Egytől tízes skálán szerinted mennyire igaz az az állítás, hogy a bankok rendszerei jók, csak a magánember mint ügyfél vagy felhasználó a gyenge láncszem?
Három pont.

Meglepően alacsony, majd menjünk is bele a részletekbe, de előbb pontozd ezt is: a bankok rendszerei alapvetően biztonságosak, de nem tudnak lépést tartani, a kibercsalók mindig előttük járnak néhány lépéssel.
Hatos.

És ez? Ha eddig nem voltál áldozat, az pusztán azért van, mert mázlid volt.
Nyolcas.

Akkor nézzünk is mögéjük. Mi a baj a bankicsalás-megelőző rendszerekkel?
Nem mondom, hogy a magánember nem hibás, mert az én tapasztalatom is az, hogy az esetek többségében elhibázott valamit, viszont a banki rendszerek meg nagyon nem életszerűen fogják fel a helyzeteket, és olyan alapvető dolgok hiányoznak, mint a tranzakciók valós idejű pontozása fraud scoringgal.

Az nagyon nincs rendben, hogy egy Excel­táblával több csalást ki lehetne szűrni, mint a jelenleg használt banki rendszerekkel. Ha összeírnánk egy ügyfél elmúlt két évének tranzakcióit vagy akár csak az elmúlt fél évét, abból nagy valószínűséggel három Excel-függvényt használva be tudnám neked pirosítani, hogy melyik tranzakció lehetett csalás.

Az az alapvető probléma, hogy a banki rendszerek egy tíz évvel ezelőtti felhasználásra voltak biztonságosak. Abból a szempontból persze ma is azok, hogy a csalók legtöbbször nem a bank rendszerét törik fel, nem a bank pénzét viszik el, hanem az emberekét. Ezt két okból tehetik meg. Egyrészt a bankok nagyon transzparensek a rendszereikkel kapcsolatban, és így a csalók pontosan ismerik az érzékeny pontokat, másrészt nem invesztálnak eleget az ügyfeleik védelmébe, és például nem a valós, aktuális tranzakciós mintákból indulnak ki.

Ahogy egy mai ügyfél használja a bankját, amire használja a bankját, és amilyen tranzakciókat fogad vagy indít, abból fel kéne tudni állítani egy mintát, és akár az apró eltérések is kiugranának. Mondok egy egyszerű példát, megtörtént eset. Volt egy ügyfél, aki csak arra használta a számláját, hogy a fizetését fogadja, és minden hónapban ötvenezer forintos utalást küldött róla lakbér gyanánt. Ennek az embernek három tranzakcióban ötmillió forintját vették le csalók.

Ez hogy nem bukik ki? Úgy, hogy a bank nem követi a mintákat, nem valós időben dolgozza fel az adatokat, és aztán arra hivatkozik, hogy hát ezt automata rendszer hajtja végre, ember ezt nem ellenőrzi, sajnos ebben nem tudunk segíteni.

De az automata rendszer is jelezhetne, vagy blokkolhatná a gyanús tranzakciókat. Miért nem használnak a bankok mesterséges intelligenciát ilyen esetekben?
Ez számomra is érthetetlen. Sajnos, mindig azt látom, hogy a felszínen próbálják megoldani a problémákat, nem mennek el a gyökeréig, hogy hol, honnan fakadnak a gondok, és keményfejűen hárítanak mondván, csak az ügyfél hibázott. Ahelyett, hogy picit megpróbálnának ők is tenni valamit azért, hogy az ügyfél ne hibázzon. Vagy ha hibázik is, ne bukja el a teljes összeget, ami a számláján van.

