Újfajta csalási séma terjed több – jellemzően külföldi – weboldalon. Ezeken a weboldalakon vonzó áron terméket vagy szolgáltatásokat kínálnak úgy, hogy a kereskedők az ügyféltájékoztatókban, jellemzően az apró betűs részben elrejtik, hogy az ügyfelek a vásárlásukkal jóváhagyják, hogy egy – esetleg a termékhez egyáltalán nem kötődő – ismétlődő előfizetést igényelnek. Az ügyfelek az erős ügyfélhitelesítéssel jóváhagyott vásárlási tranzakciók után azt tapasztalják, hogy rendszeresen megterhelik számlájukat, amelyhez – az előfizetésre tekintettel – már nem szükséges az előzetes jóváhagyásuk.

&Mit tehetsz?

& minden esetben olvasd el az ügyféltájékoztatót!

& vásárlás előtt keress rá a hirdetőre, olvass értékeléseket, ismertetőket az adott termékről és az eladóról!

& kizárólag biztonságos fizetési szolgáltatásokkal fizess! Gyanakodj, ha pénzküldési szolgáltatás használatát kérik!

& használj olyan virtuális kártyát, amit speciálisan csak online vásárlásokra szokás alkalmazni és eseti jelleggel töltheted fel a vásárláshoz éppen szükséges összeggel, így legrosszabb esetben is csak az ezen a másodlagos kártyán lévő összeget veszítheted el!

& bank-, vagy kártyatársaság alkalmazásán kívül egyéb alkalmazásnak nem adj engedélyt a kártyaadataid megjegyzésére!

& óvakodj a hihetetlenül jó ajánlatokat kínáló reklámoktól, vagy a csodát ígérő termékektől!

& állíts be számládhoz és kártyádhoz napi és tranzakciós limiteket, online vásárlási limitet vagy korlátozást!

Az karácsony előtti vásárlási időszakot a csalók és egyes kereskedők is kihasználják: újabb és újabb összegekkel terhelik meg az óvatlan vásárlók bankkártyáját. A módszer nagyon egyszerű: a megvásárolni kívánt, rendkívül kedvező árú termék felkelti figyelmedet, ahhoz azonban, hogy igénybe vehesd a kedvezményt el kell fogadnod egyéb – akár a termékhez nem kapcsolódó – ismétlődő szolgáltatás igénybevételét.

A csalás azért is különösen veszélyes, mert a terhelés néhány nap, hét elteltével történik meg, amikor már nehezen kapcsolod össze, hogy az ismétlődő terheléshez egy régebbi – nem körültekintő vásárlás során – egyeztél bele.

& mire figyelj?

• minden webshopos regisztrációkor, vásárláskor mérlegeld, hogy megbízható-e az oldal, ahol megadod bankkártya adataidat,
• vásárlás előtt ellenőrizd a webáruházat: nézd meg az értékeléseit, olvasd el a termékismertetőket,
• kizárólag biztonságos fizetési szolgáltatásokkal fizess,
• bank vagy kártyatársaság alkalmazásodon kívül a kártyádat ne rögzítsd,
• mérlegeld minden esetben az előre történő fizetés kockázatait,
• csak biztonságos internetkapcsolat használatakor fizess, ne használj ingyenes vagy nyilvános wifi hálózatokat,
• óvakodj a hihetetlenül jó ajánlatokat kínáló reklámoktól vagy a csodát ígérő termékektől,
• ha nem beszélsz idegen nyelveket, ne végezz regisztrációt olyan weboldalon, ahol magyar fordítás nem vehető igénybe,
• ne dőlj be a közösségi média felületein gyakran feltűnő, ellenőrizhetetlen hirdetéseknek,
• ha csomagküldő szolgálattól kapsz üzenetet (bármilyen csatornán), gondosan vizsgáld meg kattintás előtt a linket, gondold végig, hogy valós-e a rendelés.

& mit tehetsz?

Ha azzal szembesülsz, hogy számodra ismeretlen kereskedő rendszeresen – szándékoddal ellentétesen – kisebb-nagyobb összegekkel terheli meg a számládat, az újabb terhelések megelőzése érdekében haladéktalanul tiltsd le a kártyádat.

A karácsonyi időszkaot minden évben igyekeznek a csalók kihasználni, ezért tájékozódj oldalunkon a különféle csalási trendekről és tartsd szem előtt: a támadók akár többféle csalást is ötvözhetnek a cél érdekében, légy különösen óvatos!

Légy óvatos, ha a Microsoft nevében hívnak fel arra hivatkozva, hogy a számítógépedet hackertámadás érte, vagy vírusos lett.

A csalóknak az sem akadály, ha nem beszélsz angolul, ekkor fordító segítségével, videóhívásban próbálnak meg kommunikálni veled.

Ha nem vagy óvatos, megpróbálnak távoli hozzáférést biztosító program(ok) (pl Anydesk, Supremo) telepítésére rávenni, majd arra hivatkoznak, hogy egy új, biztonsági számla létrehozására van szükség a pénzed biztonságba helyezéséhez és számlát nyittatnak a Revolutnál, vagy egy kriptós cégnél. Ha van Revolut számlád, akkor ezt használják fel arra, hogy kártyás tranzakciókkal feltöltsd rá a bankszámládon lévő összegeket. A csalás más változatában elkérik a kártya adataidat és tőled már csak a csalárd tranzakciók jóváhagyását kérik. A „biztonsági számlához” a távoli hozzáférés miatt a csalók is hozzáférnek, onnan a saját maguk részére továbbküldik az összegeket.

Előfordult olyan eset is, hogy a csalók észlelték, hogy a kártyás tranzakciót a Bank csalásgyanú miatt elutasította és még arra is rávették az ügyfelet, hogy hívja fel a Bank ügyfélszolgálatát és „engedélyeztesse a tranzakciót” a Bankkal.

Mit tehetsz?

Soha ne telepíts más kérésére applikációt, szoftvert. Ha ilyen kérést fogalmaz meg feléd bárki, vagy a bankszámla, bankkártya hitelesítő adataidat kéri, esetleg azt szeretné elérni, hogy utald a pénzeszközeidet egy „biztonságos” számlára, szakítsd meg a hívást és jelezd a számlavezető bankod felé az esetet.

Ha megtörtént a baj, haladéktalanul tiltasd le a kártyádat, mobiltokenedet, hozzáféréseidet és tegyél rendőrségi feljelentést. A részletes lépéseket a jelen oldal „mit tegyél, ha támadás áldozatává váltál” menüpontjában találod.

Ha az interneten keresel sürgős szerelési, javítási munka elvégzéséhez szakembert, ügyelj, nehogy csalók áldozatává válj. Létező csalás trend, hogy a "szakember" előre utalást kér a munka elvégzéséhez:

• a teljes szerelési, javítási munka összegét előre utalással elkéri,

vagy

• először egy kisebb összeg utalását kéri el előre utalással a szerelési, javítási munkára, majd arra hivatkozva, hogy nem jó a számla (nem jó az összeg, nem tartalmazza az áfa-t stb.) azt ígéri, hogy visszautalja a korábban elutalt kisebb összeget az ügyfél részére, és kéri egy magasabb összeg előre utalását.

A szerelési, javítási munkák elvégzése természetes nem történik meg.

Mit tehetsz?

Soha ne utalj addig, amíg az általad megrendelt szolgáltatás maradéktalanul el nem lett végezve. Mielőtt felveszed a kapcsolatot egy szakemberrel, ellenőrizd az értékeléseit, referenciáit.

Ha mégis megtörtént a baj, tegyél rendőrségi feljelentést.

