Mire az egyik trükköt megtanuljuk, az internetes csalóktól máris jön a következő. Terjedőben van a bankkártyák idegen telefonra digitalizálása, az MNB pedig arra figyelmeztet, hogy a nevében nem létező befektetési porgrammal nyúlják le a pénzt a bűnözők.

A Magyar Nemzeti Bank (MNB) feljelentést tett a nyomozó hatóságnál és figyelmeztetést tett közzé egy, a nevével visszaélő újabb csalássorozat nyomán. (Tavaly szeptemberben és idén májusban adathalász támadók már a jegybank telefonszámaival visszaélve próbálták megszerezni az ügyfelek bizalmas banki adatait.) A mostani támadássorozatnál a csalók a közösségi médiában tesznek közzé – vélhetően robotokkal – céges hirdetéseket arról, hogy az MNB (jellemzően a MOL-csoporttal vagy más társasággal közösen) befektetési programot indított el, s ennek keretében az együttműködő cég részvényeit lehet megvenni. 

A jegybank mögé bújva szedik el a megtévesztettek pénzét

A hirdetésre kattintókat olyan honlapra navigálják át, amelyiken az ország vezető internetes hírportáljainak arculatával, esetleg ismert közéleti szereplőkkel, hamisított újságcikkekben reklámozzák a befektetést. Innen tovább lépve az ügyfelek megadhatják adataikat, majd a csalók telefonos, e-mailes egyeztetés nyomán szerződéstervezetet küldenek nekik. Az ezt aláíró, majd pénzt átadó ügyfelek többé nem kapják vissza befektetésüket.

A csalók mostanáig Luna Capitals, Cosmos Capital, Act Human Capital, Devix Group, Market Internal, illetve Multistox cégneveket használtak a visszaéléseknél. A bűncselekmény hitelességének növeléséért az általuk kiküldött „Projekt beruházási megállapodás” vagy „Arbitrázsi megállapodás” elnevezésű szerződéseken egy jelenleg vagy korábban felügyelt intézmény MNB tevékenységi engedélyszámát szerepeltetik. Az ügyfelekkel való egyeztetések során az MNB közvetítői adatbázisából véletlenszerűen kiválasztott magánszemélyek neveit és nyilvántartási számait használják. 

Szintén a rászedettek hamis megnyugtatását szolgálja, hogy a dokumentumokon valótlanul azt is állítják, hogy a befektetők ügyfélszámláján lévő pénzt a jegybank garantálja. A minimális befizetési összeg 90 ezer forint, amire a hirdetésekben irreális (akár heti 100 százalékos) hozamot ígérnek, passzív jövedelemként elérhető kiváló megtakarítási lehetőségként.

Az áldozat gépére telepíttetnek programot

A valóság ezzel szemben az, hogy az MNB nem indított el befektetési programot a közelmúltban egyetlen tőzsdei kibocsátó társasággal sem, így ehhez kapcsolódó garanciát sem vállal. Az MNB-hez idén eddig több mint 20 ügyfélmegkeresés érkezett a témában. Két ügyféltől a csalók nem csak a kezdeti befektetési összeget, de milliós megtakarítást vettek el, a magukat „befektetési tanácsadóként” vagy „könyvelőként” feltüntető csalók úgy, hogy távoli elérést biztosító programot telepíttettek a magánszemély számítógépére. 

Támadásaik célja egyedül a befektetők megtakarításainak megszerzése, a csalás, vagyis nem végeznek jogosulatlan pénzügyi tevékenységet (például engedély nélküli tőkepiaci műveleteket, betétlekötést) sem. Az ügyfelek pénzét magánszámlákra utaltatják el, majd azonnal eltűnnek. Ha valaki pénzt adott át ilyen módon a csalóknak, vagy bankszámlájánál egyéb visszaélést tapasztal, célszerű haladéktalanul feljelentést tennie a rendőrségen, bejelentést tenni bankjánál, segítve a visszaélések felderítését.

A kártyadigitalizációra is érdemes nagyon vigyázni

Az MNB a honlapjára felkerült másik tájékoztató anyagban arra is figyelmeztet, hogy kifejezetten elterjedt visszaélési módszernek számít, amikor a csalók az ügyfél bankkártyáját digitalizálják. Ha az ehhez szükséges kódot megadja az áldozat, akkor a mobiltárca vagy okoseszköz későbbi használatakor már nem érkezik megerősítő kód, így a további tranzakciók sokszor csak a számlakivonatból derülnek ki. 

A tokenizáció pedig épp a biztonság érdekében annak elkerülésére szolgál, hogy a kereskedő megkapja a kártyaszámunkat. A tokenizációt használó mobiltárcák úgy működnek, hogy a kártya regisztrálásakor a kártyaszámot egyedi, véletlenszerűen képzett számokkal helyettesítik, a kártyaadatokat ezáltal kicserélik egy helyettesítő tokenre. Vásárláskor az eszközünk így már nem a tényleges kártyaszámot használja, hanem csak az adott tranzakcióra vonatkozó fizetési token kódot. 

Fizetéskor tehát nem a kártyaadatokat, hanem ezt a hivatkozást kapja meg a kereskedő, és a tokenszolgáltató tudja visszafejteni, kizárólag egy arra megfelelő feloldó kulccsal. Mivel ilyenkor nem ténylegesen a kártya használata történik, nem is kell PIN-kódot megadni, és az erős ügyfélhitelesítés sem elvárt az egyes vásárlásokhoz, csak magához a tokenizációhoz. Tehát ha óvatlanul megadjuk az ehhez szükséges kódot, azzal lényegében korlátlan hozzáférést engedünk a kártya digitális használatához, és ezáltal a bankszámlánk megcsapolásához.