A nem túl szofisztikált támadás stílusa nem emlékeztet a hivatalos levelek stílusára, nyelvezete kissé magyartalan. A levél veszélyessége a feladóban rejlik: support@khbank.hu

& Hogyan védekezz?

Tartsd észben, hogy a Bank kizárólag a kh.hu tartományból küld e-mailt (pl. level@level.kh.hu). Mindig gondosan olvasd el a megkereséseket, ha azok nyelvezet hagy maga után kívánnivalót, ne nyisd meg a linket! Mielőtt kattintasz, alaposan nézd meg, hogy a link (vagy gomb) URL-je milyen oldalra mutat. Ha ez nem a kh.hu, akkor ne nyisd meg a linket, hanem csatolmányként küldd el a levelet az informatinsecurity@kh.hu e-mail címre, majd töröld a postaládádból. Ha az egeret fölé húzod – böngészőtől függően a link fölött, vagy bal alul – megjelenik a valós weblap címe, amire a link mutat.

Az évek óta visszatérő próbálkozás során a csalók felhívhatják figyelmedet, hogy „biztonsági frissítések” miatt meg kell erősítened belépési, vagy épp fiók adataidat annak érdekében, hogy továbbra is elérd bankszámládat.

A levél jó  magyarsággal készült, határidőt – bújtatott sürgetésként 48 órát – tartalmaz, a gomb szövege – ami valójában egy nem kh.hu oldalra mutató link – pedig egyértelműen nyomásgyakorló.

& Hogyan védekezz?

Kattintás előtt alaposan nézd meg, hogy a link (vagy gomb) URL-je milyen oldalra mutat. Ha ez nem a kh.hu, akkor ne nyisd kattins, hanem csatolmányként küldd el a levelet az informatinsecurity@kh.hu e-mail címre, majd töröld a postaládádból. Ha egy megkeresés sürgető hangvételű, kritikus szemmel nézd meg újra a levelet. Addig ne kattints, amíg nem vagy biztos abban, hogy valóban a Banktól keresnek. Ha az egeret fölé húzod – böngészőtől függően a link fölött, vagy bal alul – megjelenik a valós weblap címe, amire a link mutat.

A csalók időről időre előveszik a jól bevált módszereket, mint például azt, hogy gyanús tevékenységgel, illetve fióki hozzáférésed zárolásával próbálnak megrémíteni abban a reményben, hogy megadod e-bank belépési adataidat.

& Hogyan védekezz?

Tartsd mindig észben: ha egy levél sürgető hangvételű, vagy szankcióval fenyeget, akkor különösen körültekintőnek kell lenned. Mielőtt kattintasz, minden esetben ellenőrizd, hogy a link (gomb) hova vezet. Ha az egeret fölé húzod – böngészőtől függően a link fölött, vagy bal alul – megjelenik a valós weblap címe, amire a link mutat. Ha ez nem a kh.hu, akkor ne nyisd kattins, hanem csatolmányként küldd el a levelet az informatinsecurity@kh.hu e-mail címre, majd töröld a postaládádból.

A K&H Bank nevében, a K&H Bank arculati elemeit és stílusjegyeit felhasználó támadás nem tartalmaz magyartalan szófordulatokat, gépelési és helyesírási hibákat. Hitelességét előbbieken túl a reálisnak tűnő forgatókönyv adja. A megfogalmazás módja nem klasszikus félelemkeltő, inkább tárgyszerű és pénzintézetek által gyakran alkalmazott „szokatlan tevékenység” szófordulatot is tartalmazza.

&Mit tehetsz?

Ne feledd: a pénzintézetek SOHA nem kérik, hogy linkre (vagy gombnak álcázott linkre) kattintva erősítsd meg adataidat, vagy lépj be mobilbankodba. Ha ilyen tárgyú, vagy témájú levelet kapsz, semmiképp ne kattints a benne található linkre, a levelet csatolmányként küldd meg az informationsecurity@kh.hu e-mail címre!

A Foxpost csalások logikáját idézi a csalók újabb próbálkozása: beérkező átutalás megerősítését nyelvtani hibákat tartalmazó emailben kérik, amihez egy linkre kell kattintanod. Természetes a link hamisított oldalra vezet, ahová ha beírod a belépési adataidat, akkor az az adathalászok kezébe kerül. Tartsd észben: ahhoz, hogy megkapd a számodra átutalt összeget, nem kell megerősítened a bejövő utalást!

Légy óvatos, mindig vizsgáld meg, hogy hova mutat a link és ha nem vagy biztos abban, hogy valóban a Bank oldalára, akkor inkább NE kattints, hanem hívd a TeleCentert!

Újra megpróbálkoznak a csalók azzal, hogy a felhasználói fiókok felfüggesztésével fenyegetve próbáljanak meg adataidhoz és pénzedhez hozzáférni. A levelek jellemzően rövidek, enyhén magyartalanok, a feladójuk e-mail címe és a bennük található link árulkodik: egyik sem a K&H Bank hivatalos domainjére, a kh.hu-ra mutat.

Ha egy megkeresés valamilyen hátrány, szankció kilátásba helyezésével próbál rád nyomást gyakorolni, légy gyanakvó és különösen körültekintően ellenőrizd a linket!

Rossz magyarsággal készült levéllel próbálnak megtéveszteni a csalók, melyben azt kérik, hogy egy linkre kattintva tekintsd meg a Banktól kapott új üzenetedet.

Ha a link fölé húzod az egeret és NEM kattintasz, akkor láthatod a megjelenő ablakban, hogy a nem a K&H Bank oldalára mutat.

Felhívjuk a figyelmet, hogy sem a K&H Bank, sem más magyarországi bank NEM kezdeményezi, hogy ügyfeleik linkre kattintva vírusirtó programot telepítsenek, az ilyen típusú támadások ellen a legjobb védekezés, ha nem nyitjuk meg a linket. Ha mégis megtettük, akkor kérjük, hogy a „mi a teendő, ha csalás áldozata lettél” gomb alatt leírtakat kövessék ügyfeleink.

Időről időre visszatérő, ismét felívelő gyakoriságot mutató módszere a csalóknak az, hogy a fiókod felfüggesztésével fenyegetnek, ha nem frissíted az adataidat. A levélben található linket megvizsgálva – föléhúzod az egeret, de nem kattintasz – láthatod, hogy nem a kh.hu oldalra mutat.

Kérjük különösen légy óvatos, ha egy üzenet valamiféle hátránnyal, szankcióval fenyeget!

Az sms-ben érkező (smishing) támadás során a csalók úgy próbáknak rávenni arra, hogy kattints az üzenetben található linkre, hogy a mobilbanki szolgáltatás megszüntetésével fenyegetnek.

Kérjük különösen légy óvatos, ha egy üzenet valamiféle hátránnyal, szankcióval fenyeget, illetve ha megszólítás után zárójelben az e-mail címedet látod!

A nyár a felhőtlen kikapcsolódás időszaka. Legtöbbünk már hónapokkal előbb elkezdi szervezni a családi nyaralást: lefoglalja a szállást, biztosítást köt.

