On-lány, avagy az internetes társkeresés kockázatai
Nimsz Vivien – Bányász Péter
A koronavírus okozta gyorsabb ütemű digitalizációs fellendülés jelentős adat- és információbiztonsági kockázatokat vonzott maga után, amelynek során gyarapodtak a social engineering alapú támadások, kártékony szoftverek és az adathalászat gyakorisága. A távoktatással és a távmunka végzéssel jelentősen megnövekedett az emberek képernyő előtt töltött ideje, ezt kihasználva a potenciális támadók a legkülönbözőbb felületeken próbálják a kevésbé biztonságtudatos felhasználók személyes, banki adatait, kicsalni, legyen szó akár a digitális tanulást elősegítő videokonferencia szoftverekről, vagy éppen társkereső alkalmazásokról, amik Valentin-nap környékén különösen népszerűek. A társkereső alkalmazások esetében a csalások képlete egyszerű: a felhasználók mit sem sejtve regisztrálnak egy olyan párkereső applikációra, mint például a Tinder, majd a kevésbé biztonságtudatos egyéneket érzelmi manipuláció által megvezetik, így a csalók személyes, banki adatokat tudnak kicsalni, vagy akár konkrét pénzösszeg átutalását érik el. Ez a jelenség kitűnő példája a social engineering alapú támadásoknak.
Az online térben történő ismerkedés 2021-ben már nem számít új keletű dolognak. Az online randevúzás két évtizedes fennállása alatt globális, több milliárd dolláros iparággá nőtte ki magát. A statista.com felmérése szerint 2019-ben mintegy 26,6 millió felhasználóval rendelkezik társkereső ipar csak az Egyesült Államokban [1]. A társkereső oldalak népszerűségéhez hozzátartozik, a „romantikus csalások” számának rohamos növekedés is, az Arkose Labs kutatásai szerint 2020-ban mintegy négymillió online társkeresési csalást és visszaéléssel kapcsolatos támadást regisztráltak [2].
A Tinder esetében 400 millió letöltést és több mint 6 millió aktív előfizetőt tapasztalhatunk, ami alapján bátran kijelenthetjük, hogy napjainkban a Tinder az egyik legelterjedtebb társkereső alkalmazás. Sikerességéhez hozzájárul, hogy jelenleg 190 országban elérhető és több mint 40 különböző nyelven tudják a felhasználók igénybe venni [3]. Ebből következtetve azt is megállapíthatjuk, hogy világszerte emberek tömegei használják nap mint nap, s ez hatalmas mennyiségű adat-és információáramlással jár, melynek adatvédelmi kockázatait nem elhanyagolhatóak.
A Tinder adatvédelmi szabályzata nem árul zsákbamacskát: „Előfordulhat, hogy használunk és megosztunk nem személyes adatokat, valamint kivonatolt személyes adatokat emberi szemmel nem olvasható formátumban. Megoszthatjuk ezeket az adatokat a Match Group más vállalataival és harmadik felekkel (főként hirdetőkkel) is, hogy célzott reklámokat fejlesszenek ki és szállítsanak szolgáltatásainkban vagy harmadik felek weboldalain vagy alkalmazásaiban, és hogy elemezzék és jelentsék az általad látott hirdetéseket” [4]. Azonban mit sem ér a felhasználók számára nyújtott tájékoztatás, ha azt automatikusan, olvasás nélkül fogadják el. Az axios.com amerikai hírlap 2019-es felmérése szerint az emberek elmondása alapján ugyan fontosnak tartja, hogy megismerje az adatvédelmi szabályzatokba belefoglalt tartalmakat, ennek ellenére a gyakorlatban és az esetek túlnyomó többségében olvasás nélkül kattintanak az „elfogadom a felhasználási feltételeket” opcióra [5]. Fontos azt is megemlíteni, hogy a Tinder alkalmazás használata közben külön, az adatvédelmi szabályzaton felül engedélyt kér a marketing célú adatszolgáltatásra, viszont a társkeresés csak is kizárólag akkor folytatható, ha az ügyfél hozzájárul ehhez.
Magyarországon 2020 őszén vált elérhetővé a Tinder nagy konkurenseként számon tartott, Facebook által fejlesztett Facebook Dating, ami még jelenleg Tinderhez képest elérést tekintve nem számít az online társkeresés piacán jelentős konkurensnek, azonban ismertté válásához nagy mértékben hozzájárul, hogy a sokak által jól ismert közösségi oldalba beépülve működik, így az adatvédelmi tájékoztatója is teljesen azonos a Facebook-éval. Mindkét alkalmazás előnyeként róható fel, hogy úgynevezett biztonsági tanácsokkal látja el felhasználóit, melyben tippeket kaphatunk, hogyan kerüljük el a leggyakoribb csalási mechanizmusokat.
