Durván nő a banki kibercsalások száma – így védekezhet ellenük
Ördögi rafináltsággal, kíméletlenül húzzák le jóhiszemű emberek tömegeinek számlájáról megtakarításaikat az online piactérben garázdálkodó csalók, akik feltehetőleg kiterjedt bűnszervezetekben, elképesztő rutinnal működnek. Leginkább a másik fél naivitására, figyelmetlenségére építenek ezek a bűnözök, és bár számtalan trükk van forgalomban és nincs egyetlen recept a megelőzésre, leginkább mégis rajtunk múlik, hogy ki tudjuk-e védeni a bankszámlánkat, bankkártyánkat célzó támadásokat.
Andráshoz egy kellemes tavaszi estén látogatóba érkezett a fia. Vele és a feleségével beszélgetett éppen a nappaliban, amikor üzenetet kapott. A Jófogáson 5000 forintért meghirdetett ágybetétre jelentkezett valaki. Egy email címet kért, ahová elküldheti a Foxpost oldalt, amin keresztül az eladó elindíthatja a csomagküldést. András szerette volna inkább személyesen átadni a terméket, mert nem fűlt a foga a procedúrához, de a fia unszolására mégis belevágott. Megadta az email címét a Jófogás üzenőfalán. A vevő erre azt írta, ő már ki is fizette az árut, a Foxpost mindjárt küld egy emailt Andrásnak, amelyen keresztül ellenőrizheti a kifizetést. Az email fiókjában valóban ott várta a csomagküldő társaság logóival ellátott levél, igaz, nem foxpostos címről érkezett, de ez Andrásnak nem tűnt fel, mivel még sosem kellett hasonlót csinálnia. Gyanútlanul rákattintott a levélben található linkre, amelyen keresztül le akarta ellenőrizni, megjött-e az utalás, és ezzel a kattintással elindult a történet, ami pár perc alatt rémálomba fordult.
Magyarországon 2021 óta exponenciálisan nőnek a banki adatokkal elkövetett kibercsalások, olyannyira, hogy ma már nincs olyan ember, akinek az ismeretségi körében ne ért volna valakit ilyen bűncselekményből származó kár. A rendőri eljárásban regisztrált online térben elkövetett csalások száma 2020-ban 5641, míg 2022-ben már 11 389 volt. Ez a probléma a bankokat is egyre súlyosabban érinti, mivel az ügyfelek kárának egy részét bizonyos esetekben magukra vállalják a pénzintézetek. Hiába működnek jól az azonos számlaszámra való sűrű utalást ellenőrző informatikai rendszerek, az emberi faktor még mindig „bezavar”.
A potenciális veszélyre felhívó, sürgető hangvételű, bankinak álcázott telefonhívások, a gyanútlan, internetes oldalakon járatlan felhasználók megvezetése újra és újra beválik.
András az első hibát akkor követte el, amikor elhitte, hogy átutalhatták neki a pénzt, holott a Jófogáson keresztül ezt biztosan nem tehették meg. A második hiba, amit vétett, hogy megadta az email címét, ahová befutott a levél. Az sem tűnt fel neki, hogy a feladó címében a csomagküldő cég neve helyett csak az „icloud” kifejezés szerepelt. Rákattintott a Foxpost logóival ellátott levélben kapott linkre és innentől kezdve a csaló lényegében minden lépését látta.
Hogy érthető legyen a dolog mechanizmusa, részletesen leírjuk, ami ezután következett.
- Feljött egy weboldal 20-30 bank logójával, amelyből András kiválasztotta számlavezető bankjának linkjét és ráklikkelt. A csaló innen tudta, a saját gépén melyik pénzügyi szervezet netbankjába fog belépni, ha sikerül elérnie, hogy András beírja az általa is látott kamu oldalra a jelszavát.
