Korábban sosem kapott adathalász e-mailt az internetes banki csalás két áldozata, akiknek szintén a korábban az Azonnalin feldolgozott módszerrel lopták el a pénzét. Amikor azonban kapcsolatba kerültek a pénzintézet internetbank-szolgáltatásával, azonnal jönni kezdtek a bank nevében küldött hamis e-mailek.
Lajos pénzügyi tanácsadással foglalkozik egy dél-alföldi kisvárosban. Közel harmincéves tapasztalattal a háta mögött magabiztosan eligazodik a bankok, biztosítók különféle megtakarítási, befektetési és biztosítási termékei között. A banki internetes szolgáltatások sem ismeretlenek számára: az egyik pénzintézet internetbankját már másfél éve használja. Lajos a Raiffeisen banknak is tizenöt éve az ügyfele; 2020 szeptemberében úgy döntött: náluk is aktiválja az internetbankot. Az ügyfélszolgálat telefonos segítségét és a videochat szolgáltatását igénybe véve ezt sikeresen meg is tette.
Gábor (aki kérésére megváltoztatott keresztnévvel szerepel a cikkben) egy nyugat-magyarországi szolgáltató céget vezet. A Raiffeisen Bank üzletkötői hosszabb ideje szerették volna a céget a bank ügyfelei között tudni; Gábor végül 2020 nyarán számlát nyitott a pénzintézetnél a cégének. Az ügyintézés a komoly céges ügyfeleknek kijáró körülmények között zajlott: a bank magasabb beosztású alkalmazottai személyesen látogatták meg Gábort a cég irodájában, és a számlanyitás mellett a kapcsolódó internetes szolgáltatások aktiválásában is segédkeztek.
A két történetben az a közös, hogy Lajos és Gábor cégének a számlájáról néhány nap múlva eltűnt az összes pénz.
A kétlépcsős azonosítás kijátszása
Mindketten azon csalásnak lettek az áldozatai, amit az Azonnali dolgozott fel még szeptemberben. Ennek a lényege, hogy a csalók a klasszikus adathalász módszerrel megszerzik az áldozat internetbanki bejelentkezéshez szükséges azonosítóját és jelszavát. Ezeket az áldozatok egy a bankéhoz hasonló hamis weboldalon gépelik be, a hamis weboldalt pedig általában egy látszólag a bank nevében küldött e-mailből nyitják meg.
A csalók ezekkel az adatokkal még nem tudnak belépni az áldozat internetbankjába: a kétlépcsős azonosítás miatt ehhez szükségük lenne arra az egyszer használatos kódra is, amit a bank a számlához rendelt telefonszámra küld automatikusan. A hamis weboldalon való bejelentkezési próbálkozások után természetesen nem érkezhet ilyen SMS a banktól, az áldozatok azonban mégis kapnak egy másik SMS-t.
A csalók ugyanis a hamis weboldalon megszerzett azonosítóval és jelszóval
Hogy ezt használni lehessen, ahhoz a bank megintcsak SMS-ben küld egy aktiváló kódot a számlához rendelt telefonszámra. Ez az SMS sokáig nagyon hasonló volt a sima weboldalas internetbanki belépéshez szükséges kódot tartalmazó SMS-hez: amikor megérkezett, a hamis weboldalon sikertelenül bejelentkezni próbáló áldozat abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, begépelte azt is a hamis oldal megefelelő rubrikájába.
A csalók elől így elhárult az utolsó akadály is: aktiválni tudták a mobiltelefonos alkalmazást, és innentől fogva hozzáfértek az áldozat számlájához, tranzakciókat tudtak kezdeményezni és aláírni az alkalmazással. Vagyis
Lajos és Gábor esetében is pontosan ez történt.
Soha korábban nem kaptak adathalász e-mailt
Lajos és Gábor egymástól függetlenül egy olyan körülményről is beszámoltak az Azonnalinak, amit egyikük sem tud véletlen egybeesésként elfogadni. Korábban ugyanis soha nem kaptak adathalász e-maileket, viszont azt követően, hogy Lajos beszélt a bank ügyfélszolgálatával, naponta több e-mailt is kapott látszólag a banktól. Gábor is hasonló furcsaságról számolt be: amikor a számlanyitást követően távoztak a bank üzletkötői,
miközben korábban soha nem kapott adathalász e-maileket a Raiffeisen nevében.
