Megszólalt az OTP biztonsági tanácsadója: hiába minden fejlesztés, ha önként adják csalóknak a pénzüket a magyarok

Pénzcentrum: Milyen trendeket lehet látni az OTP-nél a banki csalásokkal kapcsolatban?  

Sonjic László: Ha a kárértéket nézzük és összehasonlítjuk az előző év azonos időszak kárértékével, akkor kijelenthető az, hogy csökkenő tendencia figyelhető meg,  a számlás csalások és a számlákat érintő csalások kapcsán. Ha a tavalyi évet nézzük, akkor több mint 31 milliárd forint volt a kárérték. Idén az első kettő negyedévet nézve már csak 11,8 milliárd volt. A fentieket összehasonlítva kijelenthető, hogy csökkenő tendencia figyelhető meg a csalásokat tekintve.

Ez az lekövetési módszer megszűnni nem fog, hiszen az online csalás  még mindig népszerű és az egyik legkedveltebb elkövetési forma. Ha a  bűnelkövetői oldalt nézzük, akkor megállapítható, hogy egy minimális befektetéssel viszonylag rövid időn belül egy óriási hozamot lehet realizálni.

Hiszen, ha megnézzük a fizikai térben elkövetett bűncselekményeket, rengeteg a kockázat. Meg kell jelennem a helyszínen. a helyszínen olyan nyomokat hagyok, amely olyan bizonyítékok, amelyek elvezethet hozzám. Az online tér sokkal egyszerűbb, hiszen nincsen közvetlen kapcsolat a kommunikáció során a sértettel, nem lát engem az ügyfél, nagy a távolság, nincs gyorsan beszerezhető kézzelfogható bizonyíték, így nehezebb az elkövetőket azonosítani.  

Milyen ismert csalási típusok léteznek?

A kárérték nagyságát tekintve, három, legelterjedtebb és a legnagyobb veszteséget okozó elkövetési magatartást tudok felsorolni. Első helyen a telefonos csalást említeném: ez annyira népszerű, hogy szinte mindenkit érint, nincs kifejezett társadalmi réteg vagy generáció, akit ne céloznának.  Bárki, aki online vásárol és könnyen kiadja az adatait, bármikor bajba kerülhet.

A módszer is változott: ma már nemcsak a bank nevében hívnak, hanem például a rendőrség nevében is, és nagyon kreatív legendákat találnak ki. Korábban népszerű kitalált történet volt, hogy vidéken, Kecskeméten többször használták a bankkártyáját; később „az ismeretlenek próbálják feltörni a számláját” történetet használták; ma pedig gyakran azt mondják, külföldi hackerek figyelik a számlát, és azonnali intézkedésre van szükség, így rá tudják venni az embereket, hogy saját maguk utaljanak át pénzt egy „biztonsági” számlára. 

Másodikként a befektetési csalást említeném, harmadikként pedig a romantikus csalást. A befektetési csalások módszerei az évek során annyira tökéletesedtek, hogy már nem az egyszeri befektetés megszerzése a cél: hanem maga az egyszeri összeg inkább eszköz ahhoz, hogy  megtévesszék az ügyfelet. A kommunikáció során , azt javasolják, hogy telepíteni kell egy távoli hozzáférést lehetővé tevő programot a számítógépre, és ettől kezdve az ügyfél azt veszi észre, hogy a kurzort már nem ő mozgatja, hanem az elkövetők. 

Ezek az eszközök elképesztően veszélyesek: a távoli menedzselés lehetővé teszi, hogy a harmadik személy gyakorlatilag átvegye az irányítást a számítógép fölött. Amikor ez megtörténik, az elkövetők  különböző módszerekkel befolyásolják a bajba jutott ügyfelet, hogy miért kell a tranzakciót jóváhagyni. A kulcs mindig ugyanaz: a másodlagos, kétlépcsős azonosításnál megadott jóváhagyó kód megszerzése. Ha ezt megszerzik, onnantól szabadon tudnak tranzaktálni a számlán. 

