Aljas csalók vadásznak a magyarok banki adataira: jól vigyázz, téged is simán kifoszthatnak

"Az alkalmazás futtatását a MobilBank védelmi pajzsa megállította." Rengeteg magyar felhasználó szembesül ilyen, vagy ehhez hasonló biztonsági üzenettel, amikor képernyőfotót próbál készíteni netbankjában, vagy más banki felületeken. 

Az egyre több oldal mellett a magyar bankok felületein is kötelezővé  váló nehezített bejelentkezési módok, mint a kétlépcsős hitelesítés pedig szintén sok felhasználónak okozhat kényelmetlenséget. Pedig mindegyiknek fontos, gyakorlati haszna van.

De mi értelme ezeknek a korlátozásoknak?

A képernyőmentés tiltásának oka elég nyilvánvaló. Léteznek ugyanis olyan kémprogramok, amelyek (akár a képernyőmentés készítésének pillanatát regisztrálva) képesek szenzitív adatokat kinyerni fényképeinkből. Az operációs rendszerek és a netes böngészők pedig lehetőséget kínálnak az egyes oldalak, vagy applikációk (például a mobilbankunk) számára, hogy emiatt letiltsák a képernyőmentések készítését.

Jó hír, hogy léteznek olyan harmadik fél által fejlesztett szoftverek, amik ki tudják játszani a "blokkolót". Ezek használata azonban kockázatos, hiszen egy bizonytalan hátterű program használatával még nagyobb biztonsági és adatvédelmi kockázatoknak tesszük ki magunkat. Ennek használatát ezért csak kiemelten indokolt esetben javasoljuk.

A kétlépcsős hitelesítés célja, hogy célja, hogy további biztonsági hálót nyújtson az azonosítási folyamat köré. A módszer nagyban megnehezíti, hogy az adathalászok hozzáférjenek áldozataik készülékein és a felhőben mentett adataihoz, mert hiába sikerül feltörniük jelszavukat, az önmagában így már nem elég, hogy belépjenek a profiljaikba.

A kétlépcsős hitelesítés használata egyébként már bevett és működő gyakorlat az érzékeny rendszerek és adatok védelmére. Nem véletlen, hogy a pénzintézetek is egyre gyakrabban használják ezt a módszert, ügyfeleik banki adatainak védelmére. Ugyanis nem csak a technológia válik egyre gördülékenyebbé, de az adathalászok is egyre aktívabbak.

A tavalyi átlagos havi ügyfélbejelentésekhez képest ugyanis 2022 január-februárjában megduplázódott a banki adathalász-kísérletekről és ügyfelek megtévesztésén alapuló visszaélésekről szóló fogyasztói jelzések száma a Magyar Nemzeti Bank (MNB) ügyfélszolgálatán. Az elkövetők immár legalább 7 magyarországi hitelintézet nevében kísérlik meg az ügyfelek adatait megszerezni vagy az ügyfelet megtéveszteni. Immár kisbanki ügyfelek is célpontba kerültek. Az utóbbi időben ráadásul jó pár olyan banki csalásról lehetett hallani, aminek az összetevői a következők szerint épültek föl:

• ismeretlenek ügyfeleket hívnak fel, azt állítva, hogy azok bankkártyája vagy közvetlenül a számlája veszélyben van;
• ezt követő, ha a telefonáló csaló által bemondott bankfiók nem egyezik az ügyfelével, akkor „átkapcsolást” ajánlva folytatja tovább a kitalált történetet, mondván akkor majd ott orvosolják a baj;
• ezt követően a csalók arra kérik az ügyfeleket, hogy teljesen véletlenszerű, ismeretlen bankszámlákra kezdjék el kiutalni pénzüket, mondván, így megóvhatják azt a csalóktól;
• több esetben még arra is kérik az ügyfeleket, hogy elektronikai eszközeikre (mobil, tablet, laptop) telepítsenek távoli elérést biztosító programot (AnyDesk, Teamviewer), amin keresztül a csalók további pénzeket tudnak lenyúlni, teljesen átvéve az irányítást a sértettek számlái fölött.

A fent bemutatott ügymenet igazán elterjedt módszere manapság a csalóknak, ez a folyamat, az új módszerek terjedése arra is felhívja figyelmet, hogy a csalások hatékony megelőzéséhez nélkülözhetetlen az ügyfelek tudatossága is. Ebbe beletartozik különösen a fizetőeszköz, illetve az ahhoz kapcsolódó kódok, hitelesítő eszközök és adatok elővigyázatos és biztonságos kezelése, aminek maradéktalan betartását az ügyfelek az általuk aláírt banki szerződésekben is vállalják, valamint az is, hogy haladéktalanul jelentik bankunknak, ha az eszköz vagy bármely adat illetéktelen fél tudomására jutott vagy ennek esélye fennáll, illetve ha bármilyen egyéb gyanús körülmény felmerült vagy ilyet tapasztaltak.

Mit tehetnek a bankok ügyfeleik védelméért?

A nagyobb felelősség azért továbbra is a bankok kezében van, akik, mint azt a korábban említett megoldások is igazolják. próbálják is elejét venni a biztonsági problémáknak. De valóban egyre növekvő problémának számítanak a banki adatokkal való visszaélések, vagy csak a sajtó fújja fel a problémákat ? És ha igen, mit tehetnek a pénzintézetek, vagy az MNB az ügyfelek védelme érdekében? Egyáltalán kinek a felelőssége az új biztonsági protokollok kidolgozása és bevezetése? A Pénzcentrum többek között ezekről kérdezte Jakab Pétert, a Raiffeisen IT-biztonsági vezetőjét.