A nyaralással járó várakozás az emberek többségénél együtt jár az óvatlansággal, amit a csalók minden évben igyekeznek kihasználni.

Az egyik gyakori csalási forma a szállásadók, autókölcsönzők, egyéb partnerek nevében elkövetett támadás. Az ismert szálláskereső portálokon pl. a korábban üdülést foglalt (és legtöbbször bankkártyájukkal már fizetett) fogyasztók egyes esetekben a portálok hivatalos üzenőfelületén újabb értesítést kapnak vendéglátójuktól. A sürgető, a foglalás törlésével fenyegető üzenetek szerint „kártyaadataik nem egyeznek”, „tranzakciójuk gyanús”, „hiba történt”, ezért - bizalmas kártyaazonosítóik, illetve a kétfaktoros ügyfélhitelesítés kódjainak megadásával – állításuk szerint a foglalást ismét meg kell erősíteni. Az azonosítókkal azután pénzt emelnek le az ügyfél számlájáról.

Az ügyfelek éberségét csökkentheti ilyenkor, hogy a bűnözők sokszor látszólag nem kérnek újabb pénzt, illetve, hogy a megszokott szálláskereső cégek felületértől jön az értesítés. Utóbbi oka az lehet, hogy a kibercsalók (pl. kártékony alkalmazás telepíttetésével) előzőleg az adott szállásadók számítógépeihez fértek hozzá, s innét tudják meg az adott ügyfelek konkrét szállásfoglalásainak részleteit.

& Hogyan védekezz?

Ezen típusú kibercsalások ellen érdemes korlátozni bankkártyánk vásárlási-, készpénzfelvételi limitjeit, illetve egyszer használatos virtuális kártyával fizetni a szállásfoglalást. Célszerű igénybe venni a kártyás tranzakciókat azonnal jelző sms vagy felugró ablakos banki értesítési szolgáltatást, gyanús tranzakció(k) észlelése esetén pedig azonnal letiltatni a kártyát.

Nyári munkavégzéssel kapcsolatos csalások

Előfordulhat, hogy a csalók nyári munkavégzést hirdetnek, amelyhez előzetes (pl. szálláshoz szükséges) befizetéseket kérnek a hozzájuk jelentkező ügyfelektől. Ha ezután bizalmas kártya- vagy bankszámla-azonosítóikat a fogyasztók a csalók által küldött hamis banki honlapokon adják meg, szintén kiszolgáltatják magukat pénzük ellopásának.

& Hogyan védekezz?

Védekezésképp a megküldött honlapok helyett érdemes a hivatalos weboldalon teljesíteni a fizetést. Gyanúra adhat okot, ha a csalók az online tranzakciókhoz rájuk nem tartozó további adatokat (pl. jelszó, PIN kód, CVC kód, SMS megerősítő kód) is megpróbálják elkérni.

Az adóbevallási időszakot kihasználva minden évben küldenek adathalász megkereséseket a támadók.

Az idei év annyiban különleges, hogy hivatalosnak tűnő címről érkező, hivatalos formátumú/nyelvezetű levelet küldenek a támadók, a benne elhelyezett linkek pedig valóban az Ügyfélkapu tárhelyre („https://tarhely.gov.hu”-ra és a „https://magyarorszag.hu”-ra) vezetnek, ahol a felhasználó bejelentkezhet.

Az egyetlen, gyanúra okot adó jel, egy .img kiterjesztésű fájl, aminek letöltését kérik a levélben és ami kártékony kódot tartalmaz. A levélben a felhasználó tárhelyére feltöltött dokumentum típusa „Adóalany adóbevallási tervezet”, a dokumentum neve pedig: „Adó-visszaírási_tervezet.img”.

&Mire figyelj?

A valódi tarhely.gov.hu szolgáltatástól érkező hivatalos értesítések - például, ha új dokumentum érkezett a tárhelyedre - sosem tartalmaznak mellékletet, hiszen egy ilyen dokumentum kizárólag az Ügyfélkapus hitelesítési folyamat után érhető el. Tehát ha egy ilyen értesítés csatolmányt tartalmaz, az biztosan csaló üzenet.

&Mit tehetsz?

& amennyiben az ertesites@tarhely.gov.hu címről érkező levelek csatolmányt tartalmaznak, semmiképpen se nyisd meg a hivatkozott mellékletet, hanem haladéktalanul töröld a levelet!

& mindig az Ügyfélkapu hivatalos weboldalán (https://ugyfelkapu.gov.hu) jelentkezz be dokumentumaid megtekintéséhez,

& ha megnyitottad a csatolmányt, mindenképp futtass teljeskörű vírusvédelmi vizsgálatot az eszközödön,

& ne feledd, hogy támadás nem csak e-mailben, hanem bármilyen csatornán érkezhet,

& tartsd szem előtt, hogy a NAV nevében rendszeresen követnek el sms alapú támadásokat: ha sms-t kapsz a NAV nevében, légy ugyanolyan óvatos, mint az e-mailek esetén.

Újfajta csalási séma terjed több – jellemzően külföldi – weboldalon. Ezeken a weboldalakon vonzó áron terméket vagy szolgáltatásokat kínálnak úgy, hogy a kereskedők az ügyféltájékoztatókban, jellemzően az apró betűs részben elrejtik, hogy az ügyfelek a vásárlásukkal jóváhagyják, hogy egy – esetleg a termékhez egyáltalán nem kötődő – ismétlődő előfizetést igényelnek. Az ügyfelek az erős ügyfélhitelesítéssel jóváhagyott vásárlási tranzakciók után azt tapasztalják, hogy rendszeresen megterhelik számlájukat, amelyhez – az előfizetésre tekintettel – már nem szükséges az előzetes jóváhagyásuk.

&Mit tehetsz?

& minden esetben olvasd el az ügyféltájékoztatót!

& vásárlás előtt keress rá a hirdetőre, olvass értékeléseket, ismertetőket az adott termékről és az eladóról!

& kizárólag biztonságos fizetési szolgáltatásokkal fizess! Gyanakodj, ha pénzküldési szolgáltatás használatát kérik!

& használj olyan virtuális kártyát, amit speciálisan csak online vásárlásokra szokás alkalmazni és eseti jelleggel töltheted fel a vásárláshoz éppen szükséges összeggel, így legrosszabb esetben is csak az ezen a másodlagos kártyán lévő összeget veszítheted el!

& bank-, vagy kártyatársaság alkalmazásán kívül egyéb alkalmazásnak nem adj engedélyt a kártyaadataid megjegyzésére!

& óvakodj a hihetetlenül jó ajánlatokat kínáló reklámoktól, vagy a csodát ígérő termékektől!

& állíts be számládhoz és kártyádhoz napi és tranzakciós limiteket, online vásárlási limitet vagy korlátozást!

