RENDORSÉG : 4550 Ft-os késedelmes fizetése van, tekintse meg a HU827494731 szamu szabalysértési aktajat: https://rendorseg.net
A látogatás
A fenti sms-t kaptam, aminek a linkje nyilvánvalóan egy adathalász oldalra vezet, s mivel kíváncsi voltam, hogyan is néz ki egy ilyen oldal, meglátogattam. A számítógépemen kerestem fel, ahol a Chrome böngésző azonnal jelezte, hogy ez egy már ismert adathalász csaló oldal.
A figyelmeztetést két kattintással ki lehet kerülni, s így beléptem a webhelyre. Ott egy olyan csaló oldal fogadott, amely a police.hu, a magyar rendőrség hivatalos oldalának a mintájára épült fel azzal a megtévesztő szándékkal, hogy a felhasználó azt gondolja, hogy a rendőrség hivatalos – a bírságok befizetésére szolgáló – oldalán jár. A mintául szolgáló hivatalos oldal ez: https://ugyintezes.police.hu/web/guest/befizetes/, míg a megtévesztő oldal így nézett ki:
Az ‘iktatószám’ mezőbe elvileg az sms-ben kapott aktaszámot kell beírni (s ez a szám minden kiküldött sms esetében ugyanaz), de teljesen mindegy, hogy mit írunk be, a következő oldal ez lesz a kattintás után:
Az oldalon futó script úgy van beállítva, hogy a bírság befizetésének a határideje pont arra a napra essen, amely napon megnyitják az oldalt.
Viszont amikor itt a ‘Fizetés’ gombra kattintottam, akkor az ingyenesen telepített AVG AntiVirus programja megszakította a kapcsolatot a rendorseg.net webhellyel, s – bolondbiztos módon – nem engedte, hogy belépjek az oldalra. Ezért nyitottam egy virtuális gépet, azon kikapcsoltam a vírusvédelmet, s úgy léptem be – ami nem jelent kockázatot, ui. a virtuális gép ‘játszótere’ el van szigetelve a gazdagéptől, s bármikor törölhetem, s léte hozhatok helyette pár kattintással egy új virtuális gépet, így ezek a virtuális gépek kiválóan alkalmasak fertőzött oldalak meglátogatására.
Ezt követően – már a virtuális gépen – az igazi adathalász oldalra jutottam el (https://rendorseg.net/pages/card.php):
Amennyibe itt megadjuk a kártyaszámot és a CVV kódot, akkor pillanatokon belül leemelik a számlánkról azt a pénzt, amit az internetes vásárlásra a számlánkon beállított napi limit megenged (azaz nem csak a 4550 ft-t).
Az oldal tesztelésénél először ‘hasból’ írtam be egy 16 számjegyű számsort, ill. a többi adatot, s a rendszerük elfogadta ezt a kamu kártyaszámot (további tesztelés során már nem fogadott el véletlen számsort !!! – ekkor már a hivatalos teszt kártyaszámot adtam meg: 4111 1111 1111 1111 – ez továbbra is elfogadta a rendszer), s egy ‘adatok feldolgozása’ ikont kaptam, miszerint ‘a betöltés akár 40 másodpercig is eltarthat.‘
Ezt követően a következő oldal töltődött be:
Itt azt az sms-kódot kérik el, amit a számlavezető bank küld el a felhasználó mobiltelefonjára, hogy ezzel hitelesítse, hogy a felhasználó kezdeményezte a tranzakciót. Ide ismét egy véletlen számsort írtam. Ezt követően ismét a ‘a betöltés akár 40 másodpercig is eltarthat.‘ képernyő következik, majd ez:
Újrafelhasznált weboldal
Az oldal címe rendorseg.net, s ez nyilván megtévesztő, hiszen a hétköznapi felhasználó általában nem tudja, hogy a magyar rendőrség hivatalos oldala, a police.hu. A megtévesztésre használt domain-t a whois oldalak szerint 2024 május 10-én regisztrálták. A kihivott.hu és hasonló oldalakon – ahol a kéretlen sms-eket küldő gyanús telefonszámokat osztják meg a felhasználók – már másnap, 2024 május 11-én megjelentek az első figyelmeztetések erről az adathalász oldalról.
Az oldalt tehát a csalók május 10-én élesítették be a rendorseg.net domain címen, maga az oldal (amit a böngésző betölt) azonban nem új, csupán egy olyan oldal, amelyet más domainekről már korábban is használtak adathalászatra. A csalók csupán az internetes címét változtatták meg, előtte ugyanis ugyintezes-hu-rendorseg.com, a rendorseg-info-hu, ill. az ugyintezespolice-hu.com, s más címeken volt elérhető ugyanez a webpage.
Viszont meg tudjuk mondani, hogy ezt a html oldalt mikor hozták létre, s mikor használták először, ugyanis az oldalon találunk egy linket – ami a rendőrség hivatalos oldaláról lett kimásolva -, s azon szerepel egy dátum: 2023 08 02.
Azaz a rendőrség honlapját utánzó oldalt 2023 augusztus 2.-án hozhatták létre – s ezen az imitált oldalon akkor ‘állt meg az idő’, míg a rendőrség hivatalos honlapján ezek a linkek, s a hozzá tartozó dátumok folyamatosan frissülnek a legújabb, naprakész tartalommal.
