Az E-banking csapdája

Az internet útján igénybe vehető banki szolgáltatások terjedését mutatja, hogy ma már több százezer elektronikus banki hozzáféréssel rendelkező ügyfél van Magyarországon. Ezzel együtt megjelentek azok a visszaélések is, amelyeket a pénzügyeiket interneten keresztül intéző ügyfelekkel szemben követnek el. 

A legjellemzőbb bűncselekmények körébe az "adathalászat" tartozik, amelynél a csalók különböző eszközökkel (például telefonhívás, e-mail) ráveszik a gyanútlan számlatulajdonost, hogy árulja el jelszavát, adjon meg bizalmas adatokat, illetve számítógépén töltsön le, indítson el bankinak látszó alkalmazást az elektronikus üzenetben kapott link segítségével. A billentyűzetet figyelő programok láthatatlanul regisztrálják, hogyan használjuk a klaviatúrát, milyen banki jelszavakat, kódokat ütünk be. E figyelőprogramok észrevétlenül juthatnak be a személyi számítógépekbe, ami azonban nem jelenti azt, hogy teljesen védtelenek lennénk velük szemben.

A legújabb módszerek egyike az ún. pharming. Ehhez tudni kell, hogy az internetes honlapok azonosítására a számokból álló ún. IP-cím szolgál. Amikor a böngésző címsorába beírja a honlap nevét, akkor egy központi számítógép (fordítószerver) megkeresi az ennek megfelelő IP-címet és így jelenik meg a számítógépen a keresett honlap.

A csalás lényege abban áll, hogy a támadó feltöri ezt a közvetítő számítógépet és a böngészőbe beírt címhez egy másik IP-címet rendel és így a számítógépen a kívánttal teljesen megegyező, de valójában ál-oldal jelenik meg. Amikor az ügyfél az internetbanki alkalmazás elindítása után beírja az azonosító kódokat, azok a csaló tudomására jutnak. Az ügyfél viszont semmit nem vesz észre a dologból, mivel a kód beírása után az ál-honlap azonnal átdobja őt a valós honlapra, ahonnan meg is érkezik az azonosítás sikerességét bizonyító visszajelzés és minden banki művelet elvégezhető. Viszont a belépési név és jelszó már a csaló birtokában van és azzal bármikor visszaélhet.

E támadási forma ellen úgy védekezhet, hogy a böngésző címsorába vagy a kedvencek közé nem a felkeresni kívánt honlap betűkből álló címét, hanem a számokból álló IP-címet írja be. Az IP-címet kérdezze meg közvetlenül bankjától! Így kikerülhető az esetlegesen megtámadott fordítószerver és közvetlenül lehet a kívánt honlapra jutni. A bankok általában az indítandó tranzakció (például: átutalás) jóváhagyása előtt egy sms-ben elküldenek egy kódot az ügyfélnek, amit be kell gépelni a honlapon található aláírás mezőbe és csak ezután válik „élessé” az elvégzendő művelet.

A kockázat teljes megszüntetése nem lehetséges, de jelentősen csökkenthető, ha betartunk néhány szabályt:

·         Soha ne válaszolunk bankinak látszó e-mailekre! A hitelintézetek nem kérnek bizalmas adatokat e-mail útján, főleg nem zárolják valakinek a számláját azért, mert nem ad meg ilyen adatokat e-mailen!

·         Minden esetben ellenőrizzük a hitelintézet érdeklődő munkatársát, mielőtt telefonos megkereséskor bizalmas információkat adnánk meg, vagy kérjünk visszahívási lehetőséget! Előfordult már, hogy telefonon is megkeresték egy hitelintézet ügyfelét, azzal, hogy bizalmas adatokat szeretnének kapni tőle. Az ügyfél visszahívást kért, de kiderült, hogy ilyen nevű személy nem is dolgozik az adott hitelintézetben!

·         A telefonos adatlopás ellen kellő óvatossággal, az elektronikus adatlopás ellen a legfrissebb vírusirtó, tűzfal és anti-kém programok együttes alkalmazásával és azok folyamatos  frissítésével védekezhetünk a legjobban.

·          Növelhetjük a biztonságot alternatív böngésző használatával, illetve azzal, ha az elektronikus banki kapcsolat idejére minden más internet-kapcsolatot bezárunk. A billentyűzetet figyelő programok ellen általában ez sem véd tökéletesen, ezért a legbiztonságosabb megoldás, ha a hitelintézettől kapott külön biztonsági eszköz adja meg a kódot. Néhány bank már kínál ilyen szolgáltatást.

Banki alkalmazást tehát csak kizárólagosan, más oldalakat nem látogatva, a címet mindig a böngészőbe beleírva, vagy a "Kedvencek" menüpontból használjuk, sohasem elektronikus levélből. Utóbbiakban a bűnelkövetők esetenként olyan internet-címeket adnak meg, amelyek alig térnek el a hitelintézet saját címétől, ezért megtévesztők. A banki internetes kapcsolat megteremtése előtt célszerű egy friss vírus- és kémirtó programot elindítani.

A mobilbanki szolgáltatások igénybevételénél is hasonló szempontokra kell figyelemmel lenni! Ne tároljuk a mobilbanki jelszót a telefonunkban, és mindig ügyeljünk arra, hogy csak olyan helyen indítsunk banki alkalmazást mobiltelefonon, ahol nem fenyeget a veszély, hogy kikémlelhetik műveleteinket !

Fontos tudni, hogy a PSZÁF nem vizsgálja, és nem felügyeli az internet működését, annak biztonságáért nem felelős. A PSZÁF a bankok biztonságos működését felügyeli, beleértve az interneten keresztül nyújtott szolgáltatásokat is, és ilyen szempontból ellenőrzi az interneten nyújtott bankszolgáltatások biztonságát. Az internetes csalások bűncselekménynek számítanak, ezért felderítésük a nyomozó hatóságok feladata!