Első kérdésünk aktuálisabb, mint bármikor: hogyan lehet a csalások ellen védekezni, mire figyeljenek az ügyfelek?

A kérdést legcélszerűbb az elkövetési módszerek oldaláról megközelíteni: a két legelterjedtebb elkövetési módszerrel vagy az online hirdetési felületeken hirdető ügyfeleket célozzák meg, vagy a bank nevében, a bank biztonsági területének nevében telefonálnak, amely nagyon gyakran kiegészül egy sms küldésével, hogy probléma van a bankkártyánkkal, letiltották azt, vagy egyéb fizetési probléma merült fel. Az online hirdetési felületeken az ügyfelek által meghirdetett termék megvásárlására a csalók jelentkeznek potenciális vásárlóként. Majd linket küldenek, amelyre kattintva az áldozatot egy hamis weboldalra navigálják, ahol a csomagküldő szolgálat hamis weboldalán kell elfogadni a felajánlott opciókat.

Ezt követően megjelenik a Magyarországon működő bankok logója, amelyre rákattintva már a számlavezető bank hamis oldalán jár az ügyfél, ahol elkérik tőle a belépési azonosítókat – felhasználói név és jelszó, valamint a belépéshez szükséges megerősítő kód. Holott, ha az interneten szeretnénk terméket eladni, nem kell az internetbankba belépni annak érdekében, hogy a pénzt megkaphassuk.

Normál esetben, akár eladunk, akár vásárolunk, a tranzakció sosem úgy történik, hogy linket kapunk. Ezért amikor azt látjuk, hogy link érkezik, ajánlott rögtön meg is szakítani az ügyletet. A következő lépésben ugyanis, ha a hamis linkre kattintunk, belépünk egy weboldalra, ahol a csalók egy listából kiválasztatják velünk a bankunkat (önmagában már ez is gyanút kellenek, hogy ébresszen), és olyan azonosítókat kell megadnunk, amelyeket megszerezve a csalók be tudnak lépni az áldozat internetbanki fiókjába. A harmadik lépésben pedig már a bank által küldött kódot kérik el, így a másodlagos azonosítást, megerősítést is kijátszva.

A másik elterjedt eset, amikor sms üzenetben küldenek linket, valamilyen fenyegető tartalmú üzenettel (például, hogy letiltották a kártyánkat), és a link máris navigál rendszerint a bankéra hasonló oldalra. De gyakori eset az is, amikor telefonon jelentkeznek erre szakosodott bűnözők, akik azt állítják, hogy ellopták és használták a bankkártyánkat, sőt épp használják, ezért a további pénzveszteség elkerülése érdekében azonnal töltsünk le valamilyen alkalmazást a számítógépünkre vagy a bankoláshoz használt okoseszközünkre (mobiltelefon, laptop, stb.). Ha ezt az ügyfél letelepíti és még a kódokat is megadja, át is adta az irányítást a használt eszköz fölött.

Az elkövetők gyakran egy „biztonsági számlát” adnak meg a bank nevében, amire az áldozat önként utalja át a pénzt, noha a bankoknál ilyen számla nem létezik. Az is előfordul, hogy telefonon elkérik a bankkártya adatokat, és a beszélgetés során végig az ügyfél jelenlétében, az általa megadott kártyaadatok felhasználásával bonyolítják a tranzakciót, vagyis saját maga kifosztásában tevékenyen részt vesz az áldozat.

Fontos tudni, hogy a bank SOHA nem kér netbanki azonosítót, jelszót, pin kódot, telefonon küldött egyszeri megerősítő kódot, sem telefonon, sem írásban, semmilyen külső megkeresésben, kizárólag a bank oldalán, ha magunk kezdeményezzük a belépést és/vagy a tranzakciót, illetve mobilbanki applikációnkban használjuk ezeket az adatokat. Az internetbanki belépést mindig a bankunk ismert, korábban is használt belépési oldaláról kezdjük meg, és ne egy ismeretlen személytől kapott linken keresztül.

