Brutálisan sok embert vernek át a netes csalásokkal, itt vannak a fejlettebb módszerek a védekezésre

A Magyar Nemzeti Bank rendre összesíti, hogy a magyar lakossági ügyfeleknek mekkora kárt okoznak az elektronikus visszaélések,

április és június között ez összesen közel 9 milliárd forintos kárt jelentett, ami 22,3 százalékkal több az egy évvel korábbinál.

Egy másik metrika azt mutatja, mekkora az a kár, amit pszichológiai hadviseléssel okoznak a banki csalók, akik valahogy kiénekelik a jelszavainkat, biztonsági utalást javasolnak, kémprogramot telepítenek a gépünkre.

A befejezett visszaéléseket összesítő legfrissebb adatsorok szerint sajnos a bűnözők egyre sikeresebbek. Amikor ilyen számot először közzétett az MNB, vagyis 2023. I. negyedévében még csak 1162 visszaélés történt összesen 500 millió forint alatti kárösszeggel, 2024. II. negyedévében viszont már összesen 2642 ilyen eset volt, és ezek összesen 1,877 milliárd forintos kárt okoztak az ügyfeleknek. Sajnos a mindennapos próbálkozásokból, adathalász kísérletekből egyre inkább sikeres támadások lettek.

Már nem csak a bank védekezik

Hiába hallhatunk tehát sokat az elterjedt módszerekről, egyre több banki ügyfél veszíti el a pénzét. Rögzítsük azonnal, hogy nincs igaza azoknak, akik áldozathibáztatásba kezdenek, lesajnálják azokat, akiket meg lehet téveszteni. Aki hosszú évtizedek óta ügyfele a bankoknak, azt szokhatta meg, hogy nem voltak teendői. Mindenki betette a pénzét a bankba, és az ott biztonságban, jó helyen volt.

Nem csoda, hogy sokan még csak mostanában kezdik átérezni a digitalizált világ kockázatait, rájönni, hogy ma már az ügyfeleknek is aktívan kell tenniük a biztonságért. Ennek oka, hogy

a csalók ma már akkor is meg tudják károsítani az ügyfelet, ha nem fordulnak a bankhoz.

A tolvajok ugyanis jellemzően már nem a banktól lopnak, hanem magától az ügyféltől, az ő bizalmába férkőznek be, ilyenkor pedig a bank nem is feltétlen észleli, hogy visszaélés történik, így nem is tudja azt megakadályozni. A felhasználók oldaláról az a legfontosabb, hogy különös gonddal vigyázzanak a számláikhoz, kártyáikhoz tartozó egyedi azonosító adataikra, hiszen a visszaélések nagy többsége úgy történhet meg, hogy az áldozatok ezeket önként bocsátják illetéktelenek rendelkezésére – vélte Bártfai Gábor, a CIB Bank Információbiztonsági vezetője.

Gergely Péter, a BiztosDöntés.hu pénzügyi szakértőjének segítségével azt próbáltuk összeszedni, hogy mik a védekezési lehetőségek. Az alapvető óvintézkedések biztosan sokaknak lesznek ismerősek, ezért csak a végén ismételjük el őket, és inkább az újabb banki megoldásokra fókuszálunk.

Bankkártyás limitek

Gyorsan szögezzük le, hogy a legnagyobb kárt az okozza, ha a csalók bejutnak a banki rendszerbe és utalgatnak, de óvintézkedéseinket úgy fogalmaztuk meg, hogy azok ne csak erre az esetre vonatkozzanak, hanem például a bankkártyás adatok kijátszására is.

Talán a legfontosabb a mindenféle limit beállítása, ez nagyon leegyszerűsítve arra jó, hogy limitálja a kárunkat is.

A már megszokott, bankkártyához tartozó limiteknek régen nem csak biztonsági, de technológiai okai is voltak, például az ATM-ek egy bizonyos mennyiségű készpénznél többet nem tudnak egyszerre kiadni. Olyannyira, hogy nem csak a bankkártyák, hanem maguk az ATM-ek is rendelkeznek pénzkiadási limittel, a bele helyezett bankkártyától függetlenül.

