Ezt kell tenned azonnal, ha rányomtál a csaló csomagküldő SMS-re

Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ NKI), mert megnövekedett azoknak a káros hivatkozást tartalmazó sms-eknek a száma, amelyeket csalók csomagküldő szolgáltatók nevében küldenek. Csütörtök este újabb információkat tettek közzé az esettel kapcsolatban, pénteken pedig a jelenlegi járványügyi helyzetre való tekintettel Facebook live formában szervezett sajtótájékoztat tartott az ORFK, amelynek tárgya a közelmúltban egyre inkább terjedő új, csomagküldős SMS csalás, valamint az ezzel kapcsolatos nyomozás volt.

Az eseményen Bor Olivér, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet szóvivője, valamint Halász Viktor r. százados, a Készenléti Rendőrség Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztály Felderítő Osztály vezetője beszélt az esetről.

Halász Viktor elmondta: kiterjedt víruskampányról van szó, ami több ezer embert érint hazánkban: a Kibervédelmi Intézet az elmúlt 48 órában több mint 2500 bejelentést kapott. Sajnos, sokan rá is kattintottak az URL-re, ám a megfertőzött készülékek száma alacsony, de még nem adnának ki becslést erre vonatkozóan.

A tájékoztatás szerint a káros kód hozzáférést kap a telefon minden funkciójához (SMS, MMS, Bluetooth, NFC) és minden adathoz. Mivel a telefonszámok nem kötődnek közvetlenül az elkövetőkhöz, sőt a linkek sem, nehéz helyzetben vannak a szakemberek. A vírus forráskódját elemezve arra jutottak, hogy szofisztikált vírusról van szó, külön titkosítási metódust használ. A hasonló vírusokhoz képest nemcsak a célszervert kell találniuk, hanem azt is, amit az elkövetők éppen használnak. Ez versenyfutásra készteti a nyomozókat. A malware forráskódjának elemzésén hazai és nemzetközi szakemberek dolgoznak, így a rendőrség szerint reális esély van a vezérlőszerver megtalálására.

Fontos, ha telepítettük a vírust, akkor a készülékünk tovább terjeszti a káros kódot, illetve hozzáférnek a banki és pénzügyi adatainkhoz. A malware alapvető működése a pénzügyi felületek lemásolása és tükrözése, a megadott kódokat így nem a netbanknak adjuk meg, hanem a hackereknek küldjük el. Azt még nem tudni, hogy van-e magyar elkövető a nemzetközi kiberbűnözői csapatban.

Ezt kell tudni az SMS-ekről!

Az üzenetekben be nem fizetett szállítási díjra hivatkozva pénzt, illetve adatokat próbálnak megszerezni, valamint káros kód letöltését próbálják elérni az androidos eszközök felhasználóinál. Az sms-ekben a csalók egyes esetekben linket helyeznek el, amelynek megnyitására próbálják rávenni a címzettet, például egy küldemény nyomon követésére hivatkozva. Ha az áldozat megnyitja az üzenetben kapott hivatkozást, olyan honlap jelenik meg, amely jól utánozza a valódi csomagküldő cég bejelentkezési felületét. Más esetekben alkalmazás letöltését kérik a csomagküldemény nyomon követéséhez, a feltételezett applikáció helyett azonban egy adatlopó vírus települ, amellyel a csalók majdnem minden szolgáltatáshoz hozzáférnek.

Az eddigi adatok szerint az üzenetek magyar mobilszolgáltató hálózatából érkeztek.

Kik érintettek?

Az NBSZ NKI azt javasolja, hogy aki ilyen üzenetet kap, keressen rá az adott cég hivatalos honlapjára, és ott bejelentkezve ellenőrizze az üzenet valóságtartalmát. Soha ne kattintson az üzenetben lévő alkalmazás letöltésére, ha pedig mégis megnyitotta, azonnal végezzen el gyári visszaállítást az érintett eszközön. Az eddigi ismeretek szerint a kártevő az alábbi alkalmazások felhasználóit célozza.

• MKB Mobilalkalmazás
• K&H mobilbank
• Budapest Bank Mobill App
• OTP SmartBank
• UniCredit Mobile Application
• George Magyarország

Kripto tőzsdék, online Kriptotárcák:

• Blockchain Wallet
• Coinbase - Buy& Sell Bitcoin Crypto Wallet
• Binance - Buy& Sell Bitcoin Securely
• Blockchain Wallet

A malware vizsgálata alapján azonban a fenti lista változhat, ugyanis a célzott alkalmazások listája nincs előre rögzítve a kártevőben.

Ez történik, ha kattintunk

A fertőzésben érintett készülékek esetén a FluBot kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat.

Amennyiben a program pénzügyi vagy kriptovalutákhoz kapcsolódó alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást "elfedi" (egy ún. overlay technikával), és az eredeti alkalmazás mellett, egy az eredetihez hasonló adathalász felületet nyit meg, amely képes a felhasználói (felhasználónév, jelszó) adatok kinyerésére és továbbítására egy külső vezérlőszerverre.

Mit érdemes tenni?

A FluBot fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja a Kibervédelmi Intézet:

• A "FluBot Malware Uninstall" nevű alkalmazás letöltése a Google Play Áruházból, majd telepítése.
• A fertőzött készülék Wi-Fi és mobil adatkapcsolatának leállítása.
• A képernyőn megjelenő utasítások követése.
• Az utasításokat követve, a rosszindulatú alkalmazás eltávolítása.
• A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
• "FluBot Malware Uninstall" nevű alkalmazás eltávolítása.

Amennyiben a "FluBot Malware Uninstall" nevű alkalmazás segítségével a fertőzés nem szüntethető meg, abban az esetben javasolt:

• a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.) biztonsági mentés készíteni, majd
• a készülék gyári beállításokra történő visszaállítása.