Az karácsony előtti vásárlási időszakot a csalók és egyes kereskedők is kihasználják: újabb és újabb összegekkel terhelik meg az óvatlan vásárlók bankkártyáját. A módszer nagyon egyszerű: a megvásárolni kívánt, rendkívül kedvező árú termék felkelti figyelmedet, ahhoz azonban, hogy igénybe vehesd a kedvezményt el kell fogadnod egyéb – akár a termékhez nem kapcsolódó – ismétlődő szolgáltatás igénybevételét.

A csalás azért is különösen veszélyes, mert a terhelés néhány nap, hét elteltével történik meg, amikor már nehezen kapcsolod össze, hogy az ismétlődő terheléshez egy régebbi – nem körültekintő vásárlás során – egyeztél bele.

& mire figyelj?

• minden webshopos regisztrációkor, vásárláskor mérlegeld, hogy megbízható-e az oldal, ahol megadod bankkártya adataidat,
• vásárlás előtt ellenőrizd a webáruházat: nézd meg az értékeléseit, olvasd el a termékismertetőket,
• kizárólag biztonságos fizetési szolgáltatásokkal fizess,
• bank vagy kártyatársaság alkalmazásodon kívül a kártyádat ne rögzítsd,
• mérlegeld minden esetben az előre történő fizetés kockázatait,
• csak biztonságos internetkapcsolat használatakor fizess, ne használj ingyenes vagy nyilvános wifi hálózatokat,
• óvakodj a hihetetlenül jó ajánlatokat kínáló reklámoktól vagy a csodát ígérő termékektől,
• ha nem beszélsz idegen nyelveket, ne végezz regisztrációt olyan weboldalon, ahol magyar fordítás nem vehető igénybe,
• ne dőlj be a közösségi média felületein gyakran feltűnő, ellenőrizhetetlen hirdetéseknek,
• ha csomagküldő szolgálattól kapsz üzenetet (bármilyen csatornán), gondosan vizsgáld meg kattintás előtt a linket, gondold végig, hogy valós-e a rendelés.

& mit tehetsz?

Ha azzal szembesülsz, hogy számodra ismeretlen kereskedő rendszeresen – szándékoddal ellentétesen – kisebb-nagyobb összegekkel terheli meg a számládat, az újabb terhelések megelőzése érdekében haladéktalanul tiltsd le a kártyádat.

A karácsonyi időszkaot minden évben igyekeznek a csalók kihasználni, ezért tájékozódj oldalunkon a különféle csalási trendekről és tartsd szem előtt: a támadók akár többféle csalást is ötvözhetnek a cél érdekében, légy különösen óvatos!

Légy óvatos, ha a Microsoft nevében hívnak fel arra hivatkozva, hogy a számítógépedet hackertámadás érte, vagy vírusos lett.

A csalóknak az sem akadály, ha nem beszélsz angolul, ekkor fordító segítségével, videóhívásban próbálnak meg kommunikálni veled.

Ha nem vagy óvatos, megpróbálnak távoli hozzáférést biztosító program(ok) (pl Anydesk, Supremo) telepítésére rávenni, majd arra hivatkoznak, hogy egy új, biztonsági számla létrehozására van szükség a pénzed biztonságba helyezéséhez és számlát nyittatnak a Revolutnál, vagy egy kriptós cégnél. Ha van Revolut számlád, akkor ezt használják fel arra, hogy kártyás tranzakciókkal feltöltsd rá a bankszámládon lévő összegeket. A csalás más változatában elkérik a kártya adataidat és tőled már csak a csalárd tranzakciók jóváhagyását kérik. A „biztonsági számlához” a távoli hozzáférés miatt a csalók is hozzáférnek, onnan a saját maguk részére továbbküldik az összegeket.

Előfordult olyan eset is, hogy a csalók észlelték, hogy a kártyás tranzakciót a Bank csalásgyanú miatt elutasította és még arra is rávették az ügyfelet, hogy hívja fel a Bank ügyfélszolgálatát és „engedélyeztesse a tranzakciót” a Bankkal.

Mit tehetsz?

Soha ne telepíts más kérésére applikációt, szoftvert. Ha ilyen kérést fogalmaz meg feléd bárki, vagy a bankszámla, bankkártya hitelesítő adataidat kéri, esetleg azt szeretné elérni, hogy utald a pénzeszközeidet egy „biztonságos” számlára, szakítsd meg a hívást és jelezd a számlavezető bankod felé az esetet.

Ha megtörtént a baj, haladéktalanul tiltasd le a kártyádat, mobiltokenedet, hozzáféréseidet és tegyél rendőrségi feljelentést. A részletes lépéseket a jelen oldal „mit tegyél, ha támadás áldozatává váltál” menüpontjában találod.

Ha az interneten keresel sürgős szerelési, javítási munka elvégzéséhez szakembert, ügyelj, nehogy csalók áldozatává válj. Létező csalás trend, hogy a "szakember" előre utalást kér a munka elvégzéséhez:

• a teljes szerelési, javítási munka összegét előre utalással elkéri,

vagy

• először egy kisebb összeg utalását kéri el előre utalással a szerelési, javítási munkára, majd arra hivatkozva, hogy nem jó a számla (nem jó az összeg, nem tartalmazza az áfa-t stb.) azt ígéri, hogy visszautalja a korábban elutalt kisebb összeget az ügyfél részére, és kéri egy magasabb összeg előre utalását.

A szerelési, javítási munkák elvégzése természetes nem történik meg.

Mit tehetsz?

Soha ne utalj addig, amíg az általad megrendelt szolgáltatás maradéktalanul el nem lett végezve. Mielőtt felveszed a kapcsolatot egy szakemberrel, ellenőrizd az értékeléseit, referenciáit.

Ha mégis megtörtént a baj, tegyél rendőrségi feljelentést.

Légy gyanakvó, ha közeli hozzátartozód keres üzenetküldő alkalmazáson. A csalók (általában a gyermekednek) kiadva magukat Viber/Messenger/WhatsApp ingyenes üzenetküldő alkalmazáson keresztül kereshetnek meg. Ha valaki egy idegen személy elérhetőségéről keres a gyermekednek kiadva magát arra hivatkozva, hogy elromlott/elveszett a telefonja, majd azt kéri, hogy utalj át egy idegen számlára bármekkora összeget, majdnem biztos, hogy csalók próbálnak megkárosítani. Ebben az esetben a csalók jellemzően élnek a sürgetéssel, mint pszichológiai manipulációs eszközzel (pl. azonnal szükség van pénzre, mert ki kell fizetnie egy számlát, vagy ellopták a pénzét stb.) az idegen számlára pedig a jellemző magyarázat, hogy gyermeked számláját zárolták, ezért egy ismerősének a számlaszámát adja meg kedvezményezett számlaszámként.

