Több bank is jelezte az elmúlt hetekben, hogy megszaporodtak náluk az adathalász csalási kísérletek. A Magyar Nemzeti Bank (MNB) a Napi.hu kérdésére válaszolva közölte: hozzájuk 2018-ban összesen 74 darab, 2019-ben 37 darab, 2020-ban június 23-ig 3 darab internetes csalással összefüggő ügyféljelzés érkezett, melyek többségében az ügyfelek arról számoltak be, hogy adathalász gyanús e-mailt kaptak, melyet tájékoztatásul a bank vagy az MNB felé is közvetlenül megküldtek.
A károkról nincs adat
Az MNB ügyfélszolgálata az adathalászattal összefüggő jelzések esetén tájékoztatja az ügyfelet - többek között - az adathalászat jellemző módszereiről, azok felismerésének és kezelésének javasolt módjáról, valamint az igénybe vehető jogorvoslati lehetőségekről is. Az MNB az adathalászattal összefüggő ügyfélkárok nagyságára, összegszerűségére vonatkozóan nem rendelkezik hivatalos statisztikai adattal.
A jegybank válaszában leírta: a pénzügyi intézmények ügyfeleit érintő internetes csalások (például adathalászat) során a csalók többféle módszerrel igyekeznek a személyes banki azonosítókat kicsalni az érintettektől: leggyakrabban az intézmény nevében telefonhívással, e-mailben, sms-ben veszik rá a számlatulajdonost a banki műveletekhez szükséges titkos azonosítók kiadására, de előfordulhat, hogy e-mailen egy - vírust vagy kémprogramot elhelyező - "banki alkalmazás" letöltését kérik, vagy a gyanútlan ügyfeleket az eredetire megtévesztésig hasonlító, de valójában hamis internetbanki oldalra csalják.
Bármelyik esetről is legyen szó, általánosságban elmondható, hogy az adathalász támadások olyan bűncselekmények, melyek teljesen függetlenek a pénzügyi intézményektől, illetve a banki informatikai rendszerektől és azok biztonsági védelmétől. Az adathalászok nem a bankok informatikai rendszereit támadják, hanem a csalás különböző eszközeivel magukat az ügyfeleket veszik rá saját - elektronikus felületeken használható - banki azonosító adataik önkéntes megadására.
Az MNB ugyanakkor adathalász támadások esetén elvárja a bankoktól, hogy az incidensről - a jegybank mellett - a potenciálisan érintett ügyfeleket (például saját internetes felületeiken vagy sajtóközlemény útján), illetve szükség esetén a rendőrséget is tájékoztassák, s tegyenek meg minden szükséges intézkedést a hamis banki oldalak mielőbbi letiltására.
A PSD2 és az erős ügyfélhitelesítés sokat segít
Az MNB a sikeres és sikertelen visszaéléseket folyamatosan monitorozza. Tekintettel az utólagos negyedéves időszakú adatszolgáltatási kötelezettségre, 2020. első negyedévére vonatkozóan megállapítható, hogy az összes átutalási és csoportos beszedési tranzakciók összértékét tekintve a sikeres visszaélések aránya továbbra is rendkívül alacsony. A sikeres visszaélésbe beleértendő például az adathalászat útján megszerzett hitelesítési adat és megtévesztésen alapuló visszaélés is.
A COVID-19 járvány okozta helyzetben megnőtt ugyan az online kezdeményezett fizetési műveletek használata, de az erős ügyfélhitelesítés alkalmazása kapcsán szorgalmazott - MNB által is támogatott - változások várhatóan még inkább segíteni fogják a visszaélések visszaszorítását, növelve az érintett fizetési műveletek biztonságát.
Az MNB arra bátorítja a hazai szereplőket, hogy az európai szinten kitűzött 2020. december 31-i véghatáridő előtt, mielőbb alkalmazzák a megfelelő hitelesítési eljárásokat és a két hitelesítési faktor meglétét az érintett fizetési műveletek terén is (jelenleg ugyanis elegendő a fizetési kártyán található adatok megadása, a CVC kódot is beleértve). Ha ugyanis bevezetik a további, új hitelesítési elemet, akkor a megszerzett adatok ellenére sem lehetséges kezdeményezni a fizetési műveletet, mert csupán az egyik hitelesítési elem ismerete nem elegendő.
A webshopok az MNB-től egy év haladékot kaptak tavaly szeptemberben a kétlépcsős hitelesítés bevezetésére, amely kizárja azt, hogy pusztán a bankkártya-adatok birtokában bárki vásárolhasson más bankkártyájával náluk.