„Szia! Sürgős, a tulaj mondta, hogy…” – általában ezekkel a szavakkal kezdődnek azok az emailek és sms-ek, amelyekkel online csalók kis- és középvállalatok munkatársait bombázzák, és amelyek közül sajnos sok a pénz elvesztésével végződik – mondta Szabados Richárd, a Nemzetgazdasági Minisztérium (NGM) államtitkára a szerdán megrendezett Financial Fraud Summit pénzügyi konferencián. Szabados szerint az érintettek közül ilyen esetekben sokan úgy érzik, hogy „leharapja a fejemet a tulajdonos, ha kérdezek”, de nem szabad így eljárni, mert bármilyen banálisnak hangzik, a csalásokat legkönnyebben visszakérdezéssel lehet megelőzni.
A banki csalásokról és a kiberbűnözésről az elmúlt években egyre többet lehetett hallani, a bankok újabb és újabb levelekkel figyelmeztetik a felhasználóikat, az újságokban pedig egymás után jelennek meg cikkek szerencsétlenül járt családokról vagy cégekről. Az elektronikus tranzakciók száma az elmúlt években folyamatosan nőtt, 2024-ben pedig már minden pénzforgalmi tranzakció 42 százalékát így intézték. Ez a Magyar Nemzeti Bank becslése szerint 2030-ra a kétharmadot is elérheti, így a banki csalások elleni küzdelem a következő években csak egyre fontosabb lesz. A digitalizációval együtt pedig megjelentek a digitális bűnözők is: 2024-ben Magyarországon 42 milliárd forintnyi sikeres csalás történt.
Az elmúlt években az MNB szigorított az ügyfélvédelmi szabályokon, a bankok pedig fontos fejlesztéseket hajtottak végre a csalások megelőzése és megakadályozása érdekében. Emiatt mostanra már a korábbinál kevesebb pénzt csalnak ki a magyarokból, de ez még mindig negyedévente ötmilliárd forint – mondta Bartha Lajos, az MNB pénzforgalomért, készpénzlogisztikáért és bankműveletekért felelős ügyvezető igazgatója. Elmondása szerint ugyanakkor a csalók egyre többet támadják a kisvállalatokat, és folyamatosan új módszereket találnak ki. A leggyakoribb módszer most például az úgynevezett „CEO-csalás”, amikor a bűnözők a cég vezérigazgatója nevében kérnek sürgős átutalást a kollégáiktól.
Egyre ügyesebben manipulálják az áldozatokat
A banki csalások elkövetői „nemzetközi digitális pszichológusok” lettek – mondta a konferencián Orbán Tamás, a Visa kelet-közép-európai kockázatkezelési menedzsere. Elmondása szerint a kiberbűnözőknek egyre jobb pszichológiai tudásuk van, amelyet a mesterséges intelligencia segítségével egyre könnyebben használnak, és folyamatosan tesztelik, hogy melyik csalástípus működik. Amikor aztán valami bejön, azonnal finomítják, és elkezdik nagyon sok emberen alkalmazni. Orbán Tamás egy friss példát is felhozott: a csalók szeretnek eseményekre reagálni, ha például történik a világban valahol egy tragédia, azonnal létrehoznak adománygyűjtő oldalakat, de a 13. és a 14. havi nyugdíj utalásakor is várható, hogy megjelennek majd erre felhúzott csalások.
Wittinghoff Dániel, a Mastercard kibervédelmi üzletfejlesztési igazgatója előadásában arról beszélt, hogy az online csalások feltűnően nagy része, körülbelül 30 százaléka adatlopással kezdődik, ami azért különösen nagy probléma, mert egyetlen ellopott jelszó egy-egy nagyobb rendszert is veszélybe sodorhat. Szerinte az utóbbi időszak egyik fontos trendje, hogy megjelentek a deepfake-alapú csalások, a megtévesztő tartalmú videókkal és hangokkal pedig különösen könnyű átverni a digitálisan nem érett, ilyenekhez nem értő ügyfeleket. Wittinghoff szerint a hatékony védekezésnek három pilléren kellene alapulnia: a technológiai fejlesztésen, az edukáción és a különböző szereplők közötti együttműködésen.
Szabados Richárd a konferencia nyitóelőadásán elmondta, hogy a cégeket érintő csalások közül népszerű az is, hogy a kiberbűnözők a NAV nevében kérnek utalást, például sürgős áfafizetési kötelezettségre hivatkozva, súlyos büntetéssel fenyegetőzve. Hasonlóan gyakori, hogy a számlavezető bank vagy a cég tulajdonosa nevében kérnek utalást, esetleg az egyik beszállító nevében jelentkeznek be, hogy megváltozott a bankszámlaszámuk, és az új számlaszámra kérik a kiegyenlítést. Szabados szerint a magyar kis- és középvállalatoknál két nagy problémával szoktak találkozni, az egyik, hogy túl sok alkalmazottnak van hozzáférése a céges pénzügyekhez, a másik, hogy nincs bevett protokoll, hogy mit kell csinálni, ha már a csalás áldozatává váltak.
