„CEO-csalás” és társai – Hogyan próbálkoznak az online csalók a cégeknél?

Az elmúlt időszakban a magánemberek mellett a kis- és középvállalatokat is egyre többet támadják kiberbűnözők, akik folyamatosan dolgoznak az egyre profibb banki csalásokon. Az MNB és a bankok rengeteget tettek a jelenség felszámolásáért, de a legnagyobb előrelépést az edukációval lehetne elérni.

„Szia! Sürgős, a főnök mondta, hogy…” – általában ezekkel a szavakkal kezdődnek azok az emailek és SMS-ek, amelyekkel online csalók kis- és középvállalatok munkatársait bombázzák, és amelyek közül sajnos sok a pénz elvesztésével végződik – mondta Szabados Richárd, a Nemzetgazdasági Minisztérium államtitkára a január 28-án megrendezett Financial Fraud Summit pénzügyi konferencián. Az érintettek közül ilyen esetekben sokan úgy érzik, hogy “leharapja a fejemet a tulajdonos, ha visszakérdezek”, de nem szabad így eljárni, mert bármilyen banálisnak hangzik, a csalásokat legkönnyebben visszakérdezéssel lehet megelőzni.

A cégeket érintő csalások közül népszerű az is, hogy a kiberbűnözők a NAV nevében kérnek utalást, például sürgős áfafizetési kötelezettségre hivatkozva, komoly büntetéssel fenyegetőzve. Hasonlóan gyakori, hogy a számlavezető bank vagy a cég tulajdonosa – ez utóbbi a „CEO-csalás” – nevében kérnek utalást, esetleg az egyik beszállító nevében jelentkeznek be, hogy megváltozott a bankszámlaszámuk, és az új számlaszámra kérik a kiegyenlítést. Szabados szerint a magyar kis- és középvállalatoknál két komoly problémával szoktak találkozni, az egyik, hogy túl sok alkalmazottnak van hozzáférése a céges pénzügyekhez, a másik, hogy nincs bevett protokoll, hogy mit kell csinálni, ha már a csalás áldozatává váltak. Néhány viszonylag egyszerű lépéssel el lehet kerülni a csalások nagy részét: a sürgős utalási kéréseket és az új számlaszámokat például mindig le kell ellenőrizni, ha lehet, telefonon. Ezen kívül segít, ha minden tranzakcióhoz kétlépcsős azonosítást vezetnek be, nem adnak mindenkinek hozzáférést, és céges számlán a kis, néhány ezres tételeket is ellenőrzik.

A Vállalkozásfejlesztési és Pénzügyi Szemléletformálási Alapítvány által támogatott eseményen elhangzott, hogy az elektronikus tranzakciók száma az elmúlt években folyamatosan nőtt, 2024-ben pedig már minden pénzforgalmi tranzakció 42 százalékát így intézték. Ez a Magyar Nemzeti Bank becslése szerint 2030-ra a kétharmadot is elérheti, így a banki csalások elleni küzdelem a következő években csak egyre fontosabb lesz. A digitalizációval együtt pedig megjelentek a digitális bűnözők is: 2024-ben Magyarországon 42 milliárd forintnyi sikeres csalás történt. Az elmúlt években az MNB szigorított az ügyfélvédelmi szabályokon, a bankok pedig fontos fejlesztéseket hajtottak végre a csalások megelőzése és megakadályozása érdekében. Emiatt mostanra már a korábbinál kevesebb pénzt csalnak ki a magyarokból, de ez még mindig ötmilliárd forint negyedévente.

A pénzügyi csalások a következő időszakban valószínűleg az emberi manipuláció kifinomodása irányába fognak fejlődni – mondta Rajna Gábor, a Raiffeisen Bank lakossági bankolásért felelős vezérigazgató-helyettese. A szakember szerint a gépeket, rendszereket lehet és kell fejleszteni, de „a leggyengébb láncszem továbbra is az ember”, ezért az olyan felhasználóknak, mint a kis- és középvállalatok, elsősorban a pénzügyeik kezelésével megbízott munkavállalóik fejlesztésére kellene koncentrálni. A szakember szerint a kis- és középvállalatoknál a legfontosabb a „négy szem elv” alkalmazása, vagyis az, hogy végrehajtás előtt minden fontos tranzakciót legalább ketten átnézzenek. Érdemes tehát szimulálni ismert csalásokhoz hasonló helyzeteket, akár rendszeresen is, hogy megfelelő gyakorlatra tegyenek szert a munkatársak.

A banki csalások elkövetői „nemzetközi digitális pszichológusok” lettek – mondta a konferencián Orbán Tamás, a Visa közép-kelet-európai kockázatkezelési menedzsere. A kiberbűnözőknek magasszintű pszichológiai tudása van, amelyet a mesterséges intelligencia segítségével egyre könnyebben használnak, és folyamatosan tesztelik, hogy melyik csalási típus működik. Amikor aztán valami bejön, azonnal felskálázzák, és elkezdik nagyon sok emberen alkalmazni. Orbán egy friss példát is felhozott: a csalók szeretnek eseményekre reagálni, ha például történik a világban valahol egy tragédia, azonnal létrehoznak adománygyűjtő oldalakat, de a 13. és 14. havi nyugdíj utalásakor is várható, hogy megjelennek majd erre felhúzott csalások.