Mik azok az érzékeny pontok, amiket a csalók is ismernek?
Például tudják, hogy a digitális tárcáknál, az Apple Pay vagy a Google Pay használatánál a bankok kiiktatják a biztonsági rendszereik kilencven százalékát, mert azt mondják, hogy a mobiltárcába már eleve sok biztonsági lépcsőn át került a bankkártya. Tehát úgy vannak vele, hogy ami digitális tárcával történt, az biztonságos tranzakció. Én meg azt látom, hogy a mostani csalások, főleg a magyar felhasználókat érintők, nagyon nagy százalékban ilyen digitális tárcákkal történnek. Pont azért, mert a csalók is pontosan tudják, hogy ezeket a tranzakciókat a bankok nem fogják chargeback eljárásba vinni, és azt is tudják, hogy a költési limitek is általában magasabbak, mint mondjuk az online vásárlásnál.

Ugyanis, ha én digitalizálok egy bankkártyát, és mobiltárcával fizetek, akkor az a bank szempontjából ugyanolyan, mint ha fizikailag a bankkártyámmal vásárolok egy bolti terminálon. Ilyenkor nem az online költési limit a meghatározó, hanem a napi vásárlási limit, ha egyáltalán be van állítva. Sokszor találkozom olyannal, hogy akinek mondjuk tíz-tizenöt-húsz éve van egy adott banknál számlája, ott megmaradt a régi limitmentes időszakból, hogy ami a számlán van, azt el lehet költeni.

Sőt, egyre több az olyan csalás is, ahol milliós személyi kölcsönöket is vesznek fel az ügyfelek nevében, és még azt is leszívják, nem csak a teljes összeget a számláról.

Ezt hogyan csinálják?
A legtöbb bank online bankolás közben kiírja, hogy mi az az összeg, amit azonnal jóváhagy neked, mint személyi kölcsönt. És akkor a csalók lekérik a lehető legnagyobb összeget, az ügyfél meg fizetheti vissza akár évekig, miközben amúgy is fut a pénze után.

Az elmúlt két hétben négy olyan esetem volt, ahol pénzt és személyi kölcsönt együtt loptak el, összesen nyolcvanmillió forintot. Ráadásul nem adathalászat volt, hanem egy elég új trend: telefonos csalók nagyon vonzó befektetéseket ígérnek a felhasználóknak, és tipikusan távoli asztali kapcsolatot hoznak létre a gyanútlan ügyféllel azzal a címszóval, hogy megmutatják, hogyan működik az adott kereskedelmi platform.

Belépnek mondjuk Teamviewerrel vagy hasonló szoftverrel az illető gépébe, és kérnek tőle mondjuk egy ezerforintos befizetést. Bagatell összeget, hogy megmutassák, akár három perc alatt fel lehet tornászni százezer forintra. Csakhogy ehhez már be kell lépnie a bankjába az ügyfélnek, miközben a csalók bent vannak a gépében.

Ilyenkor létrehoznak egy virtuális monitort, amit az áldozat nem lát, de a távoli gépen látható, és amíg az egyik csaló egy teljesen kamu kereskedelmi platformon mutogat valami mesét a felhasználónak, addig egy másik csaló a virtuális monitoron leapasztja a számláját, és akár még kölcsönöket is fölvesz az ügyfél nevében, és azt is elutalja valahová. Az esetek többségében a bank se tud ilyenkor mit tenni.

Hogyan lehet ellene védekezni?
Csak úgy, hogy idegent sosem engedünk be a számítógépünkbe, és úgy, hogy nem hisszük el, hogy egy nap alatt meg lehet gazdagodni egy online befektetési portálon. Ha ilyennel keresnek meg, az biztos, hogy átverés.

Azt mondtad az előbb, hogy a mobiltárcás visszaélések talán a leggyakoribbak. Ebből az is következik, hogy ne használjunk Apple Pay-t vagy Google Pay-t?
Azzal nem védünk ki semmit, ha mi nem használunk Apple vagy Google Pay-t, mert attól még más használhatja a mi kártyánkat digitalizálva. Sőt, most leggyakrabban azzal találkoztam, hogy olyan ügyfeleket céloztak meg, akiknek nem volt mobiltárcás párosításuk, de az ő kártyájukat digitalizálták, és azzal követték el a csalásokat.

