Pofátlan csalók fosztogatják a magyar bankszámlákat: így cserkészik be a gyanútlanokat

A tavalyi átlagos havi ügyfélbejelentésekhez képest 2022 január-februárjában megduplázódott a banki adathalász-kísérletekről és ügyfelek megtévesztésén alapuló visszaélésekről szóló fogyasztói jelzések száma a Magyar Nemzeti Bank (MNB) ügyfélszolgálatán. Az elkövetők immár legalább 7 magyarországi hitelintézet nevében kísérlik meg az ügyfelek adatait megszerezni vagy az ügyfelet megtéveszteni. Immár kisbanki ügyfelek is célpontba kerültek.

Az egyre erősödő visszaélési kísérletek során a csalók a bank ügyfélszolgálati telefonszámához hasonló (vagy azzal azonos) számról hívják az ügyfeleket, segítséget ajánlva és sürgős intézkedést kérve az állítólagosan „megtámadott” bankszámlájuk elleni védekezéshez. Ha az ügyfél jelzi, hogy ő más bank ügyfele, akkor „átkapcsolják” a megnevezett hitelintézet „ügyfélszolgálatához”.

Az ügyfelek megtévesztésén alapuló visszaélések esetén ráveszik az ügyfelet a pénzük átutalására. A bankok azonban a valóságban nem kérik ügyfeleiktől, hogy számlájuk biztonsága, védetté alakítása érdekében utalják át pénzüket egy másik számlára. Azt sem, hogy hagyjanak jóvá egy tranzakciót, amellyel valójában a csalók saját eszközükön aktiválhatnak új banki (pl. mobilbank) szolgáltatást.

Adathalász visszaélések esetén az elkövetők gyakran az ügyfelek mobiltelefonjára, számítógépére távoli elérést biztosító, állítólagos „banki alkalmazás”, esetleg „vírusirtó program” telepítését kérik. A valóságban a bűnözők hozzáférhetnek ezen programokkal az ügyfél érzékeny, személyes és hitelesítési adataihoz (pl. az egyszer használható második hitelesítési információhoz).

A bankok új alkalmazás bevezetése vagy frissítése esetén maguk is kérhetik az ügyfelektől az általuk kiadott program(csomag) telepítését. Ilyenkor is szükséges a kérés és a program(csomag) hitelességét ellenőrizni a felszólítástól független kommunikációs csatornán (pl. a banki weboldalon, amit célszerű mindig a böngészőbe elmentett könyvjelzőből megnyitni, vagy telefonos ügyfélszolgálaton).

A bankok sohasem kérnek el viszont telefonon vagy elektronikus úton érzékeny fizetési adatokat (pl. internetbanki vagy mobilbanki jelszót, SMS-ben kapott megerősítő kódot). Ismeretlen telefonos megkeresésnél így érdemes a bankra és a megkeresés céljára vonatkozó pontosító kérdéseket feltenni, és gyanús esetben megszakítani a kapcsolatot. Ezután célszerű visszahívni a bankot az ismert ügyfélszolgálati telefonszámon, és jelezni a történteket immár a valódi banki ügyintézőknek. Az átküldött vírusírtónak álcázott kémprogramokat, mellékleteket nem szabad megnyitni, hanem haladéktalanul törölni szükséges.

Ha emailben érkezik megkeresés banki oldalak felkeresésére és a levél internetes hivatkozást, linket is tartalmaz, akkor különösen körültekintően kell eljárni. E hivatkozások a csalók által készített, a banki oldalhoz hasonló, ám valójában álhonlapra navigálnák át az ügyfeleket. Ezen még véletlen megnyitásuk esetén sem szabad megadni a banki adatokat. Minden esetben meg kell győződni arról, hogy a kapott hivatkozás valójában hová mutat (pl. az egérmutatót fölé mozgatva ellenőrizni, hogy nincsenek-e betűcserék az eredeti oldalhoz képest). A hivatkozásra kattintás helyett célszerű mindig beírni az ügyfél álttal ismert banki webcímet a böngészőbe, vagy az ott elmentett könyvjelzőt használni, illetve a böngészősorban ellenőrizni a honlap biztonságát mutató kis lakatot.

További újfajta adathalász megoldás, hogy a csalók nem bank, hanem valamelyik internetes kereskedői portál vagy egyéb szolgáltató nevében jelentkeznek, s a termék szállításához, szolgáltatásához kérik el előre az ügyfelek bizalmas banki adatait. Természetesen az adatokat ilyenkor sem szabad megadni.

A korábbi adathalász hullámok során a csalók pl. „csomagküldésről” kapott értesítésnek álcázva juttattak kártékony kódokat az ügyfelek eszközeire, illetve állítólagos internetes vásárlás jóváhagyása, kártyaletiltás vagy egy utalás meghiúsulása miatt kérték az ügyfél azonnali döntését (és így vették rá bankszámla-, kártyaadatok, internetes belépési kódok megadására).

A bankszámlaműveleteknél és az internetes bankkártyás vásárlásoknál bevezetett erős (kétfaktoros) ügyfélhitelesítés ugrásszerűen növelte az ügyfelek biztonságát a csalókkal szemben. A banki ügyleteknél ugyanis ennek nyomán nem elegendő önmagában a számla- vagy kártyaazonosítók ismerete, emellett egy további hitelesítési információ (pl. a banktól a mobiltelefonra érkező egyszer használható jelszó vagy a banki applikáción keresztül az ügyfél ujjlenyomata vagy más biometrikus azonosítója) is kell az ügylet jóváhagyásához.

A jegybank – a vonatkozó szigorú szabályok számonkérésével – folyamatosan felügyeli a pénzügyi intézmények informatikai rendszereinek biztonságát. Az MNB emellett a fogyasztók online biztonsági tudatosságának fejlesztése érdekében honlapján tájékoztató oldalt is létrehozott, s fogyasztóvédelmi tájékoztatót is közzétett. Ha egy ügyfél mégis áldozatul esik, akkor haladéktalanul értesítse bankját és tegyen feljelentést. Az adathalászat és az ügyfelek megtévesztése – amelyet ügyfélbejelentés esetén a nyomozóhatóságok vizsgálnak – csalásnak minősülhet, amelynek büntetési tétele (annak jellegétől függően) 2-10 év szabadságvesztés.