Időről időre kapunk leveleket olyan olvasóinktól, akik telefonos banki csalók áldozatai lettek, és a számlájukat az elkövetők lenullázták. Az áldozatok leginkább három dolgot nehezményeznek.
- A banktól nem kaptak (személyes) tájékoztatást a csalásról, arról, hogyan működik, illetve mikor és mire gyanakodjanak.
- Amikor megtörtént az eset, semmi jóval nem biztatták őket, illetve a bankoktól nem kaptak visszatérítést.
- Úgy látják, a bankok nem tesznek érdemi lépéseket az ilyen típusú csalások ellen, hiszen újra és újra megtörténik, hogy a bank nevében lenullázzák a számlákat.
De vajon tényleg ez a helyzet?
Legutóbb egy nyugdíjas, diplomás pár írt nekünk, akik 45 éve az OTP ügyfelei - életük megtakarításától, 11 millió forinttól szabadították meg őket cirka egy óra alatt a csalók még májusban. A férfit azzal hívták fel a bank nevében, hogy veszélyben a pénze. Nagyon megijedt, de nem gyanakodott, mert profinak, számára OTP-snek tűnt a telefonáló. Fogalma nem volt, mi az az AnyDesk, így amikor azt mondták, hogy egy vírusirtó, feltelepítette. Valójában ezzel a csalók átvették az irányítást a telefonja felett. A férfi mindezt igazából nem is érzékelte, ráadásul hihető volt számára, hogy a bank most a pénzét menti egy biztonságos számlára, amit visszautalnak, amint elmúlt a kiberveszély.
Akkor viszont elkezdett gyanakodni, amikor a záporozó banki sms-ekből azt látta, hogy arab és ukrán magánszemélyek nevére mennek a számlájáról 700 ezer forint körüli összegek. Rá is kérdezett, mi történik, de az ébredező gyanakvását elaltatták, mondván, ezek technikai részletek, mentik a pénzét. Végül arra is rávették, hogy hívja a telefonhoz a párját, hogy az ő pénzét is "megmentsék". A feleség ekkor csöppent bele az egészbe, és bár jóval hamarabb átlátott a szitán, mint a férje, akkorra már az ő számláját is lecsapolták. A csalók azonnali átutalással operáltak.
A nyugdíjas pár persze nagyon dühös volt, hogy átverték őket, de bíztak a bankban.
Hívták rögtön az OTP-t, a férfi azonban olyan ideges volt, hogy a banki azonosításkor háromból két adatot elrontott, köztük az édesanyja nevét (a nagymamájáét diktálta be elsőre), és hogy hány számlája van a banknál (elfelejtkezett a devizaszámlájáról). Így sikertelen lett az azonosítás, amely miatt nem is foglalkoztak a panaszával, hiába mondta, hogy éppen lopják a pénzét, és a számlája kibertámadás alatt áll. Biciklire pattant, bekarikázott a bankfiókba, személyesen kérve az elutalt pénzek visszahívását - sikertelenül. Büntetőfeljelentést tett a rendőrségen. A nyugdíjas pár kártérítési igényét az OTP elutasította arra hivatkozva, hogy az áldozatok maguk adtak hozzáférést a saját számláikhoz.
Végül a Pénzügyi Békéltető Testülethez fordultak - tárgyalásuk szeptember elején lesz. Meggyőződésük, hogy a pénzintézet nem tett meg mindent a pénzük biztonsága érdekében, illetve hogy az egyértelműen gyanús eseteket (nem szoktak külföldieknek utalni, főleg nem egymás után tizenötször, alkalmanként 700 ezer forintokat) nem figyelik. Azt hitték, technikailag képes garantálni a bankjuk, hogy ne nyúlhassák le a pénzüket. A csalásnak erről a módszeréről korábban még nem hallottak, álmukban sem gondolták, hogy egy egyszerű alkalmazás letöltésével el lehet lopni az összes pénzüket. Kérdeztük az OTP-t is, de korábbi válaszaikon túl nem kívántak reagálni.
Több százan fordultak már a békéltetőkhöz
A Pénzügyi Békéltető Testülethez (PBT) 2018. január 1. és 2022. május 15-e között 343 "jóvá nem hagyott fizetési művelettel" kapcsolatos fogyasztói jogvita került - ezek közül 231 volt bankkártyával kapcsolatos visszaélés, 112 pedig fizetési számlához kapcsolódó tranzakció. Ezekből 295 zárult le - 227 eljárás végződött megszüntetéssel, többnyire azért, mert az ügyfél szolgáltatta ki az adatait, biztosított hozzáférést eszközeihez, illetve maga végezte a műveleteket vagy hagyta jóvá azokat. Akadt viszont 53 olyan ügy is, amikor egyezség született, és a károsult (részben vagy egészben) visszatérítést kapott a bankjától.
