Banki csalások: milliárdos anyagi károk, tízezer fölött a visszaélések száma – hogyan védekezzünk?

Pénzcentrum: Az elmúlt években sokan érezhették úgy, hogy a hírekben egyre gyakrabban hallanak banki csalásokról és kibertámadásokról. Ez csak egy szubjektív érzés, vagy valóban nőtt ezeknek az eseteknek a száma? És ha igen, mi állhat ennek a hátterében?

Weismüller Gábor: Nem csupán egy szubjektív érzésről van szó, sajnos ez a valóság. Két fő okból is egyre többet hallunk ezekről az esetekről. Egyrészt, a digitális banki csalások és kibertámadások száma valóban rohamosan növekedett az elmúlt években. Másrészt (és ez egy pozitívabb fejlemény), a bankok és az állami szereplők is tudatosan tesznek azért, hogy felvilágosítsák az embereket.

A Magyar Nemzeti Bank friss adatai szerint az elektronikus visszaélések száma az elmúlt félévben 38 százalékkal nőtt, ami több mint 12 ezer esetet jelent. Ami az anyagi kárt illeti, csak az utolsó negyedévben több mint 6 milliárd forint volt érintett átutalási csalásokban, és további 1,8 milliárd forint a bankkártyás csalásokban. Ezek óriási összegek, melyek érthetően aggodalmat keltenek a közvéleményben.

Mik a csalóknak a leggyakoribb módszerei? Több helyen hallottam, hogy a bankok rendszerei ma már annyira biztonságosak, hogy hagyományos értelemben vett kibertámadással nagyon fel sem lehet törni őket.

A bankok valóban hatalmas összegeket fektettek rendszereik védelmébe, milliárdokról van szó, hiszen ez közös érdekünk az ügyfelekkel. Épp ezért a rendszerek egyre biztonságosabbak, és hagyományos kibertámadással szinte lehetetlen feltörni őket. Persze mindig lehetnek rések a pajzson, de ezt a bankok igyekeznek a lehető legszűkebbre zárni.

A csalókról érdemes azt tudni, hogy mindig a legkisebb ellenállás irányába haladnak - ez jellemzően az ügyfél, a felhasználó.

Az esetek többségében viszont nem a banki rendszerek hagyományos értelemben vett „feltörése” zajlik, sokkal inkább az ügyfelek megtévesztése vezet az adat- vagy pénzkivonáshoz. A jelenlegi statisztikák azt mutatják, hogy egy sikeres átverés során nagyon gyakran maguk az ügyfelek hajtják végre a csalás lépéseinek legalább 50, de bizonyos esetekben annak akár 90 százalékát is.

Éppen ezért a bankoknak, a jogi korlátokat figyelembe véve, egyre inkább kommunikációval, oktatással és technikai segítséggel kell támogatniuk az ügyfelek biztonságát.

Weissmüller Gábor, kiberbiztonsági szakértő, Magyar Bankszövetség - Fotó: Mónus Márton

Nyilván a csalók elsődleges célja a pénz. Ugyanakkor gyakran hallani azt is, hogy manapság az adatok szinte ugyanolyan értékkel bírnak. Összességében Ön szerint milyen típusú információk lehetnek fontosak a csalók számára?

A csalók számára háromféle adatcsoport bír különösen nagy értékkel. Az első és leggyorsabb módja a pénzszerzésnek természetesen a bankszámla-hozzáférési adatok megszerzése, legyen az jelszó, PIN-kód, vagy bármi, ami lehetővé teszi számukra a bankolást. Ez a leggyakoribb, hiszen ez azonnali pénzt jelent a csalóknak.

A második típus, amikor egyéb adatokat lopnak el, amelyeket majd később használnak fel arra, hogy pénzhez jussanak. Például előfordulhat, hogy ennek következtében a csalók egy valós személy adataival nyitnak bankszámlát, amit aztán csalárd tevékenységekre, teszem azt pénzmosásra használnak fel.

Az utolsó, nagy kategória tulajdonképpen egyfajta kémkedés. Ennek során a csalók úgy jutnak be a banki rendszerekbe, hogy olyan dolgozókat vonnak be, akik belső folyamatokat, rendszerleírásokat adnak át nekik.  Ez viszont már tényleg egy merőben más kategória, mint az előbb említettek.

Itt már konkrétan szervezett bűnözői körökről van szó, akik titkosított információval, termék- és banki ismeretekkel rendelkeznek, és ezek alapján, mesterséges intelligencia segítségével dolgozzák ki a csaláshoz használt programokat.

Ha már megtörtént a baj, mi a teendő? Van esetleg felső határ, amikor a bank már nem kártalanít?

Fontos felhívni a figyelmet egy változó trendre a támadási kísérletekkel kapcsolatban. Míg korábban elsősorban a lakossági ügyfeleket célozták az ilyen támadások, ma már a vállalati ügyfelek elleni támadások is erősen növekednek.

A magánszemélyektől ellopott milliós tételek természetesen komoly veszteséget jelentenek egy család számára. A cégek esetében viszont ugyanilyen módszerekkel nem kizárt a több tíz, sőt százmilliós nagyságrendű károkozás sem. Ugyanakkor a cégeknél szigorúbb, és számszerűen is több biztonsági protokoll van érvényben, emiatt nehezebb is őket átverni.

Sikeres pénzkivonás esetén bank a jelenlegi jogszabályok, valamint a saját belső szabályai szerint azonnal megkezdi a vizsgálatot. A fő kérdések közé tartozik, hogy ki hibázott, honnan kerültek ki a titkos adatok, és milyen mértékű volt az ügyfél gondatlansága. Utóbbi esetben fontos kérdés az is, hogy volt-e szándékosság, úgynevezett „öncsalás” - ugyanis ritkán, de ilyen is előfordul: van, aki maga hajt végre tranzakciót, majd később azt állítja, hogy más tette. 

Ha erős gondatlanság vagy egyértelmű szabálysértés áll fenn az ügyfél részéről, akkor neki kell viselnie a kárt. Jelenleg Magyarországon az átutalási csalások esetében a károk körülbelül 90%-át az ügyfelek viselik.

Az illetéktelen behatolókkal szemben pedig a bankok folyamatosan fejlesztik szűrőrendszereiket és védelmi megoldásaikat, hogy felismerjék és blokkolják ezeket a tranzakciókat. Érdemes összehasonlítani a bankkártyás visszaéléseket az átutalásos csalásokkal.

Az elmúlt fél évben közel 50 ezer bankkártyás visszaélés történt, ám az elvesztett összeg jóval kisebb volt, mert a szűrési technikák és védelmi megoldások hatékonyan működnek. Az átutalásoknál viszont még dolgozunk azon, hogy hasonlóan magas védelmi szintet nyújthassunk. A bank mindenképp megvizsgál minden esetet és megpróbálja kártalanítani az ügyfeleket - a végeredmény viszont mindig az adott körülményektől függ.

Weissmüller Gábor, kiberbiztonsági szakértő, Magyar Bankszövetség - Fotó: Mónus Márton

Mennyire érkeznek a támadások belföldről, és mennyire külföldről? Gondolom, ha valaki például ismeri a magyar banki üzenetek jellegét, hitelesebben tudja kivitelezni a csalást.

Jelentős változás figyelhető meg ezen a téren az utóbbi időben. Részben igaz a felvetés, hogy aki ismeri a magyar piacot, nagyobb eséllyel lehet sikeres, hiszen tisztában van a helyi szokásokkal, a kommunikációs stílussal, valamint az ügyfélkezelés apróságaival.

Ugyanakkor a magyar piac ma már egyre inkább nemzetközi. A bankoláshoz használt technológiák és folyamatok alapvetően európai és globális szabványokat követnek, így aki ezeket érti, könnyen el tud igazodni nálunk is.

Korábban a rossz magyar nyelvhasználat, a furcsa megfogalmazások könnyen leleplezték a külföldi elkövetőket. Mostanra azonban a mesterséges intelligencia és a nyelvi modellek annyira fejlettek, hogy a külföldiek is képesek természetes hangzású, hibátlan magyar üzeneteket előállítani. Ennek következtében a korábban kevésbé sikeres külföldi próbálkozások jóval eredményesebbek lettek.

A mesterséges intelligenciát többször is szóba hozta már. Mi a legnagyobb veszélye ennek a technológiának? Inkább a megtévesztő videóüzenetek, telefonhívások létrehozására használják a csalók az AI-t, vagy arra is, hogy hatásosabb programokat írjanak vele?

Mindkettőt használják, de érdemes kettéválasztani a két fő megközelítést. Az egyik során a támadó „ügyfél nélkül” próbál bejutni egy bankrendszerbe, ilyenkor van szó közvetlen kibertámadásról. Ezekből viszonylag kevesebb van, és a bankok jól fel is készültek rájuk, védelmi rendszereik képesek észrevenni és lokalizálni az ilyen nagy volumenű támadásokat, amelyek gyakran milliós nagyságrendben érkeznek különböző szerverekről.

Ezek nem veszélytelenek, de a sikeres, nem ügyfélen keresztül megvalósuló betörések száma alacsony, szinte egy kézzel meg tudom őket számolni.

A nagyobb probléma azonban az ügyféloldali megtévesztés, amelyben az AI-nak óriási szerepe lett. Két nagy területen alkalmazzák: egyrészt a megtévesztő tartalmak előállítására. Az ilyen módon generált képek, videók ma már nagyon élethűek, a nyelvi modellek pedig hibátlan, természetes magyar szövegeket írnak, így a hamisítások sokkal meggyőzőbbek. Emellett maga a csalási folyamat automatizálására és finomhangolására is használják a mesterséges intelligenciát.

A csalási folyamat is több lépcsős, és ezeket az AI-jal tervezik és hajtatják végre. Kiválasztják a potenciális áldozatot a közösségi médiából, információkat gyűjtenek róluk, és személyre szabott, többcsatornás megközelítést alkalmaznak (e-mail, SMS, telefonhívás, közösségi üzenet). Az AI dönti el, melyik üzenet menjen ki, sőt, még azt is, hogy hogyan reagáljon a felhasználó válaszára.

Az automatizálás skálázhatóságot és gyorsaságot ad a csalóknak. Míg korábban nagyobb, emberi erőforrást igénylő call centerekben akár egy tucat telefonálós csaló is ült egyszerre, ma már sok helyen egyáltalán nincs erre szükség: az AI hang- és szöveggenerálása könnyen versenybe száll egy élő csalóval, ráadásul éjjel-nappal működik.

Weissmüller Gábor, kiberbiztonsági szakértő, Magyar Bankszövetség - Fotó: Mónus Márton

Említette, hogy az egyik legnagyobb gyenge pont az ügyfél az ilyen csalások során. Lehet a mesterséges intelligencia a bankok kezében is egy eszköz, hogy segítsen az ügyfeleknek kiszűrni ezeket a támadásokat?

A legtöbb banknak ma már van valamilyen AI-megoldása, mi is igyekszünk minél több folyamatot automatizálni. Az ügyfelek is egyre gyakrabban találkoznak olyan helyzetekkel, amikor egy robot-automata válaszol a hívásukra, nevezhetjük ezt akár AI-nak is. Ez a robot alapvető kérdésekre, bejelentésekre ad egyszerűbb válaszokat. Ez azonban még nem az a mesterséges intelligencia, amely kifejezetten a csalásmegelőzéssel foglalkozik.

A csalásmegelőzési rendszereinkben viszont már most is működik AI, csak nem az ügyfelek számára látható módon. Ez egy belső rendszer, amely folyamatosan monitorozza a tranzakciókat. Ilyen megfigyelő rendszereink egyébként korábban is voltak, de a generatív technológia megjelenésével ezek sokkal fejlettebbé váltak.

Ha visszatekintünk mondjuk 10–15 évvel korábbra, akkor egy monitorozó rendszer nagyjából 100 paramétert tudott figyelni valós időben. Ez már akkor is jelentős adatvolumen volt. Ma viszont egy AI-alapú rendszer több ezret képes, és tud összefüggéseket keresni egészen apró részletek között is, akár olyasmiket is figyelembe vesz, mint a hőmérséklet vagy a földrajzi anomáliák egy adott tranzakciónál.

Hogy egy példát említsek: régen a rendszer automatikusan észlelte, és azonnal leállította a tranzakciókat, ha valaki Budapesten fizetett, majd néhány órán belül már Kuala Lumpurban próbált egy vásárlást végrehajtani. Ez akkor logikusan gyanúsnak tűnt, mára azonban a gyors utazások és az online vásárlások elterjedésével ezek a határok sokkal rugalmasabbá váltak.

Ami pedig igazán forradalmi előrelépés, hogy korábban a monitorozó rendszerek paramétereit időről időre manuálisan kellett frissíteni. Előbb havonta, majd kéthetente, később naponta. Mostanra viszont eljutottunk odáig, hogy az AI képes önállóan újrakalibrálni a saját működését, méghozzá az általunk megadott elvek mentén.