Mit tehetsz? Mindig bizonyosodj meg arról, hogy tényleg azzal beszélsz/csetelsz, akinek kiadja magát a vonal másik végén levő személy. Ne bízz a videóbeszélgetésben, a mesterséges intelligencia segítségével már nagyon jól hamisíthatóak a hangok és az arcok is. Hogyan bizonyosodhatsz meg a másik fél személyazonosságáról? Kérdezz olyat, amit csak ő tudhat. Pl.: milyen volt szombaton Petinél a házibuli? Ha azt mondja, hogy jól sikerült, de te tudod, hogy nem volt a gyereked házibulin, akkor biztos lehetsz abban, hogy csalókkal állsz szemben. Ebben az esetben a legjobb, ha megszakítod a beszélgetést és feljelentést teszel a rendőrségen.

az adathalászat a csalások egy alfajtája, ami napjaink egyik legnagyobb online fenyegetése, aminek szinte mindenki ki van téve. Ahogyan neve is jelzi, az adathalászat az adataink megszerzését célzó támadás. Technikai eszközökkel nagyon sok támadás megelőzhető, azonban nélküled a technikai eszközök keveset érnek. Mi a K&H-nál igyekszünk minden erőnkkel megóvni a pénzedet és adataidat, de a védelem egyik kulcseleme Te vagy.

& miért lenne jó a támadónak, ha meg tudná szerezni az adataimat?

• a bankkártyád, bankszámlád és hitelesítő adataid birtokában könnyedén megszerezheti a pénzedet, hitelt vehet fel, vagy vásárolhat a nevedben. A jelszavaid birtokában hozzáférhet a levelezésedhez, közösségi profiljaidhoz, az általad használt alkalmazásokhoz, sőt hamis online személyt hozhat létre, posztolhat a nevedben, legvégső esetben pedig az adataidat eladhatja a darkweben… és ez csak a jéghegy csúcsa

& miért annyira elterjedt az adathalászat?

• az adathalászathoz nincs szükség mély technikai ismeretekre.

& hogyan működik az adathalászat?

• az adathalászat során a hackerek a pszichológiai manipulációt használják annak érdekében, hogy megszerezzék az adataidat. Csábító, figyelem felkeltő, nagy haszonnal kecsegtető, vagy épp ellenkezőleg, megfélemlítő, szankcióval fenyegető megkeresést kaphatsz, aminek célja, hogy a lehető legtöbb adatodat megszerezzék.

& milyen csatornákon érkezhet megkeresés?

• gyakorlatilag bármilyen online csatornán, illetve telefonon is kaphatsz adathalász megkeresést. Magyarországon a leggyakoribbak az e-mailben érkező adathalász levelek, azonban egyre nagyobb gyakorisággal fordulnak elő a telefonos és sms-ben történő adathalász támadások is. Létezik a chat alkalmazásokon keresztül, vagy épp a közösségi oldalakon történő adathalászat is. A támadók számára bármilyen csatorna megfelelő, ahol nem szükséges személyesen megjelenniük.

a csalások pszichológiája

Annak ellenére, hogy a pénzintézetek és a hatóságok is komoly energiát fektetnek a csalás megelőzésbe még mindig elmondható, hogy sokan esnek adathalászok áldozatául és az esetek jelentős részében olyan emberek, akik hallottak már az adathalászatról, több-kevesebb pontossággal felismerik a csalások jeleit. Mi lehet annak az oka, hogy az ügyfelek megadják adataikat a csalóknak?

&a sérthetetlenség illúziója

„Igen, hallottam már történeteket és olvastam is már cikkeket az adathalászatról, de elképzelhetetlennek tartottam, hogy ez velem is megtörténhet.” – mondta egyik ügyfelünk miután a csalók megpróbálták megszerezni adatait. A sérthetetlenség illúziója egy olyan szorongást csökkentő elhárító mechanizmus, ami miatt az emberek úgy érzik, mintha egy védőháló venné őket körül, a rémisztő, elrettentő dolgok velük nem történhetnek meg. A hamis biztonságérzet a felhasználókat gyanútlanná teszi, így nincsenek felkészülve a támadásokra, a gyakorlatban sokszor a meglévő tudásuk is cserben hagyja őket, amikor gyorsan kell reagálni.

&túl kis pont vagyok én ehhez

„Az előadások során szinte minden esetben elhangzik az a mondat, hogy túl kis pont vagyok ahhoz, hogy engem akarjanak megtámadni, ez azonban nincs így. Egyrészt az összegyűjtött adatok, mint név, e-mail cím, telefonszám stb. konkrét összegekért találnak vevőre, másrészt akinek megvannak az adataink, az bármikor indíthat akár egyszerű, tömegesen generált támadást, amely címzettjei közt mi is szerepelünk, de akár célzottan ellenünk irányuló támadást is.” – mondta el a K&H Bank információbiztonsági munkatársa, aki kiemelte, hogy az adathalászok számára nem csupán a banki, vagy személyes adataink jelentenek értéket, hanem a közösségi médiába feltöltött fényképeink, vagy posztjaink, hiszen az összegyűjtött információk alapján könnyedén indíthatnak célzott támadást ellenünk, vagy akár ismerőseink ellen, esetleg a mi nevünkben is.

&a sürgetés a legerősebb fegyver

„Nincs két teljesen egyforma kiberbűnözési ügy, de a csalási »forgatókönyvekben« szinte minden esetben előfordul egy alapvető elem: a gyors cselekvésre sarkallás” – fejtette ki dr. Dávidné Hidvégi Julianna klinikai szakpszichológus, az Áldozatsegítő Szolgálat szakértője. Hozzátette: a legtöbb áldozat arról számolt be, hogy az elkövetők félelmet keltő állításokkal próbáltak azonnali reakciót kicsikarni belőlük. Annak érdekében, hogy biztosra menjenek, a csalók azonnal a legfájóbb pontokat célozzák – azzal riogatnak, hogy veszélybe került a személyes pénzügyi helyzetünk, a megtakarításunk, vagy akár szeretteink biztonsága. „A digitális csalók sokféleképpen próbálkoznak, a céljuk azonban mindig ugyanaz: hogy ijedtünkben gondolkodás nélkül, reflexszerűen reagáljunk, kikapcsolva a természetes bizalmatlanságunkat és óvatosságunkat.”

&eltűnik a realitás: a legtöbben ezért válnak áldozattá

A potenciális áldozatok helyzetét nehezíti, hogy sokszor igazi profikkal állnak szemben. „Azok a csalók, akik fenyegetnek, nagyon nagy tapasztalattal rendelkeznek a megfélemlítésben, és az áldozat hanghordozásából és/vagy szóhasználatából érzékelik, hogy meddig mehetnek el, vagy azt, hogy folytathatják-e, mert ők is kerülhetnek veszélybe. Az ilyen elkövető a tapasztalataira alapozva ismeri fel, hogy az adott személynek milyen félelmei, szorongásai vannak, melyet kihasználva bármire rá tudja venni” – mondta dr. Szilágyi Zsuzsanna, a Békéscsabai Áldozatsegítő Központ koordinátora. A félelmetes kijelentések határozott fellépéssel társulnak – ez a kombináció pedig gyakran sikeresen rombolja le a potenciális sértett önbizalmát. A felvázolt hamis szituáció okozta pánik gyakran átveszi az irányítást a racionális gondolkodás fölött. „A félelem és a szorongás megbénítja az áldozatot, gondolkodása beszűkül és képtelen racionálisan értékelni a kialakult helyzetet. Az áldozat ezáltal irányíthatóvá válik, és önmaga védelme érdekében kész megtenni azokat a lépéseket, amelyeket az elkövetők meghatároznak – magyarázza dr. Dávidné Hidvégi Julianna. – A lényeg, hogy időt nyerjünk! Hogy elbizonytalanítsuk a csalót az általa nem várt reagálásunkkal, visszavegyük a vezetést, és ne hagyjuk, hogy ő irányítson!”