Ezek szerint az ügyfél csak akkor jut hamis weboldalra, ha odanavigálják, vagy egy „rossz” címet ír be?

Lényegében igen, ezért is javasoljuk, hogy ne a böngészőben a bankra rákeresve, az első szembejövő felkínált linkre kattintsunk, hanem mentsük el a bankunk valós és biztonságos weboldalának címét könyvjelzőként, és arra kattintva keressük fel a banki felületet. Így elkerülhető, hogy a saját bankunk helyett egy olyan felületre jelentkezzünk be, amely az adatainkra és a pénzünkre vadászik.

Az is hasznos, ha belépés előtt ellenőrizzük a böngésző címsávban a weboldal címet, és ha ez a legkisebb mértékben – akár csak egy betűben - is eltér a saját bankunk oldalától zárjuk be az oldalt. E mellett, a böngésző címsorában megjelenő lakat ikonra kattintva is ellenőrizhető, hogy a biztonsági tanúsítvány igazolja-e, hogy a saját bankunk adta ki az oldalt. Ha más jelenik meg, akkor semmilyen adatot ne adjunk ki, azonnal zárjuk be az oldalt!

Ha mobilbanki applikációt használunk, védettebbek vagyunk?

Mindenképpen jobb helyen vagyunk az applikációban, hisz az biztos nem hamis hely, viszont, ha telepíttetnek velünk távoli elérést biztosító alkalmazást vagy ha megadjuk a csalóknak a belépéshez szükséges azonosítókat, akkor az applikációhasználat sem véd. Tehát a mobilapplikáció használatára is érvényes, hogy tudjuk, mire kell figyelni, ha az adataink védelméről van szó.

Előfordul, hogy az ügyfél pszichológiai sokk alá kerül, pánikba esik, nem tud gondolkozni. Mit tegyen ilyenkor?

A pánikkeltés, nyomásgyakorlás a telefonos csalások jellemző módszere, az elkövetők egy bank vagy szervezet dolgozójának adják ki magukat, és egy hamis történetet kitalálva (például azt, hogy gyanús tranzakciót észleltek az áldozat bankszámláján) próbálnak bankkártya adatokat vagy internetbanki belépési adatokat kicsalni, esetleg távoli elérést lehetővé tevő alkalmazást letöltetni az ügyfél telefonjára, azzal az indokkal, hogy ez egy biztonsági program. A telefonáló sürgeti a rémült ügyfelet, nem hagy időt arra, hogy alaposan átgondolja, hogy mit kellene tennie, vagy, hogy utánanézzen annak, amit a hívó állít.

Mégis, ilyen helyzetekben is, merjenek az ügyfelek gyanakodni, bármilyen bizonytalanság esetén szakítsák meg a hívást, majd hívják vissza a bankjuk ügyfélszolgálatát, és kérdezzenek rá, valóban keresték-e a banktól. Ha nem, jelentsék a banknak a történteket. A csalók egyébként már akkor feladják, ha a hívott fél kicsit is óvatos, gyanakszik és azt mondja, hogy hamarosan visszahívja őket. Ilyenkor ne hagyjuk, hogy bármilyen indokkal a vonalban tartsanak minket, szakítsuk meg a hívást. Biztosak lehetünk benne, hogy a kiírt telefonszámon a visszahíváskor már senki nem fog jelentkezni: az elkövetők nem vesztegetik az idejüket a „nehezebb esetekkel”, lépnek tovább az új áldozathoz.

Érdemes az elkövetőket kérdezgetni olyan dolgokról, amit nem tudhatnak, ha nem a banktól hívnak, vagy inkább csapjuk le a telefont?