Légy gyanakvó, ha közeli hozzátartozód keres üzenetküldő alkalmazáson. A csalók (általában a gyermekednek) kiadva magukat Viber/Messenger/WhatsApp ingyenes üzenetküldő alkalmazáson keresztül kereshetnek meg. Ha valaki egy idegen személy elérhetőségéről keres a gyermekednek kiadva magát arra hivatkozva, hogy elromlott/elveszett a telefonja, majd azt kéri, hogy utalj át egy idegen számlára bármekkora összeget, majdnem biztos, hogy csalók próbálnak megkárosítani. Ebben az esetben a csalók jellemzően élnek a sürgetéssel, mint pszichológiai manipulációs eszközzel (pl. azonnal szükség van pénzre, mert ki kell fizetnie egy számlát, vagy ellopták a pénzét stb.) az idegen számlára pedig a jellemző magyarázat, hogy gyermeked számláját zárolták, ezért egy ismerősének a számlaszámát adja meg kedvezményezett számlaszámként.

Mit tehetsz? Mindig bizonyosodj meg arról, hogy tényleg azzal beszélsz/csetelsz, akinek kiadja magát a vonal másik végén levő személy. Ne bízz a videóbeszélgetésben, a mesterséges intelligencia segítségével már nagyon jól hamisíthatóak a hangok és az arcok is. Hogyan bizonyosodhatsz meg a másik fél személyazonosságáról? Kérdezz olyat, amit csak ő tudhat. Pl.: milyen volt szombaton Petinél a házibuli? Ha azt mondja, hogy jól sikerült, de te tudod, hogy nem volt a gyereked házibulin, akkor biztos lehetsz abban, hogy csalókkal állsz szemben. Ebben az esetben a legjobb, ha megszakítod a beszélgetést és feljelentést teszel a rendőrségen.

az adathalászat a csalások egy alfajtája, ami napjaink egyik legnagyobb online fenyegetése, aminek szinte mindenki ki van téve. Ahogyan neve is jelzi, az adathalászat az adataink megszerzését célzó támadás. Technikai eszközökkel nagyon sok támadás megelőzhető, azonban nélküled a technikai eszközök keveset érnek. Mi a K&H-nál igyekszünk minden erőnkkel megóvni a pénzedet és adataidat, de a védelem egyik kulcseleme Te vagy.

& miért lenne jó a támadónak, ha meg tudná szerezni az adataimat?

• a bankkártyád, bankszámlád és hitelesítő adataid birtokában könnyedén megszerezheti a pénzedet, hitelt vehet fel, vagy vásárolhat a nevedben. A jelszavaid birtokában hozzáférhet a levelezésedhez, közösségi profiljaidhoz, az általad használt alkalmazásokhoz, sőt hamis online személyt hozhat létre, posztolhat a nevedben, legvégső esetben pedig az adataidat eladhatja a darkweben… és ez csak a jéghegy csúcsa

& miért annyira elterjedt az adathalászat?

• az adathalászathoz nincs szükség mély technikai ismeretekre.

& hogyan működik az adathalászat?

• az adathalászat során a hackerek a pszichológiai manipulációt használják annak érdekében, hogy megszerezzék az adataidat. Csábító, figyelem felkeltő, nagy haszonnal kecsegtető, vagy épp ellenkezőleg, megfélemlítő, szankcióval fenyegető megkeresést kaphatsz, aminek célja, hogy a lehető legtöbb adatodat megszerezzék.

& milyen csatornákon érkezhet megkeresés?

• gyakorlatilag bármilyen online csatornán, illetve telefonon is kaphatsz adathalász megkeresést. Magyarországon a leggyakoribbak az e-mailben érkező adathalász levelek, azonban egyre nagyobb gyakorisággal fordulnak elő a telefonos és sms-ben történő adathalász támadások is. Létezik a chat alkalmazásokon keresztül, vagy épp a közösségi oldalakon történő adathalászat is. A támadók számára bármilyen csatorna megfelelő, ahol nem szükséges személyesen megjelenniük.

a csalások pszichológiája

Annak ellenére, hogy a pénzintézetek és a hatóságok is komoly energiát fektetnek a csalás megelőzésbe még mindig elmondható, hogy sokan esnek adathalászok áldozatául és az esetek jelentős részében olyan emberek, akik hallottak már az adathalászatról, több-kevesebb pontossággal felismerik a csalások jeleit. Mi lehet annak az oka, hogy az ügyfelek megadják adataikat a csalóknak?

&a sérthetetlenség illúziója

„Igen, hallottam már történeteket és olvastam is már cikkeket az adathalászatról, de elképzelhetetlennek tartottam, hogy ez velem is megtörténhet.” – mondta egyik ügyfelünk miután a csalók megpróbálták megszerezni adatait. A sérthetetlenség illúziója egy olyan szorongást csökkentő elhárító mechanizmus, ami miatt az emberek úgy érzik, mintha egy védőháló venné őket körül, a rémisztő, elrettentő dolgok velük nem történhetnek meg. A hamis biztonságérzet a felhasználókat gyanútlanná teszi, így nincsenek felkészülve a támadásokra, a gyakorlatban sokszor a meglévő tudásuk is cserben hagyja őket, amikor gyorsan kell reagálni.

&túl kis pont vagyok én ehhez

„Az előadások során szinte minden esetben elhangzik az a mondat, hogy túl kis pont vagyok ahhoz, hogy engem akarjanak megtámadni, ez azonban nincs így. Egyrészt az összegyűjtött adatok, mint név, e-mail cím, telefonszám stb. konkrét összegekért találnak vevőre, másrészt akinek megvannak az adataink, az bármikor indíthat akár egyszerű, tömegesen generált támadást, amely címzettjei közt mi is szerepelünk, de akár célzottan ellenünk irányuló támadást is.” – mondta el a K&H Bank információbiztonsági munkatársa, aki kiemelte, hogy az adathalászok számára nem csupán a banki, vagy személyes adataink jelentenek értéket, hanem a közösségi médiába feltöltött fényképeink, vagy posztjaink, hiszen az összegyűjtött információk alapján könnyedén indíthatnak célzott támadást ellenünk, vagy akár ismerőseink ellen, esetleg a mi nevünkben is.

&a sürgetés a legerősebb fegyver

„Nincs két teljesen egyforma kiberbűnözési ügy, de a csalási »forgatókönyvekben« szinte minden esetben előfordul egy alapvető elem: a gyors cselekvésre sarkallás” – fejtette ki dr. Dávidné Hidvégi Julianna klinikai szakpszichológus, az Áldozatsegítő Szolgálat szakértője. Hozzátette: a legtöbb áldozat arról számolt be, hogy az elkövetők félelmet keltő állításokkal próbáltak azonnali reakciót kicsikarni belőlük. Annak érdekében, hogy biztosra menjenek, a csalók azonnal a legfájóbb pontokat célozzák – azzal riogatnak, hogy veszélybe került a személyes pénzügyi helyzetünk, a megtakarításunk, vagy akár szeretteink biztonsága. „A digitális csalók sokféleképpen próbálkoznak, a céljuk azonban mindig ugyanaz: hogy ijedtünkben gondolkodás nélkül, reflexszerűen reagáljunk, kikapcsolva a természetes bizalmatlanságunkat és óvatosságunkat.”

&eltűnik a realitás: a legtöbben ezért válnak áldozattá

A potenciális áldozatok helyzetét nehezíti, hogy sokszor igazi profikkal állnak szemben. „Azok a csalók, akik fenyegetnek, nagyon nagy tapasztalattal rendelkeznek a megfélemlítésben, és az áldozat hanghordozásából és/vagy szóhasználatából érzékelik, hogy meddig mehetnek el, vagy azt, hogy folytathatják-e, mert ők is kerülhetnek veszélybe. Az ilyen elkövető a tapasztalataira alapozva ismeri fel, hogy az adott személynek milyen félelmei, szorongásai vannak, melyet kihasználva bármire rá tudja venni” – mondta dr. Szilágyi Zsuzsanna, a Békéscsabai Áldozatsegítő Központ koordinátora. A félelmetes kijelentések határozott fellépéssel társulnak – ez a kombináció pedig gyakran sikeresen rombolja le a potenciális sértett önbizalmát. A felvázolt hamis szituáció okozta pánik gyakran átveszi az irányítást a racionális gondolkodás fölött. „A félelem és a szorongás megbénítja az áldozatot, gondolkodása beszűkül és képtelen racionálisan értékelni a kialakult helyzetet. Az áldozat ezáltal irányíthatóvá válik, és önmaga védelme érdekében kész megtenni azokat a lépéseket, amelyeket az elkövetők meghatároznak – magyarázza dr. Dávidné Hidvégi Julianna. – A lényeg, hogy időt nyerjünk! Hogy elbizonytalanítsuk a csalót az általa nem várt reagálásunkkal, visszavegyük a vezetést, és ne hagyjuk, hogy ő irányítson!”

