Ne várjon sok segítséget a banktól, ha kártyacsalással pénzt lopnak a számlájáról

Olvasónk tudta nélkül 700 ezer forintot loptak el a bankszámlájáról, az összeg – Apple Payes fizetéssel – egy Milánó melletti kínai vendéglátóegységnél landolt. Ám a bank megtagadja a kártérítést, szerintük kizárólag a károsult telefonszámára küldték meg az Apple Pay regisztrációjához szükséges kódot, amelyet a bankkártya más adataival együtt, bizonyára ő adhatott ki harmadik félnek. Olvasónk a Pénzügyi Békéltető Testülethez fordult, de lehetetlennek minősítették az ügy elbírálását. Megkérdeztünk egy bankjogi és egy kiberbiztonsági szakértőt is, hogy milyen módszereket használnak a bűnözők, és mit lehet tenni, ha valaki csalás áldozata lett.

Ebéd közben kapott egy értesítést R.H.E. (kérésére anonimizáltuk) tavaly január 31-én, hogy a kártyájáról – az Apple Pay rendszeren keresztül – 1800 eurós (kb. 700 ezer forintos) tranzakciót hajtottak végre egy észak-olaszországi vendéglátóhelyen. Azonnal értesítette a bankját: megnyugtatták, hogy időben cselekedett, gyorsan letiltotta a kártyáját. Egy ideig rajta is maradt az összeg a számláján, majd február 2-án mégis levonták.

A bank nem hajlandó segíteni, szerintük csak az ő felelőssége, hogy az adatai harmadik fél kezébe jutottak. Arra hivatkoznak, hogy „súlyos gondatlanságból megszegte” az adatai védelmével kapcsolatos kötelezettségét.

A bank tájékoztatása szerint már jóváhagyott tranzakciót nem vonhatnak vissza, még akkor sem, ha bűncselekményre utaló bejelentés történik. R.H.E. kártérítést kért a banktól, mivel szerinte nem adta ki senkinek az adatait, nincs távoli hozzáférést biztosító alkalmazás a telefonján, így bizonyára a bank kiberbiztonsági rendszere lehet a hibás.

Olvasónk, az ügyvédje és a bank munkatársa között egy hosszas levelezés vette kezdetét, és eleinte úgy tűnt, a bank hajlandó segíteni ügyfelének. Azonban február közepén a bank levélben értesítette, hogy lefolytattak egy vizsgálatot a vitatott tranzakcióról, és megállapították: őket kártérítési felelősség nem terheli, mivel az Apple Pay regisztrációhoz egy időben rendelkezésre kellett állnia az egyszer használatos, rövid lejáratú hitelesítő kódnak – amelyet kizárólag az ügyfél telefonszámára küldtek meg –, a bankkártya számának, a lejárati idejének és a CVC-kódnak is.

„A tranzakció végrehajtásához szükséges adatok sajnálatos módon az Ön gondatlan magatartásából adódóan kerülhettek illetéktelen harmadik fél birtokába”, írta olvasónknak a bank, majd pár sorral később hozzátette: ha úgy véli, adathalászat áldozata lett „javasoljuk a rendőrségi feljelentést”. Olvasónkat eléggé felháborította a bank hozzáállása, hiszen mi van, ha legközelebb egy ingatlan vásárlás előtt lopnak el tőle több tíz millió forintot?

Az áldozatok terhei

Az Európai Bankhatóság és az Európai Központi Bank tavalyi jelentése szerint 2022-ben 4 milliárd eurónyi kár keletkezett a különböző bankkártyás pénzügyi csalásokból, 2023 első felében pedig még 2 milliárd. Míg a bankkártyás fizetések 79-82 százaléka belföldön zajlott, a bankkártyás csalások 68-72 százalékánál az ellopott pénzösszeg külföldön landolt. A bankkártyás fizetések 76 százaléka személyesen történt, a bankkártyás csalások 82 százalékát távolról, online követték el 2023 első felében.

