A darkneten már komplett átverési módszertanokat adnak-vesznek az egyre szervezettebb banki csalók

A banki csalások sajnos továbbra is brutális károkat okoznak a magyar lakosságnak. Az összesített kárértéket tekintve csak úgy röpködnek a milliárdok. Gyakran a cégek is károsulttá válnak, ilyen esetekben akár egyetlen ügyben is milliárdos lehet a kárérték. Pozitív fejlemény, hogy azért bizonyos számokban észlelhető némi javulás is.

A probléma kiterjedtségét jelzi, hogy az IT Natives cég szükségesnek látta, hogy 2024-ben megszervezze a The First Hungarian Fraud Summitot, vagyis egy olyan csalásellenes konferenciát indítson útjára, amely a csalásmegelőzést szolgálja és ahol egy hármas felosztásban a bankok, az áldozatok és a csalók szemszögéből is megvizsgálták az aktuális piaci trendeket a szakemberek. Az eseményen többféle ágazatból érkeztek a hazai és nemzetközi előadók, így bankár, pszichológus, kiberbiztonsági szakember, call centeres, etikus hekker is részt vett a tudásmegosztásban.

Írásunkat egy összetett, ettől persze kicsit hosszabb eset leírásával szeretnénk kezdeni, mert tényleg nagyon sokat lehet tanulni belőle. Egyetlen esetről van szó, ahol többfajta új trükk is felbukkan. Természetesen ijesztő is lehet, hogy mennyire összetett ma már egy csalás, hogy már milyen technológiai lehetőségei vannak a csalóknak az áldozatok megtévesztésére, de minden tudatos előkészítés, ráhangolás és pszichológiai hadviselés voltaképpen ugyanazt a célt szolgálja, hogy az ügyfél a folyamat végén elbukjon:

• vagy adjon meg személyes adatokat,
• vagy önmagától terelje „biztonságos számlára” a pénzét,
• vagy telepítsen egy, a csalóknak távoli hozzáférést biztosító szoftvert.

A most következő három lépcsőből álló esetet Almádi János kiberbiztonsági szakértő mesélte el a konferencián, akivel később külön is átbeszélhettük az eset körülményeit.

Három telefon, három csapda

A csalástípus úgy indul, hogy a csaló felhív egy kisebb bank nevében egy kiszemelt áldozatot, és közli, hogy a bank elutasította az illető hitelkérelmét. Az áldozat riadtan közbevág, de hát neki nem is volt hitelkérelme, nem is annál a banknál ügyfél. A túloldalról jön a pánikkeltő, de egyben megnyugtató válasz, ne ijedjen meg, akkor csalási kísérlet történhetett, azonnal értesítenek egy kiberbiztonsági szakembert, aki majd segít.

Valójában az első telefon célja csak a tudatállapot beszűkítése. Pillanatokon belül az ügyfél kap egy újabb telefont, ez már a „kiberbiztonsági szakembertől” érkezik.

Almádi János, aki korábban nyomozó volt, annyiban személyesen is érintett volt ebben a konkrét történetben, hogy a csaló, aki alezredesként mutatkozott be, éppen az ő cége, vagyis a CyberShield Consulting telefonszámát megjelenítve hívta fel az áldozatokat. (mivel ez a szám hozzá volt adva a cég Google profiljához is, egyes okostelefonoknál smart-call bekapcsolása estén a kijelzőn felbukkanhatott a cég neve is.) Mindez tehát elég hitelesnek tűnt, hiszen a csalóknak lehetősége volt elmaszkolni a telefont.

Angolul ezt úgy hívják, hogy caller ID spoofing, a hívószám szoftveres meghamisítása. Korábban erről a Nemzeti Média- és Hírközlési Hatóság (NMHH) is kiadott egy figyelmeztetést. Eszerint a hívószám-hamisítás során nem a hívást kezdeményező fél valódi telefonszáma jelenik meg a hívott fél készülékén, hanem egy másik, a hívó által előre beállított azonosító. Ehhez sajnos elég egyszerűen lehet eszközöket, szoftveres megoldást vásárolni a web sötét bugyraiban.

A csaló nyilván azért hajtja végre a számcserét, hogy elnyerje a kiszemelt áldozat bizalmát, így akarja elhitetni az áldozattal, hogy ténylegesen egy banki alkalmazottal beszél, és egy pénzügyi tranzakció során fellépő hiba vagy csalásgyanú miatt egyeztetnek. Vagy, mint jelen esetben így hitelesíti azt, hogy egy kiberbiztonsági szakember segít éppen.

