Mayer Gellért Levente nem titkolja, hogy amit ő csinál, azt nem lehet jól csinálni, ha nem épülsz be egy kicsit az alvilágba is. Tizennégy évesen kapta az első számítógépét, és kezdett hekkerkedni, majd lett belőle etikus hekker. Öt éve foglalkozik profi szinten banki csalások elleni védelemmel, egyéni vállalkozóként segíti a klienseit, akik többnyire ajánlás útján jutnak el hozzá.
Forbes.hu: Egytől tízes skálán szerinted mennyire igaz az az állítás, hogy a bankok rendszerei jók, csak a magánember, mint ügyfél vagy felhasználó a gyenge láncszem
Mayer Gellért Levente: Három pont.
Meglepően alacsony, majd menjünk is bele a részletekbe, de előbb pontozd ezt is: a bankok rendszerei alapvetően biztonságosak, de nem tudnak lépést tartani, a kibercsalók mindig előttük járnak néhány lépéssel.
Hatos.
És ez? Ha eddig nem voltál áldozat, az pusztán azért van, mert mázlid volt.
Nyolcas.
Akkor nézzünk is mögéjük. Mi a baj a bankicsalás-megelőző rendszerekkel?
Nem mondom, hogy a magánember nem hibás, mert az én tapasztalatom is az, hogy az esetek többségében elhibázott valamit, viszont a banki rendszerek meg nagyon nem életszerűen fogják fel a helyzeteket, és olyan alapvető dolgok hiányoznak, mint a tranzakciók valós idejű pontozása fraud scoringgal.
Az nagyon nincs rendben, hogy egy Excel-táblával több csalást ki lehetne szűrni, mint a jelenleg használt banki rendszerekkel.
Ha összeírnánk egy ügyfél elmúlt két évének tranzakcióit vagy akár csak az elmúlt fél évét, abból nagy valószínűséggel három Excel-függvényt használva be tudnám neked pirosítani, hogy melyik tranzakció lehetett csalás.
Az az alapvető probléma, hogy a banki rendszerek egy tíz évvel ezelőtti felhasználásra voltak biztonságosak. Abból a szempontból persze ma is azok, hogy
a csalók legtöbbször nem a bank rendszerét törik fel, nem a bank pénzét viszik el, hanem az emberekét.
Ezt két okból tehetik meg. Egyrészt a bankok nagyon transzparensek a rendszereikkel kapcsolatban, és így a csalók pontosan ismerik az érzékeny pontokat, másrészt nem invesztálnak eleget az ügyfeleik védelmébe, és például nem a valós, aktuális tranzakciós mintákból indulnak ki.
Ahogy egy mai ügyfél használja a bankját, amire használja a bankját, és amilyen tranzakciókat fogad vagy indít, abból fel kéne tudni állítani egy mintát, és akár az apró eltérések is kiugranának.
Még több. A Revolut-dosszié | Eltűnt milliók nyomában
Mik azok az érzékeny pontok, amiket a csalók is ismernek?
Például tudják, hogy a digitális tárcáknál, az Apple Pay vagy a Google Pay használatánál a bankok kiiktatják a biztonsági rendszereik kilencven százalékát, mert azt mondják, hogy a mobiltárcába már eleve sok biztonsági lépcsőn át került a bankkártya. Tehát úgy vannak vele, hogy ami digitális tárcával történt, az biztonságos tranzakció. Én meg azt látom, hogy a mostani csalások, főleg a magyar felhasználókat érintők, nagyon nagy százalékban ilyen digitális tárcákkal történnek. Pont azért, mert a csalók is pontosan tudják, hogy ezeket a tranzakciókat a bankok nem fogják chargeback eljárásba vinni, és azt is tudják, hogy a költési limitek is általában magasabbak, mint mondjuk az online vásárlásnál.
Ugyanis, ha én digitalizálok egy bankkártyát, és mobiltárcával fizetek, akkor az a bank szempontjából ugyanolyan, mint ha fizikailag a bankkártyámmal vásárolok egy bolti terminálon. Ilyenkor nem az online költési limit a meghatározó, hanem a napi vásárlási limit, ha egyáltalán be van állítva.
Sokszor találkozom olyannal, hogy akinek mondjuk tíz-tizenöt-húsz éve van egy adott banknál számlája, ott megmaradt a régi limitmentes időszakból, hogy ami a számlán van, azt el lehet költeni.
Sőt, egyre több az olyan csalás is, ahol milliós személyi kölcsönöket is vesznek fel az ügyfelek nevében, és még azt is leszívják, nem csak a teljes összeget a számláról.
Ezt hogyan csinálják?