&mit tegyél?

A szakemberek egybehangzó véleménye szerint a legjobb védekezés, ha gyakorlatban próbáljuk meg elsajátítani a védekezést. Ennek egyik módja, ha folyamatosan rászoktatjuk magunkat arra, hogy minden linket ellenőrizzünk akár e-mailben, akár sms-ben, vagy egyéb típusú üzenetben érkezett, függetlenül attól, hogy munkahelyen, vagy magánéletünkben kaptuk.

Érdemes rákeresni az interneten és többször meghallgatni azokat a felvételeket, amelyek telefonos csalásokat rögzítettek. Időnként képzeljük el azt, hogy mi vagyunk a hívott fél helyében és gondoljuk végig mit reagálnánk, majd objektíven elemezzük és korrigáljuk a reakciót, amit aztán begyakorolhatunk.

Mindenki érzi, amikor próbálják nyomás alá helyezni. Álljunk meg pár percre és gondoljuk végig: mit veszíthetünk, ha engedünk a nyomásnak. Csupán néhány másodperc ”késlekedés”, amíg felhívjuk a bankunkat az általunk ismert számon, de megéri, hiszen így gyorsan valós segítséget kaphatunk és egyben ellenőrizni tudjuk azt is, hogy tényleg támadás van-e ellenünk folyamatban, vagy csupán egy próbálkozásnak vagyunk elszenvedői.

Forrás: mediaunio.hu

Az egyik leggyakrabban előforduló adathalász módszer, hogy illetéktelenek valósnak tűnő telefonszámról - sok esetben más bank nevében - próbálják az ügyfelek bankkártya adatait és egyes azonosítóit megszerezni. Az is előfordulhat, hogy más bank nevében telefonálnak, majd miután kiderül a támadók számára, hogy a hívott szám a K&H ügyfele, akkor “átkapcsolnak” a K&H ügyintézőjéhez, vagy a K&H nevében azonnal újra hívják az ügyfelet.

Hívószám-hamisítás (phone spoofing)

A hívószám-hamisítás egy speciális technika, ami lehetővé teszi a csalók számára, hogy módosítsák a hívószámot (például a K&H Bank telefonszámát feltüntetve), amely a telefon kijelzőjén jelenik meg, elrejtve ezzel a valódi hívó fél azonosságát. Vagyis amikor egy ilyen hívást fogadsz, a kijelzőn nem a valódi hívó telefonszáma jelenik meg, hanem egy másik, gyakran ismerősnek tűnő szám, például a bank telefonszáma. Ez növeli a csalók hitelességét és segíti a csalókat abban, hogy az áldozatokat becsapják. Egy ismerős telefonszám kevésbé tűnhet gyanúsnak, így nagyobb eséllyel ki tudják csalni a kívánt adatokat az áldozatokból.

hogyan védheted meg magad a telefonos csalóktól? 

• óvatossággal és fenntartással fogad a váratlan telefonhívásokat
• a sürgősség szokatlan és gyanús: gondold át alaposan, hogy mit kérnek tőled a hívók
• soha ne oszd meg személyes vagy pénzügyi információid, a bank nem kér ilyet telefonon
• ne hidd el, hogy a kijelzett telefonszám valóban a bank ügyfélszolgálati száma, keresd meg a bank hivatalos weboldalán a szervezet telefonszámát 
• ne bízzon bárkiben: a csalók könnyen megszerezhetik alapvető információid közösségi média profilokból, ne higgy a hívónak csak azért, mert néhány személyes adatodat ismeri
• soha ne telepíts olyan programot, amit valaki telefonon keresztül kér tőled, hogy telepíts, a csalók gyakran így veszik át az irányítást az eszközöd felett
• ne utalj pénzt telefonos kérésre, a bank sosem kér pénzügyi tranzakciót telefonon keresztül
• ha a telefonhívás során felmerül benned a gyanú, azonnal szakítsd meg a beszélgetést, hívd fel a K&H Telecentert a központi elérhetőségek bármelyikén és jelezd nekik gyanúdat
• az ügyintézőhöz hasonlóan te is kérheted, hogy a hívó fél igazolja, hogy valóban a K&H bank alkalmazottja

Jellemzően hibás magyarsággal, gépelési, helyesírási hibákkal készült levelek, amelyek

• visszautasíthatatlan ajánlattal (pl. csúcskategóriás okostelefon ingyen) kecsegtetnek,
• figyelem felkeltőek (pl. örököltél 5 millió dollárt)
• esetenként hátránnyal, szankcióval fenyegetnek (pl. ha nem lépsz be, zároljuk a számládat)

A levélben található link szövege nincs összefüggésben a levél tartalmával (pl. a K&H nevében küldött levélben található link nem a kh.hu-ra, hanem egy teljesen másik oldalra mutat).

mit tehetsz, hogy ne válj az adathalászok áldozatává?

• kezeld óvatosan és fenntartással a kéretlenül érkező e-maileket
• minél sürgetőbb a levél hangneme, annál gyanúsabb lehet. 
• légy különösen óvatos, ha egy "banki" e-mail bizalmas információkat kér, például az online banki jelszavad, valódi bankok sosem kérnek ilyen adatokat e-mailben
• ne kattints az e-mailben lévő hivatkozásokra vagy ne nyisd meg a mellékleteket
• minden esetben ellenőrizd a linket! Ezt legegyszerűbben úgy teheted meg, ha a link FÖLÉ húzod az egérkurzort, NEM kattintasz, csak megnézed az ablakban, vagy a böngésző bal alsó sarkában látható hivatkozást.
• keress furcsaságokat, helyesírási hibákat, sürgető hangnemet és szokatlan formázást, az ilyen hibák a hamis e-mailek eláruló jelei lehetnek
• keress különbségeket a valós és a hamis e-mail címek között, alaposan nézd meg az e-mail címet, mert egy kis eltérés is a csalást jelezheti
• a mobil eszközökön nehezebb észrevenni az adathalász e-maileket, ne válaszolj gyanús e-mailekre
• ha a K&H nevében készített adathalász levelet kapsz, kérjük továbbítsd a „teendők adathalász gyanú esetén” pontban leírtaknak megfelelően, egyéb esetben azonnal töröld

Jellegükből fakadóan ezek az üzenetek jellemzően egy rövid, figyelem felkeltő szöveget és egy linket tartalmaznak (pl. 111111111 számú csomagja feladásra került.). Az sms-ek - hasonlóan a telefonos megkeresésekhez – valósnak tűnő telefonszámról is érkezhetnek. Minden esetben légy gyanakvó, ha olyan tartalmú sms-t kapsz, amire nem számítottál (pl. ha nem rendeltél semmit és mégis csomag érkezéséről tájékoztatnak). A link ellenőrzéséhez hosszan tartsd az ujjad a linken, ekkor megtekinthetővé válik a hivatkozás, amire a link valójában mutat. Ha a link szövege nincs összefüggésben az üzenet tartalmával (pl. a K&H nevében küldött sms-ben található link nem a kh.hu-ra, hanem egy teljesen másik oldalra mutat), majdnem biztos, hogy adathalász támadás célpontjai vagy.

Hogyan védekezhetünk a hamis banki SMS-ek ellen?