Ráadásul, ha a telefonszám kapcsolható valakihez, akkor azt a hívott telefonja akár név szerint is megjeleníti. Sajnos ez valóban nagymértékben növeli az ügyfél bizalmát. Pedig a történetünkben még ez a hívás is csak egy előkészület, addig azért eljut a csaló, hogy megtudja, hogy valójában hol bankol az áldozat (ez azért nem olyan érzékeny adat), majd megígéri az álszakember, hogy nincsen gond, mindent megoldanak, mindjárt telefonál a bank.

Az előző két hívásból tehát a csalók megtudták, hogy melyik bank a valódi bankja az ügyfélnek. A hívások gyorsan érkeznek, bűnözői oldalról az a jó, ha az ügyfél véletlenül sem tud senkit visszahívni, maga nem kezdeményez hívást, mert akkor a csalók lebuknának. Maga Almádi János is úgy szerzett tudomást a csalásról, hogy voltak potenciális áldozatok, akik azért visszahívták a cégét, hogy ellenőrizzék a hívás hátterét.

A harmadik hívást indító csaló már az ügyfél igazi bankjaként mutatkozik be, és közli, hogy segít.

A három hívás általában három különböző embertől érkezik, hogy még hihetőbb legyen az egész. Ennél a telefonnál a csaló megpróbálja belőni az ügyfél digitális képességeit, és általában a három legelterjedtebb csalásforma egyikével próbálkozik:

• a phishinggel, vagy vishinggel, vagyis adathalászattal, amikor a belépéshez szükséges adatokat, ügyfélazonosítót, jelszót, valamint MFA kódot próbálja megszerezni a csaló.
• a „safe account scammel” avagy biztonságos számlára tereléssel, vagyis azzal a kamuszöveggel, hogy az ügyfélnek el kell utalnia a pénzét egy megbízható számlára, a bank szuperbiztonságos számlájára,
• illetve a távoli hozzáférés megszerzésével, vagyis amikor a csaló egy szoftver telepítése után távolról szerez hozzáférést az ügyfél számítógépéhez.

Az első kettő azért egy képzettebb ügyfél esetén könnyebben megbukik, sokan tudják már, hogy a banki belépéshez szükséges adatokat sohasem szabad megadni, vagy, hogy a biztonságos számla „hülyeség”. A harmadik kísérlet azonban gyakran sikeres. Itt az a szöveg, hogy egy banki vírusirtó szoftvert le kellene telepíteni, hogy az ügyfél megerősítse a netbank védelmét. A csaló egyesével lebetűzi a távoli hozzáférést engedő szoftvert, megvárja a telepítést, majd elkéri az ügyfél által megkapott kódot, mondván, hogy azt a banknak is meg kell erősítenie, és átveszi a távolból az irányítást a gép fölött.

Az elég ijesztő, ha ezek után valaki azt látja a gépén, hogy mozog a kurzor, a csalók ráadásul jól ismerik a banki felületeket, nagyon gyorsak, de vannak olyan trükkjeik is, hogy miközben az ügyféllel lerakatják az asztalra a netbanki alkalmazást, ők vígan ügyködnek. Sajnos a csalás áldozatai gyakran digitálisan képzetlenebb emberek, idősek, akiknek aztán a netbankból akár az elérhető teljes vagyonát is elviszik. Az ilyen típusú csalások megelőzésére a bankoknak szükségük van olyan kifinomult csalásmegelőzési szűrőrendszerekre, amelyek képesek észlelni az ügyfél profiljától eltérő tevékenységeket.

A fenti három mellett sajnos az ügyes csalók a „túl szép, hogy igaz legyen” típusú ajánlatokat is nagy tapasztalattal úgy lövik be, hogy az nagyon kedvező legyen, de mégse legyen olyan feltűnően átlátszó, mint az, hogy a gambiai külügyminiszter 60 millió dollárt szeretne adni nekünk.

Bűnszervezetben csalók, nem létező emberek, MI-megoldások

Folytatva a módszereket, Lukáš Jakubíček, a ThreatMark csalási szakértője, az IT Natives partnere elsősorban az úgynevezett APP (Authorised Push Payment scam) csalásokról beszélt. Ezekben az esetekben az ügyfél úgy lesz egy csalás áldozata, hogy maga küld pénzt egy csaló számlájára, (a cégnek ezek elhárítására vannak hatékony megoldásai).

