A csalók nagyban játszanak: akár több száz fős call centereket működtetnek

Az elmúlt év III. negyedévében 5667 esetben tudtak csalók pénzt leemelni valamely pórul járt ügyfél bankszámlájáról. A csalásokban érintett összeg a II. negyedévi 6 milliárd forintról 9,15 milliárd forintra emelkedett, ami egyetlen negyedév alatt 50 százalékkal magasabb értéket jelent, mint amennyit a visszaélések nyomán a csalók 2017 és 2021 között 5 év alatt el tudtak vinni az ügyfelek számláiról.

Jó eséllyel a család teljes vagyona odavész – az azonnali átutalásnak köszönhetően pillanatok alatt.

A bankszámlás csalásoknál ráadásul a legtöbbször a megtévesztett ügyfél maga ad lehetőséget arra, hogy visszaélés történjen. A csalók a legkülönbözőbb technikákkal próbálkoznak, vannak közöttük jobbak és rosszabbak is.

Angol Microsoft, magyar telefonszám? 

A múlt hét végén egy, még a laikusnak is feltűnő csalási kísérletbe futottunk bele. A telefonunk egy átlagos magyar mobilszámként csörgött, a vonal végén megszólaló diszpécser angol nyelven mutatkozott be és arról tájékoztatott, hogy a Microsoft angliai központjából hív, mert a számítógépünk hibát jelzett feléjük. Ő most abban szeretne segíteni, hogy végigvezet azon, hogyan tudjuk a gépen a hibát az ő programjuk segítségével korrigálni.

Felvetésünkre, hogy miért magyar hívószámról érkezett a hívás, a diszpécser hölgy azzal válaszolt, hogy azért, mert magyarországi számot hívtak. Arra a kérdésre, hogy miért nem beszülünk akkor magyar nyelven, a válasz az volt, hogy az ügyfélszolgálat ettől még Angliában van.

Arra a kérdésre is igyekezett hihető választ adni a diszpécserünk, hogy miért van az, hogy a beszélgetés közben elindított víruskereső nem talált hibát a laptopon, de itt már érezhető volt, hogy a hívó fél is tudta, emberére akadt. A gyenge próbálkozás az volt, hogy akkor biztos az otthoni gépünk jelzett hibát, ám amikor közöltük, hogy ilyennel nem rendelkezünk, azonnal bontotta a vonalat – hiszen egyértelmű volt, hogy ebből nem lesz siker.

Ez a kísérlet számos sebből vérzett, ám mivel a háttérhangokból jól hallható volt, hogy több ilyen „diszpécser” dolgozott vélhetően hasonló megoldással, még ez a viszonylag amatőr megoldás is gyümölcsöző lehetett.

A csalók ma már valódi, akár több száz fős call centereket működtetnek, a mostani esettel ellentétben nem ritka a magyar nyelvű „ügyfélszolgálatos” munkatársak alkalmazása sem.

a mostani esetnél sokkal meggyőzőbbnek tűnő érveikkel. 

A fent ismertetett esetben a csalók alapvetően a magyar hívószámkijelzésen buktak meg – egy külföldi call center bizonyosan nem egy hazai telekomos mobilszámról hív minket. A beérkező szám ugyanakkor valós, a Telekom tudakozójában is fellelhető – egy Balatonfőkajáron élő úr száma. Amikor az érintettet felhívtuk, elmondta, tud már a visszaélésről, és járt már a rendőrségen és a Telekomnál is. Ott azt mondták, egy nemzetközi hekkercsoport él vissza a számával. Ám további lépés nem történt az ügyben. Meglepő, hogy még a számváltoztatást sem ajánlották fel neki. 

Nem védett adat a telefonszámunk

A csalásokon belül továbbra is jelentős tételt jelentő telefonos visszaélések jelentékeny része hasonló megtévesztő telefonos hívásból indul ki. A szaknyelven hívószám-hamisításos (spoofing) visszaéléseknek nevezett megoldásnak ugyanakkor a most ismertetett a legamatőrebb változata.

A hamis hívószámkijelzéssel a telefonunkat is meg tudják téveszteni, ha pl. el van mentve a bankunk telefonszáma a telefonunkba, akkor úgy tűnik, hogy tényleg a bankunk hív.

A hívószámkijelzés-hamisítással kapcsolatos gondokat régóta ismerik a szakemberek, ám a probléma komplex és így nehéz a megoldás. A telefonszám ugyanis alapesetben nem számít védett adatnak, így annak kiadása, a hívószámkijelzés sem. A Büntető Törvénykönyv 347. paragrafusa ugyan alapesetben 3 (üzletszerűen és bűnszövetségben elkövetve 1–5) évig terjedő börtönbüntetéssel fenyegeti azt, aki „olyan dolgot szerez meg, használ fel, vagy olyan dologról rendelkezik, amelynek egyedi azonosító jele hamis, hamisított”, ám a jogszabály értelmezésében az egyedi azonosító jel csak az, amelynek a birtoklását vagy rendeltetésszerű használatát jogszabály hatósági engedélyhez köti.