• ne kattints ismeretlen SMS hivatkozásokra, mellékletekre vagy képekre anélkül, hogy ellenőriznéd a küldő személyazonosságát
• mindig keress rá a számra az interneten, vagy ellenőrizd a bank oldalán, hogy a szám egyezik-e
• ne enged, hogy a sürgető üzenetek befolyásolják döntéseidet
• soha ne válaszolj olyan SMS-ekre, amelyek a pin kódod, online banki jelszavad vagy más biztonsági azonosító adataidat kérik
• töröld az SMS-t és a K&H nevében elkövetett támadás esetén kérlek értesíts minket

• a K&H Bank sosem kéri Ügyfeleit, hogy e-mailből vagy SMS-ből egy linkre kattintva lépjenek be a K&H e-bankba.
• sosem kérünk e-mail-ben vagy sms-ben titkos adatokat (pl.: ügyfélazonosító, ePIN, mPIN, jelszó, 3DSecure sms megerősítő kód) és telefonszámot.
• a K&H Csoport hivatalos weboldalának elérése mindig pontosan így kezdődik: https://www.kh.hu/
• annak érdekében, hogy megbizonyosodj az e-bank oldal valódiságáról ellenőrizd a zöld lakatot a keresősáv elején illetve, hogy az oldal címe így kezdődik-e: https://www.kh.hu/ebank,
  mobiltokennel vagy sms-sel történő belépés esetén pedig így: https://ebank.sso.kh.hu/
• a K&H Bank soha, semmilyen formában nem kér távoli hozzáférést eszközeidhez és nem kéri, hogy bármilyen alkalmazást telepíts. Fontos, amennyiben bárki számára távoli hozzáférést teszel lehetővé (pl. AnyDesk alkalmazás telepítésével) számítógépedhez vagy mobileszközödhöz, azon keresztül hozzáférhetővé válhatnak az eltárolt (pl. saját magadnak vagy vállalkozásodnak) bizalmas adataid, és látható minden, így az elektronikus banki felületen végzett tevekénységed is.

• amennyiben rendellenességet tapasztalsz az e-bank beállítások/azonosító eszközök kezelése menüpontban, regisztrált eszközödben, illetve tranzakciók történetében, akkor haladéktalanul vedd fel a kapcsolatot kollégáinkkal a K&H TeleCenteren keresztül  (+36 1/20/30/70 335 3355).
• ha az postaládádba K&H e-bank vagy K&H mobilbank belépésre felszólító email érkezik, vedd fel a kapcsolatot kollégáinkkal az informationsecurity@kh.hu email címen keresztül, hogy kivizsgálhassuk. A vizsgálat érdekében kérjük, hogy csatolmányként küldd el nekünk a gyanús levelet, amit az egyik leggyakrabban használt e-mail küldő alkalmazásban a következőképp tudsz megtenni: Az üzenet megnyitása után kattints a jobb oldalon található három függőleges pontra és töltsd le az üzenetet, majd a letöltött, eml kiterjesztésű állományt csatold be a nekünk küldendő e-mailbe a gemkapocs gombra kattintva.

Az öröklési csalás a csalás egyik olyan formája, amely során a csalók egy jelentősebb örökség megszerzésének lehetőségét vetítik elő leendő áldozatuk számára. Az öröklési csalás nagy jövedelmet ígér azoknak, akik erre fogékonyak. A csalások jellemző forgatókönyve, hogy külföldi ügyvéd, esetleg külföldi hivatal nevében küldik és nagyon nagy összegű örökség átvételét ígérik részesedésért cserében, pusztán egy csekély összegű előleg átutalását kérik (különféle költségekre hivatkozva).

hogyan védheted meg magad az ilyesfajta átverésektől? 

• semmilyen körülmények között ne adj meg bizalmas információkat, banki adatokat vagy azonosító és hitelesítő információkat e-mailben vagy más úton érkező felkérésre
• ne kezdeményezz fizetést levélben kapott felszólításra
• kéretlen levél esetén figyelj a nyelvezetre, mint például a pongyola megfogalmazás, a számtalan nyelvtani és stilisztikai hiba. Ám sok esetben épp ez támasztja alá a történetet: a „tört magyarság”, a megtévesztő történetben szereplő külföldi levélíró kísérlete, hogy magyarul próbál kommunikálni. Ha ilyen levelet kapsz, légy megfontolt és gyanakvó!
• ha ismeretlenek a könnyű meggazdagodás lehetőségét ígérik, akkor gyanakodj
• ne legyél hiszékeny, ha a történet túl szép, hogy igaz legyen, akkor valószínűleg nem igaz, hanem egy átverés

Univerzális tanácsadóink gyakran beszámolnak olyan csalásokról, amelyet azért különösen nehéz megakadályozni, mert ügyfelünk maga szeretne pénzt utalni a csalóknak. A legutolsó esetben egy magát Afrikában élő magyarnak mondó hölgy (?) vette fel ügyfelünkkel a kapcsolatot. Rövid időn belül "kiderült", hogy a vezetéknév egyezés nem a véletlen műve, "rokoni" szálak kötik össze ügyfelünket az őt megkereső hölggyel. A több hetes napi szintű online beszélgetés, az elküldött - mesterséges intelligencia segítségével készített - fotók megtették hatásukat, ügyfelünk megbízott a kizárólag üzenetekből ismert hölgyben, így amikor a csaló megemlítette, hogy kisgyermeke súlyos beteg, a műtét pedig csak Nyugat-Európában érhető el és több millió forintba kerül, nagyobb összeg átutalásával próbált segíteni.

Ügyfelünk története szerencsés véget ér: univerzális tanácsadónknak sikerült meggyőznie, hogy csalással próbálják megtakarításait megszerezni a csalók, amit a rendőrség is megerősített, ügyfelünknek nem keletkezett a csalás kísérlet miatt kára.

A „nigériai típusú” vagy a 419-es átverésként is emlegetett csalás egy speciális esete a közösségi média oldalakon, online társkereső portálokon történő csalásoknak, ugyanis ebben az esetben az áldozatok önszántukból utalnak pénzt a csalóknak. Az elkövető romantikus kapcsolatot épít ki leendő áldozatával, majd egy megható történettel pénzt kér tőlük. A megtévesztő történetet valódinak látszó, de hamis közösségi média profillal próbálják alátámasztani.

hogyan védheted meg magad az ilyesfajta átverésektől?

• semmilyen körülmények között ne adj meg bizalmas információkat, banki adatokat vagy azonosító és hitelesítő információkat e-mailben vagy más úton érkező felkérésre
• ne kezdeményezz fizetést levélben kapott felszólításra
• kéretlen levél esetén figyeld a nyelvezetet: a „nigériai” levelekre jellemző a pongyola megfogalmazás, a számtalan nyelvtani és stilisztikai hiba. Ám sok esetben épp ez támasztja alá a történetet: a „tört magyarság”, a megtévesztő történetben szereplő külföldi levélíró kísérlete, hogy magyarul próbál kommunikálni. Ha ilyen levelet kapsz, légy megfontolt és gyanakvó!
• ne higgy e-mailben érkező, már-már romantikus történeteknek
• ne legyél hiszékeny, ha a történet túl szép, hogy igaz legyen, akkor valószínűleg nem igaz, hanem egy átverés

Egy ügyfelünk elmesélte, hogy kiemelkedően magas telefonszámlát kapott a szolgáltatójától. Amikor megnézte a híváslistát, észrevett egy hosszabb beszélgetést egy külföldi (afrikai) telefonszámmal. Elmondása szerint volt egy nem fogadott hívása külföldi számról. Nem gondolt semmi rosszra, visszahívta a számot, ami ugyan hosszasan kicsöngött, de senki nem vette fel, majd meg is szakadt. A telefonszolgáltató elmondta ügyfelünknek, hogy sajnos egy visszahívásos csalás áldozatává vált, ahol a hívás létrejött, a kicsengés és a vonalszakadás hangját automatával rögzítették és játszották le a támadók.