A legtöbb bank online bankolás közben kiírja, hogy mi az az összeg, amit azonnal jóváhagy neked, mint személyi kölcsönt. És akkor a csalók lekérik a lehető legnagyobb összeget, az ügyfél meg fizetheti vissza akár évekig, miközben amúgy is fut a pénze után.
Csak az elmúlt két hétben négy olyan esetem volt, ahol pénzt és személyi kölcsönt együtt loptak el, összesen nyolcvanmillió forintot. Ráadásul nem adathalászat volt, hanem egy elég új trend:
telefonos csalók nagyon vonzó befektetéseket ígérnek a felhasználóknak, és tipikusan távoli asztali kapcsolatot hoznak létre a gyanútlan ügyféllel azzal a címszóval, hogy megmutatják, hogyan működik az adott kereskedelmi platform.
Belépnek mondjuk Teamviewerrel vagy hasonló szoftverrel az illető gépébe, és kérnek tőle mondjuk egy ezerforintos befizetést. Bagatell összeget, hogy megmutassák, akár három perc alatt fel lehet tornászni százezer forintra. Csakhogy ehhez már be kell lépnie a bankjába az ügyfélnek, miközben a csalók bent vannak a gépében.
Ilyenkor létrehoznak egy virtuális monitort, amit az áldozat nem lát, de a távoli gépen látható, és amíg az egyik csaló egy teljesen kamu kereskedelmi platformon mutogat valami mesét a felhasználónak, addig egy másik csaló a virtuális monitoron leapasztja a számláját, és akár még kölcsönöket is fölvesz az ügyfél nevében, és azt is elutalja valahová. Az esetek többségében a bank se tud ilyenkor mit tenni.
Hogyan lehet ellene védekezni?
Csak úgy, hogy idegent sosem engedünk be a számítógépünkbe, és úgy, hogy nem hisszük el, hogy egy nap alatt meg lehet gazdagodni egy online befektetési portálon. Ha ilyennel keresnek meg, az biztos, hogy átverés.
Azt mondtad az előbb, hogy a mobiltárcás visszaélések talán a leggyakoribbak. Ebből az is következik, hogy ne használjunk Apple Pay-t vagy Google Pay-t?
Azzal nem védünk ki semmit, ha mi nem használunk Apple vagy Google Pay-t, mert attól még más használhatja a mi kártyánkat digitalizálva. Sőt, most leggyakrabban azzal találkoztam, hogy olyan ügyfeleket céloztak meg, akiknek nem volt mobiltárcás párosításuk, de az ő kártyájukat digitalizálták, és azzal követték el a csalásokat.
Itt például érdekes pont, hogy ha egy felhasználó androidos eszközöket használ az internetbank vagy a telefonos banki applikáció eléréséhez, és a csaló beteszi a kártyáját egy iPhone-ba, akkor szerintem a banknak itt gyanút kellene fognia. Föl kellene tűnnie, hogy ez teljesen más eszköz, más operációs rendszer, és be kéne iktatnia még egy autorizációt, vagy vissza kéne kérdeznie, hogy biztosan a valódi ügyféllel van-e dolga. Sajnos, erre tudtommal egyetlen magyar banknál sincs procedúra.
Ha már magyar bankok, nagyobb biztonságban vagyunk egy klasszikus nagybankban, mint egy Revolut, Wise típusú neobankban?
Nem. A legújabb felfedezésem épp az, hogy a hagyományos bankok még kitettebbek. A neobankok, még ha nem is tudják megoldani a problémánkat, amikor hozzájuk fordulunk, legalább már tudják, hogy miről van szó. A magyar bankoknál viszont azt tapasztalom, hogy tudomást se akarnak venni a csalás tényéről, maximálisan hárítanak, és azt mondják, hogy nyilván az ügyfél adta ki a kényes adatait, ezért őt terheli a felelősség. A legtöbb, amit mondanak, hogy menj a rendőrségre.
Érdekes, amit mondasz, mert korábban az látszott az egyik tanulságnak, hogy a fintech neobankok globális jelenléte miatt ott van a legnagyobb kockázat, illetve, hogy a hazai bankok a reputációjuk védelmében is inkább kooperatívabbak.
Az utóbbit egyáltalán nem látom, legfeljebb a kisebb magyar bankoknál. Ők inkább figyelnek az ügyfélre, a legnagyobbak a legarrogánsabbak.
Ami meg a kitettséget illeti, sajnos, ahogy haladunk előre, és a mesterséges intelligencia egyre nagyobb segítség a csalóknak is, már ugyanígy fel tudnak készülni a magyar bankokból is. Korábban egy magyar nyelvű adathalász mailben vagy üzenetben legalább magyartalanul kommunikáltak a csalók, tele volt hibával. Ma már programozási tudás se kell, hogy lekoppintsák bármelyik magyar bank felületét, és ugyanazzal a szóhasználattal, teljesen hibátlanul kommunikáljanak.