Csapjuk le, és rögtön érdeklődjünk a bank ismert hivatalos telefonszámán. Sok ügyfél ilyen helyzetben beszűkült tudatállapotban van, ami érthető, hiszen aggódik, nehogy kár, anyagi veszteség érje, de épp ezért nem biztos, hogy reálisan ítéli meg a beszélgetésben elhangzottakat. Ezért javasoljuk azt, ha bármi gyanús, szakítsák meg a hívást, és rögtön hívják a bankot. Az OTP Bank dedikált telefonszámot biztosít a csalások áldozatai részére, amelyen közvetlenül hívhatják az ügyfelek a bankot, azonnal bejelentést tehetnek. Ez az ügyfelek számára is megnyugtató egy pánikhelyzetben, ugyanakkor, ha már kiadott érzékeny adatot, a bank rögtön tud intézkedni.

Nem csak telefonon intézkedhetünk: az OTP Bank internet- és mobilbankjában kártyaadatok ellopása vagy akár a kártya elvesztése esetén egy kattintással letiltható a bankkártya, vagy akár a teljes netbanki fiókhoz való hozzáférést is blokkolhatjuk, ha a felhasználói adataink, jelszavunk került csalók kezébe.

Ezek szerint, ha az ügyfél tudatos, betartja az alapszabályokat, nem tudnak túljárni az eszén?

Igen, ha valaki nem ad meg kényes, úgynevezett érzékeny fizetési adatokat adatokat, nem kattint linkre, nemigen tudnak túljárni az eszén. Ugyanolyan gondosan kell eljárnunk, mint amikor készpénzt vagy az iratainkat visszük magunkkal egy zsúfolt helyen, esetleg turistalátványosságnál, és félünk a zsebtolvajoktól. A digitális térben is figyelni kell a tolvajokra, akik számára tág teret nyitnak az óvatlan és kényelmes ügyfelek, akik hozzászoktak az online vásárlás egyszerűségéhez. Ma már nincs elérhetetlen áru vagy szolgáltatás akár a világ másik felén, amihez ne tudnánk online fizetéssel hozzájutni. Bátran tranzaktálunk, és hajlamosak vagyunk a kényelmet választani a körültekintés helyett: sokszor nem olvassuk el figyelmesen, nem ellenőrizzük, milyen műveletre is adunk engedélyt, amikor rákattintunk egy-egy linkre vagy visszaigazolunk egy-egy jóváhagyási kérelmet.

Az online piactéren is ugyanolyan gondossággal kell eljárnunk mintha egy valós piacon vagy bevásárlóközpontban vásárolnánk: vigyázunk a pénztárcánkra, odafigyelünk fizetéskor, megfelelő címlettel fizetünk, megszámoljuk a visszajárót, a pénzünket olyan helyre tesszük, hogy ahhoz mások ne férjenek hozzá.

Érdemes-e az ügyfeleknek figyelni arra, hogy azon a számlán, ahol sokat tranzaktálnak, pláne webes kártyás vásárlással, ne tartsanak sok pénzt?

Ez is javasolható, de emellett az is jó, ha beállítunk vásárlási limitet, hogy kártyaadataink birtokában se tudjanak csalók nagyobb összeget elkölteni. Ebből a szempontból igen kedvező, ha kártyaadatainkat ismert fizetési alkalmazásban elmentve, azt használva tudunk fizetni, ilyenkor nem kerülhetnek ki az adataink harmadik félhez, vagy illetéktelenekhez. De az is hasznos, ha alkalmazásüzenet vagy sms formájában értesítést állítunk be a számlánkon végrehajtott tranzakciókról, így rögtön értesülünk arról, ha gyanús egy művelet, és gyorsan intézkedhetünk.

Milyen gazdasági hatása van ennek a fajta bűnözésnek: például ügyfélvesztés, nagyobb költségek, állandó banki készültség?