A visszahívásos csalás egy elterjedt módszer, amelyben a csalók tömeges hívásokkal próbálnak pénzt kicsalni az áldozataiktól. A csalás lényege, hogy ismeretlen, gyakran külföldi számokról hívják az embereket. A csalók rövid hívást indítanak, majd rögtön megszakítják azt, remélve, hogy az áldozat visszahívja őket. A visszahívott nemzetközi, sok esetben nemzetközi emeltdíjas szám forgalma után a csalók bevételre tehetnek szert.A csalás már akkor is sikeres, ha a visszahívás nem sikerül, vagy csak hosszú csengést, vonalszakadást, vagy foglaltságot jelez.

hogyan védheted meg magad a visszahívásos csalásoktól?

• kezeld óvatosan a kéretlen hívásokat: mindig legyél körültekintő, ha ismeretlen számok hívnak, különösen külföldről
• ne vegyél fel ismeretlen külföldi hívószámokat: az ismeretlen külföldi hívások kockázatosak lehetnek, különösen, ha olyan országból hívnak, ahol nincs ismerősöd, vagy ahonnan nem vársz hívást
• ha a hívó fél nem járul hozzá a telefonszám kijelzéséhez, akkor neked sem kell felvenned a hívást
• ha gyanús hívást kapsz, használd az internetet a hívószám ellenőrzésére, ha mások is számoltak be gyanús tevékenységről ezen a számon, az információ segíthet csaláskísérlet azonosításában
• az ismeretlen előhívószámokról érkező külföldi hívásokat letilthatod, akár egyedileg, akár csoportosan
• az egyedi hívószámok letiltását a telefonod beállításaiban teheted meg, míg az előhívószámok csoportos tiltásához kérj segítséget a szolgáltató ügyfélszolgálatától

a befektetéseket kínáló csalások rendkívül elterjedtek. A hamis befektetési lehetőségek során a csalók olyan vonzó befektetési lehetőségeket kínálnak, mint részvények, kötvények, kriptovaluták, és gyakran használják ismert emberek, sportolók, modellek képeit és ajánlásait a hirdetéseikben. Az embereket gyors meggazdagodás reményében próbálják rávenni ezekre a befektetésekre, de valójában a csalók csak az áldozatok pénzét akarják megszerezni.

hogyan különböztetheted meg a hamis befektetési lehetőségek?

• mindig gyanakodj, ha úgy érzed, hogy az ajánlat „túl szép, hogy igaz legyen” vagy ha kéretlen e-maileket kapsz, amelyek befektetési ajánlatokról szólnak
• vigyázz, ha a befektetés gyors megtérülését ígérik, vagy ha a lehetőséget szűk időkorláthoz kötik
• mielőtt pénzt fektetnél be, vagy adnál ki, mindig kérj tanácsot független pénzügyi szakértőtől, így sokkal biztonságosabban dönthetsz befektetési lehetőségeidről
• vigyázz az olyan felugró ablakokkal, amelyek váratlan nyereményekről értesítenek, mivel ezek gyakran rosszindulatú tartalmúak
• ha egyszer már befektetési csalás áldozatává váltál, felkészülhetsz arra, hogy a csalók újra megkeresnek, vagy értékesítik az adataid más bűnözőknek

a fogyasztók és a vállalkozások egyre többet vásárolnak és adnak el az interneten. Az online ajánlatok sokszor valóban kedvezőek, de óvakodj a csalóktól!

mit tehetsz a csalások elkerülésére? 

• vásárlás előtt keress rá a hirdetőre, olvass értékeléseket, ismertetőket az adott termékről!
• kizárólag biztonságos fizetési szolgáltatásokkal fizess! Gyanakodj, ha pénzküldési szolgáltatás használatát kérik!
• használj olyan virtuális kártyát, amit speciálisan csak online vásárlásokra szokás alkalmazni és eseti jelleggel töltheted fel a vásárláshoz éppen szükséges összeggel, így legrosszabb esetben is csak az ezen a másodlagos kártyán lévő összeget veszítheted el!
• bank-, vagy kártyatársaság alkalmazásán kívül egyéb alkalmazásnak nem adj engedélyt a kártyaadataid megjegyzésére!
• mérlegeld minden esetben az előre történő fizetés kockázatait és az utánvétel költségét, és inkább válaszd az utánvételt, különösen nagyobb összegű vásárlás esetén 
• fizetéshez ne használj ingyenes vagy nyilvános wifi hálózatokat!
• óvakodj a hihetetlenül jó ajánlatokat kínáló reklámoktól, vagy a csodát ígérő termékektől!
• ha olyan felugró ablak jelenik meg a képernyődön, amely nem várt nyereményről tájékoztat, jusson eszedbe, hogy ez nagy valószínűséggel egy rosszindulatú program!
• állíts be számládhoz és kártyádhoz napi és tranzakciós limiteket, online vásárlási limitet vagy korlátozást!

az eladó megkárosításának egyik leggyakoribb módjánál a vevő azzal hívja fel őt, hogy kifizette a meghirdetett terméket, ám arra kéri az eladót, hogy telepítsen egy programot a gépére, vagy telefonjára annak érdekében, hogy „biztosítva legyen az átutalás fogadása”. A telepített program jellemzően az eszköz távoli elérését teszi lehetővé. Az eladó gyakran megadja a csalóknak az SMS-ben kapott kódot, ami azt eredményezi, hogy a csalók kizárják őt a saját banki profiljából és kiürítik a bankszámláját. 

az online piactereken alkalmazott csalások egy másik típusánál az eladó egy sms-t kap, amelyben arról tájékoztatják, hogy a termékét kifizették, de „fogadnia kell az összeget” az üzenetben küldött link segítségével, vagy a termék kiszállításához ajánl a „vevő” egy csomagküldő szolgálatot, ismert, jogszerűen működő cégek nevével visszaélve (pl.: Foxpost, DHL, DPD, MPL), és rájuk hivatkozva küldenek adathalász linket tartalmazó üzenetet, vagy e-mailt. Amikor az eladó gyanútlanul rákattint, akkor egy, a csalók által készített hamis weboldalon találja magát, ahol meg kell adnia bankkártyaadatait (amivel ezután a csalók vissza tudnak élni, például vásárolhatnak vele) vagy ki kell választania a számlavezető bankját és arra kattintva megadni a saját banki belépési adatait. Utóbbi esetben az eladó érzékeny banki belépési adatai kerülnek illetéktelen kezekbe. Mivel ez a hamis oldal a valódi banki oldalnak továbbítja az adatokat, az óvatlan ügyfél (eladó) megkapja az egyszer használható bejelentkezési kódot (pl. SMS kódot), és azt is begépeli a hamis oldalon. Így a csalók bejutnak az ügyfél banki profiljába és a számlán lévő pénzhez is hozzáférnek, amit azonnal elutalhatnak, ellophatnak. 

mit tehetsz ennek elkerülésére? 

• soha ne utalj pénzt, ha Te vagy az eladó
• légy tisztában azzal, hogy eladóként Te pénzt csak fogadsz, nem küldesz 
• ahhoz, hogy bankszámládra pénzt utaljanak nincs szükséged semmilyen programra, és bankfiókodba se kell bejelentkezned! Utalás fogadásához elegendő megadnod a bankszámlaszámodat és a nevedet, soha ne adj meg további bankszámla adatot, felhasználói fiókazonosítókat, jelszavakat e-mailben, sms-ben vagy telefonon érkező kérésre! 
• soha ne kattints e-mailben, üzenetben lévő hivatkozásokra, és ne nyisd meg a mellékleteket! A webes bejelentkezések címeit inkább manuálisan gépeld be!
• soha ne tölts le ismeretlen programot vagy applikációt számítógépedre, mobiltelefonodra!
• amint azt észleled, hogy csalás áldozatává váltál, azonnal, késlekedés nélkül jelentsd az esetet bankodnál és tégy feljelentést!