A tanulmány az áldozatok terheire is kitér: 2023 első felében, ha valakinek a bankkártyájáról csalók fizetést intéztek, átlagosan 55 százalék eséllyel kapott kártérítést, amennyiben készpénzt vettek le a kártyájával, akkor 45 százalékban, míg ha a számlájáról utalást végeztek, akkor 86 százalékban a pénzügyi szolgáltatók állták a terheket.

A jelentés szerint fontos szerepet játszik a csalások elleni védelemben a pár éve elterjedt erős ügyfélhitelesítés, vagyis a kétlépcsős azonosítási eljárás, amelyet online fizetéseknél kell végeznünk (egyszer használatos SMS-kód, ujjlenyomat leolvasás stb.). Ezeket gyakran idegesítőnek találhatjuk, mivel lassítják a mindennapi ügyintézéseinket, ám adatainkat viszonylag hatásosan védik: 2023 első felében a bankkártyás fizetési csalások 68 százaléka erős ügyfélhitelesítés nélküli platformokon történt, így ha nem is véd tökéletesen a kétlépcsős azonosítás, anélkül jóval kitettebbek lennénk.

A Magyar Nemzeti Bank negyedéves pénzforgalmi jelentései alapján 2024-ben elektronikus visszaélések összesen több mint 25 milliárd forintnyi kárt okoztak ügyfeleknek, 428 millió forintnyit pedig a pénzforgalmi szolgáltatóknak.

Békéltetés? Lehetetlen

R.H.E. nem fogadta el a bank hárítását, a Pénzügyi Békéltető Testülethez fordult, akik lehetetlennek minősítették a kérelmének elbírálását. Az őszi tárgyaláson az egyik legnagyobb hangsúly az Apple Pay regisztrációról szóló SMS mibenlétén volt, ugyanis a bank azt állította – és rendszeradatokkal bizonyította –, hogy január 12-én szabályszerűen és kizárólag olvasónknak kézbesítették a hitelesítő kódot, aki viszont erre nem emlékszik. A helyzetet jelentősen bonyolítja, hogy éppen aznap cserélt telefont, és az új készülékén nem látja a régi üzeneteket.

A bank szerint elvárható lett volna olvasónktól, hogy észlelje a január 12-ei üzenetet, és már akkor bejelentést tegyen, hogy nem ő regisztrált Apple Paybe.

A Pénzügyi Békéltető Testület határozatának indoklásában kiemelte, hogy mivel olvasónk nem telepített távoli hozzáférést biztosító alkalmazást a telefonjára, ezért a rendelkezésre álló információk alapján kizárható, hogy valamilyen program révén – tudta nélkül – szerezhették meg az SMS-ben szereplő hitelesítő kódot.

A Békéltető Testület hangsúlyozza: a kártérítések elbírálásánál döntő szerepe van, hogy az adatok milyen módon jutottak illetéktelen kezébe, hiszen a pénzforgalmi szolgáltatás nyújtásáról szóló törvény alapján a Pénzügyi Szolgáltató kizárólag akkor mentesül a kártérítési felelősség alól, amennyiben bizonyítani tudja, hogy a fizető fél a kárt „csalárd módon” vagy „meghatározott kötelezettségeinek szándékos vagy súlyosan gondatlan megszegésével okozta, így különösen, ha a készpénz-helyettesítő fizetési eszköz használatához szükséges személyes hitelesítési adatait arra nem jogosult harmadik fél részére átadja vagy megismerhetővé teszi”.

A vita az utóbbiról zajlott, és mivel a kulcsfontosságú tényekkel kapcsolatban ellentétes nyilatkozatok születtek, a Békéltető Testület megszüntette az eljárást. Az érdemi döntéshez széleskörű bizonyításra és bírósági eljárásra van szükség.

A bankok szerint általában az ügyfél a hibás

Megkérdeztük a bankot, milyen esetben adnának kártérítést? Hogyan tudná az ügyfél bizonyítani a vétlenségét? Hányszor volt kártérítési perük és abból mennyit vesztettek? Utóbbi két kérdésünket szinte teljesen ignorálták, válaszukban leginkább csak az ügyfelek kötelezettségeit hangsúlyozták, miszerint:

1. köteles a bankkártyát a szerződésben foglaltak szerint használni,
2. köteles a bankkártyát és annak használatához szükséges hitelesítési adatait biztonságban tartani,
3. köteles haladéktalanul jelezni a bankkártya-kibocsátó felé, ha észleli kártyájának jogosulatlan használatát.

