Barion Pixel

Figyelj csalók!

Létrehozva szerző: Mundrák Renáta

A csalók nyáron sem pihennek

Írhatnám, hogy „Figyelj, mert csalok!” , de itt helyesebb, hogy „Figyelj, mert csalók!”

Csalók

Hogy is néz ki a klasszikus történet a pénzügyeknél?

Megkeresnek téged valamilyen ürüggyel, ami arra megy ki, hogy kiadd a hozzáférést a pénzedhez (bankkártya adatokat, internetbank belépést, bármit). Az ebből a szempontból lényegtelen, hogy az adott banknak ügyfele vagy-e vagy sem, egy próbát nekik megér.

Mi több, az is lényegtelen, hogy az adott bank végez-e lakossági vagy vállalati szolgáltatást. Így pl. már az MNB nevében is kaptak néhányan hívásokat. (Az MNB a bankokkal áll kapcsolatban, így ha nincs odahaza egy saját bankod, akkor nem lehetsz ügyfele.)

A csalások leggyakrabb típusai

Phishing: adathalász banki e-mailek

Ilyenből kaptam már kisvödörnyit, leggyakrabban a @silvermoon.hu címre. Ezzel alapvetően annyi a probléma csak, hogy ezt a címet egyetlen banknak sem adom meg, mert nem privát célokat szolgál.

Ám talán te is találkoztál már a saját e-mail fiókodban olyan levéllel, amelyre a következők mindenképpen igazak:

  • egy valódi, Magyarországon is működő bank által küldött levélre megszólalásig hasonlít
  • még a feladó nevénél is az adott bank neve jelenik meg
  • olyan már megtörtént eseményre hívja fel a figyelmedet, amely a részedről azonnali lépést igényel, még mielőtt nagy anyagi veszteséged keletkezik. (pl. lejárt a jelszavad, és kitiltanak a netbankodból, vagy valaki hozzáfért a számládhoz, utalást indítottak a számládról, bankkártyával vannak problémák, stb)
  • felhívja a figyelmedet, hogy kattints az e-mailben elhelyezett gombra, ott lépj be a banki felületedre, hogy helyrehozd ezt a hibát.

Mitől működik nekik ez a módszer?

Ma már nagyon sok bank küld levelet az ügyfeleinek, amelyek már réges-rég túlléptek a sima szöveges formátumon. Az adott bank dizájnját követve nagyon szépen formázható leveleket lehet küldeni, amelybe nyilván kattintható elemeket is lehet tenni.

Ezt másolják a csalók is. Egy nagy bank esetében sok ügyfélről, így nagy merítési lehetőségről beszélünk. Épp ezért kihasználják azt, hogy

  • vagy ténylegesen az adott bank ügyfele vagy, és a sok-sok azonos részlet megtéveszt téged annyira, hogy hibázz
  • nem vagy az adott bank ügyfele, ekkor a levelük általában a kukában végzi minden további nélkül

Láthatod, hogy vesztenivalójuk nincs, nyerni viszont könnyen nyerhetnek. Szerencsére ma már egész sok levelezőrendszer felismeri, hogy egy esetleges csalás van a háttérben (pont a formai követelmények és az adatkérés, mint felszólítás miatt), de attól még jó, ha te is óvatos vagy.

Kérdezheted, hogy miért nem tesz senki semmit egy ilyen ellen.
A szándék megvan, a feladat viszont nehéz. 1 szervert lekapcsolnak, 2 másikon létrejön ugyanaz, mindez 1 napon belül. Ezzel nem lehet lépést tartani.

Mit tehetsz ellene?

  • Soha ne kattints a linkre.
  • Az esetleges csatolt állományt pedig hagyd figyelmen kívül! Víruson kívül más nincs benne.
  • Egy bank soha nem kér tőled személyes adatot (a számlanyitás óta ott van náluk). Így ezt sem kell még egyszer megadnod (nem, nem felejti el egy bank és nem tűnik el náluk semmi, hidd el)
  • Ha mégis érdekel az ajánlatuk, akkor a bank hivatalos honlapjára kattintva keresd fel őket, azaz véletlen sem az e-mailben küldött linken.

