Trükkös tolvajok fosztják ki a magyar bankszámlákat: vadiúj módszerrel nyúlnak le milliókat

Ahogy a különböző kiberbiztonsági rendszerek egyre fejeltebbek lesznek, úgy próbálnak meg a csalók is egyre trükkösebbek lenni. Ennek az egyik eredménye az, hogy az utóbbi időben jó pár olyan banki csalásról lehetett hallani, aminek az összetevői a következők szerint épültek föl:

• ismeretlenek ügyfeleket hívnak fel, azt állítva, hogy azok bankkártyája vagy közvetlenül a számlája veszélyben van;
• ezt követő, ha a telefonáló csaló által bemondott bankfiók nem egyezik az ügyfelével, akkor „átkapcsolást” ajánlva folytatja tovább a kitalált történetet, mondván akkor majd ott orvosolják a baj;
• ezt követően a csalók arra kérik az ügyfeleket, hogy teljesen véletlenszerű, ismeretlen bankszámlákra kezdjék el kiutalni pénzüket, mondván, így megóvhatják azt a csalóktól;
• több esetben még arra is kérik az ügyfeleket, hogy elektronikai eszközeikre (mobil, tablet, laptop) telepítsenek távoli elérést biztosító programot (AnyDesk, Teamviewer), amin keresztül a csalók további pénzeket tudnak lenyúlni, teljesen átvéve az irányítást a sértettek számlái fölött.

A fent bemutatott ügymenet igazán elterjedt módszere manapság a csalóknak, ennek okán érdemes már a legelején leszögezni, ez a folyamat

MINDEN ESETBEN CSALÁS, EGYETLEN MAGYARORSZÁGI BANK PROTOKOLJA SEM ILYEN VÉSZ ESETÉN!

Ahogy azt Jakab Péter, a Bankszövetség Kiberbiztonsági Kommunikációs Team vezetője a Pénzcentrumnak elmondta,

A pénzintézetek számlavezető rendszerei komoly határvédelmi eszközök védőernyője alatt üzemelnek, egy-egy bank legvédettebb informatikai rendszerei, az ilyen típusú sikeres támadás valószínűsége a nullához tart. A támadók ezért az egyszerűbb utat választják.

Az egyszerűbb út pedig jelen esetben az, hogy nem a bankok rendszereit hekkelik meg, hanem gyanútlan embereket próbálnak kitalált történetekkel becsapni. Jakab Péter szerint, általában az szokott történni, hogy „a számlatulajdonos valakinek kiadja az adatait, túl egyszerű jelszót használ, vagy valakinek rendelkezésére bocsátja a mobiltelefonját, amelyről a banki ügyeit intézi.”

A szakember arról is tájékoztatta lapunkat, hogy tapasztalataik szerint, a fent leírt csalási módszer nem új keletű, a rosszfiúk a legtöbbször „rendszerhibára, csalásmegelőzésre, biztonsági utalásra hivatkozva szoktak pénzügyi tranzakciókat vagy adatokat kérni.” Ezt tehát mindig tartsa mindenki szem előtt, ha ismeretlen számról hívják, mint banki alkalmazottak, és a fentiek valamelyikét próbálják beadni az embernek, minimum legyünk gyanakvóak. A kiberbiztonsági kommunikációs vezető szerint ökölszabályként, a legegyszerűbb taktika az ügyfelek részéről, hogy

vizsgálni kell a hívás és a kérés életszerűségét.

Nevezetesen, ha valaki egy bank nevében egy magánszemély számlájára kér pénzt átutalni, az biztosan csalás. Ugyanúgy a rossz magyarsággal megfogalmazott levelek,  e-mailek, az akcentussal, vagy erős tájszólással elhangzó telefonhívások is gyanúra adnak okot. Rendszer és adatellenőrzéseket sem szoktak a pénzintézetek ilyen módon tartani, illetve nem kérik, hogy telepítsenek fel bármilyen alkalmazást. Mindezek okán

a legkisebb gyanú esetén is meg kell szakítani a telefonhívást, és az ügyfélnek javallott, hogy hívja fel bankja ügyfélszolgálatát a nyilvánosan meghirdetett, pénzintézetek honlapján megtalálható központi ügyfélszolgálati telefonszámokon, és ott érdeklődjön.

Eddig tehát a Bankszövetség szakembere által taglalt általános eljárási tudnivalók, amikre minden banki ügyfélnek fokozottan oda kell figyelnie. Ezen felül azonban a Pénzcentrum egyenként is megkereste a legnagyobb magyarországi pénzintézeteket, mondják el saját tapasztalataikat az egyes csalásokról, illetve ismertessék saját protokolljaikat: mit tesznek, és mit nem tesznek, ha egy ügyfelükkel felveszik a kapcsolatot. Ezen felül pedig arról is kérdeztük őket, számíthatnak-e a sértettek arra, hogy kártéríti-e valaki őket, miután elutalgatták a pénzüket.

