K ilencvenmillió forintot sikerült csalárd módon leemelnie a Budapest Bank (BB) egyik vállalati ügyfelének számlájáról egy ügyes informatikusnak tavaly ősszel. A kliens gyanútlanul intézte elektronikus banki átutalásait, nem is sejtve, hogy informatikusa átprogramozta a számítógépét: a saját számlaszámát adta meg a pénzügyi transzferek célállomásaként. A sértett csak akkor fogott gyanút, amikor partnerei jelezték, hogy nem kapták meg a pénzüket. Az ügyeskedő informatikus lebuktatásában a BB szakemberei segítettek, s végül hiába adta vissza a pénzt, most is nyomoz ellene a rendőrség.

"A magyar bankok elektronikus védelme jó, a csalók többnyire az ügyfelek számítástechnikai felkészületlenségét vagy naivitását aknázzák ki" - szögezte le Fialka György, a BB biztonsági főnöke, a Magyar Bankszövetség bankbiztonsági munkacsoportjának egyik vezetője. Tény, hogy a BB ügyfelééhez hasonló "profi" csalás ritka, általában családtagok vagy munkatársak rövidítik meg egymást. Előfordul, hogy a feleség úgynevezett billentyűolvasó programot telepít férje számítógépére, amellyel megszerzi a párja által beütött kódokat, majd azokat felhasználva az interneten át megcsapolja férje bankszámláját - példálózott Jakab Péter, az MKB Bank biztonsági igazgatója. Így kétségtelenül valamivel később kap észbe a károsult, mint ha a pénztárcáját lopnák el, ám a tolvaj rövid úton lebuktatható, mivel a hitelintézet pontosan meg tudja mondani, melyik számítógépről léptek be ügyfele virtuális banki terébe.

Ilyen esetekben a bank csak az események felgöngyölítésében segédkezik, a kárt nem téríti meg, hiszen a mégoly ördögi kódszerző akciót is az azonosító adataira bizonyíthatóan nem vigyázó ügyfél gondatlanságának tudják be. Ha valaki elárulja a kódjait, nem telepíti a megfelelő, például a billentyűleolvasókat hatástalanítani képes biztonsági programokat a gépére, vagy nem ellenőrzi munkatársait, családtagjait, a hitelintézet egy fillért sem térít meg, ha az illetőt kifosztják. Olyan ez, mintha valaki a piacon a kosár tetejére tenné a pénztárcáját - példálózott egy bankár. Ha viszont az ügyfél gondos, a csalók által okozott veszteségeket - származzanak azok internetes banki vagy bankkártyákkal elkövetett visszaélésekből - egy uniós előírás szerint 45 ezer forintig kell viselnie, az e fölötti kárt a bankok állják, de méltányosságból az egészet is magukra vállalhatják.

Az egyik legnagyobb port felvert internetes banki csalássorozat tavaly decemberben és idén januárban történt a BB, a Raiffeisen, az Erste és a Szigetvári Takarékszövetkezet ügyfeleivel. A feltehetően külföldi adathalászok (úgynevezett phisherek) a kiszemelt bankok nevében vaktában küldtek ki több százezer elektronikus levelet, valamilyen ürüggyel felszólítva az ügyfeleket, hogy lépjenek be az adott bank honlapjára - az általuk megadott címen. Aki ezt megtette, az egy, a valódihoz kísértetiesen hasonló álhonlapra tévedt. Ott elkérték az azonosítóját és a jelszavát, s olykor egyéb - a valódi hitelintézet által soha nem igényelt, s ezért gyanút keltő - adatokat is. Ha az ügyfél mégis megadta koordinátáit, a bűnözők beléphettek elektronikus bankjába, s ott - amennyiben ehhez további kódokra nem volt szükség - tranzakciókat bonyolíthattak le.

Az efféle e-maileket a tapasztalatok szerint a címzettek 40-50 százaléka olvassa el, s mintegy 5 százalékuk be is dől nekik, vagy már csak az után kapcsol, hogy megadta azonosító adatait. Holott ma már az ügyfelek többsége tisztában van azzal, hogy a bankok soha nem kérik őket elektronikus levélben arra, lépjenek be az internetes térbe. Az is íratlan szabály, hogy egy bank honlapjára nem szabad rákattintással belépni, hanem be kell gépelni a címet a böngészőbe. Magyarországon egyébként nem új keletű ez a típusú csalás, hiszen az internetes szolgáltatásokban úttörőnek számító Inter-Európa Bank klienseit már 2003-ban, az OTP Bank kuncsaftjait pedig 2004-ben érte hasonló atrocitás.

