Egy online szállásfoglalás vagy egy apróhirdetés feladása is kitehet minket a netes banki csalók támadásának

Az elmúlt hetekben a Telex több részletes anyagot is közölt arról, hogyan védekezhetünk az egyre elterjedtebb banki csalásokkal szemben. Volt, ahol a károsultak jogaira, máshol a prevencióra, vagy a fejlettebb módszerekre összpontosítottunk. Olvasóinktól továbbra is rengeteg eset, csalási kísérlet leírását kapjuk meg, ezúttal sikeres prevenciókból, szerencsésebb esetekből válogattunk, ami talán biztatás lehet mindenkinek arra nézve: azért tényleg nem mindig a csalók győznek.

Nórának a bank segített

Nóra azt jelezte lapunknak, hogy ő valóban figyelmetlen volt, telefonálás közben szeretett volna rutin banki műveleteket végezni a netbankjában (Erste Bank). A felületet böngészőből érte el, és ahogy lépett volna be, még bosszankodott is, hogy a hevenyészetten beírt címnél milyen lassú a szokásos beléptetés. Észre sem vette, hogy kamuoldalon járt, amíg a valódi banki ügyintéző nem hívta telefonon.

Itt tehát a szokatlan lépések miatt a bank sikeres volt a megelőző szűrésben, a megadott utalásokat gyanúsnak találta, és sikerült megállítani a csalási kísérletet. Nóra esete azt is megmutatja, hogy a keresők használata sem feltétlenül megnyugtató, mert a csalók olykor elérik, hogy az áloldalak legfelülre kerüljenek. Éppen ezért a netbanki oldalakat jobb könyvjelzőből megnyitni, vagy gondosan bepötyögni az URL-t. Nóra mindenesetre megúszta és utólag jelentette is a csaló oldalt.

Andrásban a furcsa hangnem ébresztett gyanút

András azzal a csalással találkozott, ahol a szálláshelyek és a szállásfoglaló oldalak (elsősorban a Booking.com) közé ékelődnek a bűnözők. Neki az segített, hogy a csalók túl agresszív stílusban kommunikáltak és túl mohók voltak, vagy legalábbis ugyanazzal a hekkeléssel egyszerre többen, több csatornán is próbálkoztak.

A történet úgy kezdődött, hogy András a Booking.com-on foglalt egy nagyobb lánchoz tartozó szállodában szobát, amikor is a belső rendszeren keresztül (majd hamarosan egy telefonos üzenetben is) problémákról kapott jelzést. Az egyik üzenet teljesen legálisnak tűnt, hiszen a Booking.com rendszerén belül („no reply”-os feladótól) jött, annyit tartalmazott, hogy verifikálni kell a kártyát, mert meg lett tagadva a fizetés. Az meglepő volt, hogy mindezt azonnal, vagy bukja a foglalást.

Ezekben az esetekben a csalók gyakran a szálláshelyek rendszerét törik fel, onnan belépnek a szálláshelyen keresztül a Booking.com-ba, és annak hitelességét használják ki.

Úgy szokott indulni maga a csalás, hogy valaki panaszkodó ügyfélként kémprogramot helyez el a szállásadó informatikai rendszerében, és észrevétlenül átveszi az irányítást. Ezzel persze a csalók még nincsenek pénznél, de elkezdik fenyegetni és sürgetni az igazi ügyfeleket, hogy meg kell csinálni egy gyors jóváhagyást, vagy előre kell kifizetni a városi idegenforgalmi adót (city tax), mindegy az ürügy, csak hibázzon az ügyfél.

A csalás gyenge pontja az, hogy amennyiben valaki közben megnézi a Booking.com-ot, látja, hogy minden rendben van a foglalásával. A különös az, hogy ebben a csalásban ketten vannak a szállás nevében a rendszerben, a csaló, de az igazi szálláshely is, amely, ha visszakérdezünk, gyorsan figyelmeztet a csalás veszélyére. Vagyis aki hekkelt, az tud nekünk üzenni a szálláshely nevében a Booking.com rendszerén belül, de ha értesül a csalásról, akkor a szálláshely is tud üzenni.

Maga a kicsalt „city tax” nem lenne nagy összeg, de ha a szállás teljes díját viszik el, vagy főleg, ha a kívánt verifikációval a netbankba jutnak be a gengszterek, az már nagyobb gond. Ebben a módszerben ijesztő, hogy egy magas biztonságú és nagyon hiteles oldal nevében tudnak fellépni a csalók, úgy, hogy azt a rendszert amúgy nem törték fel.

Tamás és Péter maga volt elővigyázatos

Tamás arról írt, ő hogyan biztosítja be magát a banki csalások ellen. Ő óvatos ember, nyugodt körülmények közepette, asztali gépéről intézi a banki ügyeit, sőt ennél is tovább ment. Elővett a fiókból egy régi nyomógombos (nem okos) telefont. Hite szerint az ilyen készüléket nem lehet megfertőzni.

Vett egy feltöltős SIM-kártyát, elment a bankjába és az értesítési telefonszámát megváltoztatta az új számra. Ezt a számot csak a bankból érkező SMS-ek fogadására használja, ami évente 3000 forintjába kerül, de megnyugtató védelem az ellen, hogy az ellenőrző kód illetéktelen kezekbe kerüljön.

Ezzel valóban erős lépés történt az ellen, hogy kéretlen, adathalász hívás, vagy klikkelendő információ érkezzen, hiszen semmilyen más fórumon nem adta meg ezt a számot.

Egy másik olvasónk, Péter pedig részletesen is bemutatott nekünk egy típuscsalást, amikor a potenciális áldozat meghirdet egy kanapét, gitárt, numizmatikai gyűjteményt (Péter esetében egy villanyborotvát), és alku nélkül azonnal jelentkezik egy vevő, aki már utalna is.

Ezekben az esetekben indokolt lehet a számlaszám elkérése, de vigyázzunk, ha az ügylet ennél tovább bonyolódik. Előfordulhat például, hogy azt jelzi a vevő, hogy a testvére éppen egy csomagszállítónál dolgozik, és tudna egy olcsóbb szállítási lehetőséget. Ezért – írja az állítólagos vevő – linket küldene, amin keresztül a szállítást ő megszervezné, vagy valami hasonló okosságot javasol. Nos, ilyenkor szinte száz százalék, hogy adathalásszal van dolgunk.

Digitális azonosság

Olvasóink példái alapján a védekezés tehát nem reménytelen, de nem is lehet hátra dőlni. Ma ott tart a szabályozás, hogy egy erős ügyfél-azonosításnál a három faktorból legalább kettőt azonosítson a rendszer. Ilyen faktor lehet az,

• ami az ügyfél birtokában van (telefon, kártya);
• amit tud (statikus PIN-kód, vagy egyéb információk, anyja neve, utolsó bankkártyahasználat);
• illetve ami csak az ügyfélre jellemző (ez lehet biometrikus azonosító, az ujjlenyomat, az arca, az írisze, de akár az úgynevezett digitális identitásának más eleme, a mobiltelefonjának használata, mozgatása, gépelése).

A baj csak az, hogy a háromból kettő, például a statikus jelszó és a telefon már kijátszható, ha például a csalók ismerik a statikus jelszavunkat és belemásznak a telefonunkba. Egyelőre azok a rendszerek tűnnek a legjobbnak, ahol nem pusztán jelszó érkezik, de például a belépés után egy ujjlenyomatos push szükséges, hiszen azt azért észrevesszük, ha már az ujjunkat is ellopták.

Sokan összefognak

A helyzet mindenesetre valóban nagyon súlyos, a Biztosdontes.hu elemzése szerint

a kibertérben elkövetett csalások hazai kárértéke napi 75 millió forint, ennek 70 százaléka a bankszámlák feltöréséből származik.

A Mastercard elemzése szerint a Covid alatt 1,1 milliárdnál is több új felhasználó jelent meg a digitális térben (számuk csak a járványidőszakban az addigiak negyedével nőtt), és természetesen a bűnözők szívesebben támadják a kevésbé hozzáértő felhasználókat. Az élet egyre több területe költözik át a digitális térbe, sehol nem növekszik ennyire a bűnözéssel okozott kár mértéke, nem csoda, ha 100 emberből csak 5 érzi magát biztonságban a kibertérben.

A leggyengébb láncszem ugyanis mindig az ember. Akár magánszemély, akár vállalat, akár közintézményt megtámadásáról van szó, a csalók igazából általában egy embert támadnak.

Nemes Máté, a Mastercard kiberbiztonsági termékmenedzsere szerint az is megfigyelhető, hogy mindig az érzelmekre hatnak a csalók, a félelemre („támadás zajlik ön ellen”), vagy az örömre (a kedves ügyfél úgy kattint rá az ausztrál lottónyereményére, hogy nem is játszott azon soha).

Sajnos már olyan alacsonyra került az intellektuális küszöb is, a bűnözőknek nem kell zsarolóvírust kifejleszteniük, akár ki is bérelhetnek egyet.

Globálisan mindenesetre a pénzforgalmi csalásokkal okozott kár éves szinten már 40 milliárd dollár (ez az éves magyar GDP negyede), átlagosan 39 másodpercenként történik egy méretesebb támadás. Magyarországon a kártyás csalások aránya 2021 óta 50 százalékkal növekedett, a banki átutalásos csalásoké viszont 200 százalékkal. Sajnos ráadásul az áldozatok sokszor nem is jelentik a kárukat. Természetesen a támadások zöme a pénz miatt történik, de vannak egyéb, például politikai, vagy (ipari, katonai) hírszerzési támadások is.

A jegybank is lépett

A Magyar Nemzeti Bank is nagyon komolyan veszi a témát, nemrég nyilvánosan is bemutatta ajánlási rendszerét. Freisleben Vilmos, az MNB fogyasztóvédelmi igazgatója szerint

sajnos a bűnözőknek valóban biztonságot nyújt, hogy a banki csalásokhoz nem kell személyesen találkozniuk az átvertekkel, modern technológiák mögé tudnak bújni, és a fogyasztók valóban nincsenek, nem is lehetnek mindenre felkészülve.

Sajnos a csalók sokszor vázolnak olyan helyzeteket, amelyek reálisak lehetnek, mert az ügyfél valóban éppen vár egy csomagot, amikor rá kellene kattintania egy csomaggal kapcsolatos linkre, vagy valóban kapcsolatban vannak az adott bankkal, közműszolgáltatóval, amelynek nevében adathalász oldalra terelnék az áldozatot, vagy éppen egy apróhirdetés után is addig reális a történet, hogy a vevő fizetni szeretne, amihez adatot kér.

Természetesen a hatóságok nagyon jól ismerik a problémát, el is indult a KiberPajzs tájékoztató program, Pintér Sándor belügyminiszter egy 97 fős egységet hozott létre a kiberbűnözés ellen. Említett ajánlásában az MNB pedig elsősorban a felügyelt intézményeknek (kereskedelmi bankok) tud előírásokat megfogalmazni. A Mastercard pedig a vállalatok elleni támadásokban specialista.

Mint láttuk, a bankok szeretik azt gondolni, hogy az ő rendszereik biztonságosak, miattuk nem juthatnak be a csalók, de lehetnek olyan helyzetek, amikor pótlólagos szűrés segítene.

Például az egy gyanús körülmény, ha egy régi magyar ügyfél magyarról angolra váltja a netbank nyelvét, aztán megpróbálna összegeket elutalni. Korábban a magyar nyelv valamennyi védelmet nyújtott a globális csalások ellen, nehezebben érkeztek meg jó minőségben a már kipróbált sémák.

Újabban azonban a ChatGPT és a minőségibb fordítóprogramok miatt a magyar nyelv sem jelent védelmet.

De az is különös óvintézkedést kellene, hogy igényeljen, ha valaki a napi költési limiteket szeretné eltörölni. Itt indokolt lehet egy új azonosítás (közvetlen banki telefon) az ügyfélnek, mert ha egyszer bejutott a rendszerbe a csaló, akkor az nem védelem, ha a rendszeren belül – már érdemi fékek nélkül – lehet a limiten változtatni.

Új és régről ismerős módszerek

A fogyasztóknak nem kell ugyan minden módszert pontosan ismerniük, talán ijesztő is lehet, hogy mennyi ilyen van, de az általános óvatosság mindig indokolt. Az egyre felkészültebb csalók ellen a jegybank szerint is három fontos védvonal létezik: az MNB, amely központi igényeket, ellenőrzéseket végez, a kereskedelmi bankok, amelyek megfelelő mechanizmusokat alakítanak ki, illetve a fogyasztók, akik maguk is sokat tehetnek.

A mostanában leginkább elterjedt csalási módokról (pl. az azzal való ijesztgetésről, hogy már feltörték a számlánkat) egyik előző cikkünkben már részletesen írtunk, ugyanitt tanácsokkal is szolgáltunk az áldozattá válás elkerüléséhez. Most nézzük, mivel egészíthetjük még ki a korábbi gyűjtést.

Az MNB tapasztalta szerint az új típusú átverések mellett még mindig viszonylag sok a nagy múltra visszatekintő,„túl szép, hogy igaz legyen” megoldás. Bár bárgyúnak tűnhet a nigériai csalás, az, aki mégis reagál egy „örököltél 12,4 millió dollárt” jellegű megkeresésre, nagyon pórul járhat. Kedvezőbb esetben csak valami előzetes utalást kérnek a csalók, de újabban az is előfordul, hogy részletesebb adatokat kérnek a bankszámláról, hogy utalhassanak, és aztán súlyos károkat okoznak.

Előfordulnak továbbá nagyon kedvező üzleti ajánlatok, ezek főleg kriptókkal kecsegtetnek (befektetési csalás). Vagy bevett a látszólag ártalmatlan „nem hiszed el, mit csinált a dominikai és a venezuelai szépségkirálynő, amikor kettesben maradtak a szállodájukban” tartalmak. Itt, főleg, ha tényleg van tartalom a link mögött, észre sem vesszük feltétlenül, hogy valamilyen kémprogram, vagy távoli hozzáférést engedő szoftver került a gépünkre.

Durvább módszer, amikor egy zsarolóvírus azzal fenyeget, hogy a gépünk tartalmát kitörli, nyilvánossá teszi, de bizonyos adatok megadásával ez megállítható.

A hamis weboldal (pharming) sajnos sokszor nehezen felismerhető, akár egy bank, akár egy webshop is lemásolható, és elég profi megoldások vannak.

További bevett módszerek a gonosz iker (evil twin), a bálnavadászat (whaling), a szigonyozás (spear phishing), a csalizás (baiting), vagy az eltérítéses csalás. Ezek a részben a közösségi hálót, részben felső vezetőket megcélzó csalások sokkal szofisztikáltabbak, mert valamilyen személyes információt összeszednek a kiszemelt áldozatról és egy számára hihető (perszonalizált) céges, vagy családi szituációban, esetleg egy csoporthoz tartozó elemben (gyűjtés) hivatkozva próbálnak meg adatot szerezni, vagy olyan oldalra terelni, ahol már veszélybe kerülhetnek érzékeny információk.

Sajnos a mesterséges intelligencia itt is segít a csalóknak, mert eltérő információkból (magyar telefonszám, magyar cím, releváns link, közösségi oldalról származó fotó) tudnak hihető üzeneteket gyűjteni.

Az MNB-s ajánlások

A jegybank mindenesetre ezek ellen is fel kíván lépni. Az MNB ehhez több lépcsőben, 2024. januári, szeptemberi, illetve 2025. márciusi kezdettel bevezetendő elemeket fogalmazott meg. Ezek a Központi Visszaélésszűrő Rendszerhez, illetve a KiberPajzs ügyfél-edukációs kampányhoz is illeszkednek. Az MNB kéri a bankokat, hogy másként kezeljék a súlyosan gondatlan (kirívóan észszerűtlen, szinte szándékos) ügyfélmagatartást, illetve az egyszerű gondatlanságot. A körülményeket mindig egyedileg kell nézni és a kereskedelmi bank nem gyengítheti az ügyfél pozícióját a központi szabályokhoz képest.

Fontos ajánlás, hogy amikor az ügyfél új eszközt próbálna ki, a pénzügyi intézmény küldjön megerősítő üzenetet neki és alkalmazzon erős ügyfél-hitelesítést (itt az is cél, hogy a bank ne az új elektronikus csatornán keresztül, hanem egy másik kommunikációs csatornán keresztül értesítse a fogyasztót). A jegybank a keresztazonosítás fogalmát is leírja, vagyis ne csak a bank azonosíthassa be az ügyfelet, de az ügyfél is a bankot.

Az MNB elvárja, hogy a bankoknak legyen olyan elektronikus kommunikációs csatornájuk, amelyen az érintett ügyfelek várakozás nélkül bejelenthetik, vagy visszavonathatják a nem általuk adott megbízást. Ha az ügyfél kéri, az intézményeknek haladéktalanul ingyenesen elektronikus értesítést kell küldeniük, ha fizetési számla egyenlege, illetve személyi hitelesítési, értesítési adatai megváltoztak (műveletmegfigyelési üzenet).

Az MNB azt is kéri, hogy az intézmények által a fizetések értékénél, darabszámánál alkalmazott műveleti értékhatárok igazodjanak az ügyfelek fizetési szokásaihoz, miközben akadályozzák meg az ettől eltérő tranzakciókat. Legyen ingyenes lehetőség az értékhatárok átmeneti és állandó elektronikus (erős ügyfél-hitelesítéssel történő), illetve telefonos (keresztazonosítással végezhető) módosítására.

A jegybanki ajánlás emellett kitér az erős ügyfél-hitelesítés elemeit biztosító többfunkciós készülékek kockázatainak mérséklésére.

Ha mégis megtörtént a baj, az intézményeknek egyedileg kell vizsgálniuk az adott művelet teljesítésének körülményeit. Önmagában nem utasíthatják el az ügyfél igényét azért, mert például egy kártyás fizetési művelet annak PIN-kódjával történt, vagy arra hivatkozva sem, hogy a tranzakció kapcsán az adott fogyasztó elektronikus eszközére küldtek sms-t vagy push üzenetet.