&mit tegyél?

A szakemberek egybehangzó véleménye szerint a legjobb védekezés, ha gyakorlatban próbáljuk meg elsajátítani a védekezést. Ennek egyik módja, ha folyamatosan rászoktatjuk magunkat arra, hogy minden linket ellenőrizzünk akár e-mailben, akár sms-ben, vagy egyéb típusú üzenetben érkezett, függetlenül attól, hogy munkahelyen, vagy magánéletünkben kaptuk.

Érdemes rákeresni az interneten és többször meghallgatni azokat a felvételeket, amelyek telefonos csalásokat rögzítettek. Időnként képzeljük el azt, hogy mi vagyunk a hívott fél helyében és gondoljuk végig mit reagálnánk, majd objektíven elemezzük és korrigáljuk a reakciót, amit aztán begyakorolhatunk.

Mindenki érzi, amikor próbálják nyomás alá helyezni. Álljunk meg pár percre és gondoljuk végig: mit veszíthetünk, ha engedünk a nyomásnak. Csupán néhány másodperc ”késlekedés”, amíg felhívjuk a bankunkat az általunk ismert számon, de megéri, hiszen így gyorsan valós segítséget kaphatunk és egyben ellenőrizni tudjuk azt is, hogy tényleg támadás van-e ellenünk folyamatban, vagy csupán egy próbálkozásnak vagyunk elszenvedői.

Forrás: mediaunio.hu

Az egyik leggyakrabban előforduló adathalász módszer, hogy illetéktelenek valósnak tűnő telefonszámról - sok esetben más bank nevében - próbálják az ügyfelek bankkártya adatait és egyes azonosítóit megszerezni. Az is előfordulhat, hogy más bank nevében telefonálnak, majd miután kiderül a támadók számára, hogy a hívott szám a K&H ügyfele, akkor “átkapcsolnak” a K&H ügyintézőjéhez, vagy a K&H nevében azonnal újra hívják az ügyfelet.

Hívószám-hamisítás (phone spoofing)

A hívószám-hamisítás egy speciális technika, ami lehetővé teszi a csalók számára, hogy módosítsák a hívószámot (például a K&H Bank telefonszámát feltüntetve), amely a telefon kijelzőjén jelenik meg, elrejtve ezzel a valódi hívó fél azonosságát. Vagyis amikor egy ilyen hívást fogadsz, a kijelzőn nem a valódi hívó telefonszáma jelenik meg, hanem egy másik, gyakran ismerősnek tűnő szám, például a bank telefonszáma. Ez növeli a csalók hitelességét és segíti a csalókat abban, hogy az áldozatokat becsapják. Egy ismerős telefonszám kevésbé tűnhet gyanúsnak, így nagyobb eséllyel ki tudják csalni a kívánt adatokat az áldozatokból.

hogyan védheted meg magad a telefonos csalóktól? 

• óvatossággal és fenntartással fogad a váratlan telefonhívásokat
• a sürgősség szokatlan és gyanús: gondold át alaposan, hogy mit kérnek tőled a hívók
• soha ne oszd meg személyes vagy pénzügyi információid, a bank nem kér ilyet telefonon
• ne hidd el, hogy a kijelzett telefonszám valóban a bank ügyfélszolgálati száma, keresd meg a bank hivatalos weboldalán a szervezet telefonszámát 
• ne bízzon bárkiben: a csalók könnyen megszerezhetik alapvető információid közösségi média profilokból, ne higgy a hívónak csak azért, mert néhány személyes adatodat ismeri
• soha ne telepíts olyan programot, amit valaki telefonon keresztül kér tőled, hogy telepíts, a csalók gyakran így veszik át az irányítást az eszközöd felett
• ne utalj pénzt telefonos kérésre, a bank sosem kér pénzügyi tranzakciót telefonon keresztül
• ha a telefonhívás során felmerül benned a gyanú, azonnal szakítsd meg a beszélgetést, hívd fel a K&H Telecentert a központi elérhetőségek bármelyikén és jelezd nekik gyanúdat
• az ügyintézőhöz hasonlóan te is kérheted, hogy a hívó fél igazolja, hogy valóban a K&H bank alkalmazottja

Jellemzően hibás magyarsággal, gépelési, helyesírási hibákkal készült levelek, amelyek

• visszautasíthatatlan ajánlattal (pl. csúcskategóriás okostelefon ingyen) kecsegtetnek,
• figyelem felkeltőek (pl. örököltél 5 millió dollárt)
• esetenként hátránnyal, szankcióval fenyegetnek (pl. ha nem lépsz be, zároljuk a számládat)

A levélben található link szövege nincs összefüggésben a levél tartalmával (pl. a K&H nevében küldött levélben található link nem a kh.hu-ra, hanem egy teljesen másik oldalra mutat).

mit tehetsz, hogy ne válj az adathalászok áldozatává?

• kezeld óvatosan és fenntartással a kéretlenül érkező e-maileket
• minél sürgetőbb a levél hangneme, annál gyanúsabb lehet. 
• légy különösen óvatos, ha egy "banki" e-mail bizalmas információkat kér, például az online banki jelszavad, valódi bankok sosem kérnek ilyen adatokat e-mailben
• ne kattints az e-mailben lévő hivatkozásokra vagy ne nyisd meg a mellékleteket
• minden esetben ellenőrizd a linket! Ezt legegyszerűbben úgy teheted meg, ha a link FÖLÉ húzod az egérkurzort, NEM kattintasz, csak megnézed az ablakban, vagy a böngésző bal alsó sarkában látható hivatkozást.
• keress furcsaságokat, helyesírási hibákat, sürgető hangnemet és szokatlan formázást, az ilyen hibák a hamis e-mailek eláruló jelei lehetnek
• keress különbségeket a valós és a hamis e-mail címek között, alaposan nézd meg az e-mail címet, mert egy kis eltérés is a csalást jelezheti
• a mobil eszközökön nehezebb észrevenni az adathalász e-maileket, ne válaszolj gyanús e-mailekre
• ha a K&H nevében készített adathalász levelet kapsz, kérjük továbbítsd a „teendők adathalász gyanú esetén” pontban leírtaknak megfelelően, egyéb esetben azonnal töröld

Jellegükből fakadóan ezek az üzenetek jellemzően egy rövid, figyelem felkeltő szöveget és egy linket tartalmaznak (pl. 111111111 számú csomagja feladásra került.). Az sms-ek - hasonlóan a telefonos megkeresésekhez – valósnak tűnő telefonszámról is érkezhetnek. Minden esetben légy gyanakvó, ha olyan tartalmú sms-t kapsz, amire nem számítottál (pl. ha nem rendeltél semmit és mégis csomag érkezéséről tájékoztatnak). A link ellenőrzéséhez hosszan tartsd az ujjad a linken, ekkor megtekinthetővé válik a hivatkozás, amire a link valójában mutat. Ha a link szövege nincs összefüggésben az üzenet tartalmával (pl. a K&H nevében küldött sms-ben található link nem a kh.hu-ra, hanem egy teljesen másik oldalra mutat), majdnem biztos, hogy adathalász támadás célpontjai vagy.