Ha ezeket az ügyfél súlyosan gondatlanságból megszegi, nem a bankot terheli a kár. „Sajnálatos módon a visszaélések sikeressége mögött az esetek nagy százalékában ezen kötelezettségek megszegése áll. A Bank minden esetben az érintett ügy egyedi körülményeinek részletes kivizsgálását követően dönt arról, hogy helytáll-e a bekövetkezett kárért” – írják.

Általánosságban a bankok a felelősségüket nem ismerik el, és az ügyfél súlyos gondatlanságára hivatkoznak anélkül, hogy például az adathalászat körülményeit egyáltalán ismernék – mondta az Átlátszónak dr. Németh Csaba bankjogi szakértő. A jogász azt tanácsolja az áldozatoknak, hogy ha biztosak vétlenségükben – tehát nem ők adták ki harmadik félnek az adataikat –, akkor mindenképpen pereljenek, ugyanis a bankhoz benyújtott panasz, a Pénzügyi Békéltető Testület eljárása és a rendőrségi feljelentés is jellemzően eredménytelen.

Szerinte minden esetben a banknak kell bizonyítani az ügyfél súlyos gondatlanságát, a fogalmat viszont a törvény nem határozza meg, így ezt esetről-esetre állapítja meg a bíróság.

„Főszabály szerint jóvá nem hagyott fizetési művelet esetén az Ügyfél alapvetően 15 ezer forintig viseli a kárt, e fölött a pénzügyi szolgáltató a kárviselő” – mondta Németh.

Ismeretlen tettes bankszámlával és helyszínnel

Olvasónk ismeretlen tettes ellen feljelentést tett a rendőrségen.

„A beszerzett adatok alapján megállapítást nyert, hogy a sértett banki azonosítóit adathalász módszerrel megszerezték, majd bankszámlájáról 2024. január 31-én 14:32 órakor átutalták a fenti összeget egy úgynevezett tranzitszámlára, majd a teljes összeget egy olaszországi terminálról leemelték. Megállapítást nyert továbbá, hogy a terminál az olaszországi Arese településen található, feltehetően a »Chen Yunlei« elnevezésű vendéglátóegységnél. Az elkövető személyazonosságát a fentiek alapján megállapítani nem lehetett” – írta a rendőrség határozatában, amelyben a fenti indok alapján szépen meg is szüntették a nyomozást.

A bankjogi szakértő – az ügyfelei tapasztalati alapján – azt monda, rendkívül ritka az az eset, hogy a feljelentés eredményhez vezet, és az elveszett pénz ezen az úton térül meg.

A szóban forgó kávézó egyébként nem túl populáris hely, a Google Térképen – 34 vélemény alapján – 3,5-ös értékeléssel rendelkezik. Több öt csillagos minősítés mellett olyan vélemények is olvashatóak, hogy „Covid időszak alatt rád tüsszentenek, miközben maszk nélkül csinálják a szendvicset. A fürdőszobában nincsen szappan, és büdös van”.

Bárkivel megtörténhet?

Az Átlátszónak a Cybershield Consulting Hungary ügyvezetője, Almádi János kiberbiztonsági szakértő elmondta, hogy a csalók már képesek megkerülni a kétfaktoros azonosítási módot is, melyre a következő módszereket használják:

• A cookie hijacking, amikor internetes csalók a weboldalakon használt cookiekat szerzik meg. A pár éve már mindenki számára ismerős, weboldalon felbukkanó cookiekat „úgy tervezték, hogy növeljék a felhasználók számára az adott alkalmazás ügyfélbarátabb használhatóságát, ami azt jelenti, hogy nem kell minden alkalommal újra hitelesíteniük magukat, amikor ugyanabban a munkamenetben egy másik weboldalt nyitnak meg, a cookie tárolja az ehhez szükséges adatainkat az adott munkamenetben. A támadó célja egy ilyen cookie ellopása, és annak saját munkakörnyezete történő beillesztése”. Ha egy ilyen támadás sikeres, a bűnözők képesek becsapni a böngészőt, hogy ők a hitelesített felhasználók, megkerülve a kétlépcsős azonosítást. Mindennek az elsődleges lépése, hogy megtévesztő üzenetekkel elérjék, hogy a felhasználó rákattintson egy linkre, megnyisson egy fáljt vagy telepítsen egy legálisnak tűnő vírusos alkalmazást.
• Az Adversary-in-the-Middle támadás általában szintén egy rosszindulatú link megnyitásával kezdődik. Ez egy proxyszerverre irányítja a felhasználót. A csaló a szerver használatával képes képes lesz elfogni a hálózati forgalmat a felhasználó számítógépe és a valódi webszerver között. „Ez lehetővé teszi, hogy a támadó adatokat rögzítsen a felhasználó webes munkamenetéből, beleértve a hitelesítő adatokat” – mondta Almádi. (Az Invicti online tájékoztatója szerint publikus, kevéssé védett WIFI-hálózatokon még egy linkre kattintás sem szükséges ahhoz, hogy a támadó a felhasználó és a weboldal közötti adatáramlásra rá tegye a kezét.)
• A többlépcsős azonosítás spamelés (vagy ún.: fáradtság) módszerét akkor alkalmazzák csalók, ha már korábban megszereztek egy felhasználónév-jelszó párost. Ez lényegében annyit tesz, hogy folyamatosan autentikáció jóváhagyásáról szóló üzenetekkel bombázzák a potenciális áldozatot, abban bízva, hogy figyelmetlenségből jóváhagy egy ilyen hozzáférési kérést.

Almádi az Átlátszóval ismertetett Banki ügyfeleket fenyegető veszélyek a kibertérben c. szakdolgozatában kitér az olvasónk történetéhez hasonló csalásokra is. Az egyik leggyakoribb, ha egy csomagszállító cég vagy a bank nevében csalók üzenetet küldenek a felhasználóknak, benne egy linkkel, amelyre ha rákattintunk, feltelepül egy alkalmazás (FluBot), amely minden adatunkhoz hozzáfér, sőt ha egy pénzügyi alkalmazás megnyitását észleli, az eredeti alkalmazás elfedésével megnyit egy ahhoz teljesen hasonló adathalász alkalmazást, amely képes a felhasználói adatok kinyerésére és továbbítására.

Gyakori, hogy a bank biztonsági osztályának nevében csalók felhívnak ügyfeleket, és számos trükkel ráveszik őket, hogy kiadják a PIN-kódjukat és az egyszer használatos SMS-ben küldött hitelesítő kódokat. (Valódi bankok sosem kérnek telefonhívásban PIN-kódot.) Ilyen típusú csalásokat jellemzően 0-24 órában működő bűnözői csoportok hajtanak végre, mondta Almádi.

Hasonló a helyzet az Appe Payes csalásoknál, amelyre dolgozatában külön kitért. A bűnözők jellemzően egy csomagküldő alkalmazás nevében küldenek egy linket az ügyfélnek, amelyen keresztül online bankkártyás vámfizetést kérnek és mellé az egyszer használatos SMS-kódot is. Valójában azonban az történik, hogy az adatok megszerzése után azonnal regisztrálni próbálják a bankkártyát Apple Paybe, ennek hitelesítéseképpen megérkezik az egyszer használatos SMS-kód az áldozat telefonjára, aki azt egyből be is írja a csalók által küldött link weboldalán, abban a hitben, hogy éppen vámot fizet. Hogy R.H.E. esetében ez történhetett-e, nem tudni.

„Napjaink visszaéléseinek a többségét az a jelenség okozza, hogy a pénzintézetek jelentős lépéseket tettek a saját és az alkalmazásaik biztonsága érdekében, melyek támadása jelentős erőforrásokat igényelne a kiberbűnözők részéről és alacsony siker-rátával párosulna.

Emiatt a támadók a legjobban támadható pontot: az ügyfeleket vették célba.