- Andrásnál megnyílt a kamu netbank oldal, a felhasználónév sávjában már ott díszelgett a saját email címe, neki csak a jelszót kellett bepötyögnie. Ezt meg is tette, mire jött egy sms a telefonjára, a biztonsági kóddal, amelyet egy következő – szintén kamu – oldalon szépen beírt, hogy továbbléphessen a számlafiókjába. Az összes kódot, amit ő az otthoni gépén beírt, a csaló vele párhuzamosan beütötte a valódi netbank oldalán, így lépésről lépésre beljebb jutott a rendszerben.
- Ekkor András telefonja újra pittyent, újabb kód érkezett. Ezzel párhuzamosan a kamu banki oldalon egy chat ablak ugrott fel, amin keresztül arra kérték, üsse be a kódot, amit sms-ben kapott. András automatikusan teljesítette a kérést, hiszen úgy tudta, a saját netbankjában van. Ezzel a kóddal a támadó regisztrálta a saját mobiltelefonját az áldozat netbankjában, ahol felvette magát az üzleti partnerek közé. Ehhez szüksége volt még egy kódra, amit megint csak megszerzett Andrástól. Ezt azért tartotta fontosnak, hogy ne kérjen tőle minden utalás előtt megerősítő kódot a bank. Bizonyos esetekben ugyanis a szerződéskötéskor úgy állapodik meg az ügyfél a bankkal, hogy az csak akkor kérjen tőle biztonsági kódot, ha akinek utal, még nincs a regisztrált partnerek között.
Amit tehát megtehetünk a saját bankszámlánk biztonsága érdekében, például az, hogy beállítjuk, hogy minden utalás előtt kérjen megerősítő kódot tőlünk a rendszer.
Elkezdődtek az utalások. Az elsővel 46 ezer forintot húztak le a családi bankszámláról. Itt a csaló biztosra akart menni, mert ha 50 ezerre lett volna beállítva az utalási limit Andrásék számláján, úgy is pénzhez jut. A második utalás, ugyanilyen elv alapján, 146 ezer forintról szólt, tesztelve a 150 ezres határt. A harmadik, 195 ezerről szóló utalás után András bankja észlelte, hogy baj van és stratégiai hibát követett el: ahelyett, hogy zárolta volna a számláját vagy kitiltotta volna az utalások elindítóját, a saját netbank hozzáférését tiltotta le. Így hiába vált világossá számára, hogy csaló garázdálkodik a számláján, többé nem tudott belépni a saját fiókjába.
Fontos tanulság: ne csak a kártyás vásárlásokhoz, a banki átutalásokhoz is állítsunk be limitet!
Igaz, hogy ezt kicsit macerásabb elintézni, mert – értelemszerűen – csak a bankfiókban, személyesen változtathatunk rajta, viszont növelheti a számlánk biztonságát.
András fia szerencsére észnél volt, tudta, hogy a szüleinek közös számlája van, így az ő ötletére beléptek a netbankba az asszony jelszavával. Mire bekapcsolták a feleség számítógépét és beléptek a rendszerbe, lement további 6-7 utalás. Ezek közt voltak párszáz forintos, különböző szeretetszolgálatok számlájára utalt összegek, annak érdekében, hogy a bank ne fogjon gyanút a sok, ugyanarra a számlára történő utalás miatt. A csaló nem tudta, hogy a bank már a harmadik utalás után észlelte, hogy baj van. Andrásék végre beléptek a netbankba és a főszámlán maradt összes pénzt kimenekítették a fiuk számlaszámára. Ekkor kissé megnyugodott a család, mert azt hitték, több kár már nem érheti őket. Tévedtek. Volodimir a megtakarítási számlájukon lévő egymillió forintot is átutalta a főszámlára és az egymillió-kétszázezres hitelkeretet is kimaxolta. Andrásék ezzel csak később szembesültek, eközben ugyanis mással voltak elfoglalva.