Egy e-mailben küldött link természetesen egy, a csalók számára előnyös oldalra navigál téged tovább, így egy, a „hamis” bankhoz hasonlító oldal is „dukál” hozzá.

Meghamisított banki oldalak

A megcélzott, ténylegesen működő bankéhoz hasonló oldalt építenek fel a csalók. Olyannyira jól másolják, hogy néha tényleg nehéz megmondani, hogy melyik az eredeti.

1 dolog azonban árulkodó: a http után levő rész a fejlécben. 

Az Adidas hamisított verzióit szerintem már te magad is fújod, az Adiads, Addas és egyebekkel. Itt sincs másképp. A bank nevére nagyon hasonló nevet hoznak létre, ám a bank saját nevével levő eredeti oldal már nyilván foglalt, ezt nem használhatják. Így valami más, hasonló névvel készítik el.

Ezért is fontos, hogy csak a hivatalos oldalra kattints, az e-mailtól függetlenül kikeresve.

Vishing: hamis banki hívások

Egy bank nevében keresnek fel. (Akár ügyfele vagy, akár nem)

Ami jellemző rájuk:

  • előzékeny, segítőkész modorban keresnek meg, mint aki tényleg az érdekeidet nézi
  • mindent megtesznek, hogy „úton” tartsanak, tök mindegy mit mondasz, el akarja érni, hogy ott és akkor lépj
  • bármire tud magabiztosan válaszolni olyat, amiről a hétköznapi ügyfél simán benyeli, hogy igaz

A napokban kaptam ilyen hívást. Kipróbáltam, bár a 20. másodperc után már tudtam, hogy csaló. Mindenre tudott megnyugtató választ adni, hogy miért rajta keresztül kell lépjek. 1 dologgal tudtam őket kibillenteni a higgadt, „segítőkész banki Call Center” szerepből. Elszállt az agyam a végére a sok magabiztos rizsával tolt hülyeségétől, és a saját hangomat hallottam visszhangozni a vonalban. Ekkor már nem hölgyem volt a megszólítás, hanem „rohadt Q**a”. (Egy valódi CC-s akkor sem tesz ilyet, ha kifejezett ellenséges ügyféllel van dolga, olyannal meg pláne nem, akinél a segítségével szálltak el a biztosítékok.)

Egy lehetséges forgatókönyv:

Egy 648.000,- Forintos (vagy bármilyen, konkrét összegű) utalással kapcsolatban kérik, hogy igazold vissza, hogy te voltál.

Vagy ha nem tetted, akkor gyorsan lépni kell, mert elment a pénz a számláról.

Ha ügyfél vagy, akkor itt jön az a rész, hogy add meg nekik, hogy milyen kártyáról vagy internetes felület esetén milyen felhasználónévvel szoktál utalni.

Ha nem vagy ügyfél, sebaj.

  • Módosul a szöveg: Már nem elment a banktól az összeg, hanem oda érkezett. (végülis, plusz vagy mínusz, kit érdekel)
  • Ha jóváhagyod, hogy persze, te voltál, még meg is dorgál, hogy ezek komoly dolgok, mert lehet, hogy csalás (erősítve, hogy tényleg a banktól hív)
  • Az, hogy egy bank nem telefonálgat minden bejövő csip-csup összeg miatt, az itt nem számít (mert ők figyelnek az ügyfelekre, és bár a pénzmosás 3 millió forint fölött kezdődik, ott sem utalásnál, az nem baj).
  • Az, hogy egy átutalásnál az indító bank ellenőrzi, hogy gyanús-e, az nem számít (ezek szerint ők hamarabb kiszúrták, hogy baj van, és segítenek)
  • Kérdeztem, hogy hogy jutott el a telefonomszámomhoz, mert hogy ezt a honos bank tudhatja. Volt válasz. Átküldte a bank az utalási adatokkal együtt. (Nem nem küldi át!!! Nem is érdeke, és az ügyfél adatokat a GDPR védi.

