Információink szerint a hazai bankok is nagy érdeklődéssel olvasták a Forbes revolutos mobiltárcás csalásról szóló cikksorozatát, hiszen nagy versenyben állnak a fintech céggel, amelynek már közel egymillió magyar ügyfele van. A sorozat első részében nyújtott segítségünkhöz kapcsolódva körbekérdeztük a magyar bankokat. Szerettük volna megtudni, mikor, hogyan, milyen feltételekkel kártalanítják az ügyfeleket, ha hasonló mobiltárcás csalás áldozataivá válnak. Meglepő válaszok érkeztek.
A bankokhoz küldött kérdéseink az alábbiak voltak:
- Mi a gyakorlatuk a Google Wallet és Apple Pay típusú fizetésekkel kapcsolatos visszaélések felelősségi, illetve kártérítési szabályai kapcsán?
- Milyen egyéb hozzáfűznivalójuk, ügyfeleknek adható tanácsuk van a cikkben szereplő esethez hasonló, tehát mobiltárcás visszaélések megelőzése érdekében?
A megkérdezett bankok a következők voltak: CIB Bank, Erste Bank, Gránit Bank, K&H Bank, MagNet Bank, Magyar Cetelem Bank, MBH Bank, OTP Bank, Raiffeisen Bank, UniCredit Bank. Tízből öten válaszoltak, ezeket kissé rövidítve, szerkesztve közöljük:
K&H: 99 százalékban adathalászat
A K&H Bank kiemelte, hogy
általános szabályként, ha az ügyfél adja át az adatait, és így jön létre a csalás, kártérítésre sajnos nincs lehetőség.
(A konkrét revolutos eset nem ilyen volt.)
Több bank is részletes leírást adott azokról az esetekről, melyek során idegenek szerzik meg az ügyfelek adatait, és jótanácsokat is adott ezek kivédésére. A K&H például azt írja, a csalók legtöbbször hivatalosnak tűnő adathalász emailekkel, sms-ekkel próbálják az ügyfeleket rávenni a kártya adatainak megadására. Ezek jellemzően valamilyen valós cég, például közmű-, telekommunikációs- vagy streamingszolgáltató, illetve a Posta vagy futárcégek nevében érkeznek. Tipikusan adategyeztetésre, vagy fizetési késedelemre, hátralék befizetésére hivatkoznak.
A megkeresésben szereplő link a hivatalos oldalra hasonlító, megtévesztő weboldalra navigálja az ügyfelet. Ott elkérik a kártya adatait, majd a kártya digitalizáláshoz szükséges megerősítő kódot. Sikeres digitalizálás esetén a csalók a saját eszközükkel már az ügyfél további jóváhagyása nélkül végezhetnek tranzakciót. Ezt minden olyan elfogadóhelyen megtehetik, ahol mobilfizetés lehetséges, a számlaegyenleg és a kártyalimit erejéig.
A K&H azt tanácsolja, hogy ha olyan emailt és/vagy sms-t kapunk, amelyben fizetésre vagy a kártyaadatok megadására kérnek, akkor a legfontosabb, hogy minden esetben ellenőrizzük a megkeresés valódiságát, hogy az valós szolgáltatótól érkezett-e, nem pedig adathalász bűnözőktől. Ez legkönnyebben az email és/vagy sms szövegezésének és az abban szereplő link vizsgálatával történhet meg. Árulkodó, ha az email és/vagy sms megfogalmazása magyartalan, vagy helyesírási hibákat tartalmaz, illetve a link nem a szolgáltató hivatalos weboldalára mutat.
A bank megemlíti, hogy gyakran találkoznak olyan esettel, hogy az ügyfél nem is ismeri például az Apple Pay szolgáltatást, vagy nincs Apple eszköze. Mégis jóváhagyta a digitalizálást.
A banki üzenetet ugyanis nem olvasta el ténylegesen, de az internetes felületen megadta a banktól kapott, digitalizálást jóváhagyó kódot.