És a romantikus csalás mennyire gyakori manapság? 

Régen a postai által kézbesített levelekkel vették fel a kapcsolatot az áldozattal, és ezt követően bementünk a postára fizetni vagy a bankba utalni; ma a közösségi média felületén és az online társkereső alkalmazásokon találják meg és választják ki a magányos, érzelmileg sebezhető áldozatokat.

Én azt látom, hogy az elkövetők nagyon gondosan megtervezik a karaktert és a történetet: lehet ismert sztár, háborús veterán, mélytengeri búvár vagy egy „egy gyémántbánya örököse” és az érzelmi szükségletekre játszanak: társra vágyik, biztonságot akar, segítséget nyújt az arra rászorulóknak. Ők folyamatosan építik a kapcsolatot és a bizalmat, mindent feljegyeznek az áldozatokról és idővel mindent megtudnak róluk, másnap reggel tudják, miről beszéltek előző nap, és személyes, fontos dátumokra (ballagás, diploma, évforduló) is rákérdeznek, hogy a manipuláció még hatásosabb legyen.

Amikor pedig közel kerül a személyes találkozó ígérete, mindig közbejön valami. A gond forrása rendre a pénz: vám, szállítás, kórházi költség, repülőjegy stb. Végső soron az a rendszer: mindent megtesznek, hogy érzelmi bizalmat nyerjenek, majd arra bírják rá a gyanútlan ügyfeleket, hogy részletekben az összes pénzüket kicsalják.

Fotó: Berecz Valter

Említette, hogy változtak a módszerek. Mekkora problémát jelent a bankok, így az OTP számára például a mesterséges intelligencia, a deepfake videók és az egyéb olyan AI-generált tartalmak, amelyek megkönnyítik a felhasználóknak az átverését?

Óriási változás történt: én azt látom, hogy elértünk egy határt, ahol az online térben bármiről, ami szembejön, - legyen az kép, hang, videó, hír - egyre nehezebb eldönteni, hogy mi valódi és mi a hamisított. Tíz éve még egyszerűbbek voltak az e-mailek, ma viszont a levelek szinte tökéletes nyelvhasználattal, sokszor irodalmi stílusban érkeznek, így már nem lehet őket egyszerűen kiszűrni. A képi tartalom is annyira hiteles, hogy már azt sem könnyű megítélni.

Különösen veszélyesek a befektetési csalások: a meggyőző hirdetések és szövegek, illetve a generált videók, amelyekben közszereplőkkel vagy celebekkelmondatnak el ajánlatokat, például „ez a kriptobefektetés az életed legnagyobb lehetősége”, rendkívül megtévesztőek.

Ismert olyan eset, hogy egy vállalat alkalmazottja pár kattintással  egy olyan hamis online értekezlet résztvevője lett, ahol saját munkahelyi vezetői  „utasították” utalásra, és ő tényleg elutalta a kért összeget.

Végül a hamis weboldalak színvonala is olyan magas, hogy csak a domain címet, illetve a weboldal pontos nevét, amelyről a legfelső sávban található URL árulkodik. Én ezért mindig azt hangsúlyozom: nézd meg alaposan a domain nevet, mert egy-két hasonló karakter eltérést használnak az elkövetők, amellyel megtévesztik az ügyfeleket ,  

Mit tud ilyenkor tenni egy bank? Mekkora arányban lehet kiszűrni ezeket az eseteket? 

A fizetési rendszerek maguk biztonságosak, a kockázat a humán faktorból származik. A tranzakciókat pedig egy csalásmegelőzési monitoring szűrőrendszer vizsgálja és azokat, amelyek csalásgyanúsak, azokat valós időben megállítják. Ahogy a rendszereket fejlesztik a pénzintézetek és a bankok, egyre nagyobb arányban ki tudjuk szűrni a csalásokat.

