Félelmetesen profi banki csalás terjed: így nullázzák le pillanatok alatt bárki számláját Magyarországon

A banki csalások minden egyes évben egyre több ember keserítik meg - így van ez nem csak Magyarországon, hanem az egész világon. A csalók módszerei folyamatosan változnak, és technikailag is egyre komolyabban fel vannak készülve. Ma már szinte naponta hallhatunk arról, hogy a bankok is egyre nehezebben győzik a csalók elleni küzdelmet, hiszen őket is kár éri, ha éppen az ő ügyfeleiket igyekeznek lehúzni a bűnözők.

Annak ellenére, hogy erős tájékoztató kampányok is folyamatosan zajlanak, nem tűnik úgy, mintha a csalók lassítanűnak, vagy éppen kevesebb ügyfelet érne valamilyen kár - ellenkezőleg, egyre több áldozata van az ilyen bűncselekményeknek. A Pénzcentrum egy konkrét olvasói levélből kiindulva kérdezett meg egy érintett bankot, valamint egy fintech-szakértőt is arról, hogy egyáltalán mit lehet tenni a csalók ellen, mi az, amire nekünk, felhasználóknak minden pillanatban figyelnünk kell? És mit tehet a bank, ha a csalás megtörtént, mi pedig panasszal fordultunk feléjük ebben az ügyben?

Olvasónkat is meglopták

Szerkesztőségünket nemrégiben kereste fel egy olvasó, akinek a számlájáról emeltek le egy nagyobb, több százezres összeget. Olvasónk azt írta, hogy az átverés tulajdonképpen végtelenül egyszerű volt: mint utólag észrevette, nem is a hivatalos netbankba lépett be, hanem a csalók egy mbhbank.NU domaincímű weboldalra irányították, ahol az adatait ellopva leemelhették a pénzt a számlájáról.

Amikor olvasónk rájött, hogy valami nem kerek a történetben, azonnal megtette a jelzést a pénzintézet felé - helyesen, hiszen ebben az esetben ez is a teendő, amellett, hogy a rendőrséget is értesítjük a csalásról még akkor is, ha az nem járt sikerrel. Olvasónk nem értette, a csalók hogyan tudták megkerülni a kétfaktoros azonosítást, azaz hogy szerezték meg a kódot, amelyet a telefonjára kapott a belépéshez.

Megkerestük az MBH Bankot annak kapcsán, hogy tudnak-e a weboldalról és mit tesznek a csalók ellen. A módszerről részletes leírást kaptunk, és kiderült, hogy ez nem most először került elő, ha lehúzásról van szó.

A nagy ügyfélbázissal rendelkező szolgáltatók kedvelt célpontjai a csalóknak az online térben. A csalások jelentős részét adathalász (phising) módszerrel követik el. A pénzintézetek ügyfeleit célzó adathalászat egyik leggyakoribb formája, amikor a csalók a bank online felületéhez nagyban hasonló weboldalt (deep fake oldalt) hoznak létre, amely oldalon a megtévesztett ügyfelek óvatlanul kiadják személyes és/vagy banki adatait. Sok esetben az ügyfél észre sem veszi, hogy nem a bank hivatalos felületét használta. A csalók ezt követően a számlához való hozzáférés  birtokában az ügyfelek pénzét különböző módszerekkel eltulajdonítják

- írta a bank válaszában. Hozzátették azt is, hogy a bank ilyen esetben mindig kezdeményezi az oldal eltávolítását, hogy legalább másokat ne sikerüljön átverni ezzel a módszerrel.

Megkérdeztük azt is, hogy milyen tanácsokkal tudnak szolgálni azok számára, akik valamilyen csalás áldozatai lettek, vagy akár csak gyanakodnak erre. Az MBH Bank erre egy néhány pontos kiskátét küldött, amit ügyfeleiknek is rendszeresen elmondanak vagy leírnak:

• Minden esetben saját kezűleg írd be a webböngésző címsorába a bank honlapjának címét (ne keresőprogramból), az így megnyíló felület eredetiségét ellenőrizd a címsorban!
• Kizárólag a bank hivatalos alkalmazásáruházból letöltött appját használd!
• Védd az eszközödet képernyőzárral (PIN-kód, arcfelismerés, ujjlenyomat) és vírusirtóval!
• Kerüld a nyilvános wifi használatát, inkább mobilnetet használj a bankoláshoz!
• Használj erős jelszót, mindenhova mást! (legalább 12 karakter, kis- és nagybetűk, számok, speciális karakterek)
• Csak a saját eszközödről lépj be a netbankba, a használatot követően pedig ne felejts el kilépni!