OTP Bank

Az OTP Bank jelezte lapunknak, hogy ismerik a fent taglalt csalási módszert. Mint írják, a telefonhívások alkalmával folytatott beszélgetések során feltett kérdésekkel az elkövetők arra törekszenek, hogy megszerezzék az ügyfél bankkártya, illetve bankszámla adatait és biztonsági kódjait. Több ügyféllel letöltettek a Google Play áruházból olyan, távoli asztal  alkalmazást (AnyDesk, TeamViewer), mely a regisztrációt követően generált kód kiadásával távoli elérést biztosított az ügyfél eszközeihez. Mint írják,

ügyfelek sajnos sok esetben megadják a kért adatokat, valamint elvégzik a csaláshoz használt „biztonsági számlára” történő átutalást.

Ugyanakkor a bank arról is tájékoztatta lapunkat, hogy a „módszer nem korlátozódik Magyarországra, Európa-szerte elterjedt. A túlnyomó többségében telefonon történő adathalászat mellett előfordult az ügyfelek sms-ben, illetve emailben történő megkeresése is. Mindegyik módszer alapvető célja az ügyfelek bankkártyáinak, valamint internetbanki azonosító adatainak és jelszavainak, valamint mobil aláírásainak megszerzése.” Éppen ezért fontos, hogy mindnek tudatosítsa magában,

a bank úgynevezett soft (könnyű) adatokat kér, példálul születési dátum, édesanyja neve, hány bankkártyával rendelkezik. Ebből következik, hogy semmiképp sem kér olyan adatokat, amelyekkel például internetbanki felületre be lehet jelentkezni, hiszen az ott lévő információkkal a bank rendelkezik.

Az OTP Bank a károsultak kárpótlásával kapcsolatban azt közölte a Pénzcentrummal, hogy minden ilyen, csalásos eset nagyon alapos, egyedi vizsgálatot igényel, így további általános támpontokat ezzel kapcsolatban nem tudnak adni. Azt azonban javasolják, hogy csalás áldozatául esett ügyfeleik mindenképpen tegyenek rendőrségi feljelentést. A bank azt is közölte lapunkkal, hogy a csalás-sorozattal összefüggésben az elmúlt időszakban több büntető feljelentést is tett.

Takarékbank

A Takarékbank arról tájékoztatta a Pénzcentrumot, hogy ők a személyes ügyintézés mellett számos csatornán, így Netbankon, Facebookon, weboldalán, SMS-ben, postai levélben és telefonos ügyfélszolgálatán is nyújthat tájékoztatást ügyfeleinek. A Takarékbank azonban sosem küld direkt Netbank linket (SMS-ben sem), és sosem kér személyes adatokat, például Takarék Netbank belépési jelszót, bankszámlaszámot,  bankkártya adatokat,  vagy más bizalmas adatot.

Aki ilyen levelet vagy üzenetet kap, akkor fogjon azonnal gyanút!

- szól a bank ökölszabálya. Mint javasolják, ügyfeleik csak a bank hivatalos weboldalán és Facebook oldalán található linkekre kattintsanak rá, és ne adják meg személyes adataikat sem e-mailben, sem telefonon vagy SMS-ben. A telefonos ügyfélszolgálat munkatársai csak a telefonos PIN kódunkat és ügyfélazonosítónkat vagy a Telebank azonosítónkat kérhetik el, sosem kérik a Netbank jelszót vagy a bankkártya háromjegyű kódját. Felhívják továbbá a figyelmet, hogy

a Takarékbank továbbá semmilyen esetben, nyereményjáték vagy befektetés céljából sem kéri, hogy bárki utaljon át egy bizonyos összeget egy számlaszámra, vagy fizessen elektronikusan bankkártyával. Fizetésre felszólító értesítést Netbankon keresztül vagy postai úton, valamint figyelmeztető SMS formájában küldhet, de ezekben sem lehet link, és nem kér számlaszámot vagy bármilyen egyéb személyes adatot.

A bank azt kéri, ha valaki gyanús telefonhívást kap, szakítsa meg a hívást, hívja fel a Takarékbank telefonos ügyfélszolgálatát, ezzel tud az ügyfél bizonyos lenni abban, hogy valóban banki ügyintézővel beszél, a csalók ugyanis képesek hamisítani a hívószámot, a telefon kijelzőjén tetszőleges hívószámot és ahhoz tartozó nevet megjelenteni.