A biztonsági tippek bejegyzés első hallásra hatékony, célravezető és felhasználóbarát közleménynek tűnik, azonban hasonló attitűd uralkodhat a biztonsági tippek menüponttal kapcsolatosan, mint az adatvédelmi szabályzatoknál, annak ellenére, hogy nagyon is valós élethelyzetekre hívja fel a fogyasztók figyelmét. A Tinder és a Facebook Dating által publikált biztonsági tippek szekció aktualitását támasztja alá az az angol nyelvű csalási hullám, amelynek során számos gyanútlan civil felhasználót sikerült átvernie annak a bűnözőcsoportnak, akik hivatásos állomány tagjainak adták ki magukat. A támadók főképp szenzitív üzenetekkel, az érzelmekre hatva jutottak el trükkösen odáig, hogy a felhasználók jelentős pénzösszegeket utaljanak nekik [6]. 2021 januárjában szintén egy pénzügyeinkkel kapcsolatos romantikus csalásról volt hangos a külföldi sajtó, azonban ezúttal befektetési tippekkel érték el a szélhámos felhasználók, hogy az áldozatok pénzt utaljanak át. Az átverés része, egy hamis kereskedelmi alkalmazás, amellyel egy színlelt befektetési lánc folyamataiba kapcsolódtak be az áldozatok [7].
A romantikus csalások mellett a társkereső alkalmazások a nyílt forrású információgyűjtés kiinduló pontjai is lehetnek, hiszen a felhasználók olyan adatokat is megadhatnak magukról, amelyek a műveleti biztonságot vagy információbiztonságot veszélyeztetik. Egy egyenruhás kép feltöltése csábító lehet, hogy ezzel növeljük a párba állás esélyét, azonban a támadóknak irányt mutathat, hogy a párkereső értékes célpont lehet. A munkahelyünk megadása, érdeklődési körünk minél szélesebb bemutatása csak tovább növelik a profilozás lehetőségét, amelyet kihasználva könnyen a bizalmunkba férkőzhetnek, és érzékeny adatokat csalhatnak ki tőlünk, ahogy ennek veszélyére az Izraeli Védelmi Erők esetében a Hamasz katonáinak fedett akciója is felhívta a figyelmet.
Mint a fentiekből is látható, az információbiztonsági alaptétel, miszerint a felhasználó a leggyengébb láncszem, a társkereső alkalmazások esetében is érvényes.
Az információs társadalomban a társkereső alkalmazások gyakran érzékeny pontot, tabu témát jelentenek a felhasználók számára, mellyel a hackerek előszeretettel visszaélnek. Ügyeljünk személyes adataink biztonságára és törekedjünk a biztonságos internet használatra!
Felhasznált irodalom:
[1] This text provides general information Statista assumes no liability for the information given being complete or correct Due to varying update cycles és Statistics Can Display More up-to-Date Data Than Referenced in the Text, „Topic: Online Dating in the United States”, Statista, elérés 2021. február 7., https://www.statista.com/topics/2158/online-dating/.
[2] „Ward off Automated and Targeted Online Dating Fraud”, Arkose Labs (blog), 2020. június 24., https://www.arkoselabs.com/blog/ward-off-automated-and-targeted-online-dating-fraud/.
[3] „Tinder Newsroom - About Tinder”, Tinder Newsroom, elérés 2021. február 5., https://www.tinderpressroom.com/about.
[4] „ADATVÉDELMI SZABÁLYZAT”, elérés 2021. február 8., /privacy/intl/hu/.
[5] Kim Hart, „Privacy Policies Are Read by an Aging Few”, Axios, elérés 2021. február 7., https://www.axios.com/few-people-read-privacy-policies-survey-fec3a29e-2e3a-4767-a05c-2cacdcbaecc8.html.
[6] Barb Chiles, „Military Romance Scams: Are You a Target?”, Military.com, elérés 2020. október 25., https://www.military.com/spouse/military-life/military-romance-scams-are-you-target.html.
[7] Osborne Charlie, „Interpol warns of romance scam artists using dating apps to promote fake investments”, ZDNet, elérés 2021. február 8., https://www.zdnet.com/article/interpol-warns-of-romance-scam-artists-using-dating-apps-to-sign-victims-up-to-fake-investment-schemes/.