Aktiválták a netbankot, pár nap múlva eltűnt az összes pénzük

Szerző: Renczes Ágoston
2021.01.14. 07:17

Korábban sosem kapott adathalász e-mailt az internetes banki csalás két áldozata, akiknek szintén a korábban az Azonnalin feldolgozott módszerrel lopták el a pénzét. Amikor azonban kapcsolatba kerültek a pénzintézet internetbank-szolgáltatásával, azonnal jönni kezdtek a bank nevében küldött hamis e-mailek.

Aktiválták a netbankot, pár nap múlva eltűnt az összes pénzük

Lajos pénzügyi tanácsadással foglalkozik egy dél-alföldi kisvárosban. Közel harmincéves tapasztalattal a háta mögött magabiztosan eligazodik a bankok, biztosítók különféle megtakarítási, befektetési és biztosítási termékei között. A banki internetes szolgáltatások sem ismeretlenek számára: az egyik pénzintézet internetbankját már másfél éve használja. Lajos a Raiffeisen banknak is tizenöt éve az ügyfele; 2020 szeptemberében úgy döntött: náluk is aktiválja az internetbankot. Az ügyfélszolgálat telefonos segítségét és a videochat szolgáltatását igénybe véve ezt sikeresen meg is tette.

Gábor (aki kérésére megváltoztatott keresztnévvel szerepel a cikkben) egy nyugat-magyarországi szolgáltató céget vezet. A Raiffeisen Bank üzletkötői hosszabb ideje szerették volna a céget a bank ügyfelei között tudni; Gábor végül 2020 nyarán számlát nyitott a pénzintézetnél a cégének. Az ügyintézés a komoly céges ügyfeleknek kijáró körülmények között zajlott: a bank magasabb beosztású alkalmazottai személyesen látogatták meg Gábort a cég irodájában, és a számlanyitás mellett a kapcsolódó internetes szolgáltatások aktiválásában is segédkeztek.

A két történetben az a közös, hogy Lajos és Gábor cégének a számlájáról néhány nap múlva eltűnt az összes pénz.

A pénzügyi tanácsadót több mint egymillió forinttal, a vállalkozót négymillió forinttal károsították meg.

A kétlépcsős azonosítás kijátszása

Mindketten azon csalásnak lettek az áldozatai, amit az Azonnali dolgozott fel még szeptemberben. Ennek a lényege, hogy a csalók a klasszikus adathalász módszerrel megszerzik az áldozat internetbanki bejelentkezéshez szükséges azonosítóját és jelszavát. Ezeket az áldozatok egy a bankéhoz hasonló hamis weboldalon gépelik be, a hamis weboldalt pedig általában egy látszólag a bank nevében küldött e-mailből nyitják meg. 

ADATHALÁSZAT. KÉP: PIXABAY

A csalók ezekkel az adatokkal még nem tudnak belépni az áldozat internetbankjába: a kétlépcsős azonosítás miatt ehhez szükségük lenne arra az egyszer használatos kódra is, amit a bank a számlához rendelt telefonszámra küld automatikusan. A hamis weboldalon való bejelentkezési próbálkozások után természetesen nem érkezhet ilyen SMS a banktól, az áldozatok azonban mégis kapnak egy másik SMS-t. 

A csalók ugyanis a hamis weboldalon megszerzett azonosítóval és jelszóval

regisztrációt kezdeményeznek a bank mobiltelefonos alkalmazásában, amit letöltöttek a saját telefonjukra.

Hogy ezt használni lehessen, ahhoz a bank megintcsak SMS-ben küld egy aktiváló kódot a számlához rendelt telefonszámra. Ez az SMS sokáig nagyon hasonló volt a sima weboldalas internetbanki belépéshez szükséges kódot tartalmazó SMS-hez: amikor megérkezett, a hamis weboldalon sikertelenül bejelentkezni próbáló áldozat abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, begépelte azt is a hamis oldal megefelelő rubrikájába. 

