A csalárd fizetési műveletek esetében egy dolog egyértelmű. Az, hogy a csalások minden ismert típusa az ügyfeleket veszi célba. Az adatok, az információk és a hozzáférés az, ami a csalást sikeressé teszi. A célzott támadások sokféle formát ölthetnek: SMS, e-mail, WhatsApp, telefonhívások, hirdetések vagy akár hamis banki oldalak. Előbb vagy utóbb mindenki szembesülhet azzal, hogy a csalók megpróbálják megszerezni az érzékeny adatait. Érdemes tehát felkészültnek lenni. A Pénzügyi Békéltető Testület (PBT) tapasztalatai azt mutatják, hogy az ügyfelek sokat tehetnek azért, hogy az ilyen rémálmok ne következzenek be – írja az MNB a 2023. június 07-én megjelent tájékoztatójában.
| Támadás helye | Megszerzett információk | Következmény |
| SMS, e-mail, WhatsApp, telefonhívások | Adatok, információk és hozzáférés megszerzése | Érzékeny adatok ellopása, hamis banki oldalak felhasználása |
| Rendszeres közüzemi számlák | Bankkártyaadatok megadása a fizetés során | Csalók digitalizálják a hitelkártyát, milliós kárt okoznak |
| SMS-ben kapott kódok helytelen interpretálása | Aktiválási kód helyett mobilfizetési szolgáltatásba való beszúrás | Csalók vásárlásokat hajtanak végre a hitelkártyával |
| Keresőmotorokból vagy e-mailekből származó linkek | Hamis weboldalak megnyitása | Adathalászok megszerzik az ügyfél banki adatait |
| SMS-ben kapott kódok átadása az áloldalakon | Csalók telepítik a mobilalkalmazást és jogosulatlan kifizetéseket hajtanak végre | Jogosulatlan tranzakciók és nagy összegű kifizetések |
| Adathalász telefonhívások és üzenetek | Jelszavak és kártyaadatok megszerzése | Jogosulatlan banki tranzakciók és csalások |
| Távoli hozzáférési alkalmazások | Csak engedélyezett hozzáférés adható | Személyes bankszámlákhoz való illetéktelen hozzáférés |
| Átutalások megtétele megbízhatónak tűnő számlákra | Befektetett összegek átutalása ismeretlen személyeknek | Kockázatos tranzakciók és pénzvesztés |
Forrás: creditline
Milliós nagyságrendű összeget is ellophatnak a csalók
A szokások és a gyorsan változó világ elaltathatja az ügyfelek éberségét, és ezt a csalók kihasználják. Például a kisebb szállítási díjak vagy a rendszeres közüzemi számlák kifizetésekor az ügyfelek rendszeresen megadják a bankkártyaadataikat az interfészeken, vagy az online vásárlásokhoz SMS-ben küldött visszaigazoló kódokat. Nem gondolkodnak azon, hogy rendelnek-e vagy fizetik-e a közüzemi számlákat.
Előfordul, hogy a sikertelen vásárlás oka az, hogy az ügyfélnek küldött SMS a hitelkártyás vásárlást megerősítő kód helyett egy új készülék aktiválási kódját tartalmazza. Ez az információ elegendő lehet ahhoz, hogy a csalók digitalizálják az ügyfél hitelkártyáját a mobiltelefonjára letöltött mobilfizetési szolgáltatásba (például Apple Pay vagy Google Pay), amellyel aztán a világ bármely pontjáról távolról is vásárolhatnak. Így egy sikertelen tranzakció egy kis értékű vásárlással több milliós kárt okozhat.
A mindennapi online banki tranzakciók veszélyekkel vannak tele. A legtöbb ügyfél például beírja bankja nevét egy internetes keresőbe, és a találatok közül általában az első oldalon található bankot próbálja meg felkeresni. A keresőmotorokból vagy e-mailekből származó linkeken keresztül megnyitott weboldalak azonban veszélyesek lehetnek. Az internetes banki felületeket csak a bank által megadott elérési útvonal közvetlen megadásával szabad elérni.
Több olyan eset is előfordult, amikor az emberek kezdeményezték az ilyen internetes banki felületekre való belépést, és rendszeresen SMS-ben kapott kódokat adtak meg a bűnözők által létrehozott hamis weboldalakon. Az üzenet azonban nem online banki bejelentkezési kódot tartalmazott, hanem a bank mobilalkalmazásához szükséges regisztrációs kódot, a QR-kód megadásához szükséges engedélyezési kódot vagy az átutalási limit módosításához szükséges kódot
A legtöbb esetben az ügyfelek egy rutinszerű folyamatként adták meg a kódot az említett áloldalakon. Eközben a csalók a megszerzett adatokat arra használták fel, hogy a bankszámlájukhoz kapcsolódó mobilalkalmazást telepítsenek az ügyfél telefonjára. Ez lehetővé tette számukra, hogy a már megemelt limiteken túl számos jogosulatlanul nagy összegű kifizetést hajtsanak végre.