S elkészülte után már öt nap múlva, augusztus 7.-én már a rendőrség hivatalos honlapja figyelmeztet erre az adathalász oldalra: https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/felhivasok/figyelem-adathalasz-oldal:
Adathalász csalók a rendőrség nevével visszaélve, a közigazgatási bírság ellenőrzési felületén keresztül próbálnak bankkártya adatokat megszerezni, és valótlan befizetés kezdeményezésére hívják fel hatóságunk nevében az érintetteket.
A személyes és banki adataik védelme érdekében fontos, hogy a rendőrség e-ügyintézési portáljának elérése kizárólag a https://ugyintezes.police.hu/ honlapcím beírásával történjen.
Kérjük, hogy a www.ugyintezespolice-hu.com oldalt ne nyissa meg, azon semmilyen adatot ne adjon meg, fizetési folyamatot ne kezdeményezzen!
Whois oldalakról megtudhatjuk, hogy mikor hozták létre az oldal internetes domainjét, az ugyintezespolice-hu.com webcímet (2023 aug. 4.), s mikor változtatták meg rajta utoljára a tartalmat (2023 aug. 12.) – vélhetően ekkor lőtték ki az adathalász oldalt, s tettek fel rá egy kommersz keresőt, s az látható ma is az http://www.ugyintezespolice-hu.com webcímen. Az oldal tehát 9 napon keresztül működött 2023 augusztusában.:
Creation Date: 2023-08-04
Updated Date: 2023-08-12
Ugyanakkor a rendőrség a csaló oldal első megjelenése után 10 hónappal – idén, 2024 május 3-án – a rendőrségi honlapon (https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/matrix-projekt/ismet-probalkoznak-a-rendorseg-neveben-irt) ismét figyelmeztet, miszerint ‘ismét próbálkoznak a rendőrség nevében‘ – azaz ennek az adathalászatnak egy újabb hulláma indult meg.
Látható, hogy az sms szinte ugyanaz, azonban itt (a képen) az ugyintezes-hu-rendorseg.com domain szerepel. Ez a domain a dzdb.caida.org oldal névszerverekre vonatkozó adatai szerint 2023 október 14 és 21 között volt aktív, így a fenti rendőrségi figyelmeztetéshez betett kép vélhetően egy korábbi esetre vonatkozó illusztráció, s a rendőrségi hírben sem szerepel az akkor éppen aktuális cím.
Azaz vélhetően 2023 május elején indult meg ennek az adathalász oldalnak egy újabb akciója több domainról is, amelyeket sorban kilőhettek a hatóságok, de ugyanolyan gyorsan hoztak létre helyettük újabb domaineket a csaló oldal üzemeltetői, míg végül 2024 május 10-én elkezdett működni rendorseg.net domain is, amit a blogger meglátogatott – s ez az oldal még a bejegyzés posztolásának az idején is működik még.
A következő listán láthatjuk, hogy ez az adathalász oldal milyen domainokról működött, s követhetjük, hogy egy-egy oldal hány napig volt életben. Az alábbi oldalakban mind közös, hogy a felhasználók félrevezetéséhez a blog elején ismertetett sms-t használták, s ezek közül néhány fotóját is megmutatjuk. (A lista természetesen nem teljes.)
| domain | időszak | időtartam | |
|---|---|---|---|
| ugyintezespolice-hu.com | 2023 aug. 4. – aug. 12. | 9 nap | |
| ugyintezes-policeportal.com | 2023 okt. 9. – okt. 13 | 4 nap | |
| ugyintezes-hu-rendorseg.com | 2023 okt. 13. – 19. | 7 nap | |
| ugyintezespolice-portal.com | 2023 okt. 15. – 19. | 5 nap | |
| ugyintezes-portailrendorseg.com | 2023 okt. 18. – okt. 19. | 2 nap | |
| ugyintezes-rendorseghu.com | 2023 okt. 18. – okt. 19. | 2 nap | |
| fizesse-ki-a-birsagomat.org | 2024 jan. 14. – jan. 29. | 16 nap | |
| fizesse-ki-a-birsagot-itt.com | 2024 jan. 17. – febr. 1. | 16 nap | |
| rendorsegportal.com | 2024 ápr. 18. – ápr. 19. | 2 nap | |
| rendorseg-info.com | 2024 ápr. 22. – máj. 7. | 16 nap | |
| rendorseg-hu.net (192.3.179.68) | 2024 ápr. 24 – | élő (máj. 22) | |
| police-hu.com | 2024 ápr. 25. – máj. 10. | 16 nap | |
| rendorseg-hu.info | 2024 ápr. 28. – máj. 14. | 17 nap | |
| rendorseg-info-hu.com | 2024 május 4 – május 19 | 16 nap | |
| rendorseg.net (172.187.229.14) | 2024 május 10 – | élő (máj. 22) |
S két képernyőmentés az sms-ekről különböző netes posztokból:
S kezdetben – 2023 szeptemberében – a büntetési tétel még 10 000 ft volt, s nyilván azért ‘csökkentették’, mert egy lélektani határ alatt a felhasználók vélhetően nagyobb hajlandóságot mutatnak, hogy befizessék ezt az összeget, s így lett ez az összeg 4550 ft.