A K&H szakembereinek többéves tapasztalata szerint a mobiltárcás visszaéléses esetek 99 százaléka adathalászatra vezethető vissza. A maradék 1 százalékba azon esetek tartoznak, amikor az ügyfél átruházza a hozzátartozója/ismerőse részére az eszközt, amelyre digitalizálta a kártyát.
UniCredit: Figyelmetlenség vs. tudatosság
Az UniCredit Bank válasza szerint a hitelintézet minden általa észlelt és az ügyfelei által bejelentett visszaélést alaposan kivizsgál. Ez kiterjed az eset körülményeire és az ügyfél esetleges közrehatására is. A kártérítésről minden esetben a vizsgálat eredményének figyelembevételével és a vonatkozó pénzforgalmi jogszabály felelősségi szabályainak keretei között, egyedileg dönt. (A szóban forgó jogszabály a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény.)
Az UniCredit Bank is kiemeli, hogy az adathalászattal kapcsolatos csalástípussal (is) a megtévesztett ügyfelek figyelmetlenségét használják ki a bűnözők. Sajnos sokan nem olvassák el az sms tartalmát. Így a csalók úgy szerzik meg a mobiltárca-(wallet) regisztrációhoz szükséges adatokat, beleértve az erős ügyfél-hitelesítéshez szükséges adatot is, hogy azokat maguk az ügyfelek adják át nekik. A regisztráció véglegesítése után a csalók sikeres tranzakciókat tudnak indítani.A mobiltárcából (walletből) történő fizetés ugyanis már hitelesített fizetésnek minősül (mivel maga a regisztráció erős ügyfél-hitelesítéssel történt).
A bank kiemeli, hogy a védekezés alapja ebben az esetben is a tudatosság, a hamis weboldalak felismerése (a gyanúra okot adó elemek azonosítása) és a nagyobb figyelem. Vagyis van pár kérdés, amit minden alkalommal fel kell tennünk magunknak:
- miért kaptam üzenetet,
- milyen adatot, kinek tervezem átadni,
- és ami a legfontosabb: miért?
MINDIG kérdezzük meg, hogy MIÉRT?!
CIB: Hogyan előzzük meg?
A CIB Bank válaszában kitért arra, hogy kiemelten fontos kérdésként kezelik az online, valamint készpénzt helyettesítő fizetési eszközökkel kapcsolatos csalásokkal szembeni fellépést, illetve elsősorban azok megelőzését. Figyelik az újabb és újabb csalási trendeket. Ezekre fel is hívják ügyfeleik figyelmét, valamint törekednek olyan technikai megoldások bevezetésére, amelyekkel a csalók előtt járhatnak.
Tapasztalataik szerint a legtöbb sikeres csalás azért történhet meg, mert
a megfélemlítés, pszichológiai manipuláció vagy megtévesztés olyan erős a bűnözők részéről, hogy az áldozatok saját maguk adják ki az adataikat.
Akár úgy is, hogy azt nem is realizálják azonnal. A konkrét revolutos esetre reagálva a bank azt írja, hogy amennyiben a csalók CIB-es bankkártyát digitalizálnak, és teszik be Apple Pay vagy Google Pay alkalmazásba, majd ezt követően sikeres kártyatranzakció történik, akkor a kártyás tranzakcióra bankkártya-reklamációt lehet benyújtani.
Ezt minden esetben egyedileg, a mindenkor hatályos jogszabályoknak és kártyatársasági előírásoknak megfelelően vizsgálják ki. Majd az érintett tranzakcióról rendelkezésre álló adatok, információk alapján hozzák meg a döntést az elfogadásról vagy elutasításról.
Abban az esetben, ha a vizsgálat után a bank álláspontja szerint az ügyfél súlyos gondatlanságának következménye, hogy a kártyaadatok illetéktelenek kezébe kerültek (például kiadta a kódjait vagy idegen alkalmazást telepített a készülékére), a reklamációt elutasítják. Ha ezt az ügyfél kifogásolja, azt panaszként kezelik, és kivizsgálják.