Ennek a folyamatnak több oldala és szereplője van: a pénzintézeti, a banki és ügyfél oldalon keresztül, egészen az elkövetői, a bűnüldözési és a hatósági, felügyeleti, valamint az állami és társadalmi szereplőkig. A két leghangsúlyosabb a technikai oldala, a bankok rendszerei és intézkedései, és az emberi oldal, vagyis az ügyfél oldali humán kockázat. Mindkettő fontos: mi technikailag sokat tettünk és elértünk valódi eredményeket.

Ugyanakkor a probléma másik fele az ügyféloldal: az edukáció hiánya és a kényelem előnyt ad a biztonsággal szemben. A technológia fejlődése sokkal gyorsabb volt, mint ahogy ezzel a társadalom lépést tudott volna tartani. És elmaradt az ehhez szükséges megfelelő szintű tudatosság, felkészültség és érettség megléte. Így pl. az eszközökön és az alkalmazásokban az alapvető biztonsági beállítások hiánya (kétlépcsős azonosítás használata, megfelelő jelszókezelés) továbbra is jelentős kockázatot hordoz.

Tény azonban, hogy a mobilbanki alkalmazásokat és az egyéb védelmi funkciókat egyre több pénzintézet úgy fejlesztette ki, hogy sok elkövetési módszer ellen megfelelő védelmet és azonnali megoldást jelentenek. Például a telefonos csalások elleni védekezésnél ma már hívás közben is ellenőrizni lehet, valóban a bank hív-e, ez gyakorlatilag két kattintás: elindítom az alkalmazást és rákattintok a profilra, és ez azonnal látszik.

Összességében a biztonsági megoldások és fejlesztések jól működnek, de az ügyfelek megfelelő szintű biztonság tudatossága nélkül a kockázatokat nem tudjuk sikeresen kezelni.  

Ha már az emberi oldal szóba került. Mennyire jellemző, hogy azért sem mernek a bankokhoz fordulni a megkárosított, átvert ügyfelek, mert a csalás után szégyenérzet alakul ki bennük? 

Van egy halmaz, amiről tudunk, mert ismertté váltak az esetek, és van egy nagy halmaz, amiről nem tudunk semmit. A látencia óriási: nincs pontos kimutatás arról, hány olyan esemény történik, amit egyáltalán nem jelentenek be. Ha több interjút vagy kutatást megnéz az ember, egyértelműen látszik, hogy a probléma nagyon elterjedt.

Gyakran az a fő ok, hogy az áldozatok, legyen szó cégről vagy magánszemélyről, szégyellik azt, ami történt velük. Vannak vállalatok, amelyek reputációs kockázat miatt titkolják az incidenseket; mások egyszerűen vagy nem akarják bevallani. Ugyanígy az ügyfelek sokszor még a saját családjuknak sem merik elmondani, ami tovább növeli a látenciát.

Pedig az idő tényező kritikus: én mindig hangsúlyozom, hogy ha baj történik, minél előbb jelezni kell a bank felé az esetet. Van egy azonnali intézkedési protokollunk, ha időben értesülünk, mindent megteszünk a kár minimalizálásért és az eltulajdonított összeg visszaszerzéséért. Minél később tudunk az esetről, annál kisebb az esély a teljes helyreállításra. 

Ha már megtörtént a csalás, milyen együttműködési formák vannak a hatósági szervekkel? Hogyan működik ez a gyakorlatban?  

Az együttműködést mi is az egyik legmagasabb szintre emeltük, ez a módszerek fejlődése miatt vált szükségessé: az információt azonnal cserélni kell, hiszen több szereplő érintett (bankok, ügyfelek, hatóságok, elkövetők). Fontos, hogy az ügyfélnek legyen könnyen elérhető felülete (elektronikus vagy telefonos), ahova fordulhat; mi ezt úgy fejlesztettük, hogy a bejelentés azonnal elindítja a folyamatot. Elsők között kötöttünk együttműködési megállapodást a rendőrséggel, hogy soron kívül tudjunk információt cserélni a vagyon visszaszerzése és kárminimalizálás érdekében.

