Az adathalászat a pszichológiai manipulációs támadások egy formája, amely során az elkövető egy megbízható személynek vagy szervezetnek – például egy banknak – adja ki magát, és így próbál meg érzékeny információkat (pl.: jelszó, bankkártya adatok) szerezni az áldozattól. Mára már rengeteg adathalász módszert fejlesztettek ki a támadók, egyre nehezebb felismerni és elkerülni őket.
A leggyakoribb adathalász technika a „phishing”, amikor a csalók egy valós pénzintézet e-mailjéhez nagyon hasonló levelet küldenek az áldozatnak. A hasonlóság érdekében felhasználják a bank logóját, a valódi e-mail kinézetét és stílusát, néha még korábbi (hamis vagy valós) levélváltások részleteit is. Általában arra kérik a címzettet, hogy kattintson egy hivatkozásra, ami egy hamis banki oldalra visz. Mivel az oldal sokszor megtévesztésig hasonlít a törvényes mására, így a gyanútlan áldozat eleget tesz az utasításainak, és megadja a személyes vagy pénzügyi adatait. Az adathalászok nemcsak a pénzintézetek honlapjait szokták meghamisítani, webáruházak oldalaival is előfordul, hogy lemásolják és csaláshoz használják fel őket.
Az ilyen típusú csalások egyik legrégebbi formája, a „nigériai típusú csalás” már a 19. század végén is elterjedt volt, csak akkor még postai úton folyt ez a fajta megtévesztés. Ennél a megtévesztési technikánál a csaló e-mailben vagy egy közösségimédia-oldalon segítséget kér az áldozattól, rendszerint pénz utalás formájában, ami meg is történik, mert a címzettet meghatja a történet, amivel a csaló a segítségkérését indokolja. Ezek a történetek általában jogtalanul elvett örökségről, valamilyen okból átmenetileg hozzá nem férhető nagyobb pénzösszegekről szólnak. A csaló a hitelesség kedvéért még valósnak látszó, de hamis profillal, vagy eredetinek tűnő, de fiktív iratokkal is igyekszik alátámasztani a történetét. A segítségért cserébe busás jutalmat ígér, amit aztán az áldozat, miután segített visszaszerezni az afrikai herceg gyémántbányáját, természetesen sohasem kap meg. Kifejezetten érdemes felhívni az idős hozzátartozók, ismerősök figyelmét erre a típusú csalásra!
Az „evil twin phishing” – amikor a támadók egy hamis wifi hálózatot hoznak létre –, az egyik legnehezebben felismerhető adathalász módszer. Az emberek azért nem veszik észre a csalást, mert a csalók egy ismert, legitim hálózattal azonos nevű hamis hozzáférési pontot hoznak létre. Miközben az áldozat a hálózathoz csatlakozva telefonozik, megfigyelik az online forgalmát és így értékes információkhoz, pl.: jelszavakhoz jutnak hozzá.
Néhány módszer bemutatása után felmerülhet bennünk a kérdés, hogy mégis hogyan lehet ezeket a támadásokat kivédeni? A phishing esetén érdemes az emailt alaposan megvizsgálni, megnézni, hogy milyen a nyelvezete, a helyesírása, a hangneme. Általában a hamis levelek nyelvezete furcsa, tartalmaznak helyesírási hibákat és sürgető hangneműek. Ha a nyelvezet alapján nem tűnik gyanúsnak, akkor érdemes szemügyre venni a feladó címét, amiben a nulla például nagy „o” betűnek tűnhet. Emellett már az is gyanakvásra adhat okot, hogy már magában az emailben bizalmas adatokat kérnek, mert a bankok sosem szoktak ilyet tenni. A nigériai típusú csalásnál is a levél nyelvezetére érdemes figyelni, általában sok bennük a nyelvtani és a stilisztikai hiba. Ha a leírt történetről az a benyomásunk, hogy ez túl szép ahhoz, hogy igaz legyen, akkor hallgassunk a megérzésünkre, és ne foglalkozzunk vele. Már az sem igazán reális, hogy ismeretlenek könnyű meggazdagodási lehetőséget ajánlanak. Az evil twin phishing-nél a támadást úgy lehet kivédeni, hogy kerüljük a nyilvános wifi hálózatok használatát, ha pedig mégis rácsatlakozunk egyre, akkor az alatt az idő alatt nem használunk olyan oldalakat, amiken felhasználónevet és jelszót kell megadni. Emellett érdemes kikapcsolni a telefonon az automatikus kapcsolódás wifi hálózatokhoz funkciót.
Mi a teendő akkor, hogyha már megtörtént a baj? Az emberek többsége szerint ilyenkor a banknak kell megfizetnie az okozott károkat. De vajon tényleg minden esetben köteles megtéríteni a bank a számlatulajdonos által kiadott adatok alapján ellopott pénzt? A pénzügyi szolgáltatók ilyen esetben fennálló felelősségét a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény szabályozza. A törvény 37. paragrafusának (1) bekezdése szerint: „Fizetési művelet teljesítésére akkor kerülhet sor, ha azt a fizető fél - azaz a számla tulajdonosa - előzetesen jóváhagyta.” Mivel az adathalász csalások esetében az utalást nem a tulajdonos, hanem a csalók indítják, így ez egy jóvá nem hagyott fizetési művelet. Ebben az esetben a 44. § (1) bekezdése értelmében a bank köteles megtéríteni az elveszett összeget, és helyreállítani a számla megterhelés előtti állapotát. Viszont a törvény tartalmaz egy kivételt is: a 45. § (3) bekezdése értelmében „A pénzügyi szolgáltató mentesül ezen felelőssége alól, hogyha bizonyítja, hogy a kárt a számlatulajdonos csalárd módon eljárva, vagy a személyes hitelesítési adatai biztonságban tartására vonatkozó kötelezettségeinek szándékos, vagy súlyosan gondatlan megszegésével okozta.” Ugyanis a 40. § (1) bekezdése szerint: „Az ügyfél köteles a készpénz-helyettesítő fizetési eszköz és annak használatához szükséges személyes hitelesítési adatai biztonságban tartása érdekében az adott helyzetben általában elvárható magatartást tanúsítani.” Összefoglalva tehát a banknak annak érdekében, hogy mentesüljön az ellopott pénz visszatérítése alól, első körben azt kell bizonyítania, hogy az utalást a számlatulajdonos jóváhagyta. Hogyha ezt nem tudja, akkor azt kell bizonyítania, hogy a kárt a számlatulajdonos csalárd eljárása vagy kötelezettségeinek szándékos, vagy súlyosan gondatlan megszegése okozta. Az adathalász csalásnál leginkább a súlyos gondatlanság jöhet szóba, így a banknak arra a kérdésre kell bizonyítékot találnia, hogy a csalásnál utalt-e valami arra, hogy az áldozatot kár fogja érni akkor, amikor a hamis oldalon megadta az online bankfiókjának adatait. Ezt a kérdést minden perben egyedileg vizsgálják, és számos eseti döntés tárgya volt (pl.: BDT.2002.641.). A joggyakorlatról az állapítható meg, hogy a fogyasztó érdekeit védi az ilyen esetekben, ám attól még mi, fogyasztók is legyünk óvatosak, és figyeljünk oda a megtévesztés jeleire, ne hagyjuk, hogy becsapjanak!
