Jelentősen nőtt az idén a pénzügyi csalások, adathalász támadások, internetes és telefonos visszaélések száma, írtuk meg a közelmúltban, amit első kézből tudok megerősíteni, ugyanis csak novemberben három olyan telefonhívást kaptam, aminek a célja egyértelműen az volt, hogy a vonal másik végén lévő csalók megkárosítsanak.
Gyanús utalás történt, azonnal cselekedni kell!
A módszer minden alkalommal ugyanaz volt, a szélhámosok jól bevált kottából játszanak. Csörgött a telefonom, kétszer 30-as, egyszer 1-es hívószámmal, és vonal túlsó végén lévő személy egy hazai bank (kétszer az OTP, egyszer az MNB) munkatársaként mutatkozott be. Az álügyintéző jelezte, hogy a szabályoknak megfelelően rögzítik a hívást, majd tájékoztatott, hogy a számlámon gyanús utalást figyeltek meg. Elhangzott az összeg, ami mindhárom esetben 200 ezer forint környékén mozgott, és rögtön követte a kérdés, hogy én indítottam-e a kérdéses tranzakciót.
Amikor azt válaszoltam, hogy nem én indítottam az utalást, a hívóm rögtön arról kezdett beszélni, hogy valószínűleg csalás áldozata lettem, és a többi között afelől érdeklődött, hogy tapasztaltam-e gyanús dolgokat a számítógépemen vagy a mobilomon. Jeleztem, hogy nem, de mindeközben kihangosítottam a telefonom, és beléptem a mobilbankomba, ahol azonnal látszott, hogy valójában nem történt utalás, és ezen a ponton egyértelművé vált, hogy egy csalóval kommunikálok.
Méghozzá egy egészen ügyes csalóval, aki biztosított róla, hogy segítenek nekem, és ehhez nem fogják elkérni a netbank vagy a bankkártyám használatához szükséges információkat, azonosítókat és jelszavakat. Ügyes, hiszen minden pénzintézet hangsúlyozza, hogy ezeket az információkat soha, semmilyen körülmények között ne adjuk meg senkinek. A „segítség” itt az lett volna, hogy átkapcsolnak egy IT-s kollégához, akinek a közreműködésével telepíthetek egy „vírusirtót”, amivel eltávolíthatók az eszközeimről a gyanús utalást lehetővé tévő kártevők.
Mindenünket megszerezhetik
Mindhárom esetben erre ment ki a játék, a távoli elérést biztosító program telepítésére, a hívás azonban idővel mindig megszakadt, vagy a kérdéseim/válaszaim miatt, vagy azért, mert szembesítettem a hívót azzal, hogy tisztában vagyok vele, miben mesterkedik. Másnál viszont célba érhetnek a csalók, a hitelesnek tűnő hívás, a nálam is beütő pánik, és az áldozatot nyomás alá helyező, a félelmet kihasználva azonnali cselekvést sürgető „ügyintéző” miatt.
Ha telepítjük a kérdéses alkalmazást (ami a legtöbb esetben az ingyenes AnyDesk nevű program), és megadjuk a hozzáféréshez szükséges adatokat, azzal lényegében átadjuk a számítógépünk vagy okostelefonunk irányítását a csalóknak. Kizárhatnak minket a saját eszközünkből, és nemcsak a mobilbankunkhoz (így a pénzünkhöz) férhetnek hozzá, hanem minden létező információnkhoz.
Az említett alkalmazás telepítésének menetéről korábban ebben a cikkben számoltunk be, ahogy arról is többször írtunk már, mekkora kár okozható, amennyiben a csalók sikerrel járnak. Egy budapesti házaspárt például 51 millió forinttal rövidítettek meg az AnyDesk használatával, míg egy másik esetben a csalók 30 millió forintra tették rá a kezüket. Persze mondhatnánk, hogy ilyenkor véd a kétlépcsős azonosítás, ami egy telefonra érkező üzenettel/értesítéssel óv az illetéktelen hozzáféréstől, de az említett esetek jelentik a bizonyítékot arra, hogy már ez is kijátszható, ha egy átverés részeként „beengedjük” a csalókat a gépünkre/telefonunkra.
Nem csak a vírusirtós csalásra kell figyelni
Kérdésünkre Sonjic László, az OTP Bank Informatikai és Bankbiztonsági Igazgatóságának vezető tanácsadója elmondta, hogy napjaink egyik legelterjedtebb csalási módszere az, amikor az elkövetők telefonon banki biztonsági alkalmazottnak adják ki magukat. A kiszemeltet ilyenkor mindig azzal keresik meg, hogy visszaélés történt a számláján, esetleg illetéktelenek használták a bankkártyáját, és ennek kezelésére három eltérő módszert ajánlanak a hívott figyelmébe.
- A fő elkövetési módszer a már ecsetelt vírusirtós átverés, amikor megpróbálják az áldozat figyelmét elvonni, eljutva odáig, hogy telepítse a távoli elérést biztosító alkalmazást.
- A másik megoldás, amikor a telefonáló arról győzi meg a hívott felet, hogy egy úgynevezett biztonsági számlára utalja át a pénzét. A hivatkozási alap ekkor az, hogy biztonsági intézkedéseket kell elvégezni a számlán, de ehhez a rajta lévő összeget először át kell utalni egy biztonságos számlára, amihez az (amúgy nem létező) elkövetők nem férnek hozzá, és miután elhárult a probléma, visszautalják a pénzt – ez aztán sosem történik meg.