A bankkártyák napi vásárlási és pénzfelvételi limitjei az alsó és felső banki határon belül szabadon állíthatók. A csalások veszteségének a korlátozására jobb az alacsony limit, de ha nagyon alacsony a korlátozás, akkor nagyobb eszközök, háztartási gépek, vagy egy szállás kifizetésénél gyakrabban ütközünk (amúgy feloldható) korlátozásba, viszont szerencsére a limit átállítására már minden hazai bank mobilalkalmazása képes . Így aztán ha alapból alacsonyabb a limitünk, mint egy-egy nagyobb kiadás összege, akkor a kártya használata előtt és után közvetlenül is lehet fel- és leszállítani az értéket. Vagyis az idő nagy részében nem kell feleslegesen magas értéken tartani azt.

Átutalási korlátozások

A bankszámláknak korábban nem voltak átutalási limitjei, az ügyfelek akár a teljes egyenlegüket átutalhatták. Amikor azonban az internetes bankkártya-használat során – Magyarországon 2021-től – bevezették az erős ügyfél-hitelesítést, amellyel az internetes vásárlás csak egy egyedi kóddal fejezhető be, a helyzet megváltozott. Ezt pont az elharapózó csalások miatt vezették be a bankok, így a csalóknak új területet kellett keresniük, ahol nem találkoztak ilyen erős akadályokkal.

Ez lett az átutalás, és ezzel megjelent az átutalásos csalás (miközben természetesen a netes vásárlásos, illetve általában a kártyás csalások sem tűntek el teljesen), ahol a bűnözők az ügyfeleket ráveszik arra, hogy a saját pénzüket utalják át, vagy a saját banki hozzáféréseiket adják át a csalóknak.

Az átutalásos csalások annyira elharapóztak 2021-től, hogy 2024-ben a Magyar Nemzeti Bank ajánlására a hazai bankok is elkezdtek átutalási limiteket alkalmazni.

Ez azt jelenti, hogy a bankok minden ügyfélnél egy fix összegű limitben, vagy az ügyfelek szokásai alapján egyedi limitben állítottak be napi átutalási összeghatárokat minden bankszámlára. Ezeket a limiteket az ügyfelek szabadon módosíthatják egy felső határig. Az átutalási limit tehát határozottan egy újfajta védekezési lehetőség.

Hogy néz ki mindez a gyakorlatban? Vannak olyan bankok, amelyeknél a mobilappban át lehet állítani ezt a limitet (ilyen például a CIB vagy az OTP), de akad olyan is, ahol csak bankfiókban. Mindkettőre van indok. Ha maga a bank megfelelően be tud minket azonosítani, nyilván egyszerűbb a mobilos megoldás. De az ügyfél akár azt is elfogadhatja, hogy amennyiben a csalók nem tudják digitálisan felemelni a limitet, csak személyesen a bank ügyintézőjénél, az egy erős akadály számukra. És még az is lehet, hogy az ügyintéző felismeri, hogy éppen egy csalás készülne, és megvédi az ügyfél pénzét.

Mobilos megoldások

A banki mobilapplikációkban egyre több olyan további plusz biztonsági lehetőség adódik, amely a bankkártya és az átutalási limit megfelelő alkalmazása mellett is használható kiegészítő jelleggel, de akár önmagában is.

Az egyik ilyen a mobiltelefonos felbukkanó (push) értesítések a tranzakciókról. Ez az átutalásoknál egy ingyenes lehetőség, amely nem véd meg a csalástól, viszont értesíti róla az ügyfelet, ami után azonnal a bankhoz kell fordulni.

A csalások során egészen elképesztő, hogy olykor perceket kellene várni a kártya letiltására, az ügyintézőre, ebben nagyon gyengék a magyar bankok.

A mobilban talán gyorsabb lehet a letiltás, csak az ügyfelek általában, ha már meghekkelték a digitális eszközeiket, szívesebben beszélnek hús-vér emberrel.