A digitalizáció előretörésével az utóbbi években valóban növekvő problémának számítanak hazánkban a kibertámadások és internetes visszaélések, ezek közül a legjellemzőbbek a DDOS és phishing típusú támadások, valamint a különféle zsaroló vírusok  is gyorsuló ütemben terjednek - árulta el a szakértő.

Akár az elmúlt 1-2 évet vizsgálva is egyértelműen növekedtek ezek a számok, illetve a támadások során bekövetkező kárértékek is, de szinte minden területen megfigyelhető ezen támadásoknak a periodicitása. Számos külső tényező is befolyásolja ezeket a tendenciákat. Például a koronavírus és az internetes vásárlások bővülése, a home office típusú munkavégzés, a mostani háborús helyzet és számos egyéb tényező.

Az a felhasználók által érzékelt jelenség, hogy egyre több óvintézkedést vetnek be a magyarországi bankok tehát természetes valódi, a jelentkező új kockázatokra minden bank újabb és újabb kockázatcsökkentő intézkedéssel, megoldással reagál. A visszaélések kezelésében, megelőzésében a bankok, a szakmai és érdekképviseleti szervezetek (például a Magyar Bankszövetség), az internetet szolgáltatók és a hatóságok (ORFK, BRFK NNI, NKI és egyebek.) egyre szélesebb körű szakmai, bűnmegelőzési és bűnüldözési információs együttműködést alakítottak ki. Ez mostanra jelentősen hozzájárult az internetes visszaélések kockázatainak kezeléséhez, csökkentéséhez árulta el az IT-biztonsági szakértő.

Felmerülhet kérdésként, hogy a bankok a digitalizáció terjedésével milyen új szabályozásoknak kell, hogy megfeleljenek, illetve, hogy elsődlegesen kinek a kezében van a hazai szabályozás. Mi tartozik az Európai Uniós, illetve a hazai szervek, mi pedig az egyes bankok hatáskörébe. Jakab Péter ebben a kérdésben is sok dolgot elárult a Pénzcentrum olvasóinak

Jelenleg Payment services (PSD2) irányelv talán a legfontosabb EU szabályozás, 2016 januárjában lépett életbe és 2017. novemberében került be (2017. évi CXLV. tv.) a magyar jogrendbe. A szabályozás révén kiépülő új szolgáltatások egységességét az RTS (Regulatory Technical Standards) biztosítja. A szabályozásban fontos szerepet játszanak az MNB vonatkozó ajánlásai, egyebek között például a 4/2021. (III.30.) számú ajánlása a hitelintézetek digitális transzformációjáról - ismerteti a szakértő.

Az említett szabályozó eszközök magas szintű szabályozások, ilyen technológiai részletkérdéseket nem írnak le. Több esetben előírnak például úgynevezett kétfaktoros azonosítást, mint követelményt, de ennek technikai, technológiai megoldását – nagyon helyesen – nem írják le, ugyanis e követelmény implementációja az IT technológia fejlődésével gyorsan változhat. A bankok mozgásterét tehát a követelmények viszonylag széles körű technikai, technológiai implementációs lehetőségei jelentik - árulta el Jakab Péter.

A bankszámlaműveleteknél és az internetes bankkártyás vásárlásoknál bevezetett erős (kétfaktoros) ügyfélhitelesítés az utóbbi időben ugrásszerűen növelte az ügyfelek biztonságát a csalókkal szemben. A banki ügyleteknél ugyanis ennek nyomán nem elegendő önmagában a számla- vagy kártyaazonosítók ismerete, emellett egy további hitelesítési információ (pl. a banktól a mobiltelefonra érkező egyszer használható jelszó vagy a banki applikáción keresztül az ügyfél ujjlenyomata vagy más biometrikus azonosítója) is kell az ügylet jóváhagyásához. Talán ez is áll annak hátterében, hogy a csalók az ügyfelek ravaszabb csőbe húzásával – mint a cikkünk elején is említett telefonos átverés–  próbálják kicsalni a gyanútlan bankolók adatait. Módszereik pedig fejlődnek. Ma például a Pénzcentrum is bemutatta azt a csalást, amivel az igazira megszólalásig hasonlító oldalakat kreálnak , ezzel is fokozva annak kockázatát, hogy a felhasználó rájuk kattint és elkezdi beírni a szenzitív információkat. Ezt pedig bármilyen oldallal, valószínűleg a bankok honlapjával is meg lehet tenni,

A jegybank rendszeresen felhívja rá a figyelmet, hogy – a vonatkozó szigorú szabályok számonkérésével – folyamatosan felügyeli a pénzügyi intézmények informatikai rendszereinek biztonságát. Az MNB emellett a fogyasztók online biztonsági tudatosságának fejlesztése érdekében honlapján tájékoztató oldalt is létrehozott, s fogyasztóvédelmi tájékoztatót is közzétett. Ha egy ügyfél mégis áldozatul esik, akkor haladéktalanul értesítse bankját és tegyen feljelentést. Az adathalászat és az ügyfelek megtévesztése – amelyet ügyfélbejelentés esetén a nyomozóhatóságok vizsgálnak – csalásnak minősülhet, amelynek büntetési tétele (annak jellegétől függően) 2-10 év szabadságvesztés.