Egyébként a CIB írt a leghosszabban jótanácsokat az adathalászat megelőzése érdekében.
- Először is, figyeljünk arra, hogy amikor a telefonunkon vagy más eszközünkön PIN-kódokat beírunk, vagy jóváhagyó kódot tartalmazó sms-t megnyitunk, azt ki láthatja a környezetünkben. Érdemes beállítani az okoseszközökön, hogy az üzenetek tartalma zárolt kijelzőn ne jelenhessen meg, azt csak feloldás után lehessen elolvasni.
- Az Apple Pay és Google Wallet használatánál a regisztráció folyamata kritikus pont, amire nagyon oda kell figyelni. Olvassuk el pontosan, hogy mit tartalmaz a regisztrációs sms – úgy, hogy azt más ne láthassa. Kártyaadatainkat mindig úgy írjuk be a felületre, hogy azt senki ne tudja leolvasni. Ugyanis, ha bankkártyánk adatait valaki lenézi, lemásolja, már csak ez az utolsó láncszem hiányzik ahhoz, hogy utána hozzáférjen a pénzünkhöz is!
- Javasolt a bankkártya vagy tranzakciós limitek beállítása, illetve geocontrol szolgáltatás igénybevétele, ami további védelmet jelent.
A csalási módszerekről szólva, a CIB Bank három kategóriába sorolja a csalási kísérleteket.
Az első ilyen kategória a csaló telefonhívás. Ebben az esetben a felhasználó bankok, közműszolgáltató vállalatok vagy más szolgáltató cégek (pl. telefontársaság) nevében kap hívást. Sürgetően arra kérik, hogy lépjen be az internetbanki felületre vagy a szolgáltatónál lévő fiókjába. Kezdeményezzen bankkártyás fizetést/átutalást, adja meg banki adatait (például belépő kódok, jelszavak, bankkártya CVC–kód). És töltsön le egy programot, amivel távolról hozzáférhetnek a telefonjához/számítógépéhez, hogy „segíthessenek”. Ilyenkor gyakran hivatkoznak arra, hogy az ügyfélnek tartozása van, terhelés történt a bankszámláján, veszélyben van a bankszámlán tartott vagyona, vagy éppen örökölt/nyert egy nagyobb összeget.
A második típusú csalás a csaló sms vagy e-mail üzenet. Itt futárcégek, webáruházak, apróhirdetési oldalak, streaming szolgáltatók (pl. zene/filmek), vagy akár bankok nevében kap üzenetet a felhasználó. Ebben egy link található. Arra kérik, hogy mielőbb kattintson a linkre, és a megjelenő internetes oldalon adja meg az adatait. Azért, hogy kifizessen egy tartozást (például szállítási díjat), hozzáférjen egy küldeményhez/nyereményhez, vagy egy apróhirdetésben eladott tárgya után valaki utalhasson neki.
Végül a harmadik csalásfajta a csaló weboldal. Ez olyan weboldal, ami kísértetiesen hasonlít a bank, közműszolgáltató vagy más szolgáltató oldalára. Vagy olyan webáruház, ami valósnak tűnik, de valójában az ott szereplő termékek nem léteznek. Ilyenekkel az internetes kereső oldalakon az első megjelenő találatok között, vagy e-mail üzenetben, illetve sms-ben kapott linket megnyitva találkozhatunk.
Onnan ismerhetjük fel, hogy csalásról van szó, hogy sürgető a hangnem, magyartalanul vagy furcsa magyarsággal megfogalmazottak a mondatok. Látszólag nyomásgyakorlás, megijesztés a cél.