Szerencsére ezúttal a megtámadott bankok gyorsan kapcsoltak, így még a hiszékeny ügyfeleket is alig érte kár. A Nemzeti Nyomozó Iroda internetes csalásokat felderítő speciális részlegének tájékoztatása szerint a két hónap alatt több menetben támadó csalók mindössze harminc magyar ügyfél azonosító adatait szerezték meg, s azokkal összesen tízmillió forintot emeltek le 15 különböző számláról. A kliensek fejenként maximum 45 ezer forintot buktak, mivel a bankok elismerték, hogy a phisherek csalárd akcióira az ügyfelek nem készülhettek fel. Az ellopott pénzt tízszázalékos jutalékért dolgozó strómanok vették fel, akik többnyire hamis papírokkal számlát nyitottak, amelyet a pénz felvétele után nem használtak többé. Miközben a csalások kiagyalóiról egyelőre nem tájékoztat a rendőrség, hat - állítólag internetes hirdetések útján toborzott - strómant pénzmosással gyanúsít.

"A bűnözők először angolul írtak elektronikus leveleket az általuk megszerzett címlistákra, majd amikor látták, hogy ez nem jön be, magyarra váltottak. Hogy a szöveg hihető legyen, magyar fordítóirodával tökéletesíttették. Mivel akkorra már figyelmeztettük ügyfeleinket a veszélyre, arra hivatkoztak, hogy a hitelintézet épp az esetleges bűncselekmények kivédése miatt kéri, hogy lépjenek be az internetes banki térbe, és ellenőrizzék számlájuk egyenlegét" - elevenítette fel a történteket Banga Sándor, a Raiffeisen Bank osztályvezetője. Az elkövetők nagyban utaztak, ha ugyanis valakinek nem volt legalább százezer forint a számláján, nagyvonalúan rajta hagyták a pénzt. A bankok egyébként úgy védekeztek az illegális behatolókkal szemben, hogy az internetes tranzakciókat átmenetileg jegelték, és a gyanús átutalásokat csak akkor teljesítették, amikor ügyfeleik személyesen is megerősítették azokat.

A történtek után a Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) azt ígérte, rövid időn belül ajánlásokat fogalmaz meg az elektronikus banki ügyletek biztonságosabbá tételéért, ám erre - a HVG információi szerint az érintettekkel folyó egyezkedések miatt - máig nem került sor. Pedig a tét nem csekély, hiszen - derül ki a PSZÁF februári tanulmányából - ma már több mint kétmillió magyar ügyfél használ valamilyen elektronikus banki szolgáltatást (ideértve a bankkártyákat is), s közülük 1,3 millióan végeznek internetes pénzügyi tranzakciókat. A nagybankok többsége felügyeleti ajánlások híján is olyan internetes technikát alkalmaz, amely szinte kizárja a csalás lehetőségét. Többen is úgynevezett többcsatornás azonosítást vezettek be. Eszerint az ügyfél általában kétféle információ (azonosító és jelszó) segítségével léphet be a virtuális bankba, ám ahhoz, hogy ott valamilyen pénzügyi manővert is végezzen, egy másik eszköz - mobiltelefon vagy kódgeneráló - segítségével újabb kódot kap. Ez utóbbi vagy tranzakciónként változik, vagy bizonyos időközönként automatikusan cserélődik.

"A többcsatornás azonosítás az ügyfeleknek kényelmetlen" - indokolta a raiffeisenes Banga Sándor, hogy bankja miért csak mostanában készül áttérni erre a módszerre, s miért teszi fakultatívvá a kiegészítő kód használatát a kisebb összegű átutalásokhoz, például a háztartási közüzemi díjakéhoz. "Az elektronikus banki rendszerek védelme a nagybankoknak évente több százmillió forintjukba kerül, amit nyilván ügyfeleikkel fizettetnek meg" - említ egy zsebbe vágó szempontot az eddigi egycsatornás internetes kódrendszert szintén még az idén továbbfejleszteni szándékozó MKB igazgatója. A bankok szervereit például percenként 150-600 behatolási támadás éri. A biztonságra azonban az ügyfeleknek is áldozniuk kell. Jakab szerint ha valaki vezeték nélkül (wifi) csatlakozik a világhálóhoz, és számítógépe internet-hozzáférést elosztó úgynevezett routerrel működik, jól teszi, ha a készülékkel együtt kapható cédé összes biztonsági programját letölti. Ellenkező esetben egy felkészült számítástechnikai szakember bele tud kukucskálni az illető komputerébe - akár akkor is, amikor az a banki műveleteit végzi. A biztonsági szakember tapasztalatai szerint az ügyfelek 60-70 százaléka nem tölti le a szóban forgó programokat, jóllehet azok képesek például letiltani a kommunikációt az esetleges behatolók számítógépeivel.

GYENIS ÁGNES