Ezért mostanában az a legtipikusabb, hogy valamilyen online kereskedő oldaláról indul a csalás, Marketplace-ről, Jófogásról, és amikor a fizetésre kerülne sor, ott a meghirdetett termék eladója kiválasztja, hogy melyik bank ügyfele, és mondhat bármilyen bankot, a csaló álvevő fel lesz készülve rá, hogy annak a banknak a nevében kommunikáljon.
Vegyük ezt végig, hogyan történik ez pontosan?
Felteszel egy apróhirdetést, el akarsz adni valamit x forintért. Az álvevő jelentkezik (sokszor egy másodpercen belül jön az üzenet), és azt írja, hogy megvenné az árut, és intézi a futárszolgálatot is hozzá. Elkéri a mailcímed, és küld egy adathalász levelet a Jófogás futár, a Packeta, a Foxpost vagy hasonló szolgáltatók nevében azzal a szöveggel, hogy a vevő elhelyezte náluk letétben azt az összeget, amennyit kapni szeretnél a holmiért. Továbbá kéri, hogy kattints a levélben szereplő weboldalra, ami látszólag valamelyik futárszolgáltatóé, ott válaszd ki a bankod logóját, kattints rá, azon keresztül lépj be a netbankodba, add meg az adataidat, hogy rátehesse az álvevő a pénzt.
Ez így elmondva nyilván átlátszó és gyanús, de ha te el akarsz adni valamit, megörülsz, hogy van vevő, látod a bankod weboldalát, ami hiába kamuoldal, pont úgy néz ki, ahogy szokott, és elhiszed, hogy ez rendben van, ez a modern világ. Csak közben megadtad az összes banki adatodat a csalóknak.
A másik opció, hogy bankkártya-adatokat kérnek, és valós időben párosítják a kártyádat egy digitális tárcával. Ehhez ugye kell egy másodlagos azonosító, ezért itt arra hivatkoznak, hogy a tranzakció sikerességéhez szükséges egy SMS-kód. Vagyis amikor egy felugró ablakban megkapod a visszaigazoló kódot, ami valójában egy Apple Pay-hez vagy Google Pay-hez való társításhoz szükséges kód, azt ők elkérik, azonnal beírják, és körülbelül három percen belül leürítik a számlád, például úgy, hogy egy Revolut- vagy Wise-számlára rögtön feltöltenek vele pénzt.
Nyilván, itt az sem segít, hogy a telefonos operációs rendszerek gyakran megkönnyítik ezt a folyamatot, a kapott SMS-ben felismerik a megerősítő kódot, és akár anélkül is javasolják neked beírásra, hogy megnyitnád az üzenetet.
Te hogyan bankolsz, hogyan védekezel?
Én azt mondom, hogy legyen mindenkinek legalább két bankszámlája, egy, amin a pénzét tartja, és egy másik, amit online vásárlásra használ, vagy online eladásoknál a pénz fogadására. Utóbbin csak annyi pénzt tartsunk, amennyit éppen el akarunk költeni. Például egy Revolut erre tökéletes, ha tudom, hogy vásárolni fogok valamit 150 ezer forintért, akkor rátöltök 150 ezer forintot, levásárolom, és aztán nem lesz rajta egyenleg.
Azt a funkciót nyilván ki kell kapcsolni, hogy automatikusan utána töltsünk pénzt a normál számlánkról.
Ha így használjuk, akkor ha bukunk is, legfeljebb egy tranzakció összegét bukjuk el, nem az évek alatt összegyűjtött pénzünket.
Én annyira elkülönítek mindent, hogy tíz bankszámlám van, különböző bankokban. Más számlát használok a vállalkozásom pénzügyeire, a Google-hirdetésre, a Meta-hirdetésre, az online költéseimre, tényleg mindenre. Ma, amikor már online is lehet bankszámlát nyitni, és tényleg másodpercek alatt mozgatható a pénz, ez nem egy akkora probléma.
Az meg külön nagyon fontos, hogy a megtakarításaimat olyan bankszámlán tartom, amihez nincs bankkártya.
Mert a kártya a legnagyobb kockázat, nagyon le tudod csökkenteni a rizikót, ha nincsen.
Azért nem teljesen normális, hogy így kell manapság bankolni.
Egyetértek, ezért kellene, hogy a bank sokkal proaktívabb legyen, és védje a pénzemet. Nem várható el, hogy egy átlagfelhasználó kiberbiztonsági szakértő módjára álljon a bankoláshoz. Ez irreális.