Ezekben az esetekben ismeretlen szolgáltató, internetes áruház vagy olyan bank, pénzintézet, közműszolgáltató keresi az ügyfelet, akivel nincs is szerződése. De előfordul nem várt nyeremény, öröklés vagy valamilyen csomag is. Ilyenkor mindenképpen az adatainkat, kódjainkat szeretnék elkérni, vagy egy bizonyos pénzösszeg azonnali elutalását követelik. Esetleg valamilyen szoftver (számítógépes program) telepítésére akarnak rábeszélni.
A leggyanúsabb pedig az, amikor nem egy általunk kezdeményezett banki tranzakció kódját kérik bediktálni, vagy az ilyen tranzakció más módon történő elfogadását kérik. Mint a CIB kiemeli, ilyet bankok nem kérnek.
Aki csalás áldozata lett, az azonnal hívja a banki ügyfélszolgálatot. Ismeretlen szoftver telepítése után, annak törléséig ne használja a mobilapplikációját. Tiltsa le a bankkártyáját és az online csatornáit. Előtte változtassa meg jelszavait, és tegyen rendőrségi feljelentést!
A bank egy már megtörtént utalást a kedvezményezett jóváhagyása nélkül nem tud „visszahívni”. Egy már „zároltként” jelölt utalás, bankkártyás vásárlás összegét sem tudja visszatartani. Ebben a státuszban ugyanis az összeg felett már az utalás, illetve vásárlás kedvezményezettje rendelkezik. Tehát gyakorlatilag már olyan, mintha fizikailag is nála lenne az összeg.
Ezért is nagyon fontos – tanácsolja a CIB Bank –, hogy minden esetben tegyen a károsult rendőrségi feljelentést.
MBH: Fő az éberség!
Az MKB Bank és a Takarékbank egyesüléséből idén május 1-jén létrejött MBH Bank is a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény felelősségi szabályaira hivatkozva vállalja az általa kibocsátott, mobiltárcába digitalizált kártyával elkövetett csalárd tranzakciókért a felelősséget. Bár számos kártyatársasági szabály, magyar és EU-s törvény szabályozza a pénzügyi környezetet, az online tranzakciókat, digitalizált kártyával történt vásárlásokat, mégis a tudatosság és az éberség a megelőzés kulcsa. A csalást sokkal jobb megelőzni, mint utána próbálkozni a pénz visszaszerzésével.
Az MBH Bank minden hozzá beérkező esetet egyedileg vizsgál meg törvényi előírások és szabályzatok mentén. Elmondható, hogy a csalások egyre összetettebbek. Az elkövetők gyakran jól felépített álca mögül végzik tevékenységüket. Ilyen például a banki telefonszámok lemásolása, ismert kereskedők neve mögé rejtőzés és az adathalászat.
Legtöbbször a bankok netbank applikációjáig kívánnak eljutni, ahol már számos szenzitív adathoz hozzáférnek. Innen már egyenes az út az azonnali utalásokhoz vagy a kártya digitalizációjához, amivel szintén számos visszaélést tapasztaltak már.
Az MBH Bank az eddigiekhez hasonló tanácsokat adott az eddigi tapasztalataik alapján. Fontos a forrás megbízhatósága, illetve a személyes és pénzügyi adatok megosztásának kontrollja. Ha az ügyfél a kártyája digitalizálásáról szóló sms-t kap, de azt nem ő kezdeményezte, mindig legyen gyanakvó. A netbankos és a bankkártya limitjét érdemes alacsonyan tartania, a komolyabb megtakarításokat pedig bankkártya nélküli számlára helyeznie. Egy mobiltárcában több kártyaszám is generálható, de nem érdemes túl sok tokent egyidejűleg tárolni. Ezzel is növeljük a csalók esélyét egy esetleges visszaélés során.