A csaló üzeneteket bejelenteni a csirt@nki.gov.hu e-mail címen vagy az nki.gov.hu weboldalon lehet, a bejelentéskor meg kell adni a feladó telefonszámát és az üzenetben található hivatkozást.

A Készenléti Rendőrség Nemzeti Nyomozó Iroda kiberbűnözés elleni főosztálya nyomozást rendelt el információs rendszer vagy adat megsértése elkövetésének gyanúja miatt.

---

Több százezer érintettje lehet Magyarországon a csomagküldős sms-csalásnak

Több ezer, de akár több százezer érintettje is lehet az új, csomagküldős sms-csalásnak Magyarországon, de a kárt szenvedők száma valószínűleg elenyésző - mondta a Készenléti Rendőrség Nemzeti Nyomozó Iroda kiberbűnözés elleni főosztálya felderítő osztályának vezetője pénteki online sajtótájékoztatóján.

Halász Viktor közölte: két napja kaptak először bejelentéseket az sms-ben, androidos készülékeken terjedő vírus - úgynevezett FluBot malware-rel (rosszindulatú szoftverrel) kapcsolatban. Az sms-ekben a csalók egy csomagküldő szolgálat linkjét helyezték el, amelynek megnyitására próbálják rávenni a címzettet, egy küldemény nyomon követésére hivatkozva.

Hozzátette, sokan kattintottak a linkre, így a FluBot települt a telefonjukra.

Kifejtette, hogy a káros program forráskódjának elemzéséből kiderült, nagyon "szofisztikált" vírusról van szó: a nyomozóknak nem elegendő megtalálniuk az úgynevezett vezérlőszervert, amellyel a program kommunikál, hanem több ezer szerver közül kell kiválogatni azt, amelyet az elkövetők éppen használnak.

Az osztályvezető elmondta azt is, mivel a vírus titkosított csatornán kommunikál, pontosan nem tudják, hogy milyen információkat oszt meg az elkövetőkkel. A forráskódból azonban megállapítható: az alapvető feladata, hogy lemásolja a banki, illetve a kriptovaluta felhasználói fiókokhoz kötődő felületeket és megszerezze például a belépési kódokat.

A rendőrség információs rendszer vagy adat megsértésének bűncselekménye miatt indított nyomozást az ügyben. Halász Viktor elmondta: felvették a kapcsolatot az Interpollal, mert nemzetközi bűnözői kör állhat a kártékony program mögött.

Hozzátette, a spanyol hatóságok március elején letartóztattak több embert, aki részt vett a vírus terjesztésében. A letartóztatásig 60 ezer telefont fertőztek meg és mintegy 11 millió telefonszánhoz fértek hozzá Spanyolországban. Bár a rendőrségi akció után megtorpant a vírus terjedése, néhány nappal később megint aktivizálódott, ami arra utal, hogy még több elkövető lehet.

Arról egyelőre nincs információ, hogy az elkövetők között lennének magyarok is - mondta kérdésre válaszolva az osztályvezető.

Több ezer, de akár több százezer ember is kaphatott ilyen sms-t Magyarországon, de ez nem jelenti azt, hogy mindegyikük telefonja meg is fertőződött - válaszolta egy másik kérdésre.

Mivel a hatóságok gyorsan reagáltak és figyelmeztették az embereket, valószínűleg sikerült megelőzni a nagyobb bajt, és a megfertőzött eszközök száma alacsony maradhatott - tette hozzá.

Halász Viktor hangsúlyozta, egyelőre nem kaptak arról bejelentést, hogy valóban visszaéltek volna valamely cég vagy magánszemély banki adataival, illetve a kriptovaluta-tárcájából emeltek volna le összegeket. Olyan információkat azonban kaptak, hogy egy adott telefonról mintegy 1700 sms-t küldött ki a vírus - fűzte hozzá.

Kérte, hogy akit a csalók megkárosítottak, jelentkezzen a kiber@nni.police.hu címen.

Bor Olivér, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetének (NBSZ NKI) szóvivője az online sajtótájékoztatón azt mondta, két nap alatt több mint 2500 bejelentést kaptak a sms-ben terjedő "káros kódról".

Kifejtette, ha valaki megnyitja az sms-ben kapott linket, általában egy nagy nemzetközi futárcég honlapjának kinéző oldal töltődik be. A kiberbűnözők ezután arra próbálják rávenni az áldozatokat, hogy erről a hamis honlapról töltsenek le egy applikációt a telefonjukra, ez - az ígéret szerint - abban segít, hogy nyomon követhessék a csomagjaikat.

Arra hívta fel a figyelmet, hogy aki letölti az applikációt, egyben telepíti a vírust is a telefonjára; a vírus innentől hozzáfér majdnem minden funkcióhoz, képes sms-t, mms-t küldeni és fogadni, de használhatja a bluetootht, megszerezheti a netbankhoz és a kriptovaluta tárcához tartozó jelszavakat is.

Hozzátette, az sms-hez hozzáférés biztosítja a vírus terjedését, hiszen az adott készülék telefonkönyvét használja, hogy újabb sms-eket küldjön ki, amelyek tartalmazzák a már említett linket.

A szóvivő hangsúlyozta, ha valaki már rákattintott a linkre, a legbiztosabb megoldás, hogy visszaállítja a telefont az eredeti, gyári állapotra. Az érintetteknek érdemes megváltoztatniuk a banki felületeikhez tartozó jelszavaikat is - figyelmeztetett Bor Olivér.

Hozzátette, hogy az NBSZ NKI honlapján elérhető egy olyan applikáció, amellyel le lehet törölni a káros programot, de ha ez nem hatásos, akkor az egyetlen megoldás a gyári állapotra visszaállítás marad

(MTI)