Megtévesztésükkel, a megfelelő adataik megszerzésével képesek hozzáférni a számláikhoz, egyéb alkalmazásaikhoz, amelyekkel egyre nagyobb károkat okoznak (vállalati szinten is). Valójában az ügyfél a gyenge láncszem a folyamatban, rajta keresztül történnek a sikeres visszaélések” – mondta a kibervédelmi szakértő.

Szerinte a fenti támadások elleni védekezés alapját képezné „a megfelelő végpontvédelmi megoldások alkalmazása, és a felhasználók folyamatos tudatosítása, mind vállalati, mind pedig társadalmi szinten”. Almádi szerint ezen alapokat már az iskolákban szükséges lenne oktatni.

Mit tehet az áldozat?

A Magyar Nemzeti Bank kifejlesztett egy QR-kódos fizetési módot, amellyel biztonságosabban hajthatunk végre tranzakciókat. Tájékoztatójukban azt írják: „A qvik lehetőséget biztosít arra, hogy mindig Ön határozhassa meg, hogy egy adott tranzakciót mikor kíván elvégezni. Ezáltal még könnyebb lehet saját pénzügyeinek tervezése, kiszámíthatósága és sokkal kényelmesebben intézheti tranzakcióit, mint eddig bármikor.”

A Magyar Nemzeti Bank Pénzügyi Navigátor oldalán írnak arról, mit kell tenni, ha valaki bankkártyás család áldozatává vált és illetéktelenek fértek hozzá az adataihoz:

• azonnal vegye fel a kapcsolatot bankjával, szolgáltatójával, és jelezze a csalás gyanúját;
• ellenőrizze a számlaforgalmat, a tranzakciós történetet;
• ellenőrizze a bankjánál kapcsolattartásra, értesítésekhez beállított telefonszámát, e-mail címét (előfordulhat, hogy ezeket a visszaélés során megváltoztatták);
• vizsgálja meg a bankszámlához társított, regisztrált eszközeit és bankolásra használt számítógépét, futtasson vírusellenőrzést, keressen ismeretlen alkalmazásokat;
• nagyon fontos, hogy minél hamarabb módosítsa az online bankfiókhoz vagy értékpapírszámlájához tartozó bejelentkezési adatait (ehhez használjon olyan számítógépet vagy más csatornát, pl. telebankot, amely biztosan nem érintett a csalásban);
• ha úgy gondolja, hogy a számítógépére vagy mobiltelefonjára idegen szoftver települt, akkor minden olyan hozzáférésének (e-mail, közösségi oldalak stb.) jelszavát szükséges megváltoztatni, melyet arról az eszközről használt, vagy jelszavát az eszközön tárolta;
• amennyiben a bankkártyájához kapcsolódó visszaélésről szerez tudomást, mérlegelje bankkártyájának felfüggesztését vagy letiltását.

A Kiberpajzs weboldalán az összes magyar banki tájékoztatót megtalálja, ahol bejelentheti a történteket.

Az MNB oldalán azt írják, az incidenst 0-24-ben lehet jelezni telefonon és e-mailben a Nemzeti Kibervédelmi Intézetnek is, akik „elemzik a bejelentések útján hozzájuk beérkező információkat, amelyekből hasznos tapasztalatokat szűrhetnek le az adott csalástípus jellemzőiről. Megállapíthatják, hogy tömeges csalási kísérletről van-e szó, hogy meghatározott intézmény ügyfélköre érintett-e az ügyben, illetve, hogy milyen egyéb sajátosságok figyelhetők meg az eset során”.

Megkerestük a Nemzeti Kibervédelmi Intézetet, amelynek honlapján az is szerepel, hogy egy bejelentett incidens után – ha szükséges – megpróbálják rekonstruálni annak kiváltó okait, és javaslatot tesznek a hasonló kockázatok megelőzésére. A telefont egy unott hangú ügyeletes vette fel, aki még mielőtt felvázolhattuk volna neki olvasónk történetét, leszögezte, hogy nem fog mondani telefonban semmit, se nekünk, se senkinek, írjunk e-mailt. Több hetet vártunk, de a cikk megjelenéséig e módon sem reagáltak.

Kiss Soma

A fotó illusztráció: Lindsey LaMont – Unsplash