Tavalyi év közepétől működik egy online bejelentő rendszer, minden esetet bejelentünk a NAV (Nemzeti Adó és Vámhivatal) felé, és az adatbázisból a társbankok, a rendőrség és az érintett szervek azonnal értesülnek.

Ez lehetővé teszi, hogy ha az összeg egy másik számlára kerül, a fogadó bank vagy a hatóság valós időben lefoglalja; de ehhez elengedhetetlen, hogy pontos és valós időben érkezzenek az információk. Ezért fontosak az együttműködési megállapodások és a gyors, valós idejű információáramlás, így tudunk a lehető leghamarabb intézkedni. 

EZ IS ÉRDEKELHET

Kiadta a riasztást az OTP, újfajta csalás terjed: így nullázzák le bárki számláját egy pillanat alatt

A trükk ezúttal annyi, hogy a természetesen hamis értesítőben a csalók saját számlaszámukat adják meg.

Milyen helyzetekben téríti meg a bank a teljes kárt, és mely esetekben utasítja el a kártérítést?

Ez egy nagyon kardinális kérdés, és fontos kiemelni: minden egyes esetet egyedileg vizsgálunk. Minden csalásgyanús esemény vagy panaszeset külön vizsgálat tárgya, a bank egyenként értékeli az összes körülményt, az eset elejétől a végéig, és csak ez alapján születik döntés.

Nem lehet általánosságban kijelenteni, hogy mikor van kártérítés és mikor nincs. A vizsgálat során a vonatkozó jogszabályok és a rendeletek alapján járunk el, amelyek. Az egyik kulcskérdés az ügyfél úgynevezett súlyos gondatlansága.

Elvárható, hogy valaki ugyanúgy vigyázzon az online térben is az azonosítóira, jelszavaira és PIN-kódjára, mint a fizikai térben a lakáskulcsával együtt a lakcímkártyájára és a lakás riasztó kódjára. Ahogy azt nem adnánk oda egy idegennek az utcán, ugyanígy elvárható, hogy online se adjuk ki ezeket az adatokat. A felelősség mindig csak akkor állapítható meg, ha az eseményt teljes pontossággal és hitelességgel rekonstruáljuk. Ilyenkor lehet megállapítani, hogy kinek miben volt a felelőssége.

Így pl., ha a banknál történt egy rendszerhiba vagy esetleg egy munkavállalói mulasztás, és a vizsgálat ezt egyértelműen megállapítja, akkor a banknak helyt kell állnia. Hangsúlyozom, hogy a döntést végül minden egyes esetben külön, az eset egyedi körülményeinek alapos és mindenre kiterjedő vizsgálatának eredményeképp születik meg. 

Melyek a leggyakoribb hibák az ügyfelek részéről?  

Kezdjük az elejéről: nagyon fontos, hogyan kezdek el bankolni online. Amikor pénzügyi döntést hozok, soha nem a keresőbe írom be a bank vagy egy webáruház címét, ott könnyen felbukkanhat egy hamis oldal a találatok között. Két megoldást használok: vagy elmentem a pontos, karakterre megegyező címet könyvjelzőként, vagy az eredeti mobilalkalmazást telepítem az applikációs áruházból, és abból indítom a tranzakciót. Ez alapvető mind a bankolásnál, mind az online vásárlásnál.

Amikor beléptem az alkalmazásba, az első dolgom a limit beállítása: alacsonyan tartom a napi tranzakciós limitet, így, ha baj történik, csak annyit tudnak elvinni, amennyi a limit. A limitet csak akkor emelem meg, ha nagyobb vásárlást tervezek (konyhabútor, autó stb.), majd a tranzakció után rögtön visszaállítom alacsonyra. Ismernem kell az alkalmazás funkcióit is, és tudnom kell, hol tudok gyorsan intézkedni hívás vagy tranzakció közben.