Forrás: Pixabay
A csalók könnyen megszerezhetik az adatokat
Fontos tudni, hogy az online kapott hitelesítő adatok és kódok a bank ügyfeleként azonosítják Önt. A banki tranzakciók biztonságának javítása érdekében bevezették a többfaktoros hitelesítést (pl. SMS-ben kapott kódok vagy mobilalkalmazáson keresztül történő hitelesítés). Ez lehetővé teszi a bankok számára annak ellenőrzését, hogy a fizetési műveleteket valóban a számlatulajdonos kezdeményezte. Ennek oka, hogy minden alkalommal, amikor az ügyfél saját adatait adja meg, a biztonsági védelmi vonal gyengül. Ez olyan, mintha meghívna egy tolvajt a házába, megmutatná neki a széfet, megadná neki a PIN-kódját, majd udvariasan elengedné a bűnözőt a zsákmánnyal.
A fenti példák azt mutatják, hogy ha az ügyfél valamilyen okból nem tudja értelmezni a kapott SMS tartalmát, érdemes felhívni a bankot, és összevetni az üzenet tartalmát az ügyfél által végrehajtott művelettel. Jobb gyanakodni, mint később rengeteg pénzt elveszíteni. A csalók általában telefonon és üzeneteken keresztül is megpróbálják megszerezni a banki jelszavakat és a kártyaadatokat. Tipikus példa erre, amikor egy adathalász csaló telefonhívást kezdeményez úgy, mintha Ön egy banki alkalmazottal beszélgetne, és a pénzügyi tranzakcióiban felmerülő hibákról vagy csalás gyanújáról beszélgetne.
További veszélyt jelent, amikor az adathalászok felajánlják, hogy távoli hozzáférésű szoftvert (a csalók általában vírusirtó szoftvernek nevezik) telepítenek az online banki eszközére, vagy bankkártyaadatokat vagy online banki bejelentkezési adatokat kérnek bankbiztonsági célból. Akkor is gyanakodjon, ha arra kérik, hogy növelje a limitjét, adjon meg egy törlési kódot egy fizetési tranzakcióhoz, vagy utaljon át pénzt egy biztonságos számlára. Fontos megjegyezni, hogy még ha a bank jogosulatlan használatot észlel is, és felhívja az ügyfelet, soha nem fogja felszólítani őt a fentiek megtételére. Ha az ügyfél tájékoztatja a bankot, és megerősíti a jogosulatlan használatot, a bank korlátozza a számlához való hozzáférést, és letiltja a kártyát, a mobilalkalmazást vagy az online bankszámlát. Nincs biztonsági számla, és a jogosulatlan használat megakadályozása érdekében nem szükséges a kifizetések törlése.
A személyes adatok kezelése során körültekintően kell eljárni
Előfordult olyan visszaélés is, amikor az ügyfél feltételezett befektetéseit kezelő személy távoli hozzáférési alkalmazáson keresztül (pl. AnyDesk, TeamViewer stb.) hozzáférést kért az ügyfél online bankszámlájához A PBT tapasztalatai szerint az ügyfelek gyakran mindenféle ellenőrzés nélkül nyitják meg online bankszámlájukat harmadik fél számára.
Sok ügyfél nem tette fel a jogos kérdéseket: miért nem elegendő a bankszámlaszámuk megadása a befektetett összeg felvételéhez? És miért kell a befektetett összeget egy teljesen ismeretlen személynek átutalni? Az ügyfelek szerint azért, mert a „banki tanácsadójuk” ezt mondta nekik. Ráadásul az átutalt összeg kicsi volt, így a kockázat alacsony volt, és minden fizetési tranzakciót erős ügyfélhitelesítéssel kellett megerősíteni. Az erős ügyfélhitelesítés alól azonban van kivétel. Ez az az eset, amikor egy átutalást ismételten egy olyan tárolt számlára teljesítenek, amelyre már korábban erős ügyfélhitelesítéssel utaltak (az úgynevezett megbízható kedvezményezett). Az első, ügyfél által hitelesített átutalás lehet, hogy csak egy forint volt, de a következő átutalás milliós nagyságrendű lehet, és különösebb engedélyezés nélkül érkezhet az elkövető számlájára.
Ezért gyanús minden online és mobilbankunkhoz való hozzáférési kérelem. Nem árt, ha megtanuljuk az alapismereteket és egyúttal frissítjük tudásunkat. Ezt elősegíthetik a bankok által küldött figyelmeztetések, a honlapokon közzétett, visszaélésekről szóló információk, valamint a Magyar Nemzeti Bank (MNB) és számos hatóság és szervezet által a visszaélésekkel kapcsolatban adott biztonsági tanácsok.
A kiberbiztonsági kockázatok megelőzése érdekében az MNB, a Magyar Bankszövetség, a pénzpiaci szereplők és több más hatóság nemrégiben közös felvilágosító kampányt indított KiberPajzs néven az elektronikus pénzügyi szolgáltatásokat igénybe vevő ügyfelek megsegítésére. Az MNB Pénzügyi Navigátor weboldalának digitális biztonság rovata is frissült, hogy további hasznos információkat nyújtson a témában.