Gábor ügyintézője és Lajos is ilyen e-mailből jutottak el a hamis oldalra, ahol végül a csalók megszerezték a mobiltelefonos alkalmazás aktiváláshoz szükséges mindhárom adatot. Ráadásul az e-mailek között volt olyan is, amit tényleg a bank küldött – mondja Lajos, aki az internetbank aktiváláshoz igénybe vette a bank videochat szolgáltatását, és az ehhez szükséges adatokat e-mailben kapta meg a banktól. A körülmények ezen együttállása miatt mindkét áldozat arra gyanakszik, hogy a banknál is lehet valamilyen biztonsági hiányosság.
Óriási adatbázisok
Makay József kiberbiztonsági szakértő azonban nagyon kicsi esélyt lát arra, hogy a csalók a banki rendszer valamiféle hiányosságát kihasználva „szúrnák ki”, hogy valaki épp kapcsolatba került a pénzintézettel, így érdemes elindítani neki az adathalász e-mailek küldését. „A banki rendszerek nagyon zártak, és a bankok ügyelnek arra, hogy az ügyfélkommunikációt is kizárólag vagy személyesen, vagy az online felületükön keresztül intézzék, az e-mailes kommunikációt pedig minimálisra csökkentsék” – mondja a szakember az Azonnalinak.
A csalók számára más szolgáltatásokból megszerzett e-mail-címeket tartalmazó óriási adatbázisok állnak rendelkezésre – magyarázza Makay –, amik között vannak különféle szempontok alapján rendszerezett – például országokra lebontott – listák is. Az adathalász e-mailek megnyitása a szakember szerint inkább véletlen egybeesés szokott lenni: az áldozat több bank nevében is kaphat adathalász e-maileket, viszont nem nyitja meg azt az e-mailt, amit nem az ő bankjának, hanem egy másiknak a nevében küldtek, és másik bank felületén sem próbál meg bejelentkezni.
Hamisított e-mail-címek
Azt viszont nem zárja Makay, hogy az áldozatok számítógépén vagy telefonján futott valamilyen kártevő program – akár az operációs rendszer szintjén, akár a böngészőbe épülő bővítményként –, aminek kifejezetten az a feladata, hogy figyelje, milyen oldalakat nyit meg a felhasználó.
és hogy ez a megfelelő alkalom arra, hogy elkezdjék küldeni neki az adathalász e-maileket az adott bank nevében – mondja Makay. A szakember szerint egy ilyen forgatókönyv megmagyarázná azt is, hogy miért csak akkor kezdtek el jönni az adathalász e-mailek, amikor az áldozatok aktiválták az internetbank-szolgáltatást.
Az Azonnalinak Lajos és Gábor, valamint több korábbi áldozat is arról panaszkodott, hogy az e-mailcímek, amikről az adathalász e-mailek érkeznek, megegyeznek a bank hivatalos e-mailcímével – ez az egyik oka, hogy gyanútlanul megnyitották őket. Makay szerint azonban ez sem jelent semmilyen hibát a banknál vagy kapcsolatot a pénzintézettel: e-mailcímet ugyanis viszonylag egyszerű hamisítani.
– fogalmazott a szakember.
Bank: az ügyfél súlyos gondatlansága
A bank Lajos és Gábor ügyében a hónapokon át tartó többkörös panaszkivizsgálás után elzárkózott az áldozatok kártalanításától. A Raiffeisen álláspontja szerint ugyanis náluk semmilyen hiba nem történt: ők minden adatot az ügyfeleiknek küldtek ki, a csalók ezekhez az ügyfelektől, az ő közreműködésükkel jutottak hozzá. Ahogy a bank a panaszaik elutasításának indoklásában fogalmaz: az ő súlyos gondatlanságuk miatt kerültek az adataik a csalókhoz.
Azzal a pénzügyi tanácsadó és a vállalkozó is tisztában van, hogy az ő akaratlan közreműködésükre is szükség volt ahhoz, hogy mindez megtörténhessen, azt viszont egyikük sem tudja elfogadni, hogy a bankot semmilyen felelősség nem terheli.
„A »mobiltoken«, a varázsszó, amit akkor hallottam először, amikor már oda volt a pénzem” – mondja keserűen Lajos. A pénzügyi tanácsadó elmondása szerint nem kapott tájékoztatást arról, hogy a mobiltoken tulajdonképpen a bank okostelefonos alkalmazását takarja – amit ő szándékosan nem is akart használni, mert a weboldalon keresztüli ügyintézéshez szokott hozzá. Lajos szerint az emberek többségének nincs fogalma arról, mit takar a „mobiltoken” kifejezés, ahogy neki sem volt, amíg csalás áldozata nem lett. Így akkor sem elvárható – mondja Lajos –, hogy az ember felismerje a veszélyt, ha nemcsak rutinszerűen beütöti a kódot az oldalra, hanem el is olvassa, hogy mit ír az SMS.
Lajos úgy látja, a bank közvetve a felelősségét is elismerte azzal, hogy októberben
Az SMS korábban egyetlen mondatból és a kódból állt, és ránézésre ugyanúgy festett, mint a sima weboldalas bejelentkezéshez szükséges kódot tartalmazó üzenet. Október óta azonban nagybetűs figyelmeztetéssel kezdődő üzenet érkezik, ami nemcsak azt írja le röviden, hogy miért jött az SMS, hanem azt is, hogy a kód mire nem való. A szöveg emellett arra is külön felhívja a figyelmet, hogy ha nem a felhasználó kezdeményezte az alkalmazás aktiválását, akkor nehogy megadja a kódot valahol, hanem haladéktalanul értesítse a bankot a telefonszámon, ami szintén benne van az SMS-ben.
Az Azonnali a Raiffeisennél is rákérdezett, mi az oka, hogy megváltozott az SMS szövege. Murányi Ákostól, a bank PR-menedzserétől a következő választ kaptuk:
Összefonódó ügyek
Már az előző cikkünk írásakor úgy értesültünk, hogy a „mobiltokenes” csalással megkárosított Raiffeisen-ügyfelek eseteit a rendőrség összevonva kezeli, ezt azonban akkori érdeklődésünkre az ORFK Kommunikáció Szolgálata – arra hivatkozva, hogy az általunk a rendelkezésükre bocsátott információk nem elegendőek az ügy beazonosításához – nem tudta megerősíteni.
Attila – akinek a története alapján szeptemberben rekonstruáltuk a csalás módját, és akit most újra megkerestünk – arról számolt be az Azonnalinak, hogy a rendőrség az ő ügyében abból a számlából kiindulva nyomoz, amikre a csalók elutalták a pénzt. A számla egy céghez tartozik, a rendőrök a cég bejegyzésében közreműködő, illetve a számlát megnyitó személyek elszámoltatásával próbálják felgöngyölíteni az ügyet.
Lajos az ügyét kivizsgáló nyomozóktól úgy tudja,
A pénzügyi tanácsadó azt mondja: a saját ügyével kapcsolatban azt az információt kapta, hogy a rendőrség már azonosított egy férfit, aki több pénzintézetnél megnyitotta azokat a számlákat, amikre a csalók elutalták a pénzt az áldozatok bankszámláiról. Lajos egyébként úgy értesült: egy nemzetközi bűnszervezett „fosztogatta” a bank ügyfeleit, és az egész hálózat felszámolása még „gyerekcipőben jár”.
Gábor is azt mondja: az ügyét összekötötték egy másik, délnyugat-magyarországi üggyel, és ő is több tíz hasonló esetről hallott. A vállalkozó abba még belenyugodna, ha egyedi esetről lenne szó, de egyre több hozzá hasonlóan megkárosított Raiffeisen-ügyfélről hall. „A fél ország nem lehet hülye” – fogalmaz Gábor, aki szerint
A banknak azonban továbbra is ez az álláspontja. Az áldozatok közül, akikkel az Azonnali kapcsolatba került, eddig egyiket sem kártalanította a Raiffeisen.
NYITÓKÉP: Fortepan / Budapest Főváros Levéltára / BRFK helyszínelési fényképei
Nem linkgyűjtemény. Olvasmány. A Reggeli fekete hétfőn, szerdán és pénteken jön, még reggel hét előtt – tíz baristából kilenc ezt ajánlja a kávéhoz!
Feliratkozásoddal elfogadod az adatkezelési szabályzatot.