- A harmadik megoldás, amikor a bankkártya adatokat (kártyaszám, lejárati dátum, CVC-kód) kérik, ezek birtokában aztán bármilyen online felületen lehet vásárolni vagy egyéb tranzakciókat végrehajtani.
Vannak árulkodó jelek
A telefonos átverés lényege, hogy váratlanul éri az embert, a csalók megijesztik az áldozatot a gyanús utalás/visszaélés említésével, a pénz elvesztésével, és a felfokozott helyzetet kihasználva, a hívott felet sürgetve elérik, hogy gondolkodás nélkül telepítse az internetről ingyenesen letölthető programot, utaljon vagy kiadjon érzékeny adatokat. A hívás mögött állók ügyesen használják a bankoknál megszokott protokoll egyes elemeit, ugyanakkor Sonjic László felhívta a figyelmünket azon részletekre, amelyeknek a hiánya vagy említése be kell, hogy indítsa a riasztót a fejünkben.
Nagyon fontos, hogy a bank telefonos megkeresés esetén csak olyan adatokat kér el, ami alapján beazonosítható az ügyfél. Az ügyintéző személyes adatokat egyeztet, például név, anyja neve, születési hely és idő, és bár nem feltétlenül kell felsorolni az összeset, ezek egy része mindenképpen szükséges az azonosításhoz
– mondta a szakember.
Amennyiben ez a hívás elején elmarad, annak már fel kell villantania a piros lámpát, Sonjic László hozzátette, hogy a bank egy esetleges hívás során nem kérdez arra vonatkozó információkat, hogy milyen pénzügyi tranzakciókat hajtott végre az ügyfél, mennyi az egyenlege, milyen lekötései vannak, mi a számla- vagy kártyaszáma, hiszen az ügyintéző ezeket látja a pénzintézet rendszerében.
Nagyon fontos továbbá, hogy amennyiben valóban a banktól érkezik a hívás, akkor nincs olyan szituáció, aminek keretében a munkatárs olyan érzékeny adatokat kérne, amivel harmadik személy végre tudna hajtani egy fizetési tranzakciót. Tehát nem kér felhasználónevet, jelszót, és pláne nem kéri el a kétfaktoros azonosítás megerősítő kódját, ami SMS-ben érkezik a telefonra.
A bank soha nem kér fizetési adatokat, továbbá nincs olyan, hogy biztonsági program, nincs biztonsági számla, nincs letöltendő vírusirtó program. Ezek mind olyan kamu fogalmak, amit csak a csalók, csak az elkövetők alkalmaznak.
– hangsúlyozta bankbiztonsági szakértő, kiemelve, hogy ez nem csupán az OTP, de minden más pénzintézet esetében is igaz.
Sonjic László hozzátette: amennyiben felmerül az átverés gyanúja, akkor az ügyfélnek egyszerűen közölnie kell a telefon másik végén lévő féllel, hogy a befejezi a hívást, és maga veszi fel a kapcsolatot a bankkal. Átverés esetén a csalók ilyenkor sokszor kiesnek a szerepükből, ügyfélszolgálatostól szokatlan, számonkérő hangnemet ütnek meg, olykor káromkodnak, vagy azonnal bontják a vonalat, amíg egy valódi banki munkatárs udvariasan elfogadja a döntést.
Amennyiben tényleg a számlánkat vezető pénzintézettől érkezett a hívás, úgy a bank a hivatalos telefonszámait feltárcsázva az ügyintézés onnan folytatható, ahol korábban a vonal bontása előtt befejeződött.
Nem csak telefonhívással akarnak átverni
Bár – ahogy a saját példám is mutatja – a telefonos átverés az egyik legnépszerűbb módja a csalásnak, nem csak akkor érdemes figyelni, ha megcsörren a mobilunk és a vonal végén egy banki ügyintéző mutatkozik be. Az ünnepek közeledtével nő az interneten folytatott vásárlások száma, és ezt a csalók is igyekeznek kihasználni. A világháló tele van olyan, valódi webáruházakat lemásoló oldalakkal, amelyek csak azért jöttek létre, hogy megszerezzék a felhasználók érzékeny adatait.
A böngészőt használva éppen ezért mindig figyelni kell arra, hogy mi magunk gépeljük be az adott online bolt webcímét (vagy használjunk hivatalos applikációt, esetleg elmentett könyvjelzőt), és ne hagyatkozzunk a különböző keresőmotorokra, ugyanis ezek sokszor – akár fizetett hirdetésként – átverős webhelyek linkjeit dobják elénk, ahol aztán kellő figyelem hiányában vásárlás helyett a csalóknak adjuk át a bankkártyánk adatait. Ugyanez igaz akkor is, ha a webbankunkat használnánk: soha ne rutinból tegyük, ellenőrizzük, hogy valóban a pénzintézet webhelyére navigáltunk.
Sonjic László kiemelte továbbá, hogy a csomagküldős, számlabefizetős, az előfizetés lejártára emlékeztető csaló SMS-ek mellett érdemes figyelni azokra az üzenetekre is, melyek arról értesítenek, hogy nyertünk valamilyen nyereményjátékon. Az átverés lényege itt is az, hogy örömünkben lekattintsuk az üzenetben szereplő linket, aminek minden esetben az a vége, hogy olyan adatokat kell megadni, amivel a csalók visszaélhetnek. Az ilyen átverések elkerüléséhez pedig tényleg nem kell más, csak a józan ész: jelentkeztünk az üzenetben említett nyereményjátékra? Amennyiben a válasz nem, akkor bizonyos, hogy csak át akarnak verni minket.