Hogyan védekezhetünk a hamis banki SMS-ek ellen?

• ne kattints ismeretlen SMS hivatkozásokra, mellékletekre vagy képekre anélkül, hogy ellenőriznéd a küldő személyazonosságát
• mindig keress rá a számra az interneten, vagy ellenőrizd a bank oldalán, hogy a szám egyezik-e
• ne enged, hogy a sürgető üzenetek befolyásolják döntéseidet
• soha ne válaszolj olyan SMS-ekre, amelyek a pin kódod, online banki jelszavad vagy más biztonsági azonosító adataidat kérik
• töröld az SMS-t és a K&H nevében elkövetett támadás esetén kérlek értesíts minket

• a K&H Bank sosem kéri Ügyfeleit, hogy e-mailből vagy SMS-ből egy linkre kattintva lépjenek be a K&H e-bankba.
• sosem kérünk e-mail-ben vagy sms-ben titkos adatokat (pl.: ügyfélazonosító, ePIN, mPIN, jelszó, 3DSecure sms megerősítő kód) és telefonszámot.
• a K&H Csoport hivatalos weboldalának elérése mindig pontosan így kezdődik: https://www.kh.hu/
• annak érdekében, hogy megbizonyosodj az e-bank oldal valódiságáról ellenőrizd a zöld lakatot a keresősáv elején illetve, hogy az oldal címe így kezdődik-e: https://www.kh.hu/ebank,
  mobiltokennel vagy sms-sel történő belépés esetén pedig így: https://ebank.sso.kh.hu/
• a K&H Bank soha, semmilyen formában nem kér távoli hozzáférést eszközeidhez és nem kéri, hogy bármilyen alkalmazást telepíts. Fontos, amennyiben bárki számára távoli hozzáférést teszel lehetővé (pl. AnyDesk alkalmazás telepítésével) számítógépedhez vagy mobileszközödhöz, azon keresztül hozzáférhetővé válhatnak az eltárolt (pl. saját magadnak vagy vállalkozásodnak) bizalmas adataid, és látható minden, így az elektronikus banki felületen végzett tevekénységed is.

• amennyiben rendellenességet tapasztalsz az e-bank beállítások/azonosító eszközök kezelése menüpontban, regisztrált eszközödben, illetve tranzakciók történetében, akkor haladéktalanul vedd fel a kapcsolatot kollégáinkkal a K&H TeleCenteren keresztül  (+36 1/20/30/70 335 3355).
• ha az postaládádba K&H e-bank vagy K&H mobilbank belépésre felszólító email érkezik, vedd fel a kapcsolatot kollégáinkkal az informationsecurity@kh.hu email címen keresztül, hogy kivizsgálhassuk. A vizsgálat érdekében kérjük, hogy csatolmányként küldd el nekünk a gyanús levelet, amit az egyik leggyakrabban használt e-mail küldő alkalmazásban a következőképp tudsz megtenni: Az üzenet megnyitása után kattints a jobb oldalon található három függőleges pontra és töltsd le az üzenetet, majd a letöltött, eml kiterjesztésű állományt csatold be a nekünk küldendő e-mailbe a gemkapocs gombra kattintva.

Az öröklési csalás a csalás egyik olyan formája, amely során a csalók egy jelentősebb örökség megszerzésének lehetőségét vetítik elő leendő áldozatuk számára. Az öröklési csalás nagy jövedelmet ígér azoknak, akik erre fogékonyak. A csalások jellemző forgatókönyve, hogy külföldi ügyvéd, esetleg külföldi hivatal nevében küldik és nagyon nagy összegű örökség átvételét ígérik részesedésért cserében, pusztán egy csekély összegű előleg átutalását kérik (különféle költségekre hivatkozva).

hogyan védheted meg magad az ilyesfajta átverésektől? 

• semmilyen körülmények között ne adj meg bizalmas információkat, banki adatokat vagy azonosító és hitelesítő információkat e-mailben vagy más úton érkező felkérésre
• ne kezdeményezz fizetést levélben kapott felszólításra
• kéretlen levél esetén figyelj a nyelvezetre, mint például a pongyola megfogalmazás, a számtalan nyelvtani és stilisztikai hiba. Ám sok esetben épp ez támasztja alá a történetet: a „tört magyarság”, a megtévesztő történetben szereplő külföldi levélíró kísérlete, hogy magyarul próbál kommunikálni. Ha ilyen levelet kapsz, légy megfontolt és gyanakvó!
• ha ismeretlenek a könnyű meggazdagodás lehetőségét ígérik, akkor gyanakodj
• ne legyél hiszékeny, ha a történet túl szép, hogy igaz legyen, akkor valószínűleg nem igaz, hanem egy átverés

Univerzális tanácsadóink gyakran beszámolnak olyan csalásokról, amelyet azért különösen nehéz megakadályozni, mert ügyfelünk maga szeretne pénzt utalni a csalóknak. A legutolsó esetben egy magát Afrikában élő magyarnak mondó hölgy (?) vette fel ügyfelünkkel a kapcsolatot. Rövid időn belül "kiderült", hogy a vezetéknév egyezés nem a véletlen műve, "rokoni" szálak kötik össze ügyfelünket az őt megkereső hölggyel. A több hetes napi szintű online beszélgetés, az elküldött - mesterséges intelligencia segítségével készített - fotók megtették hatásukat, ügyfelünk megbízott a kizárólag üzenetekből ismert hölgyben, így amikor a csaló megemlítette, hogy kisgyermeke súlyos beteg, a műtét pedig csak Nyugat-Európában érhető el és több millió forintba kerül, nagyobb összeg átutalásával próbált segíteni.

Ügyfelünk története szerencsés véget ér: univerzális tanácsadónknak sikerült meggyőznie, hogy csalással próbálják megtakarításait megszerezni a csalók, amit a rendőrség is megerősített, ügyfelünknek nem keletkezett a csalás kísérlet miatt kára.

A „nigériai típusú” vagy a 419-es átverésként is emlegetett csalás egy speciális esete a közösségi média oldalakon, online társkereső portálokon történő csalásoknak, ugyanis ebben az esetben az áldozatok önszántukból utalnak pénzt a csalóknak. Az elkövető romantikus kapcsolatot épít ki leendő áldozatával, majd egy megható történettel pénzt kér tőlük. A megtévesztő történetet valódinak látszó, de hamis közösségi média profillal próbálják alátámasztani.

hogyan védheted meg magad az ilyesfajta átverésektől?

