Az elmúlt időszakban jelentősen megnövekedett az adathalász bűncselekményeknek a száma tekintettel arra, hogy a csalók egyre többféle módon próbálják a bankszámla tulajdonosok adatait megszerezni.
Az eddigi tapasztalataink alapján az adathalász bűncselekmények elkövetésére az alábbi módokon keresztül kerül sor:
A pénzintézet internetes oldalának Google keresőn keresztül történő megnyitása
A pénzintézet internetes oldalának google keresőn keresztül történő megnyitásakor a google kereső találatai között a pénzintézet internetes oldalához kinézetre teljesen hasonló adathalász oldalak is megjelenhetnek, melyek kizárólag a megnyitásra kerülő oldal URL címének (linkjének) körültekintő elolvasása által különböztethető meg a pénzintézet internetes oldalától.
Az adathalász oldalon keresztül az internetbankba történő belépéskor megadásra kerülő személyes hitelesítési adatok (felhasználónév és jelszó) a csalók birtokába kerül, így a csalás áldozatának internetbankjához hozzáféréssel rendelkeznek.
A legtöbb esetben a csalók birtokukban lévő új mobileszközt aktiválnak a pénzintézet mobilbank szolgáltatásához. Ennek aktiválásához szükséges kódot tartalmazó SMS üzenet a csalás áldozatának telefon készülékére kerül megküldésre, amelyet a csalás áldozata az internetbankba történő belépéshez szükséges kódnak vél, melyet az adathalász oldalon megad.
A csalók az aktivált mobilbankon keresztül utalást tudnak kezdeményezni és jóváhagyni anélkül, hogy a csalás áldozatának telefon készülékére SMS üzenet érkezne. Így a csalás áldozatának részére már kizárólag a bankszámláján történt terhelés megtörténtéről érkezik SMS üzenet.
A bankszámlához tartozó személyes adatok adathalász oldalon történő megadása megelőzhető abban az esetben, ha a pénzintézet internetes oldala a pénzintézet által adott tájékoztatásban vagy felhasználói kézikönyvben található pontos URL címének böngészőbe történő beírásával kerül megnyitásra. Továbbá az új mobilalkalmazás aktiválásához szükséges kódot tartalmazó SMS üzenet szövegének körültekintő és figyelmes elolvasása által tekintettel arra, hogy ezen SMS üzenet szövege minden esetben eltér a belépéshez szükséges kódot tartalmazó SMS üzenet szövegétől és tartalmazza, hogy új mobileszköz aktiválásához szükséges kódot tartalmaz és amennyiben nem kívánt ilyet kezdeményezni hívja a pénzintézet ügyfélszolgálatát.
Internetes oldalon keresztül történő értékesítés
Az adathalász bűncselekmények egyik elkövetési módja, hogy valamely internetes hirdetési oldalon keresztül történő termék értékesítés során az eladására vonatkozó hirdetés feltételét követően a hirdetésre jelentkező vevő az eladótól kéri az e-mail címének megküldését, arra hivatkozással, hogy a megrendeléshez szükséges adatlap kitöltéséhez vagy a csomag automatába történő kézbesítéséhez szükséges. A csalók által így megszerzett e-mail címre egy látszólag az internetes oldaltól érkezett e-mail kerül megküldésre, mely egy linket tartalmaz. Az e-mail szövege alapján a linkre kattintás szükséges a megrendelés visszaigazolásához és a termék árának az eladó számláján történő jóváírásához.
Az e-mailben található link egy adathalász oldalra irányít, amelyen vagy a bankszámlához tartozó internetbankba történő belépéshez szükséges oldallal azonos kinézetű oldal jelenik meg, vagy a hirdetési oldallal azonos kinézetű oldal, mely a bankkártya adataink megadását kéri.
A csalók által ezen módon megszerzett a bankszámlához tartozó személyes hitelesítési adatokkal a csalók az előbbiekben részletesen kifejtett módon mobilbank alkalmazást aktiválnak, melynek birtokában a bankszámla tulajdonos jóváhagyása nélkül utalásokat kezdeményeznek.
Telefonon keresztül történő megtévesztés
A csalók számos esetben a pénzintézet ügyintézőjének kiadva magukat hívást kezdeményeznek, arra hivatkozással, hogy a bankszámlán gyanús pénzmozgást, az internetbankba külföldről történő bejelentkezést vagy a bankkártyával kapcsolatos visszaélést észleltek. Ezen gyanús pénzügyi tevékenységek megakadályozása érdekében a csalás áldozatának a bankszámlájához tartozó személyes hitelesítési adatainak kiadását vagy a bankkártyáján található adatok megadását kérik.