A legtöbb csalás megelőzhető, ha elsődlegesen értelmezzük a látszólag banktól kapott üzenetet, és feltesszük magunknak a kérdést: „Ezt én kezdeményeztem?”. Amennyiben nem léptünk be idegen számítógépről, mobilról a netbankunkba, nem mi kezdeményeztünk új Mobil Applikáció regisztrálást, vagy nem mi szeretnénk a kártyánkat digitalizálni, esetleg limitet módosítani, úgy ne is osszuk meg az ezzel kapcsolatban kapott kódokat semmilyen felületen, és ne adjuk ki illetéktelen személyeknek!
A bank kitér arra is, hogy az Anydesk és Teamviewer nevű alkalmazások közvetlen hozzáférést biztosítanak eszközünkhöz (laptop, mobil) egy másik személy számára. Ilyet tehát csak alapos esetben telepítsünk a gépünkre.
OTP: mindegy, milyen csalás
És mit mond a legnagyobb hazai lakossági bank? Az OTP Bank lakonikus válaszában mindössze annyit írt, hogy a hatályos magyar szabályok szerint a hazai szolgáltatók ugyanúgy kezelik a mobiltárca csalásokat, mint az egyéb csalásokat. Hozzátették, hogy ezzel magasabb szintű védelmet nyújthatnak egyéb, külföldi versenytársakkal szemben.
FRISSÍTÉS: + Erste Bank
Cikkünk megjelenése után az Erste Bank is elküldte válaszát.
Mint írják, az erős ügyfél-hitelesítés megjelenésével a csalók kénytelenek voltak változtatni módszereiken, és sajnos elég gyorsan alkalmazkodtak is a változásokhoz. Rájöttek, hogy a hitelesítési elemekkel kizárólag az ügyfelek rendelkeznek teljes körűen, így a megszerzésükhöz őket kell megszólítaniuk a már említett adathalász módszerekkel (telefonon, e-mailen, sms-ben), kihasználva hiszékenységüket, jóhiszeműségüket, tájékozatlanságukat, olykor kapzsiságukat.
Abban a világban élünk, amikor minden, pénzünket veszélyeztető megkeresést gyanakvással és fenntartással kell kezelnünk, és a kapkodás, figyelmetlenség súlyos károkat okozhat.
Tehát mindig gondolják át, hogy az adott levél mennyiben felelhet meg a valóságnak,
- „várok (külföldről) csomagot?”,
- „biztos nem fizettem be a Netflix, MVM stb. számlám?”,
- „eladni akarok, miért kell nekem számlaszámon kívül más adatot megadnom?”
típusú kérdések és ezek utánajárása sokat segíthet.
A fenti módszerekkel megszerzett adatokkal a wallet applikációkban, de George appon keresztül is történhet tokenizálás, ez a kiadott adatok körétől függően változhat. E-csatorna adatokkal, egy George app regisztrációt követően pillanatok alatt tokenizálható a kártya úgy, hogy annak adatait esetleg ki sem adta az ügyfél.
Mindegyik esetben alap, hogy a kártya- és/vagy e-csatorna belépési adatok valamilyen módon kikerültek, melyek önmagukban még nem eredményeznének feltétlen sikeres visszaélést. Azonban a kapott hitelesítő/aktiváló kódok kiadása már szinte garancia rá.
Kárfelelősség kérdésében az Erste is a versenytársak gyakorlatának megfelelően jár el. „Ha a vizsgálat alapján bizonyítható, hogy ügyfél adta ki banki szenzitív adatait, akkor a pénzforgalmi törvény (Pft.) alapján mentesülésre hivatkozva rá terhelő döntést hozunk.”
A Pénzügyi Békéltető Testület eddig meghozott határozatai alapján az Esrte szerint az állapítható meg, hogy alapvetően a banki felelősséget vizsgálják az ügyekben. És mivel az esetek többségében bizonyított az ügyfél súlyosan gondatlan magatartása, lezárják az ügyeket.
A cikk szerzői Gergely Péter és Homa Péter, a BiztosDöntés.hu szakértői.
Nyitókép: Gergely Péter és Homa Péter // Fotó: Sebestyén László