Az online csalások feltűnően nagy része, körülbelül 30 százaléka adatlopással indul, ami azért különösen komoly probléma, mert egyetlen ellopott jelszó egy-egy nagyobb rendszert is veszélybe sodorhat – tette hozzá Wittinghoff Dániel, a Mastercard kibervédelmi üzletfejlesztési igazgatója. Az utóbbi időszak egyik fontos trendje, hogy megjelentek a deepfake alapú csalások, a megtévesztő tartalmú videókkal és hangokkal pedig különösen könnyű átverni a digitálisan nem érett, ilyenekhez nem értő ügyfeleket. A hatékony védekezésnek három pilléren kellene alapulnia, a technológiai fejlesztésen, az edukáción és a különböző szereplők közötti együttműködésen.

A csalások megelőzése érdekében a bankok egy sor eszközt bevetnek, az egyik ezek közül, hogy a mobilról indított utalásoknál ellenőrzik, milyen folyamatok játszódnak le az eszközön - mondta Dr. Kósa Anna, a magyarországi Erste Bank compliance vezetője. Ezt úgy kell elképzelni, hogy azalatt a néhány másodperc alatt, amíg a felhasználó rögzíti az utalás adatait – például beírja a számlaszámot – megnézik, milyen appok futnak még a háttérben, nem történik-e az eszközön valami nagyon szokatlan. Ha igen, közbelépnek.

Az eseményen többször szóba került annak a kérdése, hogy pontosan ki mennyiben felelős a banki csalásokért. Weissmüller Gábor, a Magyar Bankszövetség csalás elleni munkacsoportjának vezetője felhozta, hogy bár a legtöbb esetben az ügyfelek hibáznak, szerinte “a labda a bankoknál és a szabályozónál pattog”, a problémákra pedig elsősorban nekik kellene megoldásokat találni. A legtöbben sajnos azonnal bezárják azokat a tájékoztató emaileket, amelyeket a bankjuktól kapnak, és nem életszerű, hogy minden felületen 18 karakteres, kis- és nagybetűkből, valamint különleges karakterekből álló jelszavakat használjunk.

Hasonlóan látja Czimer Gergely, a Raiffeisen Bank vállalati és digitális fizetési megoldásokért felelős ügyvezető igazgatója, aki szerint rengeteget dolgoznak a csalások megakadályozása érdekében, de mivel a banki csalások jelentős százalékában az ügyfél jár el gondatlanul, ezért az egyik első lépés a saját felelősség felismerése. Hiba lenne éppen ezért elmenni abba az irányba, hogy valaki mindig kárpótolja az ügyfeleket - így ugyanis szerinte csökkenhet a felhasználók figyelme. A pénzügyi rendszer szereplőinek ugyanis közös érdeke és célja kell legyen a csalások megakadályozása.

Az viszont komoly probléma Zátonyi János, az MBH Bank fizetési megoldások és innovációs központjának igazgatója szerint, hogy a jogszabályi előírások miatt a bankok nem mindig tudnak olyan gyorsan fejleszteni, mint a csalók, és hogy a Google nem tesz eleget a csaló oldalak kiszűréséért, ezek gyakran felugranak a kereséseknél a szponzorált tartalmak között. Az egyik megoldás az lehet, hogy ösztönzik a felhasználókat arra, hogy tényleg olvassák el a figyelmeztető üzeneteket, és az is segítene, ha a hatóságok ügyesebben felderítenék a csaló hálózatokat.

A banki fizetésforgalom legújabb eleme a qvik fizetési rendszer lehet, ami egy QR-kód-alapú azonnali átutalást jelent. Az elmúlt egy évben a qvik népszerűsége rohamosan nőtt, de még elmarad a kártyás fizetésekétől. A rendszer még jó ideig nem lesz teljeskörű alternatívája az előbbieknek, de lehetnek olyan helyzetek, ahol használata optimálisabb, mint a bankkártyáké. A megszólalók szerint az elterjedését nagyban befolyásolhatja, hogy a kiskereskedők mennyire alkalmazzák majd a boltjaikban.

Az átutalásos csalások elleni védekezésben a banki szűrőrendszereket egyre jobban támogathatja a Giro Zrt-ben tavaly júliustól működő, öntanuló Központi Visszaélésszűrő Rendszer (KVR) is, a kettős védvonal a szakértők reményei szerint még hatékonyabban fogja tudni védeni az ügyfeleket és pénzüket. A rendszerek fejlettsége azonban mit sem ér az emberek nélkül: addig, amíg hatásos szöveggel egy unokázós csaló pénz utalásra tud rászedni egy idős asszonyt, akinek nincs is unokája, addig a védelem mindig féllábú lesz – emlékeztettek a szakértők.