• semmilyen körülmények között ne adj meg bizalmas információkat, banki adatokat vagy azonosító és hitelesítő információkat e-mailben vagy más úton érkező felkérésre
• ne kezdeményezz fizetést levélben kapott felszólításra
• kéretlen levél esetén figyeld a nyelvezetet: a „nigériai” levelekre jellemző a pongyola megfogalmazás, a számtalan nyelvtani és stilisztikai hiba. Ám sok esetben épp ez támasztja alá a történetet: a „tört magyarság”, a megtévesztő történetben szereplő külföldi levélíró kísérlete, hogy magyarul próbál kommunikálni. Ha ilyen levelet kapsz, légy megfontolt és gyanakvó!
• ne higgy e-mailben érkező, már-már romantikus történeteknek
• ne legyél hiszékeny, ha a történet túl szép, hogy igaz legyen, akkor valószínűleg nem igaz, hanem egy átverés

Egy ügyfelünk elmesélte, hogy kiemelkedően magas telefonszámlát kapott a szolgáltatójától. Amikor megnézte a híváslistát, észrevett egy hosszabb beszélgetést egy külföldi (afrikai) telefonszámmal. Elmondása szerint volt egy nem fogadott hívása külföldi számról. Nem gondolt semmi rosszra, visszahívta a számot, ami ugyan hosszasan kicsöngött, de senki nem vette fel, majd meg is szakadt. A telefonszolgáltató elmondta ügyfelünknek, hogy sajnos egy visszahívásos csalás áldozatává vált, ahol a hívás létrejött, a kicsengés és a vonalszakadás hangját automatával rögzítették és játszották le a támadók.

A visszahívásos csalás egy elterjedt módszer, amelyben a csalók tömeges hívásokkal próbálnak pénzt kicsalni az áldozataiktól. A csalás lényege, hogy ismeretlen, gyakran külföldi számokról hívják az embereket. A csalók rövid hívást indítanak, majd rögtön megszakítják azt, remélve, hogy az áldozat visszahívja őket. A visszahívott nemzetközi, sok esetben nemzetközi emeltdíjas szám forgalma után a csalók bevételre tehetnek szert.A csalás már akkor is sikeres, ha a visszahívás nem sikerül, vagy csak hosszú csengést, vonalszakadást, vagy foglaltságot jelez.

hogyan védheted meg magad a visszahívásos csalásoktól?

• kezeld óvatosan a kéretlen hívásokat: mindig legyél körültekintő, ha ismeretlen számok hívnak, különösen külföldről
• ne vegyél fel ismeretlen külföldi hívószámokat: az ismeretlen külföldi hívások kockázatosak lehetnek, különösen, ha olyan országból hívnak, ahol nincs ismerősöd, vagy ahonnan nem vársz hívást
• ha a hívó fél nem járul hozzá a telefonszám kijelzéséhez, akkor neked sem kell felvenned a hívást
• ha gyanús hívást kapsz, használd az internetet a hívószám ellenőrzésére, ha mások is számoltak be gyanús tevékenységről ezen a számon, az információ segíthet csaláskísérlet azonosításában
• az ismeretlen előhívószámokról érkező külföldi hívásokat letilthatod, akár egyedileg, akár csoportosan
• az egyedi hívószámok letiltását a telefonod beállításaiban teheted meg, míg az előhívószámok csoportos tiltásához kérj segítséget a szolgáltató ügyfélszolgálatától

a befektetéseket kínáló csalások rendkívül elterjedtek. A hamis befektetési lehetőségek során a csalók olyan vonzó befektetési lehetőségeket kínálnak, mint részvények, kötvények, kriptovaluták, és gyakran használják ismert emberek, sportolók, modellek képeit és ajánlásait a hirdetéseikben. Az embereket gyors meggazdagodás reményében próbálják rávenni ezekre a befektetésekre, de valójában a csalók csak az áldozatok pénzét akarják megszerezni.

hogyan különböztetheted meg a hamis befektetési lehetőségek?

• mindig gyanakodj, ha úgy érzed, hogy az ajánlat „túl szép, hogy igaz legyen” vagy ha kéretlen e-maileket kapsz, amelyek befektetési ajánlatokról szólnak
• vigyázz, ha a befektetés gyors megtérülését ígérik, vagy ha a lehetőséget szűk időkorláthoz kötik
• mielőtt pénzt fektetnél be, vagy adnál ki, mindig kérj tanácsot független pénzügyi szakértőtől, így sokkal biztonságosabban dönthetsz befektetési lehetőségeidről
• vigyázz az olyan felugró ablakokkal, amelyek váratlan nyereményekről értesítenek, mivel ezek gyakran rosszindulatú tartalmúak
• ha egyszer már befektetési csalás áldozatává váltál, felkészülhetsz arra, hogy a csalók újra megkeresnek, vagy értékesítik az adataid más bűnözőknek

a fogyasztók és a vállalkozások egyre többet vásárolnak és adnak el az interneten. Az online ajánlatok sokszor valóban kedvezőek, de óvakodj a csalóktól!

mit tehetsz a csalások elkerülésére? 

• vásárlás előtt keress rá a hirdetőre, olvass értékeléseket, ismertetőket az adott termékről!
• kizárólag biztonságos fizetési szolgáltatásokkal fizess! Gyanakodj, ha pénzküldési szolgáltatás használatát kérik!
• használj olyan virtuális kártyát, amit speciálisan csak online vásárlásokra szokás alkalmazni és eseti jelleggel töltheted fel a vásárláshoz éppen szükséges összeggel, így legrosszabb esetben is csak az ezen a másodlagos kártyán lévő összeget veszítheted el!
• bank-, vagy kártyatársaság alkalmazásán kívül egyéb alkalmazásnak nem adj engedélyt a kártyaadataid megjegyzésére!
• mérlegeld minden esetben az előre történő fizetés kockázatait és az utánvétel költségét, és inkább válaszd az utánvételt, különösen nagyobb összegű vásárlás esetén 
• fizetéshez ne használj ingyenes vagy nyilvános wifi hálózatokat!
• óvakodj a hihetetlenül jó ajánlatokat kínáló reklámoktól, vagy a csodát ígérő termékektől!
• ha olyan felugró ablak jelenik meg a képernyődön, amely nem várt nyereményről tájékoztat, jusson eszedbe, hogy ez nagy valószínűséggel egy rosszindulatú program!
• állíts be számládhoz és kártyádhoz napi és tranzakciós limiteket, online vásárlási limitet vagy korlátozást!