A nem banki szolgáltató nevével történő visszaélés esetén a csalók jellemzően SMS-en, e-meilen keresztül gyakran adategyeztetés, fizetési késedelem, hátralék kiegyenlítése, az átutalt összeg átvétele, csomag átvétele, szolgáltatás felfüggesztése kapcsán álcázzák magukat és bankszámla adatokat, bankkártya adatokat, személyes adatokat, valamint pénzutalásokat kérnek a célpontoktól. Az üzenetekben gyakran hamis linkeket rejtenek el, amelyek megtévesztésig hasonlíthatnak az eredeti weboldalra, vagy lehetővé teszik rosszindulatú szoftver telepítését az eszközre.

Mit tehetsz ennek elkerülésére? 

• kezeld óvatosan a kéretlen üzeneteket
• legyél különösen éber, ha üzenetben olyan információkat kérnek tőled, mint személyes, vagy banki adatok vagy azonosítók, vagy azonnali fizetésre szólítanak fel
• ne utalj pénzt, ha egy szolgáltató kéri üzenet formájában
• ne telepíts szoftvert a kapott linkekből, vagy az üzenetekben lévő utasításoknak megfelelően
• mindig a szolgáltató hivatalos weboldalát vagy hivatalos alkalmazásboltokat (például google play, app store) használd a jogtiszta szoftverek letöltésére

A kiberbűnözők tisztában vannak azzal, hogy a különböző szolgáltatók egyre gyakrabban használják a közösségi médiát az ügyfeleikkel való kapcsolattartásra akár panaszkezelés vagy problémamegoldás céljából is.

Az elkövetők figyelik a szolgáltatók közösségi csatornáira érkező ügyfélpanaszokat, majd a szolgáltató képviselőjének kiadva magukat – annak közösségi média profilját lemásolva, vagy ahhoz nagyon hasonló, de hamis fiókról – felveszik a kapcsolatot a panasz bejelentőjével. Látszólag a panasz kezelése, a bejelentett probléma érdekében érzékeny információkat – személyes, banki, valamint különböző fiók bejelentkezési adatokat, jelszavakat – kérnek el az ügyféltől, amikkel aztán hozzáférhetnek annak bankszámláihoz és különböző online fiókjaihoz.

Mit tehetsz ennek elkerülésére? 

• ellenőrizd a közösségi média profil nevét (például a szolgáltató ismert oldalán), ellenőrizd továbbá, hogy van-e benne hiba, elütés.
• ne kattints hivatkozásokra egy közösségi média felületen érkező kapcsolatfelvételi üzenetben
• jelentsd a közösségi média platform üzemeltetőinek azokat a profilokat, amelyekről azt gyanítod, hogy csaláshoz hozták létre őket és tiltsd le őket! 
• mindig ellenőrizd az üzenet feladóját. 
• közösségi média felületen senkinek ne add meg személyes adataidat!
• felhasználónevedet, jelszavadat és egyéb azonosító és hitelesítő adataidat semmilyen körülmények között ne add át senkinek, ilyet soha nem kérnek a szolgáltatók. 

A csalók különböző módszerek alkalmazásával (például egy munkaajánlattal) megpróbálják elérni, hogy megadd személyes adataidat. Az adatok birtokában aztán jóvá nem hagyott vásárlásokat hajthatnak végre, bankszámlát nyithatnak; telefon-előfizetést vásárolhatnak; hitelt vehetnek fel; illegális üzleti tranzakciókat hajthatnak végre; eladhatják adataidat más csalóknak.

Mit tehetsz ennek elkerülésére? 

• rendszeresen tekintsd át közösségi média fiókjaid adatvédelmi és biztonsági beállításait
• gondold át alaposan, hogy mennyi információt és fényképet osztasz meg a közösségi média oldalakon! Felhasználásukkal a csalók hamis személyazonosságot hozhatnak létre, vagy megpróbálhatnak átverni.
• jelentsd a közösségi média platform üzemeltetőinek azokat a profilokat, amelyekről azt gyanítod, hogy csaláshoz hozták létre és tiltsd le őket!
• ha valódi ismerőseitől kapsz szokatlan vagy gyanús üzenetet, illetve látsz általuk közzétéve furcsa posztot, gyanakodj és jelentsd a közösségi média platform üzemeltetőjének!
• ellenőrizd rendszeresen a bankszámlakivonataidat! Ha olyan dologért terhelték meg a számládat, amelyet nem rendeltél meg, vedd fel a kapcsolatot a bankkal és a kártyatársasággal!
• állíts be számládhoz és kártyádhoz napi és tranzakciós limiteket, online vásárlási limitet vagy korlátozást

A digitalizáció elterjedése új lehetőségeket teremt a csalók számára is, akik a legváltozatosabb módszerekkel igyekeznek vállalatokat is megkárosítani, tőlük pénzt hamis információkkal kicsalni.

Napjaink egyik gyakori, vállalatok körében elterjedt visszaélési típusa az úgynevezett „Hamis vezetői utasítás”, mely módszerrel kifizetési jogkörrel rendelkező alkalmazottat támadnak az elkövetők, akit hamis számla kifizetésére, vagy jóvá nem hagyott átutalás indítására próbálnak rávenni. Arra építenek, hogy az alkalmazottak igyekeznek gyorsan teljesíteni azokat a feladatokat, amelyek közvetlenül a felső vezetéstől érkeznek.

Megfelelő kontrollok alkalmazásával megelőzhetők, vagy csökkenthetők az ilyen, vagy ehhez hasonló csalási módszerek.

A leggyakoribb hibaforrás az összeférhetetlen jogosultságok birtoklása

Az összeférhetetlen jogosultságokat olyan helyzetként határozzuk meg, ahol egyetlen személy több olyan joggal rendelkezik, amelyek lehetővé teszik számára az illetéktelen tevékenységek végrehajtását anélkül, hogy megfelelő ellenőrzés alá esnének, így kockázatot jelentenek egy csaló által végrehajtott támadás során.

&mit tehetsz?

• adott munkakör ellátásához adott jogok csoportosítása (szerepkör alapú hozzáférés: pl. lekérdező/megnéző jogcsoport, rögzítő jogcsoport, aláíró jogcsoport),
• egymást átfedő, vagy egymással alá-fölé rendelt viszonyban lévő jogosultságok birtoklásának tiltása ugyanazon személy esetében (pl. visszaélésre vagy tévedésre adhat okot, a tranzakció rögzítés és jóváhagyás ugyanazon személy által),
• rendszeres jogosultság-felülvizsgálat,
• szigorú azonosítási eljárások és a négyszemelvű kontroll.

A négyszemelvű kontrollok olyan eljárások, amelyek során két független személy szükséges egy tranzakció vagy művelet végrehajtásához, ezzel megelőzve:

• a hibákat és csalásokat,
• valamint növelve a folyamatok átláthatóságát.

& K&H Electra jogosultságok

A bank kifejezetten javasolja, hogy céges ügyfeleink a K&H Electrában a felhasználói és aláírási limit pontszámokat úgy alakítsák ki, hogy lehetőleg több felhasználó közreműködése legyen szükséges egy megbízás elindításához, vagy legalább a magasabb összegű megbízások esetén egynél több felhasználó aláírására legyen szükség.

A K&H Electra rendszer aláírási pontszámok segítségével kontrollálja az egyes megbízások elindíthatóságát. Ez a pontszám mátrix két ismérv szerint testreszabható:

• Felhasználó aláírási pontszáma egy adott számlára: Legjellemzőbb esetben 5 vagy 10 ponttal rendelkezik egy aláírói joggal rendelkező felhasználó, de ettől el lehet térni 1-99-es tartományban.
• Összeghatárokhoz kötött számlánként meghatározható aláírási limit: Electra alap beállítása szerint 10 pontnyi aláírás szükséges egy megbízás elindításához, de ettől el lehet térni és a funkció használatával számlánként különböző összeghatárokhoz is különböző pontszám rendelhető.