A csalók elől így elhárult az utolsó akadály is: aktiválni tudták a mobiltelefonos alkalmazást, és innentől fogva hozzáfértek az áldozat számlájához, tranzakciókat tudtak kezdeményezni és aláírni az alkalmazással. Vagyis

egyszerűen elutalták a pénzt egy másik számlára, majd ATM-ekből készpénzben felvették azt.

Lajos és Gábor esetében is pontosan ez történt. 

Soha korábban nem kaptak adathalász e-mailt

Lajos és Gábor egymástól függetlenül egy olyan körülményről is beszámoltak az Azonnalinak, amit egyikük sem tud véletlen egybeesésként elfogadni. Korábban ugyanis soha nem kaptak adathalász e-maileket, viszont azt követően, hogy Lajos beszélt a bank ügyfélszolgálatával, naponta több e-mailt is kapott látszólag a banktól. Gábor is hasonló furcsaságról számolt be: amikor a számlanyitást követően távoztak a bank üzletkötői,

már ott volt a cég e-mail-fiókjában egy levél, ami látszólag a banktól érkezett,

miközben korábban soha nem kapott adathalász e-maileket a Raiffeisen nevében. 

Gábor ügyintézője és Lajos is ilyen e-mailből jutottak el a hamis oldalra, ahol végül a csalók megszerezték a mobiltelefonos alkalmazás aktiváláshoz szükséges mindhárom adatot. Ráadásul az e-mailek között volt olyan is, amit tényleg a bank küldött – mondja Lajos, aki az internetbank aktiváláshoz igénybe vette a bank videochat szolgáltatását, és az ehhez szükséges adatokat e-mailben kapta meg a banktól. A körülmények ezen együttállása miatt mindkét áldozat arra gyanakszik, hogy a banknál is lehet valamilyen biztonsági hiányosság.

Óriási adatbázisok 

Makay József kiberbiztonsági szakértő azonban nagyon kicsi esélyt lát arra, hogy a csalók a banki rendszer valamiféle hiányosságát kihasználva „szúrnák ki”, hogy valaki épp kapcsolatba került a pénzintézettel, így érdemes elindítani neki az adathalász e-mailek küldését. „A banki rendszerek nagyon zártak, és a bankok ügyelnek arra, hogy az ügyfélkommunikációt is kizárólag vagy személyesen, vagy az online felületükön keresztül intézzék, az e-mailes kommunikációt pedig minimálisra csökkentsék” – mondja a szakember az Azonnalinak. 

A csalók számára más szolgáltatásokból megszerzett e-mail-címeket tartalmazó óriási adatbázisok állnak rendelkezésre – magyarázza Makay –, amik között vannak különféle szempontok alapján rendszerezett – például országokra lebontott – listák is. Az adathalász e-mailek megnyitása a szakember szerint inkább véletlen egybeesés szokott lenni: az áldozat több bank nevében is kaphat adathalász e-maileket, viszont nem nyitja meg azt az e-mailt, amit nem az ő bankjának, hanem egy másiknak a nevében küldtek, és másik bank felületén sem próbál meg bejelentkezni.

Hamisított e-mail-címek

Azt viszont nem zárja Makay, hogy az áldozatok számítógépén vagy telefonján futott valamilyen kártevő program – akár az operációs rendszer szintjén, akár a böngészőbe épülő bővítményként –, aminek kifejezetten az a feladata, hogy figyelje, milyen oldalakat nyit meg a felhasználó.

Ez alapján a csalók észrevehették, hogy az áldozat épp meglátogatta a bank oldalát,

és hogy ez a megfelelő alkalom arra, hogy elkezdjék küldeni neki az adathalász e-maileket az adott bank nevében – mondja Makay. A szakember szerint egy ilyen forgatókönyv megmagyarázná azt is, hogy miért csak akkor kezdtek el jönni az adathalász e-mailek, amikor az áldozatok aktiválták az internetbank-szolgáltatást.