A PBT tapasztalatai szerint a csalóknak többnyire a felhívott egyén nevén és telefonszámán kívül más információjuk nincs - minden egyéb adatot (számlavezető bank, számlaegyenleg, átutalási vagy kártyalimitek, bankkártyaadatok, hitelesítő kódok) az ügyfél szolgáltat ki, illetve távoli hozzáférést biztosító programot telepít, amitől a magukat bankbiztonsági szakembereknek kiadó csalók rálátnak a netbanki fiókjára. A felhívottak ezt azért teszik, mert hiszékenyek, mert nem figyelnek, mert nem értik, hogy mi történik és így tovább. Csakhogy amennyiben jóváhagyott fizetési művelet történt, vagy megállapítható az ügyfél súlyosan gondatlan kötelezettségszegése, a bankot nem terheli jóváírási kötelezettség.
Ami még fontos: a PBT által tárgyalt egyetlen ügyben sem merült fel, hogy a fizetési műveletek végrehajtásához szükséges adatok a banktól kerültek volna ki. Ezek a visszaélések az ügyfelek ellen irányulnak, ők szolgáltatják ki az adatokat, ők járulnak hozzá a visszaéléshez. Hogy felismerjék a csalást, abban nyilván segítséget jelent, ha figyelmeztetéseket kapnak a bankjuktól. Az is tapasztalat azonban a PBT szerint, hogy még a közvetlen email, push vagy netbanki üzenet, tájékoztatás, figyelemfelhívás ellenére is megvalósulhat a visszaélés.
A bankoknak ki kell szűrniük a csalásgyanús tranzakciókat
A csalásgyanú észlelésének követelményeit európai bizottsági rendelet, az úgynevezett SCAr rögzíti - írta megkeresésünkre a jegybanki felügyelet. Az SCAr előírja, hogy a bankok olyan műveletmegfigyelő mechanizmusokat működtessenek, amelyekkel észlelni képesek a nem engedélyezett vagy csalárd fizetési műveleteket, hogy megfelelő biztonsági intézkedéseket tehessenek.
- Például vegyék figyelembe az ismert csalási forgatókönyveket,
- felismerjék a rosszindulatú szoftveres fertőzöttség jeleit,
- a normálistól eltérő eszközhasználatot
- vagy épp a fizetési műveletek szokatlan összegét.
De a bankoknak van mozgásterük, hogy milyen szigorú legyen a szabályrendszerük, azaz milyen kockázati szinteken milyen kockázatcsökkentő intézkedéseket alkalmaznak. Az MNB szigorúan ellenőrzi, hogy megfelelnek-e az előírásnak - teszik ezt annak érdekében is, hogy a hazai elektronikus pénzforgalom továbbra is kiemelkedően biztonságos legyen.
A jegybanki felügyelet válaszából az is kiderült, hogy a műveletmegfigyelő mechanizmusokat egyelőre nem kell valós időben működtetni (kivéve ha alacsony kockázatú tranzakciónál nem kíván a szolgáltató erős ügyfélhitelesítést alkalmazni). Tehát elképzelhető, hogy a pénzforgalmi szolgáltatónak nem valós idejű műveletmegfigyelő rendszere van, így azonnali átutalásnál nem áll rendelkezésére kellő idő ahhoz, hogy egy csalárd tranzakciónál beavatkozzon. De az idő nemcsak az azonnali átutalásnál lehet gond, mivel a napközbeni (4 órás szabály alá eső) átutalásoknál is elég szűk az az időablak, amikor lehetőség van a beavatkozásra - jellemzően másfél óra alatt teljesülnek ezek a fizetési műveletek.
Az MNB szerint, ha egy csalárd módon eljáró fél kellően gyorsan adja meg a megbízásokat, és a szolgáltató csak ex post működteti a műveletmegfigyelő mechanizmusokat, akkor azért elképzelhető, hogy több, nagy értékű csalárd tranzakció is teljesülhet akár az azonnali, akár a napközbeni elszámolásban, mire megtörténik az észlelés. Válaszuk alapján egyre több pénzforgalmi szolgáltató működtet olyan valós idejű, szofisztikált, kockázatalapú műveletmegfigyelő mechanizmusokat, amelyek alkalmasak az ilyen jellegű csalárd megbízások kiszűrésére, valamint lehetőséget adnak a beavatkozásra, az érintett tranzakciók feldolgozásának megállításával, és azzal, ha az ügyféllel sikerült tisztázni a helyzetet. Emellett az MNB is folyamatosan nyomon követi a pénzforgalomban megjelenő visszaélések alakulását, és szükség szerint megteszi azokat az intézkedéseket, amelyekkel megakadályozható, hogy a konkrét példa szerinti súlyú esetek előforduljanak - tették hozzá.