Az ilyen csalásokat elkövető bűnözők nem egyedül dolgoznak, hanem szervezett bűnözői csoportokban,

ahol a „szervezetnek van igazgatója, műveleti vezetője, informatikusa, adatelemzője, mindenféle támogatást nyújtó szakembere, futára, pénzfelvevője.” Vagyis a csalók kiterjedt munkamegosztással, akár legitim vállalkozásokként működnek, fejlett informatikai rendszereket, struktúrákat és stratégiákat alkalmaznak.

Ami pedig a technikai hátteret illeti, Romano Ramanti, a Zurich Cantonal Bank kiberbiztonsági szakértője elmondta, hogy a dark neten sajnos igen széles a komplex, de mégis könnyen elérhető eszközök tárháza: gonosz chatbotok, teljes hívóközpontok, hívóazonosító hamisítás, így a csalók minimális technikai tudással is összetett támadásokat hajthatnak végre.

A csalásoknál, például az ún. romantikus csalásoknál és más megtévesztéseknél új trend, hogy nem létező emberek avatárjaival csalnak a bűnözők. A Thispersondoesnotexist.com oldal például egy ilyen embergenerátor. Ahányszor rákattintunk, annyiszor kreál nekünk egy emberi arcot, itt aztán válogathatunk, hogy ki tűnik megnyerőnek. A rendszer mögött álló algoritmus a valódi portrék hatalmas adathalmazából generál új emberi arcokat.

A végtelen átverési módszer között vannak ingatlanügyletek, nagyon kedvező szolgáltatásokról szóló ajánlatok, a lényeg az, hogy az áldozat valamiért nagy összeget is önként átadjon. A legnagyobb összegű egyedi csalások, a „vezérigazgatói átverések”, amikor egy-egy cégtől igazán tudatos előkészítés után nagyon nagy összegeket próbálnak elemelni a csalók.

Az AI térnyerésével is újabb és újabb módszerek válnak elérhetővé a csalók számára.

A konferencia több előadója is bemutatta, hogy akár néhány másodpercnyi hangfelvétel, vagy pár fotó megszerzése után a csalók a mesterséges intelligencia segítségével olyan hang- vagy videóanyagokat generálnak, amelyek teljesen hitelesen képezik le például a hivatali főnököt.

A szakemberek tanácsa szerint minden szokatlan elemre figyeljünk, fogjunk gyanút! Például, ha nem a bevált csatornán érkezik egy utasítás, vagy egy utalási felszólítás. De mi egyéb lehet gyanús? Ha a főnök a videón nem pislog, vagy ha túl sokat pislog, ha nem így szokott beszélni, ha nincs szinkronban a szövege és a szájmozgása. És ha bármi gyanús, akkor be kell iktatni egy visszahívást, vagy még egy ellenőrző kört.

Magyar számláról magyar csalók

Az is biztos, hogy az AI-alapú fordítóprogramok egyre jobb minőségű üzeneteket és leveleket generálhatnak. Mielőtt azonban nagyon megrémülnénk, hogy micsoda fejlett, nyugati bandák ácsingóznak a pénzünkre, a szakemberek szerint a tapasztalatok alapján ezek azért még mindig eléggé hazai támadások.

Éppen ezért néha vannak bűnüldözői sikerek, Almádi János szerint „favágó” rendőri munkával, CCTV-kamerák felvételeinek átnézésével a készpénzt felvevő strómanokat lehet a legkönnyebben elkapni, rajtuk keresztül pedig – szerencsés esetben – el lehet jutni a nagyobb halakhoz. Hiszen bármilyen módon is vették rá a csalók az ügyfelet, hogy utaljon pénzt, vagy a megszerzett adatokkal a csalók maguk utaltak, úgy tudják sikeresen befejezni a csalást, ha az elutalt pénzt minél gyorsabban felveszik cashként, nehogy a rendőrség zárolja a csalárd utalás célszámláját.

Aki „csak” valakinek a megbízásából felveszi a készpénzt, az bűnrészes pénzmosásban, ilyen akciókban nem nagyon lehet jóhiszeműnek lenni.

Ugyanakkor – véli a szakember – sokkal kevésbé egyértelmű a helyzet, ha valakinek a számlája egy utalási láncban bukkan fel. Itt nem érdemes egyből gyanúsítani, mert sokaknak feltörik a számláját. Ha nincs a számlán pénz, akkor lehet, hogy a bűnözők úgy döntenek, hogy a feltört számlát érdemesebb a pénz mozgatására használni. A csalók ugyanis nagyon szeretik, ha semmi digitális nyomuk nem marad, a rendőrök számára később legfeljebb csak egy IP-cím, vagy egy böngésző látszik arról, aki aktuálisan használta a számlát.