Észnél lenni minden pillanatban

Az ügy kapcsán Zala Mihály, az Ernst & Young Consulting kiberbiztonsági partnere kérdésünkre elsőként elmondta, mik a főbb különbségek a telefonos és az internetes banki csalások között.

A phishingkor a támadók hamis e-maileket, üzeneteket vagy weboldalakat használnak, amelyek megszólalásig hasonlítanak a banki felületekre. Egy banki oldalon megjelenő hagyományos phishing kísérlet 1-2% "konverziót" ér el – ami ijesztően magas szám, és a szofisztikált, jelentős károkat okozó támadások 80-90%-át ezzel a lépéssel kezdik meg a támadók. Ezzel szemben a telefonos csalások (más néven voice fishing), esetén a támadó banki alkalmazottnak adja ki magát. Ami kevésbé ismert, hogy ezek a hívások általában nem random számokat céloznak – a csalók előzetes adatgyűjtést végeznek, így már rendelkeznek néhány személyes információval az áldozatról, ami növeli a hitelességüket

- mondta Zala Mihály. Megemlítette, hogy a támadók sms-ben is igyekeznek átverni a banki ügyfeleket, és példát is mondott egy összetettebb folyamatra.

A támadó a cég vezetőjének vagy más felső vezetőnek adja ki magát, és sürgős pénzügyi műveletet kér. Amit kevesen tudnak az az, hogy a csalók gyakran hónapokig monitorozzák a vállalati kommunikációt, mielőtt lecsapnának, így ismerik a belső zsargont és folyamatokat is. Ebben a támadás típusban a fenti technikákat keverten is alkalmazhatják

- mondta a szakértő. Kitért arra is, hogy ezeken kívül a számítógépünket is támadhatják távolról a csalók malware-támofaásokkal vagy túlterheléssel - igaz, hogy ezeket inkább a bankok szerverei ellen igyekeznek bevetni.

És mit tehet a bank?

Zala Mihály ezután elmondta, mit tehetnek a bankok, hogy a támadások számát minél jobban lecsökkentsék mind maguk, mind az ügyfeleik ellen.

A többfaktoros hitelesítésnek (MFA) nem csak bevezetése, hanem folyamatos fejlesztése és frissítése kulcsfontosságú. A legmodernebb rendszerek már viselkedési biometriát is használnak, amely elemzi, hogyan gépel vagy mozgatja az egeret a felhasználó. Emellett valós idejű tranzakció-monitorozásra is szükség van, amely képes felismerni a szokatlan műveleteket. A belső banki rendszerek 200+ paramétert vizsgálnak minden egyes tranzakció során, akár ezredmásodpercek alatt

- mondta a kiberbiztonsági szakértő a támadások minél hatékonyabb megelőzéséről. Arról is kérdeztük, hogy mit tehet a bank az ügyfelek irányába, hogy ők tudatosabbak legyenek - ha pedig a baj mégis megtörténik, akkor mit kell azonnal tenni.

Világos tájékoztatás kell az ügyfélnek arról, hogy a bank milyen csatornákon és milyen információkat kér(het) az ügyfelektől. Fontos mindig kiemelni, hogy a bankok soha nem kérnek teljes kártyaadatokat vagy PIN-kódot sem telefonon, sem emailben. Emellett kihagyhatatlan láncszem a 24/7-es monitoring, ahol specializált elemzők figyelik a gyanús tevékenységeket. Egy közepes méretű banknál naponta akár 1000+ riasztást is kezelnek, amelyek 5-10%-a valódi csalási kísérlet

- osztotta meg a szakértő a döbbenetes számokat a Pénzcentrummal.

A bank és a szakértő tehát egyaránt felhívják a figyelmet arra, hogy a végpontban az ügyfélnek is minden pillanatban észnél kell lennie, ha megpróbálnák a csalók akár telefonon, akár online eszközöket használva bepalizni. Az adatok, és a banki dolgozók azonban egyöntetűen azt mondják: folyamatosan szükség van mind tájékoztatásra, mint egyre modernebb és drágább védelmi vonalakra, mert a bűnözők egészen biztosan nem hagyják mindezt abba - a módszereik, mint mindig említik, egyre választékosabbak, profibbak és elképesztően gyorsan fejlődnek is.