Amikor észlelte, hogy valaki lopja a pénzüket, András azonnal felhívta a bankot. Az ügyfélszolgálatot nem érte el, mindvégig csak a zenét hallgatva várakozott arra, hogy kapcsolatba kerüljön egy ügyintézővel. Eközben érkezett egy hívás a telefonjára a bank háttérműveleti osztályától, a hívószám alá azonban az volt kiírva: „POTENCIÁLIS CSALÓ”, így András nem szakította meg a saját hívását és nem fogadta a bejövőt. Szerencséjükre a fiuk számát is megadták annak idején a banknak, így hamarosan ott próbálkozott a háttérműveleti osztály. Az ő telefonja is potenciális csalóként tüntette fel a bankot, amelytől a hívás érkezett, ám ezt a hívást most – nem sok bizalommal, de – fogadták. A banki szakember jelezte, hogy gyanús utalásokat észlelt és feltette a kérdést, András utalgat-e. A nemleges válaszra belefogott az ügyfél azonosításába. A hosszadalmas procedúra alatt mindhármukban felmerült, nem a csaló hívta-e őket annak érdekében, hogy húzza az időt és ők ne tudjanak intézkedni a bankszámlájuk védelme érdekében. Mire sikerült beazonosítani a számlatulajdonost és a bank jelezte, hogy intézkedik, körülbelül negyed óra telt el az első utalástól számítva. Ezalatt a rabló már legalább 15-20 utaláson túl volt. Mivel a bank a hívás után sem tett semmit, a csaló innentől még negyed órán át utalgatott. Összesen fél óra alatt, huszonnyolc utalással, négymillió forintot lopott el a családtól. A folyamatnak az vetett véget, hogy elfogyott a pénz a számláról. A dolog március 22-én este történt, ám a bank csak április 4-én próbálta meg visszahívni a pénzt, de addigra már zárolva volt a belgiumi számla. A számítástechnikai védvonal tehát, úgy tűnik, jól működött a banknál, de minden, ami az embereken múlt, rosszul.
A bűnözőről azóta sem derült ki több, mint hogy Volodimir a neve és egy belga bankban nyitott számlára utalta át a lopott összeget. Itt jegyezzük meg, hogy Andrásék rendőrségi feljelentést is tettek, de arra a kerületi rendőrkapitányságtól a mai napig még csak vissza sem jeleztek. Tudunk azonban olyan esetről, ahol a csalók nem voltak ennyire rutinosak. A Zalaegerszegi Járásbíróság éppen júniusban hozott ítéletet egy pár ügyében, akik 314 ezer forint értékben csaltak ki pénzt potenciális vevőiktől, akik az általuk meghirdetett, ám soha el nem postázott tárgyakra utaltak a számlájukra, jóhiszeműen, előre. A férfi, aki éppen felfüggesztett börtönbüntetését töltötte, három év próbaidőt, a nő kettőt kapott. Őket nyilván azért tudta elkapni a rendőrség, mert nem zárolták a számlájukat „időben”. A hibás magyarsággal írt sablonüzenetek és az orosz/ukrán hangzású néven nyitott külföldi bankszámlák mögött azonban valószínűleg komoly és kiterjedt bűnszervezetek állnak. Az elkövetői módszerek egyre kifinomultabbak, a külföldi elkövetők pedig többször magyar személyeket is bevonnak a bűncselekmények végrehajtásába – áll az ORFK által lapunkhoz eljuttatott válaszok között.
A Magyar Nemzeti Bank június 26-án közzétett Fizetési rendszer jelentése szerint a hazai kibocsátású kártyákhoz kapcsolódó visszaélések száma 2022-ben 74 százalékkal nőtt, értéke több mint megduplázódott, egészen pontosan 135 százalékkal emelkedett, a nem bankkártyákhoz kapcsolódó visszaélések száma pedig több mint duplájára, értéke 256 százalékkal növekedett. Csak, hogy legyen fogalmunk arról, mindez milyen nagyságrendű összegeket jelent,
a jelentésben összegzett 5971 nem kártyás visszaélési eset 9 milliárd forint értéket képviselt. Ehhez képest a kártyás visszaélésekkel tavaly 1263 millió forintot loptak el az ügyfelektől, a tényleges kár azonban jóval nagyobb volt, hiszen ezen felül 837 millió forintot a kibocsátó bank vállalt magára.
