A tavalyi átlagos havi ügyfélbejelentésekhez képest 2022 január-februárjában megduplázódott a banki adathalász-kísérletekről és ügyfelek megtévesztésén alapuló visszaélésekről szóló fogyasztói jelzések száma a Magyar Nemzeti Bank (MNB) ügyfélszolgálatán. Az elkövetők immár legalább 7 magyarországi hitelintézet nevében kísérlik meg az ügyfelek adatait megszerezni vagy az ügyfelet megtéveszteni. Immár kisbanki ügyfelek is célpontba kerültek.
Az egyre erősödő visszaélési kísérletek során a csalók a bank ügyfélszolgálati telefonszámához hasonló (vagy azzal azonos) számról hívják az ügyfeleket, segítséget ajánlva és sürgős intézkedést kérve az állítólagosan „megtámadott” bankszámlájuk elleni védekezéshez.
Ha az ügyfél jelzi, hogy ő más bank ügyfele, akkor „átkapcsolják” a megnevezett hitelintézet „ügyfélszolgálatához”. Az ügyfelek megtévesztésén alapuló visszaélések esetén ráveszik az ügyfelet a pénzük átutalására. A bankok azonban a valóságban nem kérik ügyfeleiktől, hogy számlájuk biztonsága, védetté alakítása érdekében utalják át pénzüket egy másik számlára. Azt sem, hogy hagyjanak jóvá egy tranzakciót, amellyel valójában a csalók saját eszközükön aktiválhatnak új banki (pl. mobilbank) szolgáltatást.
Adathalász visszaélések esetén az elkövetők gyakran az ügyfelek mobiltelefonjára, számítógépére távoli elérést biztosító, állítólagos „banki alkalmazás”, esetleg „vírusirtó program” telepítését kérik. A valóságban a bűnözők hozzáférhetnek ezen programokkal az ügyfél érzékeny, személyes és hitelesítési adataihoz (pl. az egyszer használható második hitelesítési információhoz). A bankok új alkalmazás bevezetése vagy frissítése esetén maguk is kérhetik az ügyfelektől az általuk kiadott program(csomag) telepítését. Ilyenkor is szükséges a kérés és a program(csomag) hitelességét ellenőrizni a felszólítástól független kommunikációs csatornán (pl. a banki weboldalon, amit célszerű mindig a böngészőbe elmentett könyvjelzőből megnyitni, vagy telefonos ügyfélszolgálaton).
A bankok sohasem kérnek el viszont telefonon vagy elektronikus úton érzékeny fizetési adatokat (pl. internetbanki vagy mobilbanki jelszót, SMS-ben kapott megerősítő kódot). Ismeretlen telefonos megkeresésnél így érdemes a bankra és a megkeresés céljára vonatkozó pontosító kérdéseket feltenni, és gyanús esetben megszakítani a kapcsolatot. Ezután célszerű visszahívni a bankot az ismert ügyfélszolgálati telefonszámon, és jelezni a történteket immár a valódi banki ügyintézőknek. Az átküldött vírusírtónak álcázott kémprogramokat, mellékleteket nem szabad megnyitni, hanem haladéktalanul törölni szükséges – áll a közleményben.
A hivatkozásokkal nagyon kell vigyázni
E hivatkozások a csalók által készített, a banki oldalhoz hasonló, ám valójában álhonlapra navigálnák át az ügyfeleket. Ezen még véletlen megnyitásuk esetén sem szabad megadni a banki adatokat. Minden esetben meg kell győződni arról, hogy a kapott hivatkozás valójában hová mutat (pl. az egérmutatót fölé mozgatva ellenőrizni, hogy nincsenek-e betűcserék az eredeti oldalhoz képest). A hivatkozásra kattintás helyett célszerű mindig beírni az ügyfél álttal ismert banki webcímet a böngészőbe, vagy az ott elmentett könyvjelzőt használni, illetve a böngészősorban ellenőrizni a honlap biztonságát mutató kis lakatot.
Szolgáltatók, csomagküldők nevében csalnak
További újfajta adathalász megoldás, hogy a csalók nem bank, hanem valamelyik internetes kereskedői portál vagy egyéb szolgáltató nevében jelentkeznek, s a termék szállításához, szolgáltatásához kérik el előre az ügyfelek bizalmas banki adatait. Természetesen az adatokat ilyenkor sem szabad megadni. A korábbi adathalász hullámok során a csalók pl. „csomagküldésről” kapott értesítésnek álcázva juttattak kártékony kódokat az ügyfelek eszközeire, illetve állítólagos internetes vásárlás jóváhagyása, kártyaletiltás vagy egy utalás meghiúsulása miatt kérték az ügyfél azonnali döntését (és így vették rá bankszámla-, kártyaadatok, internetes belépési kódok megadására).
A bankszámlaműveleteknél és az internetes bankkártyás vásárlásoknál bevezetett erős (kétfaktoros) ügyfélhitelesítés ugrásszerűen növelte az ügyfelek biztonságát a csalókkal szemben. A banki ügyleteknél ugyanis ennek nyomán nem elegendő önmagában a számla- vagy kártyaazonosítók ismerete, emellett egy további hitelesítési információ (pl. a banktól a mobiltelefonra érkező egyszer használható jelszó vagy a banki applikáción keresztül az ügyfél ujjlenyomata vagy más biometrikus azonosítója) is kell az ügylet jóváhagyásához.
A Magyar Posta is figyelmeztet
Az utóbbi időszakban ismételten megnövekedett a Magyar Posta nevében történő visszaélések száma, amelyekben a cég védjegyeit (logo) és arculati elemeit jogosulatlanul felhasználva igyekeznek megtéveszteni a lakosságot. A hamis emailben vagy sms-ben általában csomag átvételéhez kérik a szállítási cím egyeztetését és/vagy a díj kifizetését. A levélben látható „Kattints ide”, „Fizessen online” vagy „Küldje el nekem a csomagot” illetve hasonló feliratú linkre kattintva azonban adathalász weboldalra kerül a címzett, az itt megadott adatok pedig csalók birtokába jutnak és a bankszámlán lévő pénz is veszélybe kerülhet – tudatta a posta.
Gyanúra, fokozott elővigyázatosságra adhat okot a magyartalan megfogalmazás, helyesírási hibák, vagy ha nem is rendeltünk csomagot, mégis arról értesítenek, hogy fizessünk a megrendelt csomagért, túl kecsegtető, drága telefon- vagy egyéb nyeremény ígérete mindig megfontoltságra, elővigyázatosságra adhat okot. Javasolják, hogy mindig ellenőrizzék a hirdetés vagy értesítés valódiságát és győződjenek meg róla, hogy valóban a cég hivatalos e-mail címéről vagy telefonszámáról érkezett-e az üzenet.