Így kerüld el a banki kibercsalásokat - segít az MNB

A sorozat első része több esetet is felhoz, amelyben ügyfelek pórul jártak és elvesztették a pénzüket, amikor bedőltek a csalók trükkjeinek. A tapasztalat szerint a legtöbb online csalás sikerességéhez az ügyfelek aktív közreműködése is hozzájárul, így azok megakadályozásában az ő részvételük is elengedhetetlen.

A csalók gyakran kihasználják, hogy az emberek elfoglaltak, felületesen olvasnak, sietnek és gyorsan döntenek, megszokásból cselekszenek. Különféle pszichológiai módszereket alkalmaznak a céljuk elérése érdekében, mint a megtévesztés, sürgetés, ráijesztés, vagy akár a félelemben tartás.

Az egyik panaszos ügyfél például hiába volt meggyőződve arról, hogy a banki mobilalkalmazásában nem adott engedélyt semmire, mégis egy telefonhívás során a csalók elhitették vele, hogy a bankjából telefonálnak, és hamis utalásokat akarnak vele visszafordítani. Ehhez telepíttettek a károsulttal egy távoli hozzáférést biztosító alkalmazást (pl. AnyDesk, TeamViewer), amin keresztül hozzáférést adott a telefonjához, így a netbankjába való belépését nyomon követték az elkövetők, és egy push üzenetes jóváhagyással még egy kártyadigitalizációt is végrehajtottak, azaz a bankkártyáját regisztrálták egy mobiltelefonba.

A csalók közben megnyugtatták, hogy nem kérnek tőle sem személyes-, sem kártyaadatokat és biztonsági kódokat sem. Az ügyfél ugyan gyanút fogott, bontotta a hívást, de a csalók visszahívták, mondván, hogy azért nem kapott sms-kódokat, mert a csalók átirányították a mobilját, de ezt most ők visszavonták. A károsult ezt is elhitte, hiszen hirtelen sms-eket kapott, amikről – a csalók kérésére – még képernyőképet is készített. Ezek a kódok kellettek végül ahhoz, hogy valóban megtörténhessenek az utalások.

Egy másik károsult online piactéren szerette volna eladni már nem használt ruháit. A csalók felvették vele a kapcsolatot, e-mailben küldtek neki egy linket azzal az ürüggyel, hogy eladóként ott adja meg az áruk kifizetéséhez szükséges számlaszámot. A gyanútlan ügyfél a linkre kattintást követően kiválasztotta a megjelenő listából a számlavezető bankját, majd megadta a belépési adatait, beírta az sms-ben kapott kódot is.

Az ügyfél még visszaigazoló e-mailt is kapott, melyben megköszönték neki a szolgáltatás igénybevételét, és tájékoztatták, hogy hamarosan megkapja az áruért járó összeget. Ehelyett azonban a csalók a hamis oldalon keresztül megszerezték az ügyfél banki azonosítóit, a háttérben a valós banki weboldalon keresztül beléptek az ügyfél netbankjába, és az ott lévő pénzt el is tüntették a számláról.

Ebben a videóban szinte az összes ilyen trükköt megismerheted.

Volt olyan ügyfél is, aki épp csomagot várt külföldről, ezért elhitte, hogy a „csomagod a vámnál van” címmel érkezett e-mail valós, és annak átvételéhez szükséges párszáz forintos vámkezelési díjat fizetheti be, ezért rákattintott a fizetés gombra. Egy postaszolgáltatónak tűnő oldalon megadta a kártyaadatait és az sms-ben kapott kódot is annak ellenére, hogy abban az szerepelt, hogy az egyszer használatos jelszó egy mobiltárca regisztrációhoz szükséges, nem pedig az utaláshoz. Ezt követően már nem kapott semmilyen értesítést, üzenetet, mégis több vásárlás történt a kártyájával a tudta nélkül.

Egy másik esetben a gyanútlan ügyfél elhitte, hogy csak a hibás címadatot kell javítania, és akkor sem fogott gyanút, amikor banki belépési adatokat kellett megadnia a linkről megnyíló felületen. A linkrövidítés több esetben is hasznos, és nem csak a csalók, hanem megbízható szolgáltatók is használják, ha pl. korlátozott karakterszám áll rendelkezésre vagy marketingcélból egy több soros linket átláthatóvá, szebbé kell varázsolni. A rövidített URL-ek elfedhetik a valós weboldalt, a teljes URL azonban link rövidítő alkalmazással (link shortener) visszafejthető, ezáltal megvizsgálható, hogy valóban meg akarjuk-e látogatni.

Több panaszos ügyfél is kapott felszólító e-mailt valamelyik szolgáltatótól lejárt számlával kapcsolatban, a kapott linken pedig „befizették” a kért összeget attól tartva, hogy kikapcsolják náluk a szolgáltatást. Egyiküknek még az sem volt gyanús, hogy az általa használt telefontól teljesen különböző operációs rendszerű fizetési mód regisztrációját hajtotta végre.

Kifejezetten elterjedt visszaélési módszernek számít, amikor a csalók az ügyfél bankkártyáját digitalizálják, azaz regisztrálják egy mobiltelefonba. Ha az ehhez szükséges kódot megadja az áldozat, akkor a mobiltárca vagy okoseszköz későbbi használatakor már nem érkezik megerősítő kód, így a további tranzakciók sokszor csak a számlakivonatból derülnek ki. Pedig az úgynevezett tokenizáció pedig épp a biztonság érdekében annak elkerülésére szolgál, hogy a kereskedő megkapja a kártyaszámunkat. Tudják ezt a csalók is!

Légy óvatos a mások által kezdeményezett kapcsolatfelvételekkel, ne kattints az üzenetben lévő hivatkozásokra, és ne nyisd meg a mellékleteket, inkább használd a hivatalos (esetleg a kedvencek közé elmentett) banki oldalt!

A jóváhagyáshoz kapcsolódó sms-ben vagy push üzenetben szereplő információkat olvasd el és értelmezd, ne adj engedélyt olyan esetben, ha a jóváhagyó kód nem a szándékaid szerinti tranzakcióra vonatkozik!

Ha például a netbankodba akarsz belépni, de mobiltárca regisztrációról szól az sms/push üzenet, azonnal szakítsd meg a folyamatot és vedd fel a kapcsolatot a bankoddal!

A sürgető vagy fenyegető hívás hangneme mindig legyen gyanús! Ne kapkodj, hanem gondold át alaposan, hogy mit is kérnek tőled valójában! Ne telepíts ismeretlen alkalmazást a telefonodra, ne engedj hozzáférést és ne adj irányítási lehetőséget másnak a mobilod fölött és ne adj ki bizalmas információkat!

Ezekkel csaknem biztosan megelőzheted a bajt.