Itt például érdekes pont, hogy ha egy felhasználó androidos eszközöket használ az internetbank vagy a telefonos banki applikáció eléréséhez, és a csaló beteszi a kártyáját egy iPhone-ba, akkor szerintem a banknak itt gyanút kellene fognia. Föl kellene tűnnie, hogy ez teljesen más eszköz, más operációs rendszer, és be kéne iktatnia még egy autorizációt, vagy vissza kéne kérdeznie, hogy biztosan a valódi ügyféllel van-e dolga. Sajnos, erre tudtommal egyetlen magyar banknál sincs procedúra.

Ha már magyar bankok, nagyobb biztonságban vagyunk egy klasszikus nagybankban, mint egy Revolut, Wise típusú neobankban?
Nem. A legújabb felfedezésem épp az, hogy a hagyományos bankok még kitettebbek. A neobankok, még ha nem is tudják megoldani a problémánkat, amikor hozzájuk fordulunk, legalább már tudják, hogy miről van szó. A magyar bankoknál viszont azt tapasztalom, hogy tudomást se akarnak venni a csalás tényéről, maximálisan hárítanak, és azt mondják, hogy nyilván az ügyfél adta ki a kényes adatait, ezért őt terheli a felelősség. A legtöbb, amit mondanak, hogy menj a rendőrségre.

Érdekes, amit mondasz, mert korábban az látszott az egyik tanulságnak, hogy a fintech neobankok globális jelenléte miatt ott van a legnagyobb kockázat, illetve, hogy a hazai bankok a reputációjuk védelmében is inkább kooperatívabbak.
Az utóbbit egyáltalán nem látom, legfeljebb a kisebb magyar bankoknál. Ők inkább figyelnek az ügyfélre, a legnagyobbak a legarrogánsabbak.

Ami meg a kitettséget illeti, sajnos, ahogy haladunk előre, és a mesterséges intelligencia egyre nagyobb segítség a csalóknak is, már ugyanígy fel tudnak készülni a magyar bankokból is. Korábban egy magyar nyelvű adathalász mailben vagy üzenetben legalább magyartalanul kommunikáltak a csalók, tele volt hibával. Ma már programozási tudás se kell, hogy lekoppintsák bármelyik magyar bank felületét, és ugyanazzal a szóhasználattal, teljesen hibátlanul kommunikáljanak.

Ezért mostanában az a legtipikusabb, hogy valamilyen online kereskedő oldaláról indul a csalás, Marketplace-ről, Jófogásról, és amikor a fizetésre kerülne sor, ott a meghirdetett termék eladója kiválasztja, hogy melyik bank ügyfele, és mondhat bármilyen bankot, a csaló álvevő fel lesz készülve rá, hogy annak a banknak a nevében kommunikáljon.

Vegyük ezt végig, hogyan történik ez pontosan?
Felteszel egy apróhirdetést, el akarsz adni valamit x forintért. Az álvevő jelentkezik (sokszor egy másodpercen belül jön az üzenet), és azt írja, hogy megvenné az árut, és intézi a futárszolgálatot is hozzá. Elkéri a mailcímed, és küld egy adathalász levelet a Jófogás futár, a Packeta, a Foxpost vagy hasonló szolgáltatók nevében azzal a szöveggel, hogy a vevő elhelyezte náluk letétben azt az összeget, amennyit kapni szeretnél a holmiért. Továbbá kéri, hogy kattints a levélben szereplő weboldalra, ami látszólag valamelyik futárszolgáltatóé, ott válaszd ki a bankod logóját, kattints rá, azon keresztül lépj be a netbankodba, add meg az adataidat, hogy rátehesse az álvevő a pénzt.

Ez így elmondva nyilván átlátszó és gyanús, de ha te el akarsz adni valamit, megörülsz, hogy van vevő, látod a bankod weboldalát, ami hiába kamuoldal, pont úgy néz ki, ahogy szokott, és elhiszed, hogy ez rendben van, ez a modern világ. Csak közben megadtad az összes banki adatodat a csalóknak.

