Hogyan játsszák ki internetes csalók a netbankokat? Tanulságos történet egy magyar kisvállalkozásról

Egy kisvállalkozó bankszámlájáról internetes csalók elutalták maguknak a teljes összeget. Kombinált módszerrel játszották ki a kétlépcsős azonosítást.

Attila egy éttermet üzemeltető kis céget vezet Nyugat-Magyarországon, közel az osztrák határhoz. A vállalkozása évek óta a Raiffeisen Bank ügyfele, Attila a cég pénzügyeit a bank online szolgáltatásain keresztül intézi. Július 22-én a cég bankszámláján levő teljes összeget,

Az utalást nem Attila, és nem is a cég pénzügyeit intéző alkalmazottja kezdeményezte. Attila a tranzakciót csak napokkal később vette észre, amikor az egyébként 20 éve neki dolgozó, és akkor pár napja szabadságon lévő ügyintéző helyett bejelentkezett az internetbank-fiókba, hogy elintézzen néhány utalást. Amint felfedezte, hogy a cég összes pénze eltűnt a bankszámlájáról, Attila azonnal bejelentést tett a Raiffeisen-banknál, és a rendőrségen is feljelentést tett ismeretlen tettes ellen. A rendőrségi nyomozás még most is tart, a pénzintézet viszont kivizsgálta az esetet, és egyelőre úgy néz ki, Attila cégét nem kártalanítja a bank.

Kétlépcsős csalás

A Raiffeisen vizsgálata szerint – és Attila is így rekonstruálta az eseményeket – a csalás két lépésből állt.

Az első a klasszikus adathalászat esete volt: a cég alkalmazottja egy a bankéhoz hasonló hamis oldalon próbált belépni a pénzintézet internetbank-fiókjába. Ebbe úgy lehet bejelentkezni, hogy a felhasználó megadja az azonosító számsort és a jelszót, ezt követően a banknál rögzített telefonszámra kap egy SMS-t egy egyszer használatos kóddal. Ennek a begépelését követően lehet hozzáférni a számlához. 

Mivel Attila alkalmazottja a hamis oldalon adta meg az azonosító számsort és a jelszót is, így nem kapott SMS-t, mindössze annyi történt, hogy a hamis oldal egy idő után újra betöltött. Ilyenkor az alkalmazott újra megpróbált belépni az azonosító és a jelszó megadásával, ami ekkor már a csalóknál volt. Viszont ezek birtokában a csalók még nem férhettek hozzá a számlához: az egyszer használatos SMS vagy az okostelefonra letölthető mobiltoken pont ezt hivatott megakadályozni:

Itt következett a csalás második lépése: a csalók vélhetően letöltötték a saját telefonjukra a bank mobilalkalmazását. Ahhoz, hogy az alkalmazást használni lehessen, egy regisztrációval össze kell kötni a bankszámlával. Ehhez értelemszerűen ugyanaz az azonosító számsor és jelszó szükséges, akivel a felhasználó a weboldalon is bejelentkezik az internetbankba. Mivel az azonosító és a jelszó már a csalók birtokában volt, elindították a regisztrációt az alkalmazásban. A regisztráció utolsó lépése, hogy a rendszer kiküld egy SMS-t a felhasználó telefonszámára egy egyszer használatos jelszóval, ami az alkalmazás aktiválására szolgál. A telefon azonban Attila alkalmazottjánál volt, ahhoz a csalók nem fértek hozzá. 

Az alkalmazás aktiváláshoz szükséges kódot tartalmazó SMS azonban hasonlít arra az üzenetre, amit a sima bejelenkezéskor kap a felhasználó: ugyanúgy egy nyolcjegyű betűsort tartalmaz, csak a szöveg különbözik: „A belépéshez szükséges egyszer használatos kódja” helyett „Mobil-token aktiváláshoz szükséges egyszer használatos jelszava” szerepel az üzenetben. 

Az alkalmazott, aki addig hiába próbált bejelentkezni az oldalra, abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, átsiklott a szöveg fölött és rutinból begépelte a nyolcjegyű betűsort a hamis oldalon a megfelelő helyre. Ezzel a csalók elől elhárult az utolsó akadály is.

Ezt meg is tették: a csalók elutalták a számlán lévő összes pénzt egy kelet-magyarországi cég másik banknál vezetett számlájára, majd budapesti ATM-ekből több részletben készpénzben felvették a teljes összeget, szigorúan ügyelve arra, hogy ne látszódjon az arcuk a biztonsági kamera felvételén.

A bank szerint csak Attiláék hibáztak

A Raiffeisen Bank elutasította Attila panaszát. A pénzintézet indoklása szerint Attilának haladéktalanul jeleznie kellett volna, hogy a mobil-token aktiválásáról SMS-t kapott, miközben nem ő kezdeményezte az alkalmazás aktiválását. A bank álláspontja szerint a tranzakció az ügyfél súlyosan gondatlan eljárása miatt teljesülhetett, így Attiláék a bank részéről nem számíthatnak kártalanításra.

Attila elfogadja, hogy ők is figyelmetlenek voltak, de úgy érzi, a bank több ponton is beavatkozhatott volna még azután is, hogy a csalók már hozzáfértek a fiókhoz. Olyan cégnek indult az utalás, ami nincs benne a cégtörzsben; ekkora összeget soha nem utaltak korábban – sorolta a vállalkozó az Azonnalinak. Szerinte a bankkártya-használathoz hasonlóan itt is szigorúbb automata biztonsági intézkedésekre lenne szükség: ha a felhasználó szokásaitól élesen eltérő körülmények között próbálják használni a bankkártyát – például egy másik országban –, azt a rendszer automatikusan leállítja. Attila szerint ehhez hasonló protokollokat a bankszámlák esetében is be kellene vezetni.