A telefonos megkeresésekhez kapcsolódik néhány fontos kellék:

Smishing: hamis banki SMS-ek

Ezeken valamilyen tranzakciót hagyhatsz jóvá, természetesen nem olyat, amit te kértél.

Hívószám spoofing: hívószám-hamisítás

Két lehetőség van, mind a kettő azt szolgálja, hogy ne lehessen őket elcsípni:

  • Kijelez valamilyen magyar hívószámot, ami visszahívás után vagy ki sem csöng (nincs üzemben) vagy valaki másnál csöng ki, akinek lövése sincs az egészről
  • Ideiglenesen akár a saját bankod call centerének a számát jelzi ki

Ezért is fontos, hogy tisztában legyél a módszerekkel (pl. személyes adatokat nem adunk ki „puszira”)

 

Hamis befektetési lehetőségek

Akár online, akár telefonos megkereséssel felkínálják neked a „tökéletes befektetést”.

Ez lehet bármi, amit hallani akarsz, és amire mindenki vágyna. Teljesen mindegy, hogy működik-e az elképzelés, XY celeb is pont most tolt ebbe sokmilliót. Nyilván dollárban.

 

A pénzügyi területtől eltérő, de mégis károkozó csalások:

  • „Nigériai” csalás: már szinte közismert, ő egy herceg, de az örökségéhez csak akkor jut, ha utalsz neki, és ő hálából megosztja veled a mesés vagyont
  • Nem banki szolgáltatók nevével történő visszaélés: hasonló az eddigiekhez, de nem bank nevében hív fel, hanem pl. vízműtől keres.
  • Wangiri: visszahívásos telefonos csalás: valamely egzotikus külföldi országból érkező hívás kijelzi a számot, de nem várja meg, hogy felvedd. A visszahívásban reménykedik, amely akkor is sokba kerül neked, ha sikertelen, és csak kicsöng.
  • Hamis online ajánlatok: nem várt nyeremény, csodatévő/áhitott termékek hihetetlen álomáron. Iphone 600 forintért? Nem, nem maradtak le a 0-k, tényleg csak 600 forint, kattints, add meg a bankkártya adatokat, és láss csodát.
  • Személyesadat-lopás a közösségi médiában: amit kiposztolsz magadról (név, cím, esetleg még több személyes adat), azt felhasználhatják, és a nevedben járhatnak el
  • Evil twin phishing: hamis WiFi-hálózat létrehozása, amely hasonlóan működik, mint a normál WiFi, csak lehetőséget biztosít a csalóknak, hogy észrevétlenül ők is belelássanak abba, ami adatforgalom átfut rajta
  • Rosszindulatú kód telepítése a készülékre: ezt nem kell sokáig magyarázzam, innentől a háttérben egy vírus fog adatokat küldeni rólad.
  • Angler phishing: hamis szolgáltatói ügyintézés a közösségi médiában, azokra reagálnak, amik panaszok nyilvánosan beérkeznek. Ilyenkor a panaszost keresik fel egy megtévesztő névvel, mintha standard ügyintéző lenne.
  • Eladók átverése online piactereken: standard adásvétel, valamilyen teljesen szükségtelen, a biztonságot bontó plusz feltétellel

 

Mit tudsz tenni, hogy elkerüld a csalók csapdáit?