A jelszókezelés nálam nem megkerülhető: használok jelszókezelőt/jelszószéfet, mert nem várható el, hogy fejben tartsak húsz különböző, erős jelszót és azokat rendszeresen frissítsem (kis–nagybetű, szám, speciális karakter), és élesen elválasztom a pénzügyi tevékenységemhez használt jelszavakat a közösségi média jelszavaitól. Ha ugyanis a közösségi profilt feltörik, és ugyanazt a jelszót használom az internetbankban, az elkövetők könnyen bejutnak. Nagyon vigyázok az üzenetekre és a csatolt linkekre: a „csomagod elakadt”, „lejárt a bankkártyád” vagy „számlád zárolva” típusú üzenetek gyakran tartalmaznak hamis linket.

Ha pénzügyi döntésre készülök, soha nem kattintok üzenetben érkezett linkre; inkább megnyitom az alkalmazást vagy a böngészőből, könyvjelzőből indítom a weboldalt. A hamis fizetési felületek célja, hogy elkérjék a bankkártyaadataimat és jelszavaim, erre nem szabad rákattintani.  

Ha valaki észleli, hogy például az OTP internetbank oldalát szinte tökéletesen lemásolták a csalók, hogyan kell jelezni az esetet, és mi a teendő a rendvédelmi szervek felé?

Nálunk a biztonsági rendszer és védekezés az egyik leghatékonyabb, szerintem nem csak országosan, de a régióban is. Mi folyamatosan szűrjük és kutatjuk a hamis weboldalakat, és annyira gyorsan reagálunk, hogy van olyan elkövetési módszer, ahol már egyszerűen nem érdemes minket megcélozni: nem kerülünk fel a „kiválasztottak” listájára.

A hamis domain létrehozása olcsó (egy .hu pár ezer forint, egy .com valamivel több), és technikailag percek alatt klónozható egy oldal, de a hatékony védekezési intézkedéseinknek köszönhetően, olyan gyorsan tudunk reagálni és blokkolni ezeket, hogy az elkövetőknek nem éri meg az „üzlet”. Erre az eredményre nagyon büszke vagyok: a kibervédelmi csapatunk kollégái nagyon hatékonyan dolgoznak, és a tapasztalataink alátámasztják, hogy működik a módszer.

Ugyanakkor nemcsak technikai kérdés ez, hanem kommunikációs és pszichológiai: az elkövetők gyakran összekeverik a személyes adatokat a fizetési és egyéb érzékeny adatokkal. Én mindig hangsúlyozom, hogy semmilyen szolgáltató (sem a bank, sem más) nem kér fizetési adatokat telefonon vagy e-mailben. Amikor a bank telefonon az ügyféllel kommunikál, a cél a személyazonosság minden kétséget kizáró módon történő igazolása: ilyenkor a bank a név, születési hely és idő, illetve az anya vezeték- vagy keresztnevét kérdezi, az ún. keresztazonosítás során, amelynek lényege: a bank a személyes adat első részét mondja, az ügyfél  a másodikat és így biztos azonosítás történik.

Viszont soha nem kérünk jelszót, PIN-kódot, teljes bankkártyaszámot, lejárati idővel és CVC-vel vagy hasonló fizetési adatokat. Ha valaki ilyet kér, az nem a bank, hanem egy csaló, ez az egyik legfontosabb vízválasztó, amit minden ügyfélnek tudnia kell. 

Az is gyakori, hogy kecsegtetően könnyű nyereményekkel, busás hozamot ígérő befektetésekkel vadásznak áldozatokra a csalók. Hogyan lehet ezeket felismerni?