Mindenesetre ebben a tárgykörben kifejezetten hatékony védekezési lehetőség a kártyablokkolás. Ez olyan, mint a bankkártya letiltása, viszont azzal ellentétben az ügyfél által korlátlanul visszavonható, és ingyenes is. Vagyis nem véglegesen zároljuk a kártyát, nem kell utána feltétlenül újat csináltatni, de a kétely idejére felfüggesztjük. Ábécésorrendben a CIB, az Erste, a Gránit, a K&H, az MBH, a Raiffeisen és az UniCredit bankoknál biztosan elérhető, ha máshol nem is, de ha kihagytunk valakit, annál jobb, érdemes ennek utánanézni. A leblokkolt kártyát nem tudják a csalók megterhelni.

Finomhangolás

Geolokációs beállításnak nevezik azokat a földrajzi alapú beállításokat, amikor az ügyfél csak Magyarországon, vagy csak a biztonságos európai EGT területen engedi a kártyahasználatot, így más országokból a bank visszautasítja a tranzakciókat. Ez a funkció a CIB és az OTP bankoknál érhető el. A legtöbb esetben az ugyanis nem jó jel, ha Haitiből, Lesothoból vagy Gabonból akarnak vásárolni a kártyánkkal. Ha mégis éppen arra járunk, arra előzetesen fel lehet készülni, sőt, érdemes is, mert az nem a legvidámabb helyzet, amikor Gabonban nem tudunk vásárolni a kártyánkkal, és el kell kezdeni telefonálni, hogy igen, ezek mi vagyunk. 20 percet várni a call centerre, sohasem boldogság, de ha 500 forintos a percdíj, akkor végképp nem az.

Ki is lehet kapcsolni az internetes kártyahasználatot az OTP és Raiffeisen bankoknál, ami a visszaélések melegágyának számít. Az így beállított kártya zavartalanul működik a boltokban és az ATM-ekben, de az interneten egyáltalán nem lehet fizetni vele, csak ha visszakapcsoljuk ezt a korlátozást.

Az ebből adódó nehézségek megkerülésére külön internetes kártyát is lehet igényelni a CIB és OTP bankoknál, amely arra jó, hogy az ügyfél elkülönítse a kockázatosabbnak számító internetes vásárlásokat és a hagyományos bolti vásárlásokat egymástól. A hagyományos kártyát csak a bolti vásárlásokra használjuk, az alkalmanként feltöltött internetes célkártyát pedig limitált összegekkel csak a neten. Ez egy régebbi találmány, de ma is remekül működik. Más banknál, ahol nincs külön internetkártya, ez a funkció helyettesíthető egy külön bankszámlával, amelyet a hozzá tartozó kártyával csak internetes vásárlásra használunk és az elkölteni kívánt pénzt csak közvetlenül a használat előtt utaljuk át rá. Ez azonnal megérkezik bármely hazai banknál, más banktól is.

Telefonkijelző

Új megoldás, hogy egyes bankoknál megmutatja a banki applikáció, ha tényleg a bank hívja az ügyfelet (nem pedig a csalók). Ezt a lehetőséget jelenleg a Gránit és OTP bankok mobilalkalmazásai kínálják, de mivel praktikus, várhatóan el fog terjedni más bankoknál is.

A megoldás lényege, hogy hívás megjelenésekor a banki mobilapplikáció push üzenetben értesíti a felhasználót arról, hogy a bank munkatársa hívja. A Gránit Bank applikációja még a banki ügyintéző nevét is kijelzi.

Ezekkel a megoldásokkal a csalókat egyértelműen be lehet azonosítani még utólag is, hiszen ez az információ utólag is visszakereshető marad az applikációban. Ha nincs a bank hívása a mobilapplikáció banki híváslistájában, a hívást valószínűleg csalók indították.

Az UniCredit Banknál elérhető ATM-es készpénzfelvétel bankkártya nélkül, közvetlenül a bankszámláról. Ezzel a módszerrel a bankkártya teljesen kikerülhető, még a digitális változata is, miközben ugyanúgy hozzájutunk a pénzhez a banki mobilapplikációval. De ez csak az UniCredit saját ATM-jeiben működik és kizárólag Magyarországon.

Gépi tanulás

A csalók sajnos fejlődnek is, letisztul, hogy mi működik nekik jobban, a szövegeik, a módszereik egyre kifinomultabbak lettek. A K&H Bank felidézte azt a szerencsére nem lakossági, hanem vállalati példát, egy hongkongi esetet, amelyben egy cég alkalmazottja 25 millió dollárt utalt át csalók számlájára, mert a csalók egy videóhívásban mesterséges intelligencia segítségével hitelesen „klónozták” a cég pénzügyi vezetőjét, de még a háttérben szaladgáló kollégáit is. A lóvá tett munkatársban fel sem merült, hogy csalásról van szó.

