„Ha azt mondod, digitális, azt mondom, MKB Bank.” Ezzel a mottóval tartott előadást a XX. Pénzügyi Csúcstalálkozón Balog Ádám, az MKB vezérigazgatója. Eközben nagyvonalúan átsiklott azon szoftverhibák felett, amelyek a bank informatikai rendszerének – többszöri halasztás után – idén nyáron elvégzett cseréjét kísérték. Ugyanakkor épp a minap tett közzé újabb figyelmeztetést a cég, mely szerint – akárcsak más pénzintézeteknél – megint adathalászok veszélyeztetik ügyfeleinek és azok számláinak a biztonságát. A kommünikében a társaság ígéretet tett, hogy az érintetteket felkeresi, és meggyőződik arról: szándékosan hajtottak-e végre tranzakciókat, vagy bűncselekmény áldozatai lettek.
A múltban ez nem volt mindig így. Még a nyáron történt, hogy egy ügyfél számlájáról két részletben több mint hatmillió forint került át egy strómanszámlára, pedig mindkét átutalás beindíthatta volna a vészcsengőket a banknál. Az egyik azért volt szokatlan, mert a milliós nagyságrendű tranzakciót korábban soha nem végző ügyfél nevében 5 millió forintot utaltak el egy olyan célszámlára, amellyel ő addig nem állt kapcsolatban. A másik eset pedig azért lehetett volna gyanús, mert az éjszaka közepén történt, ami szintén nem jellemző az illetőre. Az MKB szűrőrendszerén azonban egyik tranzakció sem akadt fenn. Ennél is meglepőbb volt a cég a kuncsaft panaszára majd' egy hónap elteltével adott válasza: megállapította, hogy az ügyfél súlyosan gondatlanul járt el, mert nemcsak az internetbanki belépési azonosítóit, hanem a telefonjára érkező, a mobilalkalmazást élesítő sms-kódot is megadta az adathalászoknak, ami szándékos közreműködésre utal a lopásban. Az ügyfél tagad, feljelentést tett, és részletes tájékoztatást követel a banktól arról, hogy a szóban forgó két napon honnan, hogyan jelentkeztek be a nevében, s mindez miért nem keltett gyanút. Mostanáig nem kapott választ.
Túry Gergely
„Több hasonló ügyben nyomoz a rendőrség. Nagy a baj a magyarországi bankbiztonsággal, mert ilyesmi csak belső füles vagy banki szoftverhiba révén eshet meg” – fakadt ki a HVG-nek Dávid Gyula, a kliens ügyvédje. Noha ez általánosságban biztosan nem igaz, hiszen az ügyfelek valóban akár önként vagy egyszerű figyelmetlenségből, véletlenül is kiadhatják érzékeny adataikat, tény, hogy több hasonló esetről is érkeztek hírek az utóbbi időben. Hogy tömegesnek nevezhető-e a jelenség, arról a rendőrség nem nyilatkozik, csupán annyit mondtak, hamarosan kampánnyal rukkolnak elő a témában. Dávid érvelése szerint ahhoz, hogy a csalók átutalást hajtsanak végre, minden esetben érkeznie kellett volna sms-ben egy ellenőrző kódnak az ügyfél telefonjára, de ő állítólag nem kapott ilyet. A bank viszont azt állítja, miután az ügyfél a mobilapplikációt hitelesítő jelszót is kiadta, a mobilon indított átutalási megbízások jóváhagyása nem sms-, hanem úgynevezett push (a képernyőre felugró) üzenetekkel történt.
„Nonszensz az egész. Honnan tudja a bank, hogy adathalászat történt, ha mindent rendben lévőnek talált?” – mutat rá az eset ellentmondásosságára a HVG-nek egy szakértő. Egyébként valóban csalásra utal már az is, hogy az első átutalás előtt hét sikertelen netbanki belépési kísérletet észlelt a rendszer. Ilyen esetekben más bankok blokkolják a kapcsolatot. „Az én bankomnak már az is gyanús volt, hogy egy 50 dolláros internetes vásárlást idegen számítógépről kezdeményeztem, nem is hajtották végre a fizetést” – példálózik a szakértő. Bár ez macerássá teheti az átutalásokat, nem fölösleges az efféle óvatosság, hiszen a csalók leleményessége végtelen. Az OTP például arra figyelmeztet, hogy a simlisek épp az adathalászat veszélyére hivatkozva kérik el az ügyfelek adatait, mondván: ez a rendszer biztonságossá tételéhez szükséges.
