Drámaian emelkedik a banki csalások száma

Mennyi az annyi?

Nagyon sok… A Magyar Nemzeti Bank legfrissebb adatai alapján az elmúlt évhez viszonyítva mind a csalások száma, mind az ellopott pénz összege megsokszorozódott. A korábbi, havonta átlagosan 188 millió forintról az összeg 700 millióra emelkedett, ennyit lopnak el a bankszámlákra és bankkártyákra szakosodott csalók a magyar emberektől. Itt a néhány tízezer forintos összegtől az 50 millióig igen vegyes a kép.

A helyzet azért is drámai, mert tavaly az év első 9 hónapjában 1,7 milliárd forint volt a banki ügyfelek kára, addig az év utolsó hónapjában, azaz harmadannyi idő alatt, 2,1 milliárd. A bankkártyákkal összefüggő csalások száma csökken, ám a bankszámlákkal kapcsolatosok emelkednek.

Az átutalásos forgalomban lényegében csak úgy következik be visszaélés, ha az ügyfél kiadja valamely érzékeny banki adatát, így ezen esetek 99 százalékában a bank nem téríti meg az ügyfélnek kárát, még akkor sem, ha láthatóan a bankok sem tesznek meg mindent az ügyfelek pénzének biztonságáért.

A kényelem ára

Pár éve bevezették az azonnali utalást, ami kényelmes meg modern, de azt is jelenti, hogy a pénzünk pillanatok alatt egy másik bankszámlára kerül, így esélyünk sincs visszavonni a tranzakciót. Csalások esetén nem ritka, hogy ugyanolyan összeget pár perces eltéréssel lopnak el a csalók, és van eset, amikor az nem tűnik föl a bank biztonsági rendszerének, hogy nem életszerű ugyanoda, ugyanakkora összeget pár perc különbséggel átutalni. Sokan nem tudják, de egy banki utaláskor az, hogy a címzett nevét is beírjuk, semmit nem jelent. Ez egy hamis biztonságérzetet ad az utalónak, de ennek semmi alapja.

A bankok nagy része legalább is nem ellenőrzi, hogy a beírt bankszámlához a beírt név tartozik-e, hanem az összeg átkerül a beírt bankszámlára, még akkor is, ha név helyett akár valamilyen trágár szót írunk be. Ezt kipróbáltuk, az utalás így is pillanatok alatt teljesült a megadott bankszámlaszámra.

A csalók egyik újabban gyakori módszere, hogy telefonon keresik meg az ügyfelet, a bank alkalmazottjának adják ki magukat, és a pszichikai nyomásgyakorlás eszközével rábírják érzékeny adataik átadására. Ennek egyik módja, hogy a csaló a bank biztonsági szakembereként mutatkozik be, és azt állítja, hogy feltörték a bankszámlánkat, emiatt keres, holott épp ő készül erre. De nézzünk pár konkrét esetet…

Az érthetetlen dolog

Egy esetben az ügyfél azt látta, hogy kicsivel több, mint 200 000 forintot levett a bankszámlájáról a facebook, mint hirdetési díjat. Valóban rendszeresen hirdetett a facebookon, de mindig 10 ezer forintos összegekkel. Írt a facebooknak, válasz nem érkezett. Rendőrségi feljelentést tett, és a banknak is jelezte a problémát. Feltehetően a csalók nem közvetlen jutottak az eltűnt pénzhez, hanem ők is hirdetésre fordították azt facebookon, csak más kontójára hirdettek.

Pár nap múlva a bank visszatette a számlára az eltűnt összeget. A rendőrségen újra nyilatkozni kellett, hogy van e kára az ügyfélnek, aki így már nemleges nyilatkozatott tett, és megdöbbent, hogy ezzel egy ügyet le is zárták, holott a csalás megtörtént, a bank ugyan kártalanította, de így akkor a banknak lett kára. Ám mivel a bank nem tett feljelentést az ügy nem folytatódott.

Ne kattintsunk linkre

E sorok írója jobb napokon csak 1-2 adathalász e-mail-t kap, de van példa arra is, hogy egy nap alatt 10-20 ilyen érkezik, a rekord pedig az egy nap alatt emailen érkező 46 adathalász kísérlet volt. Tisztán látszik, hogy a hatóságok ezzel kapcsolatban tehetetlenek, lévén évek óta csak növekszik az ilyen jellegű üzenetek száma. Nem csoda, hiszen bárki bármikor ingyenesen csinálhat magának egy e-mail címet, ahonnan nagy mennyiségű üzenetet tud elküldeni, akár csalási szándékkal. Sajnos minél régebb óra használja valaki ugyanazt az e-mail címét, annál több ilyen csalási kísérlettel találják majd meg, mert a címe már ismert a csalók körében is.