A csalók a telefonhívás során a csalás áldozatának a telefonkészülékére érkező SMS üzenetekben található kódok megadását is kérik a gyanús pénzügyi tevékenységek megakadályozása érdekében.
Ezen esetben is a csalók által új mobileszköz aktiválása kerül kezdeményezésre, amelyhez szükséges SMS üzenetben érkezett kód a csalás áldozata által, mint a gyanús pénzügyi tevékenység leállításához szükséges kód megadásra kerül. Ennek eredményeképpen pedig a korábbiakban is kifejtettek alapján a csalók a mobilbankon keresztül a csalás áldozatának jóváhagyása nélkül utalásokat kezdeményezhetnek.
Ezen elkövetési mód esetében fontos megjegyezni, hogy a telefonhívások során a pénzintézet ügyintézői bankkártya adatokat vagy a bankszámla feletti rendelkezéshez szükséges adatokat semmilyen esetben sem kérnek, így ezen esetben azonnal tudható, hogy telefonos megtévesztés áldozati vagyunk.
Kémprogram letöltése
Az adathalász bűncselekmények további elkövetési módja, hogy SMS üzenetben -leggyakrabban csomagküldésről értesítő SMS üzenetben vagy be nem fizetett költségek rendezéséről szóló SMS üzenetben- egy linket küldenek a csalás áldozatának részére, mely a megnyitást követően egy kémprogram kerül telepítésre a készülékre. Ennek eredményeképpen a csalók hozzáférnek a készüléken található adatokhoz, valamint a megnyitásra kerülő alkalmazásokat is figyelemmel tudják kísérni. Így a készüléken keresztül a bank internetes oldalának vagy a mobilbanknak a használatakor a bankszámlához tartozó személyes hitelesítési adatok a csalók birtokába kerülnek. Továbbá a kémprogram által a készülékre érkező SMS üzenetekhez is hozzáférnek, melyre tekintettel a bankszámlához tartozó internetbankba történő belépéshez, illetve pénzügyi tranzakció kezdeményezéséhez szükséges kódok is a birtokukba kerülnek.
Ezen adathalász bűncselekménnyel kapcsolatosan fontos megjegyezni, hogy ismeretlen forrásból származó SMS üzenetben található linknek minden esetben gyanúsnak kell lennie és készülékeinkre minden esetben kizárólag ismert forrásból származó szoftverek és programok kerüljenek telepítésre.
Adathalász bűncselekmény észlelése esetén a teendő:
Amennyiben a bankszámlánkhoz tartozó személyes hitelesítési adataink, vagy bankkártya adataink illetéktelen személyek birtokába kerülését valószínűsítjük, vagy a bankszámlánkról általunk jóvá nem hagyott utalás teljesítését észleljük haladéktalanul szükséges a pénzintézet ügyfélszolgálatának a felkeresése és bejelentés megtétele, valamint a bankszámlához tartozó internetbanki hozzáférés, illetve bankkártya letiltásának kezdeményezése.
A jóvá nem hagyott pénzügyi tranzakcióval kapcsolatosan a pénzintézet részére panaszbejelentés tehető, melyben a vitatott pénzügyi tranzakció összegének megtérítése kérhető. Amennyiben a panaszbejelentés megvizsgálását követően a pénzintézet a vitatott pénzügyi tranzakció összegének megtérítését elutasítja a Pénzügyi Békéltető Testület előtt eljárás kezdeményezhető.
A Pénzügyi Békéltető Testület előtti eljárás során a vitatott tranzakció teljesítésének körülményei kivizsgálásra kerülnek.
A pénzintézet felelősségének jogszabályi háttere
Az adathalász bűncselekmények következményeképpen a bankszámla tulajdonosok által jóvá nem hagyott utalások kerülnek a pénzintézet által teljesítésre, melyek következtében a bankszámla tulajdonosok jelentős összegű kárt szenvednek.
A pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) szabályozza a pénzintézetek felelősségét a jóvá nem hagyott utalásokkal kapcsolatosan. A Pft. 37. § (1) bekezdése alapján a fizetési művelet teljesítésére a pénzintézet által kizárólag abban az esetben kerülhet sor, ha azt a fizető fél, vagyis a bankszámla tulajdonosa vagy rendelkezési jogosultja előzetesen jóváhagyta. A Pft. 43. § (1) bekezdése alapján amennyiben a bankszámla tulajdonosa az általa jóvá nem hagyott utalás helyesbítése iránt kérelmet terjeszt elő, akkor a pénzintézet kötelezettsége azon tény bizonyítása, hogy a bankszámla tulajdonosa által a kifogásolt pénzügyi tranzakció jóváhagyásra került. A Pft. 44. § (1) bekezdés a) és b) pontja alapján a pénzintézet köteles megtéríteni a jóvá nem hagyott pénzügyi tranzakció összegét és a bankszámla megterhelés előtti állapotát helyreállítani. A Pft. 45. §-a alapján a pénzintézet mentesül a bankszámla tulajdonos által jóvá nem hagyott utalás megtérítése alól abban az esetben, ha bizonyítja, hogy a bankszámla tulajdonos a személyes hitelesítési adatainak biztonságban tartására vonatkozó kötelezettségét szándékosan vagy súlyosan gondatlanul megszegte, különösen, ha a készpénz-helyettesítő fizetési eszköz használatához szükséges személyes hitelesítési adatait arra nem jogosult harmadik fél részére átadta vagy megismerhetővé tette.
A pénzintézetek felelősségére vonatkozó jogszabályi háttért összegezve az adathalász bűncselekmények eredményeképpen kezdeményezett fizetési műveletek esetében a pénzintézetet terheli a bizonyítási kötelezettség arra vonatkozóan, hogy a bankszámla tulajdonos által a vitatott fizetési művelet jóváhagyásra került, vagy szándékos vagy súlyos gondatlan magatartásával a személyes hitelesítési adatainak biztonságban tartására vonatkozó kötelezettségét megszegte. Amennyiben a pénzintézet által az előbbiek nem kerülnek bizonyításra a pénzintézet köteles megtéríteni a bankszámla tulajdonos részére a kifogásolt pénzügyi tranzakció összegét.
A pénzintézet általános szerződési feltételei, szabályzatai, tájékoztatásai:
A pénzintézetek általános szerződési feltételei a legtöbb esetben tartalmazzák, hogy a bankszámla tulajdonos vagy rendelkezési jogosult tartozik felelősséggel a bankszámlához tartozó személyes hitelesítési adatokért (felhasználónév és jelszó) és ezen adatokat köteles mindenkivel szemben titkosan kezelni és megőrizni, továbbá a legnagyobb gondossággal eljárva biztosítani, hogy arról jogosulatlan harmadik személy tudomást ne szerezzen, hozzá ne férjen. A bankszámlához tartozó személyes hitelesítési adatok, így nem jegyezhetőek fel, elektronikus fizetési eszközre nem rögzíthetőek, vagy bármely elektronikus fizetési eszközzel együtt őrzött más tárgyra, beleértve a mobiltelefont, valamint az adatok tárolására alkalmas hordozható vagy rögzített elektronikus, illetve papír alapú eszközöket is.
Az általános szerződési feltételek a bankszámla tulajdonos vagy rendelkezésre jogosult szándékos vagy súlyos gondatlan magatartásának minősíti, ha a bankszámlához tartozó személyes hitelesítési adatok rendeltetésszerű és biztonságos használatára vonatkozó az általános szerződési feltételekben foglalt előírások, figyelmeztetések megszegését, be nem tartását.
A pénzintézet internetbankjához tartozó felhasználói kézikönyv tartalmazza, hogy a pénzintézet internetbankja kizárólag a felhasználói kézikönyvben meghatározott internetes cím böngészőbe történő beírása útján nyitható meg. A legtöbb esetben a felhasználó kézikönyv azt is tartalmazza, hogy elektronikus levélben található linken keresztül történő megnyitása hamis weboldalra vezethet.
Továbbá a pénzintézet honlapján az adathalász bűncselekményekkel kapcsolatosan tájékoztatást tesz közzé, melyben felhívják a figyelmet arra, hogy a pénzintézet nevében történő telefonhívás esetén a bank internetes fiókjába történő belépéshez szükséges jelszó, illetve kód ne kerüljön kiadásra tekintettel arra, hogy a bank ilyen adatokat sosem kér.
Amennyiben a vitatott pénzügyi tranzakcióval kapcsolatosan a pénzintézet általános szerződési feltételeiben, felhasználói kézikönyvében foglaltak be nem tartására, megszegésére kerül sor abban az esetben a bankszámla tulajdonos, illetve rendelkezésre jogosult súlyosan gondatlan magatartása megállapítható, melyre tekintettel a pénzintézet mentesül a vitatott pénzügyi tranzakció megtérítésének kötelezettsége alól.
Cikkünk folytatódik: Az adathalász bűncselekmények legújabb elkövetési módjai