A másik opció, hogy bankkártyaadatokat kérnek, és valós időben párosítják a kártyádat egy digitális tárcával. Ehhez ugye kell egy másodlagos azonosító, ezért itt arra hivatkoznak, hogy a tranzakció sikerességéhez szükséges egy SMS-kód. Vagyis amikor egy felugró ablakban megkapod a visszaigazoló kódot, ami valójában egy Apple Pay-hez vagy Google Pay-hez való társításhoz szükséges kód, azt ők elkérik, azonnal beírják, és körülbelül három percen belül leürítik a számlád, például úgy, hogy egy Revolut- vagy Wise-számlára rögtön feltöltenek vele pénzt.

Nyilván, itt az sem segít, hogy a telefonos operációs rendszerek gyakran megkönnyítik ezt a folyamatot, a kapott SMS-ben felismerik a megerősítő kódot, és akár anélkül is javasolják neked beírásra, hogy megnyitnád az üzenetet.

Nekem azért az fura, hogy sokakat át lehet így verni, hiszen ha én akarok eladni valamit, vagyis kapni fogok pénzt, nem pedig fizetni, akkor legfeljebb a számlaszámomat akarom megadni. Miért hinném el, hogy át kell adnom a kártyaadataimat?
Egyfelől igazad van, másfelől erre mondom azt, hogy szerintem óriási baklövés, hogy a Visa és a Mastercard lehetővé teszi a bankkártyák közötti utalást. Globálisan ez már elérhető, Magyarországon még nem biztos, de csak idő kérdése, hogy ha valakinek megadod a kártyád tizenhat számjegyét, azonnal lehet pénzt tenni rá. Visa és Visa kártyák között, Mastercard és Mastercard kártyák között vagy például PayPalról Revolut kártyára másodpercek alatt megy az átutalás nem a számlaszám, hanem a kártyaszám ismeretében.

Tehát innentől nem feltétlenül igaz az, hogy ha te kapsz pénzt, akkor biztosan nem kell megadnod a kártyaadataidat, mert a csaló vevő is mondhatja azt, hogy ez a legújabb, leggyorsabb pénzküldés, csináljuk így. Akár magára a Mastercard vagy a Visa weboldalára is hivatkozhatnak, hogy nézd meg, így működik.

Úgyhogy nagyon sok olyan pontja van ennek az egész rendszernek, amit én biztos, hogy másképp csinálnék, ezt a kártyák közötti utalást például azonnal eltörölném. Egy ilyen világban, ahol ennyi csaló van, és ennyit csalnak a bankkártyákkal, ez hatalmas biztonsági kockázat.

Miért gondolják a kártyakibocsátók, hogy ez jó ötlet?
A Visa és a Mastercard arra hivatkozik, hogy a kártyaszám önmagában nem elég ahhoz, hogy visszaéljenek a kártyáddal. Kell hozzá a lejárati dátum, meg a CVV kód. Erre meg azt mondom, hogy nincs olyan sok kombináció. Ha van egy szoftverem, és van mondjuk egy álkereskedő, akkor én a lejárati dátumok és a CVV kódok összes lehetséges kombinációját le fogom próbálni. Ezt a másik két adatot legenerálni és kitalálni nem atomfizika, úgyhogy ezt biztos, hogy nem engedném.

A másik: lehet, hogy el kéne engedni a kétfaktoros azonosításnál az SMS-t. Főleg, mert egy kódot várva az ember olyan pszichikai állapotban van, hogy nem fogja elolvasni az SMS teljes szövegét, csak céltudatosan ránéz, keresi a számot, és beírja, vagy kimásolja az üzenetből.

Tehát azt tanácsolod, hogy ilyenkor is olvassuk el a teljes szöveget.
Mindenképp. Elvileg ott észre kell venned, hogy mihez jött a kód, mihez készülsz jóváhagyást adni. Ha egy kártyás vásárláshoz jött, ott van az összeg is, és hogy kinek fogsz fizetni. Ha mobiltárcás párosításhoz jött, az is kiderül. Lehet, hogy két-három perccel több időt fog igénybe venni az egész tranzakció, de ennyit csak megér, hogy ne lopják le a teljes bankszámlaegyenlegedet. De a legjobb az lenne, ha nem SMS-t használnánk erre, mert úgyse fog mindenki mindent mindig elolvasni.

