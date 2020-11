Egy éttermet üzemeltető kis céget vezet Ősze Attila Hegyeshalomban, közel az osztrák határhoz. Júliusban a kisvállalkozó bankszámlájáról internetes csalók elutalták maguknak a számlán lévő teljes összeget, 6,7 millió forintot. A rendőrségi nyomozás jelenleg is tart.

Az utalást nem a vállalkozó és nem is a cég pénzügyeit intéző alkalmazottja kezdeményezte, mely egy Magyarországon bejegyzett kft. bankszámlájára történt. Az internetes csalók a netbankot kihasználva tették a vállalkozót kibertámadás áldozatává.

Hamis oldalon

Júliusban a cég alkalmazottja egy, a bankéhoz hasonló hamis oldalon próbált belépni a pénzintézet internetbankfiókjába. Ebbe úgy lehet bejelentkezni, hogy a felhasználó megadja az azonosító számsort és a jelszót, ezt követően a banknál rögzített telefonszámra kap egy SMS-t egy egyszer használatos kóddal. Ennek a begépelését követően lehet hozzáférni a számlához. Mivel az alkalmazott egy hamis oldalon adta meg az azonosító számsort és a jelszót is, így nem kapott SMS-t, mindössze annyi történt, hogy a hamis oldal egy idő után újra betöltött. Ilyenkor az alkalmazott újra megpróbált belépni az azonosító és a jelszó megadásával, ami ekkor már a csalóknál volt. Viszont ezek birtokában a csalók még nem férhettek hozzá a számlához: az egyszer használatos SMS vagy az okostelefonra letölthető mobiltoken pont ezt hivatott megakadályozni: a belépéshez mindenképp szükség van a felhasználónál lévő telefonra.

Ha megvannak a kódok

– A csalók vélhetően letöltötték telefonjukra a bank mobilalkalmazását. Ahhoz, hogy az alkalmazást használni lehessen, egy regisztrációval össze kell kötni a bankszámlával. Ehhez értelemszerűen ugyanaz az azonosító számsor és jelszó szükséges, amivel a felhasználó a weboldalon is bejelentkezik az internetbankba. Mivel az azonosító és a jelszó már a csalók birtokában volt, elindították a regisztrációt az alkalmazásban – kezdte beszélgetésünket Ősze Attila, a cég tulajdonosa.

Átsiklott a szöveg felett

A regisztráció utolsó lépése, hogy a rendszer kiküld egy SMS-t a felhasználó telefonszámára egy egyszer használatos jelszóval, ami az alkalmazás aktiválására szolgál. Az alkalmazás aktiválásához szükséges kódot tartalmazó SMS hasonlít arra az üzenetre, amit a sima bejelentkezéskor kap a felhasználó. Az alkalmazott, aki addig hiába próbált bejelentkezni az oldalra, abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, átsiklott a szöveg fölött és rutinból begépelte a nyolcjegyű betűsort a hamis oldalon a megfelelő helyre. Ezzel a csalók elől elhárult az utolsó akadály is.

Nem egyedi eset

– Ha a mobiltokent valaki megszerzi, akkor az ingyenes applikáción keresztül úgy lép be, hogy erről a másik fél nem is értesül. Ha van egy széfem, azt tudom biztosítani, viszont a bankszámlámat nem. A bank álláspontja, hogy nem jártunk el körültekintően. Az esetről rendőrségi feljelentés készült ismeretlen tettes ellen, a nyomozás jelenleg is folyamatban van. Továbbá tudomásom van arról, hogy ugyanezzel a módszerrel a csalók egy budapesti vállalkozótól 32 millió forintot utaltak el. Tehát nem csak velünk történt meg ez az eset. Azóta is kapunk adathalász e-maileket a bank nevében. Nemrég a bank, valószínűleg reagálva erre az esetre, egy kör e-mailben figyelmeztette az ügyfeleket, kiemelve a mobiltokent –mondta el lapunknak Ősze Attila.

Átváltották euróra

A vállalkozótól úgy tudjuk, az átutalt pénz felét az elkövetők átváltották euróra, majd a fővárosban egy ATM-ből készpénzben vették fel a teljes összeget, szigorúan ügyelve arra, hogy ne látszódjon az arcuk a biztonsági kamera felvételén.

Az ügy kapcsán megkerestük a Győr-Moson-Sopron Megyei Rendőr-főkapitányság sajtóosztályát is, azonban választ egyelőre nem kaptunk, ennek függvényében a témát tovább folytatjuk.