az eladó megkárosításának egyik leggyakoribb módjánál a vevő azzal hívja fel őt, hogy kifizette a meghirdetett terméket, ám arra kéri az eladót, hogy telepítsen egy programot a gépére, vagy telefonjára annak érdekében, hogy „biztosítva legyen az átutalás fogadása”. A telepített program jellemzően az eszköz távoli elérését teszi lehetővé. Az eladó gyakran megadja a csalóknak az SMS-ben kapott kódot, ami azt eredményezi, hogy a csalók kizárják őt a saját banki profiljából és kiürítik a bankszámláját. 

az online piactereken alkalmazott csalások egy másik típusánál az eladó egy sms-t kap, amelyben arról tájékoztatják, hogy a termékét kifizették, de „fogadnia kell az összeget” az üzenetben küldött link segítségével, vagy a termék kiszállításához ajánl a „vevő” egy csomagküldő szolgálatot, ismert, jogszerűen működő cégek nevével visszaélve (pl.: Foxpost, DHL, DPD, MPL), és rájuk hivatkozva küldenek adathalász linket tartalmazó üzenetet, vagy e-mailt. Amikor az eladó gyanútlanul rákattint, akkor egy, a csalók által készített hamis weboldalon találja magát, ahol meg kell adnia bankkártyaadatait (amivel ezután a csalók vissza tudnak élni, például vásárolhatnak vele) vagy ki kell választania a számlavezető bankját és arra kattintva megadni a saját banki belépési adatait. Utóbbi esetben az eladó érzékeny banki belépési adatai kerülnek illetéktelen kezekbe. Mivel ez a hamis oldal a valódi banki oldalnak továbbítja az adatokat, az óvatlan ügyfél (eladó) megkapja az egyszer használható bejelentkezési kódot (pl. SMS kódot), és azt is begépeli a hamis oldalon. Így a csalók bejutnak az ügyfél banki profiljába és a számlán lévő pénzhez is hozzáférnek, amit azonnal elutalhatnak, ellophatnak. 

mit tehetsz ennek elkerülésére? 

• soha ne utalj pénzt, ha Te vagy az eladó
• légy tisztában azzal, hogy eladóként Te pénzt csak fogadsz, nem küldesz 
• ahhoz, hogy bankszámládra pénzt utaljanak nincs szükséged semmilyen programra, és bankfiókodba se kell bejelentkezned! Utalás fogadásához elegendő megadnod a bankszámlaszámodat és a nevedet, soha ne adj meg további bankszámla adatot, felhasználói fiókazonosítókat, jelszavakat e-mailben, sms-ben vagy telefonon érkező kérésre! 
• soha ne kattints e-mailben, üzenetben lévő hivatkozásokra, és ne nyisd meg a mellékleteket! A webes bejelentkezések címeit inkább manuálisan gépeld be!
• soha ne tölts le ismeretlen programot vagy applikációt számítógépedre, mobiltelefonodra!
• amint azt észleled, hogy csalás áldozatává váltál, azonnal, késlekedés nélkül jelentsd az esetet bankodnál és tégy feljelentést!

A nem banki szolgáltató nevével történő visszaélés esetén a csalók jellemzően SMS-en, e-meilen keresztül gyakran adategyeztetés, fizetési késedelem, hátralék kiegyenlítése, az átutalt összeg átvétele, csomag átvétele, szolgáltatás felfüggesztése kapcsán álcázzák magukat és bankszámla adatokat, bankkártya adatokat, személyes adatokat, valamint pénzutalásokat kérnek a célpontoktól. Az üzenetekben gyakran hamis linkeket rejtenek el, amelyek megtévesztésig hasonlíthatnak az eredeti weboldalra, vagy lehetővé teszik rosszindulatú szoftver telepítését az eszközre.

Mit tehetsz ennek elkerülésére? 

• kezeld óvatosan a kéretlen üzeneteket
• legyél különösen éber, ha üzenetben olyan információkat kérnek tőled, mint személyes, vagy banki adatok vagy azonosítók, vagy azonnali fizetésre szólítanak fel
• ne utalj pénzt, ha egy szolgáltató kéri üzenet formájában
• ne telepíts szoftvert a kapott linkekből, vagy az üzenetekben lévő utasításoknak megfelelően
• mindig a szolgáltató hivatalos weboldalát vagy hivatalos alkalmazásboltokat (például google play, app store) használd a jogtiszta szoftverek letöltésére

A kiberbűnözők tisztában vannak azzal, hogy a különböző szolgáltatók egyre gyakrabban használják a közösségi médiát az ügyfeleikkel való kapcsolattartásra akár panaszkezelés vagy problémamegoldás céljából is.

Az elkövetők figyelik a szolgáltatók közösségi csatornáira érkező ügyfélpanaszokat, majd a szolgáltató képviselőjének kiadva magukat – annak közösségi média profilját lemásolva, vagy ahhoz nagyon hasonló, de hamis fiókról – felveszik a kapcsolatot a panasz bejelentőjével. Látszólag a panasz kezelése, a bejelentett probléma érdekében érzékeny információkat – személyes, banki, valamint különböző fiók bejelentkezési adatokat, jelszavakat – kérnek el az ügyféltől, amikkel aztán hozzáférhetnek annak bankszámláihoz és különböző online fiókjaihoz.

Mit tehetsz ennek elkerülésére? 

• ellenőrizd a közösségi média profil nevét (például a szolgáltató ismert oldalán), ellenőrizd továbbá, hogy van-e benne hiba, elütés.
• ne kattints hivatkozásokra egy közösségi média felületen érkező kapcsolatfelvételi üzenetben
• jelentsd a közösségi média platform üzemeltetőinek azokat a profilokat, amelyekről azt gyanítod, hogy csaláshoz hozták létre őket és tiltsd le őket! 
• mindig ellenőrizd az üzenet feladóját. 
• közösségi média felületen senkinek ne add meg személyes adataidat!
• felhasználónevedet, jelszavadat és egyéb azonosító és hitelesítő adataidat semmilyen körülmények között ne add át senkinek, ilyet soha nem kérnek a szolgáltatók. 

A csalók különböző módszerek alkalmazásával (például egy munkaajánlattal) megpróbálják elérni, hogy megadd személyes adataidat. Az adatok birtokában aztán jóvá nem hagyott vásárlásokat hajthatnak végre, bankszámlát nyithatnak; telefon-előfizetést vásárolhatnak; hitelt vehetnek fel; illegális üzleti tranzakciókat hajthatnak végre; eladhatják adataidat más csalóknak.

Mit tehetsz ennek elkerülésére? 

• rendszeresen tekintsd át közösségi média fiókjaid adatvédelmi és biztonsági beállításait
• gondold át alaposan, hogy mennyi információt és fényképet osztasz meg a közösségi média oldalakon! Felhasználásukkal a csalók hamis személyazonosságot hozhatnak létre, vagy megpróbálhatnak átverni.
• jelentsd a közösségi média platform üzemeltetőinek azokat a profilokat, amelyekről azt gyanítod, hogy csaláshoz hozták létre és tiltsd le őket!
• ha valódi ismerőseitől kapsz szokatlan vagy gyanús üzenetet, illetve látsz általuk közzétéve furcsa posztot, gyