Rém veszélyes csalás terjed az Ügyfélkapu felületén: így nullázzák pillanatok alatt a gyanútlan magyarok bankszámláit

A NAV legújabb közleménye szerint minden e-mailben, vagy SMS-ben érkező, NAV-ra hivatkozó üzenetet gyanúsnak kell tekinteni. A hatóság kizárólag a hivatalos tárhelyen keresztül vagy postai levélben tart kapcsolatot az ügyfelekkel, az e-mail és az SMS nem számít hivatalos ügyintézési csatornának.

Az adathalász üzenetek a 2025-ös adóévre vonatkozó SZJA visszatérítéssel próbálják megtéveszteni a címzetteket.

A levelek gyakran azt állítják, hogy az érintett 140 ezer forint adó visszatérítésre jogosult a bevallása alapján. Más esetekben állítólagos tartozás azonnali rendezésére szólítanak fel.

A csalók rendszerint a NAV nevével, arculati elemeivel és színeivel ellátott üzeneteket küldenek. A mostani e-mailekben gyakran megjelenik a NAV Ügyfélportál hivatalos logója is.

A NAV hangsúlyozza, hogy soha nem tájékoztat e-mailben vagy sms-ben az adótartozás aktuális összegéről, annak rendezéséről vagy az adó visszatérítés lehetőségéről. Azok, akik rendelkeznek DÁP-os vagy Ügyfélkapu pluszos regisztrációval, kizárólag a tárhelyükön kapnak értesítést. Akik nem regisztráltak, postai úton kapnak hivatalos levelet.

A NAV honlapján külön adatbázisban gyűjti a nevével visszaélő leggyakoribb csaló e-maileket és sms-eket, amelyet folyamatosan frissít. A hivatal felhívja a figyelmet arra is, hogy aki ilyen üzenetet kap, ne kattintson az abban szereplő linkre.

Akár még a profik is képesek bedőlni neki

A csalás hitelességét bizonyítja, hogy Horváth Oszkár, a népszerű rádiós, akinek egyébként digitális média- és szoftverfejlesztő cége is van, szintén majdnem bedőlt ennek az átverésnek. Ezt tegnap az Önkényes Mérvadó című műsorban mesélte el.

Horváth elmondása szerint kapott egy e-mail-t, amely, ahogy az a NAV közleményéből már kiderült, SZJA-visszatérítés igénylésével kecsegtetett, melynek határideje aznap lejár. A levél hangvétele és a hivatalos forma pedig már elég volt ahhoz, hogy rákattintson a linkre.

A történet legmeglepőbb része, hogy még a Google-hitelesítő kódját is megadta, annyira valósnak tűnt a felület. Saját bevallása szerint csak akkor kezdett gyanakodni, amikor a rendszer nem kérte az e-mail címét és jelszavát, hanem egyből egy „tárhelyre” dobta, ahol a bankszámlaadatai ellenőrzésére szólította fel.

Nem nehéz kitalálni, hogy ezután mi következett: bankkártyaadatokat kért tőle a rendszer. Ekkor állt meg, és kezdte el vizsgálni a domaint és a feladót, amiből már könnyen azonosítani tudta azt, hogy átverésről van szó.

A digitális média szakember néhány jó tanáccsal is ellátta a felhasználókat, amikből talán nem minden hangzik el a mindennapi közbeszédben. Mint elmondta, a domain-ek vizsgálatakor mindig az első perjel előtti rész számít, és annak kell a szolgáltató valódi domainjének lennie. Ha ott valami nem stimmel, szinte biztosan csalással van dolgunk.

Felhívta a figyelmet arra is, hogy a böngésző címsorában található lakat ikonra kattintva bárki ellenőrizheti az oldal SSL-tanúsítványát. 

Kiemelte, hogy a legtöbb weboldal ingyenes tanúsítványt használ, ami csak a titkosítást igazolja, de online fizetést fogadó szolgáltatóknál kötelező a cégazonosítással ellátott tanúsítvány, amely valóban igazolja, hogy a weboldal mögött az adott vállalat áll. Ez különösen fontos, amikor banki vagy kártyaadatokat kérnek.

A kiberbiztonsági szakértő tanácsai

Tavaly novemberben interjút készítettünk Weismüller Gáborral, a Magyar Bankszövetség Csalás Elleni Munkacsoportjának vezetőjével, aki arról beszélt, hogy az elektronikus visszaélések száma a tavalyi évben közel 38 százalékkal nőtt. A beszélgetés során a szakértő kiemelte azt is, hogy a sikeres csalások elsöprő mennyiségben az ügyfelek óvatlansága miatt következnek be.

Weismüller Gábor akkor szinte az összes létező magyarországi csalástípusról beszélt, valamint arról is, mi a teendő, ha csalás áldozatává válunk – ezen túl pedig természetesen további tanácsokat is megosztott azzal kapcsolatban, hogyan előzhetjük meg azt, hogy megtörténjen a baj. Az interjú IDE kattintva olvasható el.