Arra a kérdésre, hogy mi történik azokkal, akik csalás áldozatai lesznek, a Takarékban azt a tájékoztatást adta, hogy rendelkeznek olyan eszközzel, ami alkalmas lehet a csalárd utalások észlelésére, folyamatosan figyeli a csalási tendenciákat, reagál azokra, ugyanakkor korlátozottak a lehetőségei: amennyiben az ügyfél nem a kellő gondossággal jár el, érzékeny adatokat, felhasználónevet és jelszót ad ki a csalóknak, hozzáférést biztosít az informatikai eszközein illetéktelen személyek számára.

Fontos tehát, hogy a bank ilyen adatokat sosem kér az ügyféltől, illetve nem kér hozzáférést az eszközéhez, legyen szó okostelefonról, táblagépről, PC-ről vagy notebook-ról. Amennyiben mégis visszaélés történik, ami ráadásul pénzmozgással jár, úgy két fontos és azonnali feladat van:

• egyrészt értesíteni a hitelintézetet és kérni a hozzáférést biztosító jogosultságok (netbank felhasználó) felfüggesztését vagy törlését,
• másrészt feljelentést tenni a területileg illetékes rendőrkapitányságon.

Mint írják, az előbbi azért fontos, mert így a szükséges intézkedéseket végre tudja hajtani a csalások kezelésében érintett banki terület, utóbbi pedig azért, mert a hatóság rendelkezik olyan jogkörrel, amik ahhoz szükségesek, hogy a csalásban érintett összegek biztosítására, zárolására sor kerülhessen. Fontos, hogy az ügyfél minden releváns információt átadjon mindkét félnek, illetve az is, hogy kérje a kicsalt összegek kapcsán azok törlését, visszahívását.

A Takarékbank arról is tájékoztatta lapunkat, hogy minden ilyen ügy egyedi, azaz külön kell vizsgálni a csalásokat, arra tehát egyértelműen nem lehet válaszolni, hogy milyen csalás esetén járhat kártérítés. Az azonban biztos, hogy amennyiben az ügyfél kiadja a banki azonosítóit, jelszavakat, hozzáférést biztosít az informatikai eszközökhöz, akkor ezen cselekedetével nagyban hozzájárul ahhoz, hogy bekövetkezzen a csalás, nem az elvárható gondossággal jár el, ez egyenértékű azzal, mintha a kulcscsomóját vagy a pénztárcáját adná át idegeneknek, akik így kényük-kedvük szerint tudják azokat felhasználni. Igaz azonban az is, hogy amennyiben

nem az ügyfélnek felróható okból történik illetéktelen / jóvá nem hagyott művelet, úgy az ügyfél kártalanítása minden bizonnyal meg fog történni.

A bank azonban kiemeli, hogy a hitelintézetek és pénzügyi szolgáltatók számára az igazi nehézséget azok a csalási módszerek okozzák, amelyek az ügyféloldalt támadják, nem a banki rendszereket Hiszen egy pénzintézet a jogszabályok és saját elemi érdekei miatt is komoly informatikai / információbiztonsági védelemmel rendelkezik, míg az ügyfelek kis része használ hasonló eszközöket, kiváltképp az okostelefonokon és tableteken (táblagépeken) nem elterjedt az ilyen védelem. Mint írják,

annak, hogy a csalók mivel tévesztik meg, verik át az ügyfeleket, nagyjából csak a csaló fantáziája szab határt, szórakoztató elektronikai és informatikai eszközöktől a tűzifán át a különleges könyvekig terjed a skála az egyik oldalon, a mesés nyereményektől és örökségektől az üdülési jogokig terjed a másik oldalon. De találkoztunk olyan esettel, ahol megszűnt francia hitelintézetre hivatkozva ígértek az ügyfélnek kamatmentes kölcsönt, csak valamilyen költséget, jutalékot kellett elutalnia egy afrikai számlára.

MKB Bank

Az MKB Bank, hasonlóan más pénzintézetekhez, a gyanús pénzügyi tranzakciók (Bankkártya, utalás) vagy gyanús internetbanki tevékenységek egyeztetése céljából keresi meg az ügyfeleket telefonon. Amennyiben a kapcsolatfelvétel sikertelen, a bank sms és email formában is értesítést küld a számlatulajdonos részére. A bank ügyintézője azonban még ebben az esetben

sem kéri el az internetbanki bejelentkezéshez tartozó vagy az sms-ben érkező egyszer használatos jelszavakat.