Vannak esetek, amik jól végződnek – kis szerencsével. Egy esetben érkezett egy email egy nemzetközi csomagszállító cégtől, hogy a várt csomag vámkezeléséért 700 forintot kell még fizetni. A gyanútlan felhasználó pont várt csomagot külföldről, és bár úgy tudta, hogy minden ezzel kapcsolatos költséget kifizetett már, az összeg olyan kicsi volt, hogy inkább befizette, minthogy emiatt húzódjon el a csomag érkezése. Csak a levélben található link egy banki oldalhoz hasonló, de hamis oldalra mutatott, tehát amikor ott kártyás tranzakcióval „befizette” az összeget, akkor az nem egy tényleges tranzakció volt, hanem a csalók így szerezték meg a bankkártya adatait. És utána elkezdhettek vásárolgatni a kártyájának adatai segítségével. Az első ilyen vásárlási kísérlet valahogy szemet szúrt a bank biztonsági algoritmusának, felhívták az ügyfelet, és rákérdeztek a több tízezer forintos külföldön történő vásárlást ő indította-e, és amikor kiderült, hogy nem, akkor leállították.

Természetesen kártyacserére volt szükség ezután. A csalók módszere egyszerű volt és a nagy számok törvényére épült. Ezt a levelet valószínűleg több tízezer embernek elküldték, amiből ha volt néhány, aki valóban épp várt külföldről csomagot, már meg is volt a bázis, aki esetleg a hamis banki linkre kattintva megadja a kártya adatait. E módszert most már nehezíti, hogy az internetes vásárlások nagy részénél egy sms-ben, vagy a banki applikációban küldött kóddal egyedileg is jóvá kell hagyni a tranzakciókat. Ám az ilyen sms-ek is hordoznak veszélyt…

Telefonon ne adjunk meg semmilyen számsort

Másik történet is nagyon jól felépített, de még kacifántosabb. Érkezik egy hívás, bemutatkozik a bank alkalmazottja (aki nem az) és azt mondja, hogy valószínűleg feltörték a bankszámlánkat és épp Romániában próbálnak vele vásárolni. Megkérdezi, mi vagyunk-e épp Romániában, a válasz természetesen nem. Akkor jön az „azonnal cselekedni kell” szöveg és indul a sürgetés, hogy minél kevesebb ideig tudjon gondolkozni az áldozat. Ilyenkor az ember elkezd izgulni, kapkodni, és önkéntelenül hinni akar annak, aki a telefon végén úgy tesz, mintha segítségére lenne.

A csaló elmondja a nevünket, a bankszámlánk számát, ami alapján a megfelelő bank nevében tud keresni, sőt még egy jelszót is tud, és mond, hogy még inkább elnyerje a bizalmat. Valamint azt, hogy a telefonszámunkra az adott bank most küldött egy sms-t (és tényleg) azt a sorszámot diktáljuk vissza és akkor ő ezzel meg tudja védeni a bankszámlánkat. A bankunktól a szokásos számról tényleg abban a pillanatban érkezik az sms, csak épp, ha ezt bediktáltuk volna, ezzel tudta volna a bankszámlánk feletti rendelkezést megszeretni a telefonra letöltött banki applikációt összekötve számlánkkal, és akkortól a számlánkon levő pénznek annyi. De honnan tudott ennyi mindent?

A név, a bankszámlaszám a telefonszám egy a jofogas.hu-n történt adatlopás során került a csalókhoz, de törték már fel az iskolai KRÉTA rendszerét is, tehát sok helyről szerezhetnek adatokat a heckerek. Az előbb említett, és a csaló által felsorolt adatok a jelszót leszámítva nyilvánosak voltak, a jelszót meg megszerezték. Az előbbi történetben a csalót az buktatta le, hogy még egy jelszót is mondott, ezzel próbálva erősíteni a bizalmat, hogy ő bank alkalmazottja, és ezt is látja (egyébként a jelszót, ha valóban banki alkalmazott lenne, akkor sem látná), de itt bukott le, hogy egy olyan jelszóval mondott be, amit az áldozata soha nem használt banki jelszóként. Ebből az a tanulság, hogy ne egy jelszót használjunk mindenhol, vagy ha így teszünk, legalább a bank esetén tegyünk kivételt, és ott más jelszót állítsunk be.

