Soha nem történt annyi banki csalás Magyarországon, mint az idei első félévben. Az átutalásos – elektronikus pénzforgalmi – átverések száma a négyszeresére, az eltulajdonított összeg pedig csaknem a két és félszeresére nőtt az előző évihez képest, meghaladva a rekordnak számító 8 milliárd forintot. A kártyás csalások esetében is több mint 3,5 milliárd forintot loptak el a csalók az első félévben.

Kifinomult technikák

Számos oka van az online csalások megugrásának, de az egyik legfontosabb az internetezők számának felfutása. Magyarországon ma 5,7 millió ember használja az internetet, akik közül egymillióan a járvány óta vannak fenn – ők tapasztalatlanságuk miatt különösen könnyű célpontnak számítanak. Ez is hozzájárulhatott ahhoz, hogy 22 százalékuk, minden ötödik magyar felhasználó vált már online csalás áldozatává.^*A Médiaunió Alapítvány IPSOS-szal együttműködésben készített kutatása szerint.

Sokan állnak úgy a kibertámadásokhoz, hogy ő biztosan nem érdekes a hackereknek, nincsenek nagy értékei, megtakarítása vagy banktitka. Azonban a hackerek nem válogatnak, mindenkire céloznak, hatalmas adatbázisokból szórják az egyre profibb sms-eket.

A legutóbb a magyar rendőrség nevében küldtek 5000 forint körüli összegű be nem fizetett közigazgatási bírságról sms-t, amelyben többnyire tilosban parkolásra hivatkozva keresik meg az érintetteket, elküldve részükre egy adathalász linket is. De nem ritkák karácsony környékén a futárszolgálatoktól érkező hamis üzenetek sem, amire akkor sokkal inkább kattintanak. Ha a címzettek 1-2 százaléka megnyitja a csali sms-t, már a bűnözők járnak jól – hangzott el a Mastercard kiberbiztonsági témában tartott sajtótájékoztatóján.

Alkalmanként egymillió

Az adathalász próbálkozások és a megszerzett adatokkal történő csalási kísérletek száma az elmúlt hónapok során is tovább emelkedett az MNB adatai szerint. Míg a korábbi években évi tíz-tizenöt ügyfélmegkeresés érkezett az MNB ügyfélszolgálatára, addig csak az idei első két negyedévben közel hétszáz. A visszaélési módszerek egyre kifinomultabbak, amire a fogyasztók nincsenek felkészülve.

Az alábbi grafikonon a csalások két fő típusával, a kártyás és az online átutalásos csalással eltulajdonított összeg növekedése látszik:

Ahogy látható, a bankkártyás csalások értéke 2023 első félévében csaknem a kétszeresére, 3,5 milliárd forintra nőtt az előző év hasonló időszakához viszonyítva. Megugrott az egy tranzakcióra jutó átlagos kárösszeg is, a korábbi másfélszeresére, 37 ezer forintra.

Az átutalási csalásoknál az egy csalásra jutó átlagos összeg jóval meghaladja a bankkártyás csalásokét: tavaly csaknem másfél millió forint volt, míg a teljes ellopott összeg a már említett 8 milliárd forint feletti. Az egy tranzakcióra jutó kárösszeg csak azért lett 918 ezer forint az első félében ebben a kategóriában, mert sokkal több csalás történt, a korábbi négyszeresére nőtt az átutalásos csalások száma.

Ahogy az alábbi grafikonon látszik, 2023 második negyedévében indultak be igazán az online átutalásokra utazó csalók, csaknem ötmilliárd forintot loptak el sikeresen és további csaknem hatmilliárd forintot kíséreltek meg eltulajdonítani, sikertelenül.

Annyira sokszínűek lettek a csalási módszerek, hogy a jegybank 2023 eleje óta új statisztikai módszertant vezetett be az online banki csalások nyomon követésére, amely az alábbi grafikonon látható.

Ezzel összecseng, hogy a Mastercard kiberbiztonságról szóló tanulmánya szerint is rosszindulatú szoftverek^*A kártevő szoftverek nemkívánatos műveleteket, például adatlopást vagy a számítógép feltörését végeznek. váltak a domináns támadástípussá, amelyek 2020 és 2022 között az összes támadás közel felét tették ki. Ezt szorosan követi az e-mail-es pszichológiai manipuláció, azaz social engineering: az elkövető érzékeny adatokat vagy pénzt csal ki az áldozatából – ezt teheti spam, hamis e-mailek, adathalászat és szigonyozás formájában is.

Hackertrendek

Sokan futottak már bele a banki call-centereket imitáló csalókba, akik a valódihoz megtévesztésig hasonlító mondatokat, kifejezéseket használva, sőt, a háttérzajokat is beépítve próbálnak adatokat kiszedni a felhívott félből.