A pénzügyi csalások a következő időszakban valószínűleg az emberi manipuláció finomodása irányába fognak fejlődni – mondta Rajna Gábor, a Raiffeisen Bank lakossági bankolásért felelős vezérigazgató-helyettese. A szakember szerint a gépeket, rendszereket lehet és kell fejleszteni, de „a leggyengébb láncszem továbbra is az ember”, ezért az olyan felhasználóknak, mint a kis- és középvállalatok, elsősorban a pénzügyeik kezelésével megbízott munkavállalóik fejlesztésére kellene koncentrálniuk.
Ki a hibás, ha eltűnik a pénz a számláról?
Az eseményen többször szóba került annak a kérdése, hogy pontosan ki mennyiben felelős a banki csalásokért. Weissmüller Gábor, a Magyar Bankszövetség csalás elleni munkacsoportjának vezetője felhozta, hogy bár a legtöbb esetben az ügyfelek hibáznak, szerinte „a labda a bankoknál és a szabályozónál pattog”, a problémákra pedig elsősorban nekik kellene megoldásokat találniuk. Weissmüller szerint ugyanis a legtöbben azonnal bezárják azokat a tájékoztató emaileket, amelyeket a bankjuktól kapnak, és nem életszerű, hogy minden felületen 18 karakteres, kis- és nagybetűkből, valamint különleges karakterekből álló jelszavakat használjunk.
Kicsit máshogy látja Czimer Gergely, a Raiffeisen Bank vállalati és digitális fizetési megoldásokért felelős ügyvezető igazgatója, aki szerint rengeteget dolgoznak a csalások megakadályozásán, de a bankoknak véges fejlesztési kapacitásaik vannak, és az állami túlszabályozás miatt nem is mindig tudnak a legfontosabb területeken fejleszteni. Czimer szerint a banki csalások 98 százalékában az ügyfél jár el gondatlanul, és hiba lenne elmenni abba az irányba, hogy valaki mindig kárpótolja az ügyfeleket – így ugyanis szerinte nem lesznek figyelmesek a felhasználók.
Hasonlóan gondolkodik Zátonyi János, az MBH Bank fizetési megoldások és innovációs központjának igazgatója, aki beszámolt róla, hogy a rendszerüket az elmúlt időszakban rengeteg támadás érte. Bár ezekben az esetekben a csalók nem a bank rendszerét törték fel, hanem a felhasználókat verték át, sokukat kártalanították. Zátonyi szerint nagy probléma, hogy a jogszabályi előírások miatt nem mindig tudnak olyan gyorsan fejleszteni, mint a csalók, és hogy a Google nem tesz eleget a csaló oldalak kiszűréséért, ezek ugyanis gyakran felugranak a kereséseknél a szponzorált tartalmak között. Az MBH Bank igazgatója szerint az egyik megoldás az lehet, hogy ösztönzik a felhasználókat arra, hogy tényleg olvassák el a figyelmeztető üzeneteket, és az is segítene, ha a hatóságok ügyesebben felderítenék a csaló hálózatokat.
Hasznos lehet, ha elterjed a qvik
A konferencián többször felmerült, hogy a banki csalások elkerülésének egyik fontos eszköze a nemrég elindított qvik fizetési rendszer lehet, ami egy QR-kód-alapú azonnali átutalást jelent. Ez azért jobb a bankkártyás fizetésnél, mert nem kell megadni a bankkártyaadatokat, így nem merül fel annak a lehetősége, hogy azokat esetleg ellopják, csalásra használják fel. Az elmúlt egy évben a qvik népszerűsége rohamosan nőtt, de még nincs egy nagyságrendben a kártyás fizetésekkel. A megszólalók szerint az elterjedését nagyban befolyásolhatja, hogy a kiskereskedők mennyire alkalmazzák majd a boltjaikban.
Az átutalásos csalások elleni védekezésben a banki szűrőrendszereket egyre jobban támogathatja a Giro Zrt.-ben tavaly július óta működő, öntanuló Központi Visszaélésszűrő Rendszer (KVR) is, a kettős védvonal a szakértők reményei szerint még hatékonyabban fogja tudni védeni az ügyfeleket és a pénzüket. A rendszerek fejlettsége azonban mit sem ér az emberek nélkül: addig, amíg hatásos szöveggel egy unokázós csaló pénzutalásra tud rávenni egy idős asszonyt, akinek nincs is unokája, addig a védelem mindig féllábú lesz – emlékeztettek a szakértők.