De ennél is fontosabb, hogy a bank soha, semmilyen körülmények között nem kér alkalmazás telepítést az ügyfelektől. Ezen kívül egy biztonsági incidens megelőzése érdekében, az ügyfeleknek nincs teendőjük az egyenleg biztonságát tekintve,

azaz nem szükséges további utalást kezdeményezni, főleg nem ismeretlen személyek részére.

A bank egyébként az egyeztetésig blokkolja a számlát. Az MKB jelzi, a csalók gyakran egy olyan bank nevében mutatkoznak be, ahol az ügyfél nem vezet számlát és arra hivatkoznak, hogy átkapcsolják az ügyfelet a saját bankjához.

Ilyen közvetlen kapcsolat nem létezik a bankok között!

Éppen ezért a pénzintézet azt tanácsolja, hogyha ha meg szeretnének győződni arról, hogy a Bank nevében keresik, „hívják fel a honlapon vagy a bankkártya hátoldalán található ügyfélszolgálati telefonszámot, ahol az ügyintéző kollégát visszaigazolják és átkapcsolásra is lehetőség van.” Az MKB felsorolta azt is, milyen ügyek azok, amikkel kapcsolatban soha nem keresik meg ügyfeleiket:

• Telepítsen egy alkalmazást a saját biztonságának érdekében.
• Utaljon egy bizonyos összeget egy számlára azért, hogy az elérhető egyenleg biztonságba kerüljön.
• Egy Rendőrségi ügy megoldása érdekében teljesítsen utalást egy megadott számlaszámra vagy telepítsen alkalmazást a készülékére.

Ezek tehát mind csalások. A bank egyébként a telefonos kapcsolatfelvétel elején azonosítja az ügyfelet, a telefonos szolgáltatáshoz tartozó azonosítókkal vagy ennek hiányában személyes és egyéb releváns adatok segítségével. Ehhez azonban a banknak sosincs szüksége az internetbanki bejelentkező azonosítókat, jelszavakat és az utalási – és bankkártyás tranzakciók jóváhagyásához szükséges egyszer használatos sms jelszavakra sem. Emellett a bank

sosem érdeklődik az aktuálisan beállított bankkártya és utalási limitek felől, hiszen azzal tisztában van az ügyintéző az egyeztetés során.

Mindezek fényében nem meglepő, hogy az említett csalás típusok esetében, ha egy ügyfél kiadja az egyszer használatos sms kódot, az az ügyfél által jóváhagyott tranzakciónak minősülhet így ezeket a kódokat az ügyfeleknek nagyon bizalmasan kell kezelniük. Az MKB ugyanakkor megjegyzi, hogy minden, a bank tudomására jutott esetet egyedileg vizsgál. Ám kiemelik azt is, hogy egy távoli elérést biztosító eszköz telepítése után, az internetbanki bejelentkezések forrásadatai (Pl. IP cím) semmilyen eltérést nem fognak mutatni az ügyfél korábbi adataihoz, azaz szokásaihoz képest. Az utálások pedig a

legtöbb esetben belföldi utalások, majd rövid időn belül külföldi célszámlákra utalják tovább vagy készpénzben veszik fel.

Éppen ezért a bank azt kéri ügyfeleitől, hogy tegyenek rendőrségi feljelentést, illetve ők is mindent megtesznek annak érdekében - jogszabályok által biztosított keretek között - hogy az ilyen módon elutalt összegeket visszaszerezzék. Az OTP-hez hasonlóan az MKB is arról tájékoztatta a Pénzcentrumot, hogy ők is tapasztalták, hogy megnövekedett a telefonos csalási kísérletek száma az ügyfeleik körében, így meg is tették a szükséges és célzott intézkedéseket.

UniCredit Bank

Az UniCredit Bankt arról tájékoztatta a Pénzcentrumot, hogy ügyfeleik védelme érdekében a hazai jogszabályokkal összhangban monitorozzák az elektronikus átutalásokat és kártyatranzakciókat. Ha ennek során olyan tranzakciót észlelünk, amely csalásra, visszaélésre utal, kollégáik kimenő hívásban kereshetik értinett ügyfeleiket. Ehhez mindig azt a telefonszámot használják, amit ügyfelünk számunkra a kapcsolattartás céljára megadott.

