NAV-leveleknek álcázott emailekkel próbálnak pénzt szerezni adathalászok

Az állami és önkormányzati szolgáltatóknak nem kell jelenteniük, ha kibertámadás éri őket, a piaci szereplőknek meg dehogynem - közben egyre több "kormányzati szerv" nevében próbálnak pénzt kicsalni az állampolgároktól.

"Tisztelt Ügyfelünk! Az idén kifizetett összes adót az online ügyfelek számára ellenorizték. Az év végén jelentkezzen be az alábbi linkre, és hajtsa végre az alábbi lépéseket: Adja meg nevét, vezetéknevét és azonosítószámát, és erosítse meg e-mailjeit. Biztosítjuk, hogy jogod van az ebben az évben fizetett pénz visszaszerzésére Ellenorizze most Kérem jelentkezzen be az adóvisszatéritési oldalra,hogy visszaigényelheti az alapokat. Kiemelt figyelemre számíthatnak a virágot, koszorút és mécseseket árusítók. A NAV munkatársai a nyugta- és számlaadást, az online pénztárgép megfelelo üzemeltetését, valamint az alkalmazottak bejelentését vizsgálják."

Ezt a nyelvtani hibáktól hemzsegő, nyilvánvalóan adathalász e-mail-t több ezren kapták meg az utóbbi hétvégén, amelynek feladója a Nemzeti Adó- és Vámhivatal "nav.gov.hu" feladóját tartalmazta. Ez azért érdekes, mert a közelmúltban a Nemzeti Kibervédelmi Intézet vezetője, egy magas rangú rendőrtiszt azt közölte az újságírókkal, hogy már a feladónak is gyanúsnak kell lennie, az adathalászok a kormányzati intézmények gov.hu linkjét nem szokták használni. A jelek szerint tévedett.

Lapunk érdeklődésére az adóhatóság azt a korántsem megnyugtató választ adta:"általánosságban elmondható, hogy egy e-mail feladójának a „megváltoztatása" nem bonyolult. Az elektronikus levelezés hétköznapi értelemben vett felhasználója abból indul ki, hogy az e-email arról a címről érkezett, ami a levél fejlécében található, de van olyan helyzet, amikor ez egyáltalán nem így van. Ahhoz azonban már alaposabb informatikai felkészültség szükséges, hogy egy meghamisított feladójú e-mailből visszafejthető legyen az eredeti feladó email címe.

"Az Ön által említett email esetében tehát csak úgy tűnik, mintha az egy „@nav.gov.hu" végződésű címről érkezett volna, a valóságban azonban ez egy meghamisított fejlécű email. A NAV minden lehetséges lépést megtesz annak érdekében, hogy a csalók ne érjenek célt, ezért is fontos felhívni az adózók figyelmét arra, hogy ha olyan értesítést kapnak, mint amire Ön is hivatkozik, akkor ne adják meg adataikat, mert az ebből eredő károkért a NAV nem vállal, nem vállalhat felelősséget!" Arról azonban nem írtak, hogy mit tesznek a hasonló próbálkozások megakadályozására.

A NAV honlapján az olvasható, hogy soha nem kérnek e-mailen bankszámlára, vagy bankkártyára vonatkozó bizalmas adatot. A hivatal ügyfélkapun keresztül, illetve postán, adószámla-kivonaton értesíti az adózókat, ha túlfizetésük van.

Miután az adóhatóság is elismeri, hogy az adathalászok bűnismétléséről van szó, felmerül a kérdés, hogy miért nem sikerül leleplezni a bűnözőket. (Az elmúlt napokban a Tesco-val is előfordult hasonló, a kereskedelmi cégre hivatkozva 150 ezer forintos nyereményt ajánlottak fel a bűnözők "csupán három adatért.)

Az elmúlt hétvégén a Magyar Közlönyben jelent meg, hogy a kiberbiztonság javítása érdekében a kormány létrehozza a Nemzetbiztonsági Szakszolgálat (NBSZ) szervezetében működő Nemzeti Kibervédelmi Intézetet. Ezzel egy időben megszűnik a Kormányzati Eseménykezelő Központ. A cél az internetes támadások kivédése.

A kormány honlapján megjelent rendelettervezetek indoklása kiemeli, "hogy a kormányzati IT rendszerek üzemeltetői esetenként elégtelenül, vagy csak részlegesen rendelkeznek eszközrendszerrel (és kellő kompetenciával) az Internetről irányuló támadások észleléséhez, azonosításához és elemzéséhez. A biztonsági események - akár az észlelés hiánya, akár a bejelentés elmaradása miatt - nem, vagy késedelmesen válnak ismertté az NBSZ számára. Emiatt az NBSZ nem képes támogatni az incidensek kivizsgálását és elhárítását, valamint figyelmeztetni az esetleges további érintetteket. A kockázatok csökkentése érdekében szükséges egy korai figyelmeztető rendszer amelynek kiépítése folyamatban van."

Az úgynevezett bejelentésköteles szolgáltatók körébe nem tartoznak bele az állami és önkormányzati szolgáltatók, viszont bejelentésre kötelezettek az online kereskedők és a felhőalapú számítástechnikai szolgáltatást nyújtók. Az intézet a mulasztókat - illetve az egyéb szabálysértőket - 50 ezer forinttól 5 millió forintig terjedő bírsággal sújthatja. Az NBSZ egyébként köteles mind az állami, mind pedig a magán IT rendszerek sérülékenységi vizsgálatát elvégzi.