A probléma egyre jelentősebb, egyre nagyobb az ügyfélkár. Az ügyletek nagy része ugyanakkor úgy kezdődik, hogy egy hirdetésből, megtévesztő oldalról, külső helyről keresik meg az ügyfelet, így mire a tranzakcióig eljut az ügyfél, számos olyan esemény történik, amely során az ügyfelek harmadik fél részére megadják fizetési adataikat, és ekkor már a banknak nagyon nehéz dolga van, hogy időben beavatkozzon. Ezzel kapcsolatban a bank nem tud mit tenni, ebben a bűnüldözés más szintjén tudnak intézkedni.

A bank minden tőle telhetőt megtesz az ügyfelek pénzének védelme érdekében, éjjel-nappal figyeli a tranzakciókat, a gyanúsakat kiszűri, hogy azok ilyen esetben ne teljesüljenek, még akkor is ha ez néha kényelmetlen is az ügyfélnek, mert ez az ügyfél érdekében történik. Emellett a bankok maximálisan együttműködnek a hatóságokkal és segítik a felderítést, IT biztonsági és monitoring rendszereiket folyamatosan fejlesztik.

Ugyanakkor nagyon fontos, hogy az ügyfelek felismerjék és tudatosítsák saját felelősségüket a védekezésben: ha maguk adják ki fizetési adataikat csalóknak, és így lopják el a pénzüket, a banknak nagyon nehéz dolga van, hogy ezt megakadályozza, hiszen ezekkel az azonosítókkal végrehajtott a tranzakciók a bank számára olyanok, mintha azokat maguk az ügyfelek hajtották volna végre.

Az ügyfél szempontjából is jelentős a hatás: az esetleges veszteségen túl a kártyacsere, kódok módosítása, az új kártya megadása a szokásos vásárlási helyeken, és még lehetne sorolni…

Hogy áll a bűnözők üldözése, elfogása?

A telefonos csalások esetében például olyan bűnözői csoportokról van szó, ahol, ha egy embert elfognak vagy gyanús lesz, rögtön egy másik lép a helyére, és már folyik is tovább a művelet, felszerelt, berendezett call centerekben. Nem könnyű tehát a nyomukra bukkanni, de a hatóságok munkájának eredményeképp rendszeresen hallani beszámolókat, hogy elfogtak ilyen típusú elkövetőket, és idővel vélhetően ezek felderítése is egyre hatékonyabb lesz.

A megelőzés és a biztonságtudatosság a kulcs a védekezésben, ezért a bankok is nagyon sokat tesznek, egyénileg és bankszövetségi szinten is, de más érintett intézményekkel, szervezetekkel is együttműködünk. A közös fellépés keretében jött létre a Kiberpajzs projekt (kiberpajzs.hu): célja, hogy az ügyfeleket minél részletesebben tájékoztatni lehessen. Létrehozásában, fenntartásában a bankok mellett a bűnüldöző szervek is részt vesznek. Az OTP Bank is rendszeresen felhívja a figyelmet a megelőzéssel kapcsolatos fontos információkra, több médiapartnerrel is együttműködünk, saját felületeinken is folyamatos a kommunikáció a minél hatékonyabb edukáció érdekében.

Végül még egyszer kiemelnék két fontos dolgot: ha a bank hív, az azonosításhoz mindig csak olyan adatokat kér, amelyekkel önmagukban nem lehet egy számlára belépni: név, születési adatok, anyja neve. Ugyanakkor a bank sosem kér olyan adatot, amelyekkel tranzakciót lehet végrehajtani egy számlán: belépési azonosító, jelszó, vagy a fizetéshez kapcsolódó, külön küldött (másodlagos) azonosító.

A weboldal pedig könnyen ellenőrizhető: otpbank.hu, vagy www.otpbank.hu, nincs benne külön betű, szám, és nem hiányozhat betű. Emellett a címsorban a bal szélen van egy lakat: erre kattintva ellenőrizhetjük, hogy az adott weboldal biztonságos-e. Ha bármiben kétségünk van, zárjuk be, és nyissuk újra a banki honlapot, a linkeket, telefonon a bank nevében hívókat pedig nagy ívben kerüljük.

A szakértői cikk megjelenését az OTP Bank támogatta.