Megtévesztőbbek az úgynevezett függönyoldalak, amelyek ugyanolyanok, mint a bank sajátja. Az álweboldalakra többféleképpen kerülhet az ügyfél: rákattint a csalók által e-mailben küldött linkre; keresőből próbál a netbankig navigálni, és figyelmetlenül az első, nagyjából stimmelni látszó webcímet megnyitja; esetleg vírus fertőzi meg a gépét, mobilját. Vagy mindezek bármilyen kombinációja is elképzelhető. A függönyoldalak jellemzően csak addig a szintig működnek, ahol az ügyfél beírja az azonosítóit, majd hibát jeleznek. Míg az érintett várja a „hiba” elhárítását, a csalók a megszerzett jelszavakkal belépnek a valódi oldalra, s ha szerencséjük van, meg is kopasztják az áldozatot. Az ezt megnehezítő úgynevezett többfaktoros azonosítás – sms, QR-kód, biometrikus ellenőrzés (ujjlenyomat) – csak 2019 szeptemberétől lesz kötelező, de a legtöbb bank, például az MKB is, már alkalmazza. Az igazán képzett bűnözők azonban már akár olyan kémprogramokkal is meg tudják fertőzni a mobiltelefonokat, melyekkel elérhetik, hogy a bank által küldött hitelesítőkódok ne a rendeltetési helyükre, hanem hozzájuk érkezzenek.
Különösen elkeserítőek a függönyoldalas módszerrel kicsalt milliókról szóló hírek annak fényében, hogy létezik száz százalékig megbízható megoldás is az ilyen esetek elkerülésére. A legbiztosabb – mint az MKB is felhívja a figyelmet – az, ha az ügyfél betűről betűre ellenőrzi az általa megnyitott netbanki felület URL-jét a böngésző címsorában, ezt ugyanis nem lehet hamisítani. Persze ehhez tudni kell a jó címet. A legegyszerűbb pedig talán az, ha az ügyfelek a pénzintézet főoldaláról hívják be a netbankot, egy komplett banki honlapot ugyanis nem lehet csak úgy lemásolni – mondja az egyik bank biztonsági főnöke. A biztonságos kapcsolatot tanúsító lakat viszont már az áloldalakon is megjelenik – hívják fel a figyelmet az MKB-nál –, ám ott nem vált zöld színűre a böngésző címsora, míg az igazin igen.
A bűnözők egyébként nemcsak a banki oldalak felől támadnak. Primitív helyesírási hibáktól hemzsegő, adó-visszatérítést ígérő e-maileket küldözgettek például heteken át a NAV nevében, így próbálva bankszámlaadatokhoz jutni – az ügy harminc pénzintézetet érintett. Az elmúlt hetekben újabb hullámban árasztották el Díjnet-logós levelek is az embereket, sokan pedig ellenőrzés nélkül, rutinból átutalják a pár ezer vagy néhány tízezer forintos, hamis közüzemi számla ellenértékét.
Mindezzel együtt a jegybankhoz az idén mindössze 16, internetes banki csalással kapcsolatos panasz érkezett. Az MNB nem tartja nyilván az ebből származó kárt, pedig az igen tetemes is lehet. Nemrég derült ki például, hogy egyetlen miskolci vállalati ügyfél számláiról 600 milliót sikerült adathalász-technikával elutalni. Az MNB sajtóosztályán hangsúlyozzák, hogy „az adathalász bűncselekmények teljesen függetlenek a banki informatikai rendszerektől és azok biztonsági védelmétől”, ezzel együtt elvárják a bankoktól, hogy ilyesféle incidens esetén tegyenek meg mindent a hamis oldalak mielőbbi letiltatásáért. A Raiffeisennél például az áloldalakat „elűző” program ügyfélhez telepítésén dolgoznak.
Nem a bankot, hanem az ügyfelet éri támadás – közölték az MKB-nál. Elképzelhető, hogy a számlavezető rendszer cseréje túlzottan lekötötte az erőiket, ezért átmenetileg nem figyeltek fel a gyanús jelekre – vetette fel a HVG-nek egy bennfentes, ám az MKB szerint az egyik dolognak semmi köze a másikhoz. Mivel csak az ügyfelet tartják felelősnek a történtekért, állítólagos kárát sem térítik meg.
Az adathalász bűncselekmények áldozatai sokkal kiszolgáltatottabbak, mint a bankkártyás csalókéi – az utóbbi esetben ugyanis a bankok (illetve a kártyatársaságok) szinte mindig állják a kárt. Az adathalászoknak viszont – legalábbis a hatóságok nézőpontjából – az ügyfelek önként adják meg az adataikat. A bankok azonban maguktól is lehetnek készségesek: van, amelyik megtéríti a jóvá nem hagyott fizetési műveletet, kivéve persze, ha az ügyfél és a csalók összejátszására gyanakszik. Többségük pedig az utalás indításától számított pár percen belül visszavonja a tranzakciót az ügyfél kérésére.
GYENIS ÁGNES