Nem mindig van választás, sokszor nem adnak más opciót a bankok vagy más szolgáltatók az azonosításhoz.
Ez így van, nem véletlen, hogy Amerikában most az a legújabb, hogy OTP-botokat használnak a csalók.

Az OTP itt nyilván nem a magyar OTP.
Nem, ez a one time password, vagyis az egyszer használatos jelszó rövidítése. Az OTP-botok kimondottan az SMS- vagy autentikátoros kódok megszerzésére használhatók. Ez a folyamat úgy néz ki, hogy amikor egy online átverés közben a második faktoros azonosításra kerül a sor, az áldozat egy telefonhívást kap, a kijelzőn pedig gyakran akár a saját bankjának a telefonszáma jelenik meg. Itt egy robot arra kéri, hogy a fokozott ügyfélbiztonság érdekében adja meg a telefonja nyomógombjaival az aktuális másodlagos azonosításhoz szolgáló kódot (SMS- vagy autentikátoros kódot). Amikor megadja, a robot illedelmesen megköszöni, majd bontja a vonalat. Így viszont átadta a kódot a csalóknak.

Ez azért ijesztő, mert már csaló weboldalra sincs szükség, márpedig egy mobilvonalat sokkal nehezebb megfogni vagy lelőni, mint egy kamu weboldalt. És hát mindig azt mondom, hogy ami most van Amerikában, az egy év múlva nálunk is lesz. Szinte biztos, hogy hónapokon belül lesz magyar nyelvű OTP-robot is, és ez még sokkal több csalást eredményezhet.

Te hogyan bankolsz, hogyan védekezel?
Én azt mondom, hogy legyen mindenkinek legalább két bankszámlája, egy, amin a pénzét tartja, és egy másik, amit online vásárlásra használ, vagy online eladásoknál a pénz fogadására. Utóbbin csak annyi pénzt tartsunk, amennyit éppen el akarunk költeni. Például egy Revolut erre tökéletes, ha tudom, hogy vásárolni fogok valamit 150 ezer forintért, akkor rátöltök 150 ezer forintot, levásárolom, és aztán nem lesz rajta egyenleg. Azt a funkciót nyilván ki kell kapcsolni, hogy automatikusan utána töltsünk pénzt a normál számlánkról. Ha így használjuk, akkor ha bukunk is, legfeljebb egy tranzakció összegét bukjuk el, nem az évek alatt összegyűjtött pénzünket.

Én annyira elkülönítek mindent, hogy tíz bankszámlám van, különböző bankokban. Más számlát használok a vállalkozásom pénzügyeire, a Google-hirdetésre, a Meta-hirdetésre, az online költéseimre, tényleg mindenre. Ma, amikor már online is lehet bankszámlát nyitni, és tényleg másodpercek alatt mozgatható a pénz, ez nem egy akkora probléma. Az meg külön nagyon fontos, hogy a megtakarításaimat olyan bankszámlán tartom, amihez nincs bankkártya. Mert a kártya a legnagyobb kockázat, nagyon le tudod csökkenteni a rizikót, ha nincsen.

Azért nem teljesen normális, hogy így kell manapság bankolni.
Egyetértek, ezért kellene, hogy a bank sokkal proaktívabb legyen, és védje a pénzemet. Nem várható el, hogy egy átlagfelhasználó kiberbiztonsági szakértő módjára álljon a bankoláshoz. Ez irreális.

Ezek a példák… Azért mégiscsak jó hülyének kell lenni vs. tíz bankszámla?! Azt kiszámolta valaki, mennyibe kerül a szakadatlan önstresszelés és védekezés? Azt hiszem, én inkább próbára teszem azt az említett szerencsét. YOLO! Viszont hajrá, Levente! Minél több ilyen eset lesz leverve a bankokon (is), annál jobb lesz a védelmük. Put their skin in the game!