Lassú lesz a megoldás

A gondok onnantól sokszorozódtak meg, amióta a telefonhálózatok döntő része ma már IP-alapú, ráadásul a hivatalos szolgáltatók mellett számos vállalkozás kínál telekommunikációs szolgáltatásokat, amelyek során csak bérbe veszik a nagy szolgáltatók hálózatát. A technológia ma még nem tart ott, hogy a hívott fél a hívás során le tudja ellenőrizni a hívó valódi kilétét. Ugyanakkor utólagosan természetesen a hívás továbbításában részt vevő szolgáltatók át tudják adni a náluk megőrzött naplóbejegyzéseket, amely révén visszafejthető, hogy egy adott hívás honnan érkezett a szolgáltató hálózatába. Koltay András, a Nemzeti Média- és Hírközlési Hatóság (NMHH) elnöke a Kiberpajzs őszi konferenciáján arról beszélt, hogy a hatóságra a hívószám-hamísítással megvalósított csalások visszaszorítása érdekében helyeződik komoly nyomás, ám a megoldás ma még távolinak tűnik, ráadásul európai, sőt világszintű összefogást igényelne.

Az Index információi szerint a hívószámkijelzés védelme érdekében az idén megszülethet valamilyen szabályozási lépés, ám ha születik is valamilyen előírás, annak technológiai megvalósítása még hosszú hónapokig eltarthat.

Addig tehát döntően az ügyfél óvatosságán múlik az, hogy lépre megy-e.

A telefonos hívások esetén az alábbi lépésekkel kerülhetjük el, hogy átverhessenek bennünket

• Hiába tünteti fel a hívó pánikhelyzetnek az eseményt (gépünk meghibásodása, bankban őrzött pénzünk biztonsága), ne essünk pánikba és ne engedjünk a sürgetésnek. Ha valóban a szolgáltató hív minket egy problémával, az azt jelenti, hogy már látja a gondot, adott esetben tehát kontrollálja a folyamatot.
• Érdemes a bejövő hívást minden esetben megszakítani és az adott szolgáltató vagy bank hivatalos ügyfélszolgálatát visszahívni az ügy további kezelésére. Az ügyfélszolgálat hívását mi kezdeményezzük – ne a beérkező számot hívjuk vissza, és azt se fogadjuk el, ha a diszpécser felajánlja, hogy „átkapcsol”.
• Semmilyen olyan adatot ne adjunk ki a hívás során, amely alkalmas lehet arra, hogy bármilyen tranzakciót indítsanak vele. Ha a bankunk hív, akkor csak olyan adatot kér azonosításra, amivel tranzakció nem indítható (név, születési hely és idő, anyánk neve, esetleg az, hogy milyen devizában vezetett számlánk van a hitelintézetnél). Soha ne adjuk meg a betéti vagy hitelkártyánk PIN-kódját, CVV-kódját, online banki jelszavunkat, vagy egyszer használható, második hitelesítési kódunkat. A bankok, banki ügyintézők sosem kérik el ezeket az információkat!
• A csalók az interneten könnyen megszerezhetik az alapvető információkat rólunk vagy a vállalatról, amelynek dolgozunk, például a közösségimédia-profilok felhasználásával. Nem bízhat meg a hívóban csak azért, mert ő is ismeri ezeket az adatokat.
• Legyünk óvatosak azzal, ha a hívó fél olyan adatokat sorol, amelyek alapján úgy tűnhet, hogy valóban „ismer”. A csalók az interneten könnyen megszerezhetik az alapvető információkat rólunk, például a közösségimédia-profilunk felhasználásával. (Ez persze már kifinomult csalás – a legtöbb esetben idáig nem terjed a csalók figyelme.)
• Könnyen lépre csalhatjuk a hívó felet azzal, hogy olyan adatokat kérünk tőle, amit szolgáltatóként neki ismernie kell. Ha pl. a bankunk hív, hogy visszaélés történt a bankkártyánkkal, bankszámlánkkal, akkor kikérhetjük tőle az utolsó, általunk megvalósított fizetés összegét – ha valóban a bank hív, akkor látja az adatot, a csaló értelemszerűen nem.
• Ne telepítsünk mások telefonos kérésére semmilyen programot számítógépünkre, telefonunkra. A csalások jelentékeny részében a visszaélés úgy valósul meg, hogy a gyanútlan áldozat hozzákezd a gépe „megmentéséhez”. Ekkor az esetek döntő részében egy olyan program (jellemzően az anydesk) letöltésére kérik, amelynek révén a csalók átvehetik az irányítást a gépünk felett, és minden ott tárolt adatot – így pl. a banki bejelentkezési adatainkat – is meg tudnak szerezni.
• Telefonos híváskor egyetlen bank sem kér minket arra, hogy pénzt utaljunk egy, általa megadott számlaszámra. Ha szolgáltató nevében kérnek erre, akkor érdemes az adott szolgálató számláján szereplő vagy a cég honlapján elérhető számlaszámmal összevetni a megadott adatot és csak a hivatalos számlaszámra utalni az összeget.