A bankok igyekeznek tájékoztatni
A bankoktól kapott válaszokból leginkább az szűrhető le, hogy weboldalaikon rendszeresen tájékoztatnak a csalási praktikákról, a lehetséges védekezésről, és arról, mikor fogjunk gyanút, illetve hogy milyen adatokat nem kér a bank. Így tesz például a CIB és K&H is. Utóbbi banktól azt írták, mintegy két éve jelent meg náluk a telefonos banki csalás.
Kérdés, mennyire hasznos a weboldalon elhelyezett tájékoztatás, mennyire életszerű, hogy valaki ezeket olvasgassa, hátha csalók akarják becserkészni. Más megközelítésben mindannyiunk érdeke, hogy időről időre elolvassuk a figyelmeztetéseket és éberek maradjunk.
A Gránit Bank ennél kicsit tovább ment, emailben többször is tájékoztatták, figyelmeztették ügyfeleiket. A figyelemfelhívást azért is tartják fontosnak, mert - mint írták - a bankoknak korlátozott megoldásaik vannak csak az ügyfél tevőleges hozzájárulásával lenyúlt pénzek visszaszerzésére. Utalásoknál például indíthatnak visszahíváskérést, de ilyenkor a pénz csak akkor kerülhet vissza, ha a kedvezményezett jóváhagyja. Ám a csalók nem teszik meg ezt a szívességet.
Az UniCreditnél 2021 első negyedévében indultak el a vishingnek is nevezett csaláskísérletek és visszaélések. Számuk - némi szezonalitást mutatva - összességében növekszik, az elkövetők által használt "legenda" (például hogy visszaéltek az ügyfél számlájával, kártyájával, biztonságba kell helyezni a pénzét egy technikai számlára stb.) pedig esetenként, illetve trendjében is változhat. Ők is hangsúlyozták, sosem kérnek az ügyfeleiktől
- internetbanki azonosítókat,
- jelszavakat,
- sms-hitelesítő, illetve mbanking-aktiváló kódokat,
- bankkártyaadatokat,
- távoli elérést biztosító programok telepítését,
- tranzakciók végrehajtását.
Azt nem árulták el, volt-e ügyfél, akinek kártérítést fizettek, csak azt írták, a visszaéléseket kivizsgálják. Az időtényező szerintük is nagyon fontos - minél kevesebb idő telik el a bejelentésig, annál nagyobb az esély az okozott kár teljes vagy részleges megtérülésére. Bankjuk pénzforgalmi/tranzakcióscsalás detektáló rendszere valós idejű riasztással és az adott felhasználó blokkolásával képes a visszaélések megelőzésére, illetve megszakítására. Az említett rendszer előre felállított szabályok alapján ellenőriz és osztályoz minden fizetési műveletet, és ha szükséges, riasztást küld. A szabályokat az újonnan felmerülő elkövetési módszerek jellemzőinek beépítésével, paraméterezésével folyamatosan fejlesztik. Ki tudják szűrni, blokkolni azokat a számlaszámokat is, amelyekre korábban a csalók pénzt küldtek - igaz, a csalók meg sűrűn váltogatják a számlaszámokat. Ahogy írták, monitoring rendszerükkel bizonyos csalárd tranzakciók megelőzhetők, de a hatékonysághoz nélkülözhetetlen az ügyfelek tudatossága is. Honlapjukon folyamatosan aktualizálják a phishing-, vishing-, SMShing-csalásokkal kapcsolatos tudnivalókat. Biztonsági tájékoztatójuk az eBanking belépési oldalán is elérhető, valamint, ha szükséges, (egy-egy észlelt konkrét adathalász kísérletnél) közvetlen üzenetet is küldenek.
Ügyfélélmény kontra mozgástér
A Makay Kiberbiztonsági Kft. ügyvezetője, Makay József kiberbiztonsági szakértő megkeresésünkre azt írta, banki oldalról korlátozott a mozgástér, ugyanis az ügyfélélmény érdekében nincs lehetőség minden "nagyobb" tranzakció megállítására és telefonos egyeztetésére, tehát ha egy ügyfél bedől egy csalásnak, és saját maga indítja el az utalást egy számlára, a folyamatok az esetek többségében nem fordíthatók meg.