen vagy az nki.gov.hu weboldalon lehet, a bejelentéskor meg kell adni a feladó telefonszámát és az üzenetben található hivatkozást.

A Készenléti Rendőrség Nemzeti Nyomozó Iroda kiberbűnözés elleni főosztálya nyomozást rendelt el információs rendszer vagy adat megsértése elkövetésének gyanúja miatt.