Ferenc pórul járt: nem adta meg a banki adatait a csalóknak, mégis átverték

A Telex több cikket írt a banki csalásokról az elmúlt hetekben. Ezekben az írásokban hangsúlyoztuk, hogy az esetek 99 százalékában mi magunk hibázunk vagy válunk figyelmetlenné. Úgy válunk áldozattá, hogy nem szándékosan, de mi adjuk ki a jelszavainkat vagy más banki adatainkat. Sajnos előfordulhat azonban azt is, hogy csak valamilyen óvatlan jelszókezelés, klikkelés vagy olyan informatikai trükk áldozatává váltunk, amit észre sem veszünk.

A legrémisztőbb az, ha nem is tudjuk, mi történt. Egy ilyen eset tanulságait próbáljuk most bemutatni. Ebben az egyedi esetben természetesen nem tudhatjuk, hogy miképpen sikerült a csalóknak értékes személyes adatokhoz jutniuk, de ilyen eshetőségeket is vizsgálunk.

Ferenc és a kincstár

Ferenc (a nevet megváltoztattuk) a Magyar Államkincstárnál vezetett számlát és vált áldozattá. Az eset azért nagyon ijesztő és tanulságos, mert ő aktívan nem segítette a csalók munkáját, vagy legalábbis hiszékenységből semmiképpen nem növelte a csalók esélyeit.

Az eset a szokásos módon indult. A csalók azzal telefonáltak Ferencnek, hogy baj van, feltörték a kincstári számláját. Ferenc érthető reakcióval ezt azonnal ellenőrizni akarta. Gyanúja szerint valahogy úgy törhették fel a számláját az elkövetők, hogy amikor belépett a Webkincstárba, és ehhez sms-ben jelszót kapott, a folyamatban levő beszélgetés révén valahogy ezt a csalók megszerezték.

Banki szakember forrásaink szerint Ferenc ezzel e feltételezéssel közel járt az igazsághoz, mert sajnos újabban ez a leggyakoribb visszaélés.

A csalók akár hetekkel korábban egy linkre kattintás révén olyan programot tudnak telepíteni a telefonunkra vagy a számítógépünkre, ami távoli felügyeletre, vagyis távoli munkavégzésre alkalmas, és onnan már látják a jelszavakat, a megérkező kódokat.

Természetesen a konkrét esetben nem tudjuk, hogy ez megtörtént-e, de ahogy egy csalásellenes szakember mondja: ez ellen a módszer ellen az eszközünkre érkező megerősítő kód nem jelent védekezést. Szerencsés esetben a mobilra érkező push-jóváhagyást (ujjlenyomatkérést) azért így sem tudják kicselezni a bűnözők.

A csalók tehát feltörték Ferenc számláját, majd onnan több bank több számlájára utalták el a pénzt úgy, hogy akadtak olyan utalások, ahol a kedvezményezett nevéhez Ferenc valódi nevét, de nem az ő számlaszámát írták.

A hamis név ellen nincs védelem

Erről a jelenségről már korábban is írtunk.

A magyar banki utalásoknál ugyanis valójában csak az számít, hogy a számlaszám helyes legyen, a kedvezményezett neve nem érdekli a bankokat.

Ezt anno én úgy ellenőriztem le, hogy a bankomnál kezdeményeztem egy 5000 forintos utalást, a számlaszámhoz pedig beírtam a feleségem bankszámlaszámát, míg a kedvezményezett nevéhez azt írtam, hogy Nepomuki Szent János Csehország védőszentje. Elment a pénz, majd hamarosan sms-t kaptam a feleségemtől: „Direkt utaltál 5000 forintot? Ha direkt, akkor miért csak ennyit?” Ebből megtudtam, hogy a pénz gond nélkül megérkezett.

Ferenc esetében is kiderült, hogy az azonnali utalási rendszernél az utalásokat csakis a 24 jegyű bankszámlaszám alapján hajtják végre, a névazonosságot nem ellenőrzik.

Mindez azért aggasztó, mert azok az utalások, amelyeknél a számlatulajdonos saját tulajdonú, más számlaszámaira utal pénzt, nyilván észszerűbbnek, hétköznapibbnak tűnnek, ugyanakkor az összeg szétosztása eltérő számlák között gyanút kelthetett volna.

A bankok gondolkodása

A név figyelmen kívül hagyásának amúgy az az oka, hogy sok ügyfélnél az utalók tévednének, eltérő névverziókat adnának meg. Vannak egyszerűbb nevek is, Orosz Attila, vagy Szabó Béla például nehezebben elrontható.

Amennyiben a számla egy Brückner Gergely Imre nevű felhasználóé, akkor már több lenne a hiba, mert ilyenkor akadna Bruckner, Brükner, Brückner Szigfrid, vagy a Gergely, Imrében valami eltérő változat.

Ha pedig például dr. Ribáryné Pakurits Alíz számlájáról lenne szó, akkor tíz esetből ötször-hatszor bekerülne valami eltérő névváltozat vagy hiba: Ribáriné, Pakurics, Alice stb. az utalásba.

A bankok ezért végül úgy döntöttek, hogy egyáltalán nem foglalkoznak a névvel. Az amúgy más kérdés, hogy az intelligens informatikai rendszerek vajon nem tudnák-e valamiképpen kiszűrni a kis eltérést és a teljesen más nevet. Vagyis a Tóth, a Toth és a Tót elmenne helyesnek, ahogyan az is, ha a Főtávhoz hasonló értelmű kedvezményezettek lennének feltüntetve, például Távhő, Fővárosi Távhőszolgáltatás, BKM, ilyesmik. Az azonban már ilyen esetben nem csúszna át az ellenőrzésen, ha valaki a Főtáv nevében szólít fel fizetésre, így az utalások címzettje is a Főtáv, de a számla tulajdonosa valójában Szása Kurnyikov magánszemély.

Szomorú tanulság

Ferenc már nyugdíjas korú, így azt mondja, hogy a „kárt elfogadta, az megoszlik”. Utóbbi szomorú gondolatnál azt mondja, hogy a csalók nemcsak őt, hanem elsősorban a gyerekeit és az unokáit károsították meg.

Ebben a történetben két tanulság mindenképpen van. Egyrészt amikor idegenekkel (jó eséllyel csalókkal) vagyunk vonalban, jobb, ha közben nem intézkedünk, nem lépünk be a rendszerbe, nem kérünk kódot vagy más másodlagos megerősítést, kivéve az ujjlenyomatos megerősítést. Tanácsoljuk mindezt úgy, hogy hangsúlyozzuk, hogy nem tudhatjuk biztosan, hogy ez vezetett-e az adatlopáshoz. Másrészt jó, ha tudjuk, hogy a bankok nem ellenőrzik a számlatulajdonos nevét.

Ez egy államkincstári eset volt, de a fő célpontok továbbra is a kereskedelmi bankok netbanki rendszerei. A bankok közben abban fejlődnek, hogy egyre több helyen van gyors vonal, illetve telefonon, fiókban, netes alkalmazásban azonnal lehet kezdeményezni a kártyaletiltást vagy a számla felfüggesztését.

Fontos megjegyezni, hogy az is veszély, ha valaki visszaél a kártyaadatainkkal, de ha látjuk erről az értesítéseket, ha van egy értelmes költési limitünk, elég hamar letilthatjuk a kártyát. Ám az igazi veszély az, ha a csalók bejutnak a banki oldalunkba és átveszik az irányítást a számlánk felett. A kártyás fizetéseknél a kártyatársaságok a charge back eljárásokban könnyebben kezdeményezhetik a vásárlás visszatérítését és a bank ilyenkor 1 napon belül dönt. De itt a bank csak mediátor, a kártyatársaság a „főnök”.

A bankok nem nagyon térítenek

A bankok azonban mostanában ritkán fizetnek az ilyen csalások után. Tapasztalatuk szerint azért is, mert amikor az ügyfél azt mondja, hogy ő semmiben sem hibázott, az nem mindig van úgy.

Az igazi csalások jelentőségét nem elbagatellizálva, de azért az itt felsorolt esetek is előfordulnak.

• Van öncsalás is. Ilyenkor kis összegű vásárlások után, a rutintérítésben bízva, csalást jelent az ügyfél.
• Van családon belüli lopás: a gyerek játszik a számítógépen, vagy szerencsejátékozik, és közben az apja kártyáját használja.
• Akad, aki kamuból jelent visszaélést, mert a feleségének nem tudna megmagyarázni egy utazást vagy egy sztriptízbáros költést.
• Előfordul, hogy az ügyfél határozottan állítja, hogy nem hibázott, de nem biztos, hogy összerakja, hogy három héttel korábban volt egy rendkívüli esemény, valami, ahol tényleg hibázott.
• És akad, aki még magának is hazudik, mert nem fér bele az önképébe, hogy átverték. Meggyőződéssel állítja, hogy ő nem hibázott.

A bankok azzal is érvelnek, hogy ők nem jóhiszeműek vagy rosszhiszeműek, hanem racionálisak. A réseket nem akarják szélesre tárni, mert, ha a kártérítésekben túl megengedő lenne a bank, akkor több öncsaló bátorodna fel. Azt mondják, hogy erősen szabályozott keretek között működnek, de ha hibáznak, akkor fizetnek. Ilyen egyértelmű eset például, ha a bejelentés után történik sikeres visszaélés, vagy technikai hiba történt.