Befektetésnél az egyik legfontosabb alapelv, hogy a kriptovaluta árfolyama mindig ingadozik: egyszer lent, egyszer fent. Ha valaki azt mondja, hogy a kriptó „biztos befektetés”, az nem mond igazat: ez már egyértelműen csalás. Ugyanez igaz, ha azt ígéri valaki, hogy egy hét alatt megduplázza vagy megtriplázza a befektetett összeget: ilyen sincs, és aki ilyet állít, az csaló.

Ez akkor is egyértelmű csalás, ha egy videóban egy ismert celeb azt állítja, hogy „ez jó befektetés”, és a kommentekben álprofilok lájkolják és luxusautókkal pózolva kommentben meg is erősítik. Ezek mind hamis jelek, nem szabad bedőlni nekik.

Ugyanez érvényes a nyereményjátékokra is: ha valaki értesítést kap, hogy nyert, pedig előzőleg nem regisztrált, az szintén csalásra utal. Az alapvető szabály: mindig legyünk kritikusak, és semmiképp ne dőljünk be az ígéreteknek, amelyek irreálisan nagy nyereséget ígérnek rövid idő alatt. 

Fotó: Berecz Valter

Milyen biztonsági intézkedéseket vezetett be az OTP az elmúlt egy évben? 

Abban hiszek, hogy az egyre hatékonyabb technikai védekezés és az ügyféledukáció az együttes kulcs, hiszen nem győzöm hangsúlyozni az emberi tényező a leggyengébb láncszem.

A csalásmonitoring szűrőrendszert naponta frissítjük, hozzáigazítjuk az új elkövetési módszerekhez, hogy minél pontosabban kiszűrjük a csalásgyanús tranzakciókat. Ugyanez igaz a kibervédelmi központunkra is, folyamatos megelőző szűrést végzünk az online térben, és ezt a szintet még tovább fogjuk emelni.

Az ügyféledukációban óriási lépéseket tettünk: nagy mennyiségű, minden generációhoz igazított ismeretanyagot juttatunk el írott, online és közösségi csatornákon, illetve helyi rendezvényeken is jelen vagyunk. Biztos vagyok benne, hogy sok ügyfelünk találkozott már a „Kiberpajzs” kezdeményezéssel, amelynek oszlopos tagjai vagyunk — rendszeres kampányokkal és bűnmegelőzési programokkal próbáljuk széles körben növelni a tudatosságot.

A technikai fejlesztések folyamatos vizsgálat és monitoring eredményei: mindig kialakítjuk az aktuális védelmi megoldást az éppen jellemző elkövetési magatartások ellen. Úgy látom, hogy jelenleg a mobilalkalmazás a legbiztonságosabb csatorna, és ennek fejlesztésével az összes fontos védelmi funkciót be tudjuk építeni, így sok elkövetési mód ellen tudunk védekezni.

A legújabb fejlesztésünk egy másik csatornán történő visszacsatolás: a mobilbankban lehetőséget adunk arra, hogy a számlatulajdonos kijelöljön egy közeli hozzátartozót vagy megbízható személyt, aki értesítést kap a nagyobb utalásokról, és 24 órán belül jóvá kell, hogy hagyja vagy el kell, hogy utasítsa azokat. Ennek az a gyakorlati haszna, hogy egy van egy második jóváhagyó, egy racionális személy és meg tudja ítélni, hogy az átutalást végrehajtó nincs-e pszichológiai manipuláció alatt, ez különösen hasznos romantikus, telefonos vagy befektetési csalások elleni védekezésnél. 

Mennyire képes az OTP lépést tartani az újabb csalási módszerekkel, és mennyi időn belül tudnak reagálni az új típusú fenyegetésekre?

Azonnal lépünk és azonnali operatív választ adunk. Az egységeink tevékenysége minden szegmenst lefednek: nálunk minden csalással kapcsolatos információt egy csatornába terelünk és egységesen kezeljük, van egy külön elemzőközpontunk, amelynek az a fő feladata, hogy ha megjelenik egy új elkövetési módszer, rögtön intézkedni tudjunk. Emellett külön vizsgálóegységünk dolgozza fel az egyedi eseteket, és ezek megállapításai is beépülnek a központi adatbázisába.