A gyenge láncszem a felhasználó, aki jóhiszeműen, de önként adja ki a hozzáférést a pénzéhez. Ez az ismeretek hiányából fakad, így te magad is sok mindent tehetsz annak érdekében, hogy a csalókat távoltartsd:

  • Ellenőrizd rendszeresen az online fiókjaidat: ezzel láthatod, hogy ténylegesen milyen tranzakciók voltak.
  • Ellenőrizd rendszeresen a bankszámládat: legyél tisztában legalább nagyságrendileg azzal a nyaralás alatt is, hogy milyen utalások mentek el a számláról, és mik érkeztek , ha gyanús tevékenységet észlelsz tegyél bejelentést a (tényleges) banknál.
  • Az interneten csak biztonságos webhelyeken fizess!
    Ezt a webhely címének beírására szolgáló mezőben látható a lakatból tudod, valamint a webcím eleje mindenképp https legyen,  ez adja a biztonságos kapcsolatot. Nyilvános wifi helyett saját mobilinternetre csatlakozz.
  • Gyakori internetes fizetésnél (ha a biztonsági dolgokat valamiért nem tudod 100%-ban tartani) használhatsz külön erre a célra beállított bankkártyát. Egyes szolgáltatóknál van lehetőség virtuális, csak 1 utalás erejéig élő kártyát igényelni, vagy te magad is kérhetsz normál kártyát egy jóval alacsonyabb limittel.
  • Vezetékes mobilkapcsolatra is figyelj! Tömegközlekedés váróiban, plázákban, egyéb nagy forgalmú helyeken van lehetőség a mobiltelefon töltésére. Ilyenkor biztonságosabb, ha nem közvetlenül töltöd a telefonodat, mert a töltőkábel egyben adatkábel is. Jobb, ha egy power bankot töltesz, és a power bankról töltöd a telefont, akár egyidőben.
  • Ne adj ki kérésre információt: A bank soha nem kérdez olyan bizalmas információkat telefonon vagy e-mailben, mint az online fiók hitelesítő adatai (felhasználónév, jelszó). Ha ilyen jellegű felszólítást kapsz, gyanakodj, és mielőbb jelentsd a bankodnál.
  • Magadtól se adj ki senkinek információt: ne ossz meg senkivel telefonon vagy e-mailben banki vagy személyes adatot, beleértve a bankkártya-adatokat is.
  • A közösségi média az közösségi média: ahol mindenki láthatja pláne ne posztolj bankkártya adatokról fotót, vagy a személyazonosságodat egyértelműen leíró képeket.
  • Figyelj az alkalmazásokra: a meglévőket rendszeresen tartsd naprakészen, de ne telepíts semmilyen alkalmazást a számítógépre vagy mobiltelefonra más kérésére, még akkor sem, ha azt a bankja nevében teszik. A számítógéphez távoli hozzáférést biztosító programokat (pl. anydesk) pedig idegenek kérésére („majd mi segítünk”) semmiképp se telepítsd.
  • Telefonos esetekben minél sürgetőbb egy hívás vagy üzenet, annál gyanúsabb.
  • Nézz utána az ajánlatnak: nézd meg az eladót, mennyire megbízható, és egy ajánlat túl jónak tűnik ahhoz, hogy igaz legyen, szinte minden esetben csalás.

Mit tudsz tenni, ha nem voltál eléggé elővigyázatos?

Ha azt gyanítod, hogy megadtad a fiókod adatait egy csalónak, azonnal vedd fel a kapcsolatot a bankoddal!

Mindent meg fog tenni a pénzintézet annak érdekében, hogy letiltsa a hozzáférést.

Ha megpróbáltak megkárosítani, minden esetben tegyél bejelentést a banknál és a rendőrségen, még akkor is, ha a csalási kísérlet nem volt sikeres!

Lehet, hogy nem volt sikeres. Most. Nálad. Ám a csirkefogókat meg kell állítani, ez szerintem nem lehet kérdés.

 

Ajándék e-book

Töltsd le a 8 leggyakrabb befektetési csalással kapcsolatos e-bookot, hogy megtudd, még mikre szükséges figyelned kifejezetten a befektetések területén:

Kérem az e-bookot

Mundrák Renáta

Friss adatvédelmi tájékoztatónkban megtalálod, hogyan gondoskodunk adataid védelméről. Oldalainkon HTTPS-sütiket használunk a jobb működésért.
További információk Elfogadom