A FELHASZNÁLÓ TEVÉKENYSÉGÉT KÁRTEVŐ PROGRAMOK KÖVETHETIK. KÉP: PIXABAY

Az Azonnalinak Lajos és Gábor, valamint több korábbi áldozat is arról panaszkodott, hogy az e-mailcímek, amikről az adathalász e-mailek érkeznek, megegyeznek a bank hivatalos e-mailcímével – ez az egyik oka, hogy gyanútlanul megnyitották őket. Makay szerint azonban ez sem jelent semmilyen hibát a banknál vagy kapcsolatot a pénzintézettel: e-mailcímet ugyanis viszonylag egyszerű hamisítani.

Vannak olyan anonim e-mail-szolgáltatók, amikből olyan feladó e-mailcímmel küldhet levelet bárki, amilyennel csak szeretne

– fogalmazott a szakember.

Bank: az ügyfél súlyos gondatlansága

A bank Lajos és Gábor ügyében a hónapokon át tartó többkörös panaszkivizsgálás után elzárkózott az áldozatok kártalanításától. A Raiffeisen álláspontja szerint ugyanis náluk semmilyen hiba nem történt: ők minden adatot az ügyfeleiknek küldtek ki, a csalók ezekhez az ügyfelektől, az ő közreműködésükkel jutottak hozzá. Ahogy a bank a panaszaik elutasításának indoklásában fogalmaz: az ő súlyos gondatlanságuk miatt kerültek az adataik a csalókhoz.

Azzal a pénzügyi tanácsadó és a vállalkozó is tisztában van, hogy az ő akaratlan közreműködésükre is szükség volt ahhoz, hogy mindez megtörténhessen, azt viszont egyikük sem tudja elfogadni, hogy a bankot semmilyen felelősség nem terheli. 

„A »mobiltoken«, a varázsszó, amit akkor hallottam először, amikor már oda volt a pénzem” – mondja keserűen Lajos. A pénzügyi tanácsadó elmondása szerint nem kapott tájékoztatást arról, hogy a mobiltoken tulajdonképpen a bank okostelefonos alkalmazását takarja – amit ő szándékosan nem is akart használni, mert a weboldalon keresztüli ügyintézéshez szokott hozzá. Lajos szerint az emberek többségének nincs fogalma arról, mit takar a „mobiltoken” kifejezés, ahogy neki sem volt, amíg csalás áldozata nem lett. Így akkor sem elvárható – mondja Lajos –, hogy az ember felismerje a veszélyt, ha nemcsak rutinszerűen beütöti a kódot az oldalra, hanem el is olvassa, hogy mit ír az SMS.

Lajos úgy látja, a bank közvetve a felelősségét is elismerte azzal, hogy októberben

megváltoztatta az alkalmazás aktiválásához szükséges kódot tartalmazó SMS szövegét.

Az SMS korábban egyetlen mondatból és a kódból állt, és ránézésre ugyanúgy festett, mint a sima weboldalas bejelentkezéshez szükséges kódot tartalmazó üzenet. Október óta azonban nagybetűs figyelmeztetéssel kezdődő üzenet érkezik, ami nemcsak azt írja le röviden, hogy miért jött az SMS, hanem azt is, hogy a kód mire nem való. A szöveg emellett arra is külön felhívja a figyelmet, hogy ha nem a felhasználó kezdeményezte az alkalmazás aktiválását, akkor nehogy megadja a kódot valahol, hanem haladéktalanul értesítse a bankot a telefonszámon, ami szintén benne van az SMS-ben.