De miért kell ehhez magyar számla, külföldön nem tudnának pénzt felvenni a csalók? A magyar utalás a bankoknak kevésbé gyanús, mint a külföldi címzett. És ha azonnali fizetési rendszeren belül lehet utalni, akkor a csalás után nagyon hamar be is lehet fejezni az akciót, 20-25 percen belül már fel is vették a csalók a készpénzt.

Természetesen azért olyan eset is van, amikor az első számla az magyar, de onnan a csalók küldik is tovább a pénzt külföldre. Ha pedig a címzett orosz, afrikai, vagy távol-keleti számla, akkor jellemzően nincs érdemi együttműködés a csalók felkutatásában (legtöbbször válasz sem érkezik a rendőrségi megkeresésekre).

Ez pedig azért lényeges, mert az ügyfelek viszonylag jelentős része a csalás után mégis gyanút fog, ellenőriz. Nyilván, ha valaki el akarta adni az interneten a 30 ezer forintot érő ruhadarabját, de azt látja, hogy a bankszámlájáról elmegy 8 millió forint, az eléggé gyanús.

A gyors reakció ilyenkor igen is számíthat, mind az, hogy milyen gyorsan hívjuk a bankot, de az is, hogy milyen gyorsan megyünk a rendőrségre.

Sajnos nehezíti a rendőrségi sikereket, hogy az ilyen csaló call centeres nagyon jól keres, és amíg nem bukik le, addig talán nem is méri fel, hogy mennyire súlyos bűncselekményben vesz részt.

Mit tehetnek a védekezők?

A konferencián többen is korholták a bankokat, hogy a banki csalásszűréseken lehetne javítani. Ez mindig egy kettős optimalizáció, az sem jó, ha a bank túl sok tranzakciót állít meg és ezzel zavarja a normális műveleteket, de az sem, ha átengedi a csalárd tranzakciókat. Többen is szóba hozták, hogy azért itthon jobban bejelezhetne a szokatlan utalási címzett, a hirtelen megváltoztatott limit, a szokatlan időpontban elvégzett és a szokatlan nagyságrendben végrehajtott utalás, vagy a számlát birtokló ember, vagy cég neve és az utaláson feltüntetett címzett közötti teljes ellentét.

A szakma abban egyetértett, hogy a helyzet súlyos, de mindenki azt hangsúlyozta, hogy vannak védekezési lehetőségek, és mintha az a hangulat is tetten érhető lett volna, hogy változás remélhető az előírásokban.

Hiszen ma már sok olyan fejlett szolgáltatás elérhető a nemzetközi piacon, amely a védekezést támogatja, például azzal, hogy a kliens megszokott viselkedésétől eltérő telefontartást, gépelést, kurzorhasználatot is kiszúrja. Lehet, hogy ezek a rendszerek nem száz százalékosak, de az nem is baj, annyi a cél, hogy a bankban felébredjen a gyanú és az utasítások végrehajtása előtt valahogyan ellenőrizzen.

Jelasity Radován, a Magyar bankszövetség elnöke is azt hangsúlyozta, hogy a gyorsan változó trendekre banki oldalról is gyors és rugalmas válaszok kellenek. Sajnos nagyon sokféle eset képzelhető el, nincs idő megvárni, amíg elkészül a felügyeleti ukáz, vagy a belső szabályzat, olyan monitorozó kollégákra van szükség, akik naprakész tudással képesek kiszűrni a gyanús folyamatokat.

„Ez nem versenyterület, itt ki kellene alakítani a tudásmegosztás lehetőségét, ez ugyanis nem kartellezés lenne, hanem közös érdek.”

És miképpen Almádi János a prezentációjában megmutatta, valójában a felelősség sokkal szélesebb, mint pusztán a bankok felelőssége. Nagyon fontos lenne a társadalomban javítani a digitális képességeket. Európában a finn, a holland, illetve az izlandi társadalom van ebben az élen, a magyar ugyan ma még nem a legrosszabb, a lengyel, a bolgár, illetve a román digitális képesség a legalacsonyabb, de mi is a hátsó fertályban vagyunk, és az újabb és újabb felmérések trendje sem biztató.

Napjainkban a fentebb leírt csalások sokszor meglehetősen bonyolultnak és összetettnek tűnnek, amelyekkel szemben a megfelelő technológiákkal mégis hatékonyan lehet védekezni és megelőzhetők ezek a csalások is.