És legyen az is alap, hogy ha telefonon sms-ben, banki applikációban érkezik egy számsor, akkor, ha mi indítottunk egy tranzakciót, akkor azt ott az online felületen használjuk fel abban a pár percben, amíg érvényes. Az sms-ben vagy appban érkező számsor soha nem azért jön, hogy azt valakinek telefonon bediktáljuk!

A kényelem és a biztonság fordítottan arányosak

Mit lehet tenni, hogy jó eséllyel elkerüljük, hogy sok pénzzel megkopasszanak bennünket? Minél tudatosabbnak és bizalmatlanabbnak kell lenni, és a bankok szemében, most lehet, hogy nem leszek népszerű, de nem biztos, hogy minden új és modern szolgáltatást igénybe kell venni csak azért, mert az kényelmes.

Például egy csalási kísérletnél, ahol telefonon akarnak rávenni minket (úgy hogy észre sem vesszük) érzékeny banki adataink kiadására kész haszon, ha az okostelefonunkra nincs letöltve a banki applikáció. Mert ha le van töltve, akkor pár kattintással nagy bajt okozhatunk, ha nincs, akkor nem tudunk azonnal semmit csinálni, amire kér például a vonal túlfelén a banki alkalmazott, aki nem az. Az „azonnal” az egy kulcsszó, ne csináljunk semmit azonnal. Ha felhív valaki, hogy ő a bank alkalmazottja, köszönjük meg a hívást, bontsuk a vonalat, és mi hívjuk fel a bankot, hiszen a bank központi számát biztos, hogy a bank alkalmazottja veszi fel, de aki hívott minket az bárki lehet. Ugyanez a helyzet, ha egy e-mail-ben kártyás befizetésre akarnak rávenni (telefondíj elmaradás, lejárt Netflix előfizetés, áramdíj tartozás stb.). Ne nyissuk meg a linket, hanem írjuk be a keresőbe az adott szolgáltató webcímét, és ott nézzünk utána a problémának előbb.

Ha nincs letöltve banki applikáció a telefonunkra, akkor a banktól érkező sms-ek egy bizonyos számról érkeznek. Ezt a számot érdemes elmenteni a telefonban például „csalásveszély” néven, így ha innen jön egy számsor, és az ember ezt a szót látja feladóként, egyből elgondolkodik, hogy tényleg ő indított valamilyen tranzakciót, és azért jött kód, vagy nem ő indította ezt?

Vannak már virtuális bankkártyák és egyszer használatos virtuális bankkártyák is. Ezek használata időigényes, de biztonságos. A virtuális kártyára csak annyi pénzt teszünk át, amennyit ki akarunk fizetni az adott tranzakció során, így, ha annak adatai illetéktelenekhez kerülnek, akkor sem tudnak vele mit kezdeni, hiszen a kártyán mindig 0 forint van, csak az általunk indított tranzakciók előtt teszünk rá akkora összeget, ami épp kell, és ez csak pár percig parkol rajta, majd egyből fizetünk is vele például egy internetes vásárlás során. Ez a megoldás kényelmetlen, de biztonságos.

Látható, hogy a banki ügyfelek kárára elkövetett csalások száma nemhogy csökkenne, hanem növekszik. A kiberpajzs.hu oldalon érdemes megnézni az ott található rengeteg esetleírást, hogy képben legyünk, mennyire kreatív és változatos módon dolgoznak a csalók, és mennyi teljesen hihető történetet tudnak kitalálni azért, hogy megkárosítsanak bennünket. Az interneten, több bank is tart fenn külön blogot, ahol a legújabb csalási módokról adnak tájékoztatást illetve van, ahol letesztelhetjük a tudásunkat, hogy mennyire vagyunk csalásállók egy telefonhívás, vagy érkező e-mail esetén: el tudjuk e dönteni, hogy az valós vagy nem. Hasznos, ha képben vagyunk, mert ha nem, akkor nincs biztonságban a bankban a pénzünk, hiszen, ha mi adunk ki adatot ahhoz a csalóknak, hogy hozzáférjenek a pénzünkhöz, akkor bank nem fog kártalanítani.