A csalók tehát tényleg folyamatosan fejlesztenek, egyre rafináltabb megoldásokkal próbálkoznak.

„A generatív AI végeláthatatlan lehetőségeket kínál a tolvajoknak mind módszereik megválasztásában és variálásában, mind akcióik számának növelésében”

– mondta Nagy Ádám Péter, a K&H információbiztonsági vezetője. A mesterséges intelligencia minden lopási kísérlet kudarcából vagy sikeréből levonja a tanulságokat és módosít a módszerein. A nemzetközi porondon ténykedő csalók korábban nehezen birkóztak meg a magyar nyelvvel, ám az AI ebben is segíti őket. A csalók a bankok logójától kezdve az arculat minden eleméig mindent pontosan lemásolva igyekeznek átverni az embereket. A legfontosabb tudnivaló, hogy az emailben, sms-ben, vagy bármi egyéb írásos csatornán kapott link ellenőrzése még mindig a legbiztosabb módszer a védekezéshez.

Mintha készpénz lenne

És végül ismételjük el az alapokat, amelyek nélkül nincs hatékony védekezés az átverések ellen. Gergely Péter szerint a digitális tárcánkra gondoljunk úgy, mint a fizikai pénztárcánkra. Ha az utcán odajönne egy ismeretlen azzal, hogy nem biztonságos a környék, zsebesek járnak, adjuk oda a készpénzünket, ő majd vigyáz rá, odaadnánk?

Vagy ha valaki azt mondaná, hogy ő a Magyar Nemzeti Banktól jött, azért járja az utcákat, mert be kell vizsgálnia az emberek bankjegyeit, hogy nem hamisak-e. Átadnánk? Valószínűleg százból száz ember nem adna neki egy fillért sem.

A hatóságok általában nem is kérnek ilyet. Ha mégis, az elég meglepő, de normál esetben tényleg nem jön oda hozzánk egy hatósági ember például azért, hogy ellenőrizze, hogy a kameránk nem lopott-e, és meg kell néznie a számát. Az lenne a kívánatos, ha a bankszámlán lévő pénzzel is így gondolkodnának az ügyfelek. Vagyis ha valaki felhívja őket „a bankjuktól” azzal, hogy a saját pénzük veszélybe került és biztonságból át kell utalni azt egy másik számlára, akkor mindig érdemes megállni egy pillanatra és feltenni a kérdést, hogy „mi van?”. Egy bank ugyanis sosem kérne ilyet, hiszen egy gombnyomással tud óvatosságból számlát zárolni, és ezzel maximálisan meg tudja védeni az ügyfél pénzét annak közreműködése nélkül is.

Ugyanez a helyzet azzal, amikor kódokat kérnek a csalók, a banknak ilyesmire nem lenne szüksége, hiszen a rendszeréből közvetlenül eléri az ügyfél számláját. Amikor valakit felhívnak a bank nevében, és ilyen adatokat kérnek, akkor annak minimum gyanúsnak kéne lennie – de sajnos mégis vannak befejezett csalások, lopások, méghozzá egyre több, hiszen a hirtelen megrémülő ügyfelek gyakran aktívan közreműködnek a saját megkopasztásukban.

Az általános tanács tehát az, hogy mindenki, aki a pénzünkkel kapcsolatos dolgokat kér tőlünk ismeretlenül, legyen egy kicsit gyanús. Soha, semmilyen szöveget meghallgatva se adjuk át a védelmünket garantáló kódokat, adatokat!
Ne utaljunk soha ismeretlennek a figyelmeztetésére a bankszámlánkról pénzt!
Ne telepítsünk semmiféle idegen szoftvert semmilyen eszközre! Ha egy ismerőstől kapunk furcsa linkre mutató üzenetet, kérdezzünk vissza, hogy „ezt tényleg te küldted, kinyithatom?”. Ha mindenki csak ennyit betartana, nem is nagyon lenne szükség egyéb védekezésre.