ILYEN VOLT, ILYEN LETT: BALOLDALT A BELÉPÉSHEZ SZÜKSÉGES ÉS A MOBILTOKEN AKTIVÁLÁSÁHOZ SZÜKSÉGES KÓDOT TARTALMAZÓ KORÁBBI SMS-EK, JOBBOLDALT AZ OKTÓBER ÓTA KÜLDÖTT, MOBILTOKEN AKTIVÁLÁSÁRÓL SZÓLÓ SMS

Az Azonnali a Raiffeisennél is rákérdezett, mi az oka, hogy megváltozott az SMS szövege. Murányi Ákostól, a bank PR-menedzserétől a következő választ kaptuk:

„A bankok folyamatosan fejlesztik biztonsági protokolljaikat, így az ügyfelek tájékoztatására szolgáló biztonsági üzeneteket is. Ilyen változások más bankoknál is történtek az utóbbi időszakban, ez egy természetes folyamat.”

Összefonódó ügyek

Már az előző cikkünk írásakor úgy értesültünk, hogy a „mobiltokenes” csalással megkárosított Raiffeisen-ügyfelek eseteit a rendőrség összevonva kezeli, ezt azonban akkori érdeklődésünkre az ORFK Kommunikáció Szolgálata – arra hivatkozva, hogy az általunk a rendelkezésükre bocsátott információk nem elegendőek az ügy beazonosításához – nem tudta megerősíteni.

Attila – akinek a története alapján szeptemberben rekonstruáltuk a csalás módját, és akit most újra megkerestünk – arról számolt be az Azonnalinak, hogy a rendőrség az ő ügyében abból a számlából kiindulva nyomoz, amikre a csalók elutalták a pénzt. A számla egy céghez tartozik, a rendőrök a cég bejegyzésében közreműködő, illetve a számlát megnyitó személyek elszámoltatásával próbálják felgöngyölíteni az ügyet.

Lajos az ügyét kivizsgáló nyomozóktól úgy tudja,

nagyon sok hasonló ügyben folyik párhuzamosan nyomozás.

A pénzügyi tanácsadó azt mondja: a saját ügyével kapcsolatban azt az információt kapta, hogy a rendőrség már azonosított egy férfit, aki több pénzintézetnél megnyitotta azokat a számlákat, amikre a csalók elutalták a pénzt az áldozatok bankszámláiról. Lajos egyébként úgy értesült: egy nemzetközi bűnszervezett „fosztogatta” a bank ügyfeleit, és az egész hálózat felszámolása még „gyerekcipőben jár”. 

Gábor is azt mondja: az ügyét összekötötték egy másik, délnyugat-magyarországi üggyel, és ő is több tíz hasonló esetről hallott. A vállalkozó abba még belenyugodna, ha egyedi esetről lenne szó, de egyre több hozzá hasonlóan megkárosított Raiffeisen-ügyfélről hall. „A fél ország nem lehet hülye” – fogalmaz Gábor, aki szerint

képtelenség, hogy ha ilyen sok embert tudtak átverni a csalók, akkor a bankot ne terhelné semmilyen felelősség.

A banknak azonban továbbra is ez az álláspontja. Az áldozatok közül, akikkel az Azonnali kapcsolatba került, eddig egyiket sem kártalanította a Raiffeisen. 

NYITÓKÉP: Fortepan / Budapest Főváros Levéltára / BRFK helyszínelési fényképei

Renczes Ágoston
Renczes Ágoston az Azonnali újságírója

Közgazdász bölcsész aszcendenssel. Csehszlovákiában született elég régen, ahhoz képest csak 2020 óta újságíró. Gyakran ír a szlovák és a szlovákiai magyar politikáról, gazdaságról, építészetről.

olvass még a szerzőtől

Tetszett a cikk?

Az Azonnali hírlevele

Nem linkgyűjtemény. Olvasmány. A Reggeli fekete hétfőn, szerdán és pénteken jön, még reggel hét előtt – tíz baristából kilenc ezt ajánlja a kávéhoz!

Feliratkozásoddal elfogadod az adatkezelési szabályzatot.

Kommentek