Kifinomult módszerek

Az Azonnali megkérdezte Makay József kiberbiztonsági szakértőt is, hogy ő hogyan látja ezt az esetet. Makay szerint kellően kifinomult támadással még a kétfaktoros hitelesítés is kijátszható. A szakértő elmondta, hogy a mai mobil- és felhasználóközpontú világban egyre inkább arra van igény, hogy mobiltelefonról lehessen intézni a vásárlásokat és a pénzügyeket. Úgy gondolja, hogy ezeket nem lehet annyira biztonságossá tenni, hogy semmiképpen ne legyenek kijátszhatóak, és nem is érdemes őket a végtelenségig biztosítani, mert a cégeknek arra is ügyelni kell, hogy a biztonsági intézkedések ne tegyék tönkre a felhasználói élményt.

Makay kiemelte, hogy ebben a konkrét esetben

A szakértő úgy látja, hogy ebben az esetben a bank felelőssége valóban bajosan meghatározható, hiszen a pénzintézet az aktiváló kódot a saját ügyfelének küldte ki, és az egyértelműen tőle jutott el a harmadik félhez.

Egyre több hasonló eset lát napvilágot

Az utóbbi hónapokban több olyan esetről is lehetett olvasni, ahol az adathalászatot a telefonos csalással ötvözve játszották ki csalók a kétlépcsős azonosítást és fértek hozzá az áldozataik bankszámlájához. A 24.hu keddi cikke is egy ilyen csalást ismertet, amit még Attila eseténél is kifinomultabb módszerekkel követtek el. 

Ebben az esetben a csalók hamis ingatlanhirdetésen keresztül kerültek kapcsolatba az áldozattal, akit képküldés ürügyével szedték rá az arra, hogy letöltsön a számítógépére egy olyan alkalmazást, ami távoli asztali kapcsolatot létesített a számítógépe és a csalók számítógépe között. Az áldozat számítógépéhez hozzáférve a csalók könnyen megszerezték az internetbankba való bejelentkezéshez szükséges azonosítókat, de ebben az esetben is szükségük volt a mobiltelefonra SMS-ben kiküldött egyszer használatos kódra. 

A csalók erre – ahogy a 24.hu fogalmaz – krimibe illő módon tettek szert: hamis meghatalmazással, arra hivatkozva, hogy ellopták a telefont, a mobilszolgáltató fiókjában letiltatták az áldozat SIM-kártyáját, majd ugyanarra a telefonszámra új SIM-et igényeltek. Ezután már az egyszer használatos kódok is az ő telefonjukra érkeztek, így akadály nélkül le tudták nullázni az áldozataik bankszámláját. Az áldozatot a bankja, az MKB nem kártalanította, arra hivatkozva, hogy náluk semmilyen hiba nem történt.

Attila nem adja fel

Attila esete, ha ennél jóval egyszerűbb is, lényegében ugyanilyen: a csalóknak sikerült kijátszaniuk a kétlépcsős azonosítást. A vállalkozó mindössze az eset kiindulópontját nem tudja rekonstruálni: hogy hogyan került az alkalmazottja a hamis oldalra. Azt mondja, tömegével kapják az adathalász e-maileket, de tisztában vannak ezek veszélyével és ügyelnek rá, hogy ne nyissák meg őket.

Attila vállalkozását eleve érzékenyen érintette a koronavírus-válság, ez az eset pedig a cég működését, egyúttal a neki dolgozó 14 alkalmazott megélhetését is veszélyezteti. A rendőrségi nyomozás folyik, de mivel az ATM-ekből pénzt felvevő csalók ügyeltek arra, hogy ne lehessen őket beazonosítani a kamerafelvételeken, és valószínűleg körültekintően jártak el a céggel is, aminek a számlájára átultaták a pénzét, nem valószínű, hogy a nyomozás eredményre vezet. Attila egyelőre a Raiffeisen álláspontjába sem nyugszik bele: a bankkal évek óta kapcsolatban van, és legalább a méltányosságban bízik. 

A bankok az eddig nyilvánosságra került esetek során nem jártak el egységesen: az MKB bank nem kártalanította pórul járt ügyfelét, az OTP viszont két hasonló esetben is megtérítette az ügyfél kárát annak ellenére, hogy az ő álláspontjuk szerint sem történt hiba a bank részéről.

Az Azonnali telefonon érdeklődött a Bankszövetségnél, hogy mi lehet az oka az egyes bankok eltérő hozzáállásának a hasonló típusú csalások áldozataihoz, de többszöri próbálkozásra sem tudták nekünk kapcsolni az illetékest. E-mailben megkerestük a Raiffeisen bankot is, tőlük azt szerettük volna megtudni, milyen feltételek mellett kártalanítják a csalás áldozatául esett ügyfeleiket, illetve mik azok a körülmények, amik fennállása esetén valaki már nem számíthat a kártalanításra. De a bank sem megkeresésünk eredeti, sem meghosszabbított határidejéig nem válaszolt – ha fognak, természetesen visszatérünk a témára.

NYITÓKÉP: Pixabay