A monitoring rendszerünk folyamatosan figyeli a tranzakciókat, a kibervédelmi központunk pedig az online térben végzi a megelőző kutatást és szűrést. Ezek az információk mind az elemzési központunkba futnak be, és egységesen kezeljük őket. Fontosnak tartom, hogy dedikált online vonalat is működtetünk az áldozatok számára: egyetlen hívás után azonnal egy olyan kollégához jutnak, aki intézkedni tud és megteszi a szükséges intézkedéseket.

És a csalók részéről mik lehetnek az irányvonalak, milyen irányba indulhatnak el?  

Az, hogy az ember a leggyengébb láncszem, az online csalások területén is igaz. A csalásmonitoring szűrőrendszerek hatékonysága és az egyre magasabb színvonalú technikai fejlesztések és megoldások eredményeként, az elkövetők elsődleges célja már nem az, hogy ők hajtsák végre a tranzakciókat az ügyfél azonosítóival, hanem pszichológiai manipulációval befolyásolják az ügyfelet, hogy az saját maga hajtsa végre a tranzakciót a manipuláció hatása alatt.

Ha a telefonos csalásokat nézzük, az a cél, hogy az ügyfél ne adja ki a kódjait, hanem inkább saját maga utaljon. A romantikus csalásoknál is ugyanígy: az elkövetők azt érik el, hogy az ügyfél önként teljesítse az utalást. Ez óriási kihívást jelent, de hatékony edukációval, biztonsági tudatosság növelésével és a megfelelő ismeretek átadásával ezekben a helyzetekben az ügyfelek részéről felismerhetővé válnak azok a jelek, hogy csalóval állnak szemben. 

Mit tanácsolna, milyen fontos dolgokat kell megtennie az ügyfélnek, ha védeni akarja az adatait?  

Mindig összesen 6–7 egyszerű szabályt szoktam ajánlani.

• Első: nem kattintunk és nem telepítünk ismeretlen linkekről érkező tartalmakat. 
• Második: elolvassuk, értelmezzük a banki értesítéseket és a figyelmeztetéseket, mielőtt bármit tennénk. 
• Harmadik: soha nem adunk át fizetési adatokat idegennek — sem telefonon, sem e-mailben, sem üzenetben és nem telepítünk idegen szoftvert 
• Negyedik: mindig tudjuk, hol járunk az online térben; ha egy üzenetből nyitott linken vásárolunk, az olyan, mintha a plázában bekötött szemmel bolyonganánk: nem tudjuk, kinek fizetünk, mit kapunk, és nem látjuk a visszajárót. 
• Ötödik: használjuk az applikációt és könyvjelzőt: az alkalmazás a legbiztonságosabb felület, és onnan indítva a tranzakciót sok kockázat elkerülhető. 
• Hatodik: állítsunk be alacsony limitet, és csak nagyobb vásárlás előtt növeljük ideiglenesen, majd azonnal állítsuk vissza. 
• Hetedik: egy másik csatornán mindig visszaellenőrzöm a kapott információt, ha fontos döntést, pénzügyi döntést kell hoznom. 

Emellett mindig hangsúlyozom a hívás közbeni ellenőrzés lehetőségét és a gyors reagálást: ha gyanús hívás jön, rákattintok a profilra, ellenőrzöm a hívó hitelességét, és ha tényleg baj van, az alkalmazáson belül le tudom tiltani magamnak a kártyát vagy az internetbankot. Ezek az egyszerű, rutinszerű lépések: nem kattintok, nem telepítek, elolvasok, nem adok át fizetési adatot, tudom, hol járok, applikációt használok és a kétlépcsős azonosítás, nálam ezek válnak be a legjobban. 

Fotók: Berecz Valter