Ez óriási előnyt jelent: gyorsabb reagálást, pontosabb felismerést és kevesebb emberi beavatkozást. Jelenleg tehát itt tartunk az AI alkalmazásában. Igaz, ez még nem egy ügyféloldali segéd, de a háttérben már most is alapvetően meghatározza a csalásmegelőzés hatékonyságát.

Weissmüller Gábor, kiberbiztonsági szakértő, Magyar Bankszövetség - Fotó: Mónus Márton

Mit tud javasolni az ügyfeleknek, hogy elkerüljék az ilyen helyzeteket?

1. Nagyon banálisnak hangzik, de tényleg az alapoknál kezdődik, melyeket sokan hajlamosak figyelmen kívül hagyni. Az egyik legfontosabb a jelszó védelme: ezt tényleg, soha ne adjuk meg senkinek!
2. A másik, hogy mindig tudatosnak kell lennünk, amikor leveleket vagy üzeneteket nyitunk meg! Ha egy teljesen semleges, bankolással nem kapcsolatos e-mailt vagy SMS-t kapunk, ami egy linkre navigál, könnyen megfertőződhet a gépünk, és a csaló később hozzáférhet az adatainkhoz, amikor ténylegesen bankolunk. Érdemes elgondolkodni azon, miért kaptuk az üzenetet, és hogy egyáltalán érdekes-e számunkra az, ami benne áll. Bár a mindennapok gyors tempója miatt hajlamosak vagyunk automatikusan rányomni bármire a telefonunkon, érdemes visszavenni a tempóból és kétszer is átgondolni, mit nyitunk meg.
3. A harmadik tanács, hogy minden banki értesítést állítsunk be a tranzakciókról, legyen az SMS, e-mail vagy online értesítés, és azokat rendszeresen ellenőrizzük. Ha gyanús aktivitást észlelünk, ne várjunk időpontra, azonnal hívjuk fel a bankot! Fontos, hogy ne az SMS-ben vagy e-mailben szereplő számot tárcsázzuk, mert az a csalóktól is származhat. Mentsük le a bank hivatalos számát, és minden esetben azt használjuk!
4. Ha már megtörtént a baj: egyértelműen jelezzük az ügyfélszolgálat felé, hogy csalás történt. Ne hezitáljunk, ne mondjuk, hogy „nem tudom”, mert csak az egyértelmű bejelentés indíthatja el azokat a banki folyamatokat, amelyek lehetővé teszik a gyors reagálást. A csalásoknál az idő kulcsfontosságú. Régen hetekig is eltartott, míg egy csalási akció befejeződött - manapság viszont percek, sőt, inkább másodpercek alatt zajlik le ugyanez.

Pont ezért a legtöbb banknál automata rendszerek veszik fel az ügyet, és ezekben van kifejezetten olyan menüpont, ami a számlablokkolásra vagy a csalás bejelentésére szolgál. Ha ezt a lehetőséget választjuk, az automata priorizálja az esetet és gyors kapcsolást biztosít az ügyintézőhöz, vagy már ott, helyben elindítja a blokkolási folyamatot.

Ha egy órán belül jelzünk a banknak, jelentősen nagyobb az esélye, hogy intézkedjenek: akár oly módon, hogy visszakérik a pénzt a kedvezményezett banktól, akár úgy, hogy zárolják a célszámlát.

Ez nem jelenti, hogy azonnal visszakapjuk a pénzt, de elindulnak a szükséges lépések, és a jogi rendezés a későbbiekben, egy hét vagy két hét alatt történik meg. Ha viszont egy órán túl történik a bejelentés, az esélyek gyorsan csökkennek, és sokszor már nem tudják nyomon követni az összeget.

A visszaszerzés nehézsége függ attól is, hova kerül a pénz. Belföldi utalásoknál, a hazai bankok közötti kapcsolatok miatt általában gyorsabb és egyszerűbb a folyamat. Ha külföldre megy, a visszaszerzés lassú és bizonytalan lehet.

Ezért a probléma felfedezése után azonnal intézkednünk kell: a bankot értesíteni, és utána a rendőrségen is jelenteni az eseményt. Minél gyorsabban cselekszünk, annál nagyobb az esély, hogy megállítsák a pénz továbbmozgását – de természetesen az a legjobb, ha még a legelejénél megfogjuk a dolgot, és megelőzzük a csalást.