A felhasználói és aláírási pontszámok Önadminisztrációs joggal lekérdezhetőek, Céges joggal pedig módosíthatóak

A social engineering az emberi tulajdonságokat, aktuális lelkiállapotokat kihasználó támadások gyűjtőneve. Ezek a tulajdonságok sok esetben kimondottan hasznosak az adott munkakör betöltéséhez, azonban tisztában kell lenni azzal, hogy bizonyos kockázatot jelentenek. Például az ügyfélszolgálatokon dolgozó munkatársak esetén kimondottan pozitív tulajdonság a segítőkészség, azonban egy támadás során ezt a tulajdonságot könnyen kihasználhatja a csaló, egyszerűen csak segítséget, tanácsot, információt kell kérnie. A social engineering támadásnak különösen kitett munkatársak közé tartoznak a személyügyes kollégák, az informatikai területen dolgozók, az ügyfélszolgálati feladatokat ellátók, a pénzügyesek, a felsővezetői asszisztensek, de a kommunikációs, illetve marketing szakemberek is.

A social engineering támadások közül vannak olyanok, amelyek a fizikai világban valósulnak meg. Ilyen például, amikor a támadó másnak adva ki magát (külső informatikai szakember, auditor, takarító, vendég, újságíró, szakdolgozatot író diák stb.) bejut a céghez, ahonnan a kollégák biztonságtudatlanságát kihasználva adatokat, iratokat, esetleg eszközöket (pl. ebédidőben magára hagyott laptopot, telefont, belépőkártyát stb.) gyűjt, szemeteseket vizsgál át, a zárolatlanul hagyott gépekről mentést készít, vagy épp fertőzött adathordozókat hagy el olyan helyeken, ahol a kollégák könnyedén megtalálják. Azt, hogy a social engineering mennyire gyakori jelenség jól mutatja, hogy minden fent felsorolt támadásfajtának van önálló neve.

&védekezz!

Ne feledd, a kulcs Te vagy: olyan erős a szervezet védelme, mint a leggyengébb láncszeme - az ember védelme.

Tanítsd meg a kollégáknak, hogy egészséges gyanakvással kezeljék az idegeneket és a szokatlan kéréseket ne csak az online, hanem a fizikai világban is. Nagyobb vállalatok esetén javasoljuk az őrszolgálat ilyen irányú képzését, a beléptetési eljárásrend kialakítását, de kis- és középvállalkozások esetén is, ahol a kollégák ismerik egymást megoldás – és egyben udvarias gesztus - lehet a vendégek kísérése. Fektess hangsúlyt arra, hogy a vállalkozás/vállalat minden munkatársa tudatában legyen annak, hogy ő is lehet célpont, hiszen rajta keresztül a vállalatot/vállalkozást is megtámadhatják.

A CEO fraud, vagy whaling (bálnavadászat) a szervezet felsővezetőit célzó támadás.

Az ilyen megkeresésekre jellemző, hogy hosszas kutatómunka előzi meg annak érdekében, hogy a megtámadni kívánt felsővezető, vagy asszisztense mindenképpen horogra akadjon. A CEO fraud e-mailek tökéletes nyelvezettel készülnek, minden esetben olyan – fontosnak tűnő – információt tartalmaznak, ami miatt szinte biztosan megnyitják őket, sok esetben egy meglévő kapcsolatra hivatkozva, vagy meglévő kapcsolat identitását ellopva történik a kapcsolatfelvétel, a levél feladója nem árulkodó. Sok esetben csatolmányt tartalmaznak, ha pedig megvizsgáljuk a linket, akkor azt látjuk, hogy a támadók elrejtik a valódi URL-t, ahová a link mutat. Ezeknek a támadásoknak az anyagi haszonszerzésen túl az esetek többségében minél több információ összegyűjtése is célja (például a szervezet működésére vonatkozó információk összegyűjtése egy későbbi, nagyobb támadás előkészítéséhez).

A mesterséges intelligencia és a deep fake előretörésével egyre könnyebb akár egy adott felsővezető hangját, képét megszerezve olyan támadásokat végrehajtani, ahol a támadó a vezető hangján megszólalva kér információkat, vagy épp nagyobb összegű átutalást egy videóbeszélgetés során.

&hogyan védekezhetsz?

A védekezés egyik alapvető szabálya, hogy minél kevesebbet tudjanak rólad. Gondosan különítsd el a munkahelyi és a magánéletedet. Felsővezetőként különösen fontos, hogy odafigyelj a láthatósági beállításokra a különféle közösségi oldalakon. Találd meg a szükséges-elégséges egyensúlyt: csupán annyit posztolj, ami elősegíti az üzleti tevékenységeidet, soha ne ossz meg a minimálisnál több információt és törekedj arra, hogy a lehető legkevesebbszer jelenjen meg a hangod, arcod nyilvános fórumokon.

Különösen figyelj arra, hogy vezetőként minden biztonsági szabályt betarts, amit elvársz a kollégáidtól: esetedben akár a szigorúbb kontrollok is indokoltak lehetnek, hiszen a téged ért sikeres támadás komoly kárt okozhat.

Mindig ellenőrizd, vagy ellenőriztesd a megkereséseket. Az óvatosság kifizetődő: hívd vissza a téged megkereső, magát már meglévő kapcsolatnak kiadó személyt, kollégát az általad ismert telefonszámán. Neked csak egy telefonba kerül, hogy ellenőrizd, valóban attól kaptál-e megkeresést, akit az emailben látsz, vagy a telefonban hallasz, viszont nagyon nagy veszteségtől óvhatod meg magad.

A ransomware támadás egy olyan kibertámadás, amelyben a támadó egy rosszindulatú szoftvert telepít a célpont számítógépére, vagy hálózatára, amely titkosítja az adatokat. A támadó ezután váltságdíjat követel az adatok visszaállításáért. A ransomware támadások gyakran adathalász e-mailek segítségével terjednek, amelyek rosszindulatú mellékleteket vagy linkeket tartalmaznak. A zsarolóvírus támadások talán a legékesebb példáját szolgáltatják annak, hogy miért fontos a munkatársak biztonságtudatossági ismereteinek naprakészen tartása: elég egyetlen figyelmetlen kolléga ahhoz, hogy komoly károkat okozzon a vállalatok/vállalkozások számára, amelyek a támadás miatt elveszíthetik adataikat, a váltságdíj kifizetése pedig nem garancia arra, hogy a támadók visszaállítják az adatokat.

&hogyan védekezhetsz?

A már ismert zsarolóvírusok ellen hatékony védelmet nyújtanak a vírusirtó szoftverek, azonban az új, csak a későbbiekben megjelenő ransomware támadások ellen az adathalász jelek biztos, gyakorlati szintű ismerete nyújthat védelmet. Az adathalász támadások jeleit a kh.hu/biztonsag-a-penzugyekben oldal mutatja be. Tartsd szem előtt, hogy 100 %-os védelem nem létezik, azonban egy ransomware támadás esetén a rendszeresen elkészített és ellenőrzött biztonsági mentésekből visszaállíthatóak az adatok.

Gyakori támadás a vállalkozások/vállalatok ellen amikor a támadók egy partnerük nevében számlát állítanak ki számukra, sőt esetenként még a figyelmet is felhívják arra, hogy megváltozott a számlaszám.

&hogyan védekezz?

Az ilyen támadások viszonylag egyszerűen kivédhetőek azzal, ha a pénzügyesek tudják, hogy ezekben az esetekben ellenőrizniük kell, hogy valós-e a számla. Ennek legegyszerűbb módja, ha ellenőrzik, hogy valóban létezik-e megállapodás, szerződés a számlát kiállító céggel, illetve ha visszaellenőrzik – akár egy telefonhívással – a számlaszámot. Meglévő partnerek esetén még egyszerűbb az eljárás: ha változik a számlaszám, validáltasd.

A DDoS (distributed denial-of-service) egy olyan kibertámadás, amelyben a támadó több számítógépet vagy eszközt használ fel, hogy nagy mennyiségű adatforgalmat generáljon egy weboldalra vagy egy szerverre, hogy leterhelje azt, és megakadályozza a normális működését. A DDoS támadások célja gyakran a vállalatok weboldalainak vagy online szolgáltatásainak megbénítása, ami ügyfélvesztést, bevételkiesést és hírnévromlást eredményezhet, azonban nem szabad szem elől téveszteni azt sem, hogy a DDoS támadásokat esetenként más támadások „elfedésére” használják a hackerek.

&hogyan védekezhetsz?

A számos weboldalon már alkalmazott „captcha”-k védelmet jelenthetnek a robotok által indított megkeresések ellen. A várhatóan nagy forgalmat bonyolító alkalmazások esetén pedig érdemes megfontolni azokat a technikai megoldásokat, amelyek biztosítják a terhelés elosztását.

A kibertámadások teljes kiküszöbölése lehetetlen, de a vállalatok/vállalkozások tehetnek lépéseket a kockázatuk csökkentésére és a hatásuk enyhítésére. A védelem sarokpontja, hogy a vállalat/vállalkozás rendelkezzen olyan információbiztonsági stratégiával, amely pontosan meghatározza az elérni kívánt védelmi célokat.

Az alább felsorolt javaslatok gyakorlati segítséget nyújtanak a támadások elleni mindennapi védelemhez:

• frissítsd a vállalatod/vállalkozásod által használt szoftvereket, a vírusirtókat és a tűzfalakat, hogy megvédd vállalkozásodat a legújabb fenyegetésektől.
• vezesd be a biztonságos jelszavakat, a többfaktoros azonosítást,
• rendszeresen készüljön biztonsági mentés, ellenőrizd azt, hogy zsarolóvírus (ransomware) támadás esetén vissza tudnád-e állítani az adatokat,
• vezesd be a titkosítás és a jogosultságkezelés jó gyakorlatait, hogy megnehezítsd a támadók számára a hozzáférést az adatokhoz,
• edukáld a dolgozókat: készítsd fel a dolgozóidat a kibertámadások felismerésére és elkerülésére, különösen az adathalász megkeresésekre. A dolgozóknak tudniuk kell, hogyan ellenőrizzék az e-mail címeket, a weboldalak URL-jeit, a mellékleteket és a tartalmat, hogy ne dőljenek be a hamis üzeneteknek. A dolgozóknak soha nem szabad megadniuk a személyes vagy vállalati adataikat olyan forrásoknak, amelyek nem megbízhatók.
• lépj gyorsan kibertámadás esetén: rendelkezz kibertámadásra vonatkozó válságtervvel, amely meghatározza a felelős személyeket, a teendőket és a kommunikációs csatornákat. Értesítsd a hatóságokat, a partnereidet és az ügyfeleidet a kibertámadásról. 

E-bank vagy mobilbank aktiválás: e-csatorna aktiválásakor autentikációs eszköz regisztráció esetén küldünk üzenetet

- Electra esetén VICA regisztrációkról

- e-bank esetén mobiltoken, felhasználónév&jelszó létrehozásról

E-bank vagy mobilbank első belépés: e-csatorna első belépésről értesítést küldünk:

- Electra használók: VICA, USB token első használatakor

- E-bank használók: mobiltoken, felhasználónév&jelszó első használatakor

Számlád biztonsága érdekében, ha nem te végezted el ezt a belépést, akkor azonnal hívd a K&H Vállalati ügyfélszolgálatot a +36 1 468 7777, +36 1 468 7755 telefonszámon.

Kiberpajzs műveletmegfigyelési értesítés: olyan vállalkozások betéti kártyáinak kártyabirtokosaként, amelyek 10 fő alatti létszámmal és 2 millió EUR alatti éves árbevétellel rendelkeznek díjmentes értesítést kapsz, ha az üzleti betéti bankkártyáiddal kezdeményezett min. 15 000 Ft értékű terhelési tranzakciót észlelünk. Ez az üzenet a tranzakcióval kapcsolatos részleteket nem tartalmazza – az értesítés célja, hogy ha nem te kezdeményezted a tranzakciót, akkor is azonnal értesülj róla és tudj intézkedni számlád/bankkártyád biztonsága érdekében. A Kiberpajzs műveletmegfigyelési értesítésekről részletes információkat itt találsz: https://www.kh.hu/biztonsag-a-penzugyekben/kiberpajzsertesitesek

A K&H Electrában 2024. szeptember 23-tól új limitkezelési lehetőséget teszünk elérhetővé, mely egy újabb lépést jelent a biztonságosabb bankolás felé.

Az új funkció segítségével meghatározhatja számlánként, hogy a megbízások jóváhagyására egyes (tól-ig) összegsávok közötti megbízások jóváhagyásához a felhasználóktól hány aláírási pontot vár el, azaz a pontszámok segítségével szabályozhatja, hogy hány aláíró szükséges a megbízás elindításához. A sztenderd beállítás szerint összesen 10 pont szükséges egy megbízás elindításhoz, amely egy (egyedül eljáró vezető) vagy több aláírótól is összegyűlhet.

Szemléltető példa: Beállított limitek: 0-1 000 000 Ft között 5 aláírási pont, 1 000 000 – korlátlan összeg értéksávban pedig 10 aláírási pont az elvárt a megbízások jóváhagyásához. Ebben az esetben az A) 500 000 Ft értékű megbízást egyedül, egy 5 ponttal rendelkező felhasználó is jóvá tudja hagyni, míg ugyanez a felhasználó nem elegendő a B) 2 000 000 Ft-os megbízás jóváhagyásához. B) megbízáshoz így jellemzően vagy két 5-5 aláírási ponttal rendelkező, vagy egy 10 aláírási ponttal rendelkező felhasználóra van szükség.

Kérjük gondolja át vállalata működését a megbízásaik értéke és a jóváhagyási struktúra tekintetében és ezeknek megfelelően éljen a beállított limitek nyújtotta védelem lehetőségével. Javasoljuk, hogy olyan értékhatárokat rögzítsen a számláihoz, melyek igazodnak a fizetési szokásaihoz, ugyanakkor a szokásostól eltérő fizetési műveletek végrehajtását meg tudják akadályozni. A biztonságot a saját működéséhez legpontosabban illeszkedő aláírási limitek szolgálják leginkább, ennek érdekében kérjük gondolja végig vállalata tervezett aktivitását számlánként és annak megfelelően állítson be limiteket, ezeket aktívan tartsa karban, idővel vizsgálja felül és módosítsa, amennyiben szükséges.

Az új funkció az ügyféloldali adminisztrációs felületről lesz elérhető (beállítások/jogosultságkezelés/aláírási limitek menüpontban). A limitértékek megadásához, illetve módosításához ’Céges jog’ szükséges. Amennyiben számlánként 4 összegsávnál összetettebb struktúrát szeretne alkalmazni, azt továbbra is a K&H vállalati ügyfélszolgálat munkatársai tudják önnek beállítani, az ilyen komplex limitstruktúra a felületen keresztül nem módosítható.

Javasoljuk, hogy vagyona nagyobb biztonsággal történő kezelése érdekében rendszeresen vizsgálja felül felhasználóinak jogosultságát és aláírási pontszámait is, amit megtehet továbbra is a beállítások/jogosultságkezelés menüpontban.

Ügyelj adataid helyességére! A bank számára mindig az aktuális, valamint kifejezetten az adott felhasználóhoz tartozó legpontosabb elérhetőségeket - ne a központi elérhetőségeket - add meg, ha erre lehetőség van. Így biztosíthatod, hogy a különböző figyelmeztetések, regisztrációs illetve tájékoztató üzenetek mindig a megfelelő személyhez jussanak el. Különösen az azonosítási folyamatban részt vevő eszközök (pl. ViCA), mobilbankoláshoz szükséges telefonszám esetén figyelj erre fokozottan!