Friss hír, hogy egy online használt cikk piactéren egy eladótól – annak bankadatait kicsalva – egy álvevő nem csak a károsult bankszámláján lévő pénzt lopta el, hanem még több milliós hitelt is tudott igényelni a nevében. Bár még nem ismert a konkrét ügy minden részlete, azt bizton állítható, hogy az áldozat aktív közreműködése nélkül ez a bűncselekmény nem valósult volna meg.
Ha tanulni akarunk az esetből, érdemes azt is megnézni, hogy hol hibázott az áldozat!
A mai polkorrekt világban nehéz úgy vizsgálni az esetet, hogy közben arra is vigyázni kell, hogy ne essünk bele az áldozathibáztatásba. Tehát le kell szögezni: az átverésért és az okozott kárért elsősorban a bűncselekményt elkövető személy tehető felelőssé. A csalások működési mechanizmusa azonban az, hogy az áldozatot úgy verik át, hogy annak naivitását és ismereteinek hiányát használják ki. Az ismeret hiánya – fogalmazzunk sarkosan: tudatlanság – viszont orvosolható.
A fenti eset története:
- A károsult egy terméket kívánt eladni egy online piactéren.
- A csaló vevőként jelentkezett és banki átutalással kívánta kifizetni a vételárat.
- Az átverés abban volt, hogy a vevő egy üzenetben egy linket küldött, hogy ott az eladó adja meg a banki adatait az átutalás teljesítéséhez.
- A link egy átverős oldalra mutatott, megjelenésében – első ránézésre- a bank hivatalos oldalának látszott. Itt a károsult a bankszámlaszámon túl megadta az összes bankszámla és/vagy bankkártya azonosítóját és hitelesítő adatát.
- Ezen a ponton adta át az irányítást a bankszámlája és a pénze felett egy vadidegen embernek.
Hol van ebben a hiba?
Ahhoz, hogy pénzt érkezzen a bankszámlára, csak a bankszámlaszámot kell megadni. Semmi más tennivaló nincs.
A pénz megérkezéséhez:
Nem kell semmilyen bejelentkező kódot vagy azonosítót megadni.
Nem kell bejelentkezni semmilyen online felületen.
Nem kell a bankkártya száma és biztonsági kódja (CVV/CVC) sem.
Egy leegyszerűsített példával élve:
Egy postai levél megérkezéséhez is elég a postacímet megadni. A levél feladója a postai cím felírásával (bankszámlaszám beírásával) adja meg, hogy a levelet (pénzt) kinek küldi. Nem kell hozzá a lakáskulcsot megkapnia vagy a riasztó kódját tudnia (azonosító adatok), nem kell hozzá a címzettnek otthon lennie (bejelentkezés) és nem kell neki a címzett lakcímkártyája sem (bankkártya adatok).
Biztosan átverés, ha pénzküldés indokával bárki ehhez elkéri a bankszámlaszámhoz tartozó jelszót vagy más azonosítót. Biztosan átverés, ha a pénz fogadásához bármilyen bejelentkező oldalra vezet egy link. Még akkor is, ha az megszólalásig hasonlít egy hivatalos banki felületre. És biztosan átverés ha a pénz fogadásához a bankkártya adatokat kérnek.
Ha ez az alapvetés rögzül mindenkiben, már a legegyszerűbb és sajnos elég gyakori csalás mód kivédhető. De mire kell még figyelni, mit tehetünk még?
A bank soha nem kér személyes adatot, azonosító és hitelesítő adatot, kódot, jelszót stb. üzenetben.
Biztosan átverés, ha erre vonatkozó kérés érkezik bármilyen üzenetküldő csatornán (e-mail, SMS, Messenger, Viber stb.). Ezt egyébként minden ilyen eset kapcsán az adott bank közleményben is jelzi, de még mindig sokan így adják ki a személyes adataikat és azonosítójukat.
Nincs olyan banki művelet, ami valamiféle időkorlátozás alatt lenne.
Biztosan átverés, mert a sürgetéssel a csalók csak nyomást akarnak gyakorolni, hogy ne legyen idő gondosan átgondolni a folyamatot.
Időkorlátozás a hivatalos banki felület vagy az applikáció használatánál előfordulhat (biztonsági okokból), de egyrészt az csak akkor lép érvénybe, ha a felhasználó nem csinál semmit, másrészt pedig ismételt bejelentkezésnél a folyamat általában ott folytatható, ahol korábban abbamaradt.
Csak a bank hivatalos honlapján, hivatalos mobil applikációján és hivatalos telefonszámán keresztül szabad ügyeket intézni. Mégpedig úgy, hogy magunk kezdeményezzük a folyamatot.
Biztosan átverés, ha bárhonnan egy link érkezik és ott kell adatokat megadni vagy beérkező telefonhívásban kérnek személyes adatokat vagy kódokat.
A tudatos felhasználó a pénzügyi tranzakcióját maga kezdeményezi a bank hivatalos honlapján belépve, a bank hivatalos mobil applikációját használva vagy a hivatalos telefonszámra hívást indítva.
A bank küldhet linket ügyfeleinek és hívhatja őket. De ezek a kapcsolatfelvételek mindig csak tájékoztatás céljából vannak (például ÁSZF változás vagy befektetési tanácsok), sosem tényleges ügyintézés céljából. Tehát nem kérnek semmilyen személyes adatot, azonosítót vagy kódot.
A Magyar Nemzeti Bank ajánlást adott ki a pénzintézetek számára az online a pénzforgalmi szolgáltatásokon keresztül megfigyelhető visszaélések megelőzéséről, észleléséről,
megakadályozásáról és kezeléséről
Ez az ajánlás például a bankok működésével kapcsolatban fogalmaz meg javaslatokat és elvárásokat, melyek tovább finomítják az alapvetően biztonságos eljárásokat.
De fontos tudni, hogy a pénzintézet nem tudja kivédeni azokat a csalásokat, ahol az ügyfél tevőlegesen vesz részt saját személyes adatainak és banki adatainak kiadásában. A továbbiakban is futhat a pénze után az az ügyfél, akiről nem derül ki egyértelműen, hogy ő nem hibázott.
Kép: Pexels - Anna Shvets