A hackerek világa professzionális iparággá változott, ma már egy kész üzleti tervvel indulnak neki a támadásoknak – mondta Nemes Máté, a Mastercard termékfejlesztési menedzsere. A kezdéshez mindössze egy e-mailcím, egy domain kell és egy olyan program vagy módszer, amivel kiszedik a pénzt az áldozatokból.

Újdonság az is, hogy a kiberbűnözés már nem csak a pénzről szól: a támadások alig felében motiválta a közvetlen pénzszerzés az elkövetőket. Sokan az adatokra mennek rá, ipari, katonai, diplomáciai titkokra mennek rá – amiket aztán persze pénzzé lehet tenni.

Az utóbbi hónapok egyik legjelentősebb incidense a 23andMe genetikai elemző cégnél történt, ahonnan 4 millió ügyfél genetikai térképe szivárgott ki egy támadás során. Az adattípus egyedisége miatt hosszú távon egyelőre nem belátható következményei lehetnek – hiszen legegyedibb, megmásíthatatlan biológiai tulajdonságok kerültek illetéktelen kezekbe – jegyezte meg a szakértő.

Bevásárlás a darkweben

Már fejleszteni sem kell zsarolóvírust^*A zsarolóvírus a kártevő szoftverek egy fajtája, amely megfertőzi a felhasználók számítógépét és oly módon manipulálja a rendszert, hogy az áldozat ne férjen hozzá az adataihoz., pár száz dollárért meg lehet venni a feketepiacon. Ezek a vírusok blokkolják a hozzáférést a megszerzett adatokhoz, vagy titkosítják azt és csak a megfelelő kód megadásával lehet feloldani. A hackereknek saját árazási rendszerük a kódokra, jól be tudják lőni az árat ami még megéri az áldozatnak és ki is tudja fizetni. Ez pár száztól több millió dollárig terjedhet, az áldozattól függően – mondta Nemes Máté.

Az amerikai MGM szórakoztató birodalom a napjainkban népszerű zsarolóvírus bandának, a LockBit-nek esett áldozatul. A váltságdíj mértéke 10 millió dollár volt, ám megtagadták ennek kifizetését: ennek következtében az amerikai tőzsdefelügyelethez eljuttatott jelentés szerint több, mint 100 millió dolláros kárt könyveltek el – ismertette az esetet a szakértő.

Trükkök

A darkweben még szervezeti ábrákat is lehet venni, a pontosabb „célzás”, szakszóval a szigonyozás, azaz adathalász e-mailek, üzenetek személyre szabása érdekében. Ha például egy vállalati pénzügyi igazgatójától jön egy levél egy kollégához a könyvelésen, vagy ha releváns neki az e-mail tárgya – például arról szól,  hogy megváltozott egy beszállító számlaszáma – akkor nagyobb eséllyel nyitja meg.

Az utóbbi évek egyik nagy fejlesztése az erős ügyfélhitelesítés bevezetése volt, amely kényelmesebbé tette a kétfaktoros hitelesítést: a kártyabirtokosok banki mobilalkalmazáson keresztül akár az ujjlenyomatuk segítségével tudják jóváhagyni online vásárlásaikat. Azonban pszichológiai manipulációval meg lehet kerülni ezt a védelmi vonalat is.

A csalók ilyenkor e-mailes pszichológiai manipuláció különböző formáit használják a felhasználók bizalmának elnyerésére és arra, hogy rávegyék őket a hamis tranzakciók hitelesítésére. A csaló SCA-tranzakciók 750 millió forintról több mint 5000 millió forintra nőttek 2020 és 2022 között.

Mit tehet a fizetési szolgáltató?

A Mastercard hálózatán keresztül globálisan évente 125 milliárd tranzakciót vizsgálunk meg, a pénzügyi intézményeknek valós időben segítünk a tranzakciók kockázati besorolásának meghatározásában a több mint 10 különböző mesterséges intelligenciát használó rendszerünk segítségével – mondta el Nemes Máté. Ezek folyamatosan figyelik a hálózati és csalási mintákat és képesek riasztást küldeni, ha gyanús tranzakciót találnak – akár egy külföldön tapasztalt csalási módszer miatt. A kereskedők és szolgáltatók számára szintén értékes visszajelzést és kockázatfelmérést adunk például új ügyfelek regisztrációjánál vagy know your customer^*Magyarul “ismerd meg ügyfeled”, ügyfélazonosítási folyamat. folyamatokhoz – tette hozzá a szakértő.

A cikk megjelenését a Mastercard Magyarország támogatta.

G7 támogató leszek! Egyszeri támogatás / Előfizetés

Pénz Támogatói tartalom Olvasson tovább a kategóriában