Új szintre lépett a NAV-os csalások módszere, és egyre nehezebb megkülönböztetni ezeket a valós levelektől.

Az Index munkatársához február 6-án, késő délután érkezett egy e-mail, amely a Nemzeti Adó- és Vámhivatal nevében íródott. A levél arról tájékoztatott, hogy a 2025-ös személyi jövedelemadó-bevallás alapján adó-visszatérítés jár.

Kapcsolódó

Elsőre nem volt semmi gyanús elem, szerepelt benne az adóév, egy feldolgozási dátum, iktatószám és státuszjelzés is, amely szerint a visszatérítés feldolgozása már megtörtént. A szöveg nem volt sürgető, nem fenyegetőzött, és nem követelt semmit – ezek mind a csaló e-mailek ismertetőjelei. Csupán annyit közölt, hogy néhány munkanapon belül megérkezik az összeg. A levél egy megszokott, hivatalos csatornára irányított tovább, amellyel egy többlépcsős folyamat indult el – ahogyan ezt megszokhattuk az állami digitális szolgáltatások működésénél.

Kép: Index

Az Ügyfélkapu és a Digitális Állampolgárság Program felülete – legalábbis annak hiteles másolata – jelent meg. A képernyők letisztultak voltak, nem villogtak figyelmeztetések, olyan érzést nyújtott, mintha már lezárt ügy adminisztratív utolsó lépései zajlanának.

A fordulópont akkor jött el, amikor a rendszer bankkártyaadatok megadását kérte. Nem befizetéshez, nem tartozás rendezéséhez, hanem azonosításhoz, arra hivatkozva, hogy csak így lehet elindítani a visszatérítés kifizetését.

Ez a pont már egyértelműen kilógott a megszokott állami gyakorlatból, és világossá tette, hogy nem valódi NAV-folyamatról, hanem adathalász támadásról van szó.

Ez már nem a könnyen felismerhető kategória

Az eset túlmutat egy egyszerű csalási kísérleten. Jól megmutatja, hogyan vált maga a digitális közigazgatás működése is támadási felületté. Utólag visszanézve feltűnő, hogy mennyire tudatosan építették fel a csalást. A péntek délutáni időzítés csökkenti annak az esélyét, hogy a címzett azonnal hivatalos forrásból ellenőrizze az üzenetet. A döntési helyzet így átnyúlik a hétvégére, amikor az ember nagyobb eséllyel intéz ügyeket egyedül, külső megerősítés nélkül. Emellett nem egy kirívó, gyanús helyzetet teremtettek, hanem egy teljesen átlagos, „minden rendben van” narratívát.

A NAV évek óta figyelmeztet arra, hogy a nevével visszaélve próbálnak adathalász e-mailekkel és SMS-ekkel adatokat megszerezni. A hivatal honlapján külön tájékoztató oldal foglalkozik ezekkel a csalásokkal. A most tapasztalt módszer azonban jól mutatja, hogy a csalások jellege jelentősen megváltozott, és már nem az egyéni éberségen múlik, hogy valaki észreveszi-e a csalást. Amíg ezek a digitális közigazgatásban használt minták könnyen lemásolhatók, addig az adathalászat nem kivétel lesz, hanem kísérőjelenség.