Egy éttermet üzemeltető kis céget vezet Ősze Attila Hegyeshalomban, közel az osztrák határhoz. Júliusban a vállalkozótól, a cég bankszámlájáról internetes csalók elutalták maguknak a számlán lévő teljes összeget, 6,7 millió forintot. A rendőrségi nyomozás jelenleg is tart. Az utalást nem a vállalkozó és nem is a cég pénzügyeit intéző alkalmazottja kezdeményezte, amely egy Magyarországon bejegyzett kft. bankszámlájára történt. Az internetes csalók a netbankot kihasználva tették a vállalkozót kibertámadás áldozatává – írja a Kisalföld.hu hírportál.

Hamis oldalon

Júliusban a cég alkalmazottja egy, a bankéhoz hasonló hamis oldalon próbált belépni a pénzintézet internetbankfiókjába. Ebbe úgy lehet bejelentkezni, hogy a felhasználó megadja az azonosító számsort és a jelszót, ezt követően a banknál rögzített telefonszámra kap egy SMS-t egy egyszer használatos kóddal. Ennek a begépelését követően lehet hozzáférni a számlához. Mivel az alkalmazott egy hamis oldalon adta meg az azonosító számsort és a jelszót is, így nem kapott SMS-t, mindössze annyi történt, hogy a hamis oldal egy idő után újra betöltött. Az alkalmazott újra megpróbált belépni az azonosító és a jelszó megadásával, ami ekkor már a csalóknál volt. Viszont ezek birtokában a csalók még nem férhettek hozzá a számlához: az egyszer használatos SMS vagy az okostelefonra letölthető mobiltoken pont ezt hivatott megakadályozni: a belépéshez mindenképp szükség van a felhasználónál lévő telefonra.

Ha megvannak a kódok

– A csalók vélhetően letöltötték telefonjukra a bank mobilalkalmazását. Ahhoz, hogy az alkalmazást használni lehessen, egy regisztrációval össze kell kötni a bankszámlával. Ehhez értelemszerűen ugyanaz az azonosító számsor és jelszó szükséges, amivel a felhasználó a weboldalon is bejelentkezik az internetbankba. Mivel az azonosító és a jelszó már a csalók birtokában volt, elindították a regisztrációt az alkalmazásban – tudta meg a kisalföldi hírportál Ősze Attila vállalkozótól.

Átsiklott a szöveg felett

A regisztráció utolsó lépése, hogy a rendszer kiküld egy SMS-t a felhasználó telefonszámára egy egyszer használatos jelszóval, ami az alkalmazás aktiválására szolgál. Az alkalmazás aktiválásához szükséges kódot tartalmazó SMS hasonlít arra az üzenetre, amit a sima bejelentkezéskor kap a felhasználó. Az alkalmazott, aki addig hiába próbált bejelentkezni az oldalra, abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, átsiklott a szöveg fölött, és rutinból begépelte a nyolcjegyű betűsort a hamis oldalon a megfelelő helyre. Ezzel a csalók elől elhárult az utolsó akadály is.

Nem egyedi eset

– Ha a mobiltokent valaki megszerzi, akkor az ingyenes applikáción keresztül úgy lép be, hogy erről a másik fél nem is értesül. Ha van egy széfem, azt tudom biztosítani, viszont a bankszámlámat nem. A bank álláspontja, hogy nem jártunk el körültekintően. Az esetről rendőrségi feljelentés készült ismeretlen tettes ellen, a nyomozás jelenleg is folyamatban van. Továbbá tudomásom van arról, hogy ugyanezzel a módszerrel a csalók egy budapesti vállalkozótól 32 millió forintot utaltak el. Tehát nem csak velünk történt meg ez az eset. Azóta is kapunk adathalász e-maileket a bank nevében. Nemrég a bank, valószínűleg reagálva erre az esetre, egy kör-e-mailben figyelmeztette az ügyfeleket, kiemelve a mobiltokent – mondta el a Kisalföld.hu hírportálnak Ősze Attila.

A teljes cikk IDE kattintva érhető el.