Lapunk kérdésére a Magyar Nemzeti Bank osztályvezetője, Bodnár Előd úgy fogalmazott:
– Mind európai, mind világviszonylatban elmondható, hogy Magyarországon kevesebb az elektronikus pénzforgalomban megfigyelhető visszaélések aránya, a magyar fizetési rendszerek tehát biztonságosnak tekinthetők. A csalók legtöbbször nem a banki rendszereket, inkább az ügyfeleket célozzák, a visszaélések esélyét tehát az ügyfelek felkészültsége, pénzügyi tudatossága csökkentheti.
A csalásokból keletkezett ügyfélkár pár tízezer forinttól akár több tízmillió forintig terjedhet. Mivel a visszaélések egyre inkább megtévesztésen alapulnak és ebben az esetben sokkal nagyobb az ügyfél felelőssége, az ügyfelekre terhelt kár értéke tavaly 172 százalékkal nőtt. A romló statisztikákat látva az MNB, a Magyar Bankszövetség, az NMHH, az NBSZ-NKI, illetve az ORFK Kiberpajzs néven oktatási és kommunikációs együttműködést indított, amelyhez időközben az Igazságügyi Minisztérium és a Szabályozott Tevékenységek Felügyeleti Hatósága is csatlakozott.
Annak érdekében, hogy az ügyfelek felismerjék az érzelmi manipulálásukra és megtévesztésükre alapuló csalási mintázatokat, a trükköket összeszedték és közérthetően leírták a kampány weboldalán. Általánosságban elmondható, hogy az utóbbi időben csökkent az adathalászat jelentősége, helyette internetes, postai és telefonos megrendelésekkel kapcsolatosan, illetve pszichológiai manipulációval érik el a legtöbb visszaélést.
– Az MNB adatai szerint hónapról hónapra változik, hogy éppen mely csalástípus a leggyakoribb, de rendszeresnek számítanak az online piactereken történő visszaélések akár vevői, akár eladói oldalon, valamint a hamis banki telefonhívások, melyekben banki ügyintézőnek kiadva magukat ráveszik az ügyfeleket adataik megadására és/vagy távoli elérést lehetővé tevő szoftver telepítésére – mondja Bodnár Előd, aki hozzáteszi, jelenleg a leggyakrabban a telefonhívásos és SMS üzenettel induló ügyekkel találkozhatunk, ugyanakkor továbbra is nagy számban operálnak adathalász e-mailekkel, de ezekből valamivel kisebb eséllyel lesz sikeres csalás.
Mivel a csalások sokfélék, nincs egyetlen recept az elkerülésükre, vannak azonban bizonyos irányelvek, amelyeket ha magunkévá teszünk, jó részükkel szemben felvértezhetjük magunkat:
- Soha ne adjuk meg az adatainkat illetékteleneknek, illetve gondoljuk végig, hogy életszerű-e a helyzet, amelybe sodornak minket! (Ha például nekünk szeretnének fizetni, akkor miért lenne szükség az internetbanki belépési adatainkra? Vagy mennyire valószínű, hogy az egyik bankból átkapcsolnak egy hívást egy másik bankba?)
- A csalókra jellemző, hogy sürgetnek, próbálnak nyomás alá helyezni, hogy megijedjünk, hibázzunk, kapkodjunk. Ezért is fontos, hogy az ijedtség ellenére gondoljuk át a helyzetet. Ilyen esetben szakítsuk meg a hívást és a hivatalos számon hívjuk fel a bankunkat/szolgáltatónkat, ott érdeklődjük meg, hogy van-e teendőnk.
- Nézzük meg, milyen címről jön az email, amit megnyitunk és ha a cím nem áll kapcsolatban a céggel, bankkal, amelynek a logója benne szerepel, töröljük azonnal.
- Nézzük meg, milyen weboldalon vagyunk, mielőtt bármilyen jelszót vagy biztonsági kódot beírnánk. Ha a webhely címe mellett kis lakat található, illetve ha szerepel a címben a http után az „s” betű, amely a security, azaz a biztonság jele, akkor jó helyen járunk.
- Állítsunk be napi utalási limitet. Az emberek nagy része a kártya elvesztésétől való félelmében csak vásárlási limitet állít be, ez azonban nem tévesztendő össze a banki utalásokra beállítható korlátozással.
- Szintén a banknál intézzük el, hogy a netbankban történő minden utalásról kérjen megerősítő kódot a rendszer.
- Merüljön fel bennünk a gyanú, ha rossz magyarsággal írt, valamilyen futárszolgálatra vagy csomagküldő szolgálatra hivatkozó üzenetet kapunk az online piactéren árusított termékünkkel kapcsolatban.
- Fussuk át a Kiberpajzs oldalán összegyűjtött egyéb tanácsokat is!
Bodnár Előd szerint, ha elkövettük azt a hibát, hogy kiadtuk a banki adatainkat és észleljük, hogy azokkal visszaélnek, azt első körben a bankunknak érdemes azonnal jelezni, mivel a leghatékonyabban a bank tudja megelőzni a további károkat. Hogy miért fordul elő mégis, hogy a bank átvállalja a keletkezett kár egy részét? Azért, amit András történetében is olvashattunk: mert hibázhat. Azt, hogy milyen esetben kell vállalnia a banknak a felelősséget, szintén megtudhatjuk a Kiberpajzs oldaláról. Eszerint kicsi az esélyünk a pénzünk visszaszerzésére, ha a mi aktív közreműködésünkkel szerzik meg azt a digitális adathalászok. Ráadásul
a fogyasztó súlyos, szándékos gondatlansága esetén a pénzforgalmi szolgáltatónak nincs kártérítési kötelezettsége sem. Ugyanakkor a bank elutasító válasza még nem jelenti feltétlenül azt, hogy a pénz nem jár vissza.
A károsult ügyfél a bank válaszának ismeretében fogyasztóvédelmi eljárást kezdeményezhet az MNB-nél, kérheti a jegybankon belül működő Pénzügyi Békéltető Testület eljárását és bírósághoz is fordulhat.
Bár arra a kérdésünkre, hogy általában milyen esélyei vannak a rendőrségnek az ilyen jellegű bűnelkövetők felderítésére, az ORFK úgy fogalmazott: a büntetőeljárás sikerességét nagy mértékben befolyásolja, hogy a sértett a tudomásszerzést követően mikor tesz feljelentést, András példája ennek némiképp ellentmond. Bodnár Előd szerint hasznos, ha a rendőrséget is értesítjük, csalók próbálnak hozzáférni a pénzünkhöz, az érintett pénzintézetet, amelynek a nevével vissza próbáltak élni, illetve az MNB-t azonban mindenképp tanácsos értesíteni a kísérletről.
Hogy valami jó hírrel is szolgáljunk, András története a drámai fordulatok ellenére happy end-del zárult. Eltelt két és fél hónap az ominózus tavaszi este óta, és rengeteg utánjárást, emailt és telefonhívást követően június 3-án, épp ugyanolyan tételekben, ahogy eltűnt a számlájukról a pénz, huszonöt utalással visszakapták a banktól mindazt, amit azután emelt le a csaló a számlájukról, hogy a bank zárolta András hozzáférését a netbankjához. Sajnos azonban nem mindenkinek van ilyen „szerencséje”. Számtalan kétségbeesett áldozat siratja hiába a pénzét – előfordul, hogy egy élet megtakarítását –, amelyet soha nem kap vissza.
Nyitókép (illusztráció): MTI/Kovács Attila
Ezt a cikket nem közölhettük volna olvasóink nélkül. Legyen támogatónk a Donably-n, a biztonságos, magyar fejlesztésű előfizetési platformon. Paypal, utalás és más lehetőségek itt >>>