Az azonosításhoz vagy más indokkal bankunk soha nem kér titkos kódokat, jelszavakat, bankkártya esetén CVC/CVV kódokat. Kollégáink sem jogosultak arra, hogy ezeket megismerjék. Banki munkatársunk alkalmazás telepítését sem kezdeményezi kimenő hívásban

- hívta fel ügyfelei figyelmét a bank, ami arról is tájékoztatotta a Pénzcentrumot, hogy ha azt tapasztalják, hogy ügyfelük bizalmatlanul fogadja hívásukat, akkor megkérik, hogy ő hívja fel a bank telefonos ügyfélszolgálatát, hogy tájékoztathassák. Ám azt az UniCredit is megjegyzi, hogy

az utóbbi hónapokban a piacon előfordult csalások rámutattak, hogy a hívószámként megjelenő már ismerős banki telefonszám sem biztosíték az ügyfelek számára arra, hogy valóban a bankjuk hívja őket. Éppen ezért biztosabb, ha az ügyfél tényleg maga telefonál a bank számára, ha nem biztos a dolgában.

A pénzintézet felhívja a figyelmet arra is, amit már a korábban megszólaló bankok is taglaltak, hogy a bankok nem rendelkeznek adatokkal arról, hogy ügyfeleik milyen más pénzintézetnél vezetnek számlát, és nem „kapcsolják át” egymás között az ügyfeleiket. Ha nem a saját számlavezető bankja keres meg egy ügyfelet a számlájával vagy kártyájával kapcsolatban,

akkor mindképpen meg kell szakítani a hívást.

Ezen felül mindenképpen gyanús, ha egy bank nevében vissza nem térítendő támogatásról vagy támogatási kérelem jóváhagyásáról értesítenek valakit, amelyekhez személyes adatok megadásával lehet „hozzájutni”. Ugyanakkor kifejezetten bankszakmai témájú esetekben is szükség van az ügyfelek tudatosságára és óvatosságára, mert hitelbírálat, hibás tranzakciók korrigálása, sőt csalás megakadályozásának ürügyével is megpróbálhatják őket félrevezetni, becsapni. Érdemes még azt is tudni, hogy a rendőrség nem von be állampolgárokat nyomozásba telefonos megkeresés útján.

Az UniCredit tájékoztatás szerint, amikor a bank keresi meg telefonon ügyfeleit, semmilyen körülmények között nem kéri, és szigorúan tilos kiadni az alábbi kódokat és jelszavakat:

• a bankkártya számát, lejárati idejét (kivéve, ha az ügyfél maga hívja telefonos ügyfélszolgálatunkat), a CVC-kódot;
• az internet- vagy mobilbanki szolgáltatás használatához szükséges felhasználóazonosítót és jelszót
• bankkártyás tranzakciókhoz, átutalásokhoz kapcsolódó hitelesítő kódokat, illetve e tranzakciók jóváhagyását; emellett
• nem kéri programok (például AnyDesk, Teamviewer, vírusírtó) telepítését az ügyfél számítógépére, telefonjára vagy tabletjére, valamint
• nem küld olyan linkeket tartalmazó sms-t és e-mail üzeneteket, amelyekben a linkre kattintást írná elő egy munkafolyamat vagy egy probléma megoldásának részeként, vagy a linken az ügyfél bármely bizalmas adatának megadását kérné.

A csalás megelőzését illetően a bank arról is tájékoztatta a Pénzcentrumot, hogy monitoringrendszerüknek köszönhetően bizonyos csalárd tranzakciók megelőzhetőek. A csalások hatékony megelőzéséhez azonban nélkülözhetetlen az ügyfelek tudatossága is. Ebbe beletartozik különösen a fizetőeszköz, illetve az ahhoz kapcsolódó kódok, hitelesítő eszközök és adatok elővigyázatos és biztonságos kezelése, aminek maradéktalan betartását az ügyfelek

az általuk aláírt banki szerződésekben is vállalják, valamint az is, hogy haladéktalanul jelentik bankunknak, ha az eszköz vagy bármely adat illetéktelen fél tudomására jutott vagy ennek esélye fennáll, illetve ha bármilyen egyéb gyanús körülmény felmerült vagy ilyet tapasztaltak.

Ezek alapján a megtévesztésen alapuló tranzakciók visszaszedetésének sikere jelentősen múlik azon, hogy a pénzintézet milyen gyorsan értesül a csalásról. Ha azonban megesik a csalás, azt alapos vizsgálat követi, ami kiterjed az eset körülményeire és az ügyfél esetleges közrehatására is. A kártérítésről minden esetben e vizsgálat eredménye figyelembevételével és a vonatkozó pénzforgalmi jogszabályok szigorú felelősségi szabályainak keretei közt egyedileg dönt a bank.

Az UniCredit Bank is elmondta ugyanakkor, hogy jelenleg a telefonos megkeresésen alapuló csaláskísérletek dominálnak, de a „csomagküldő SMS”-be bújtatott kártékony szoftverekkel és az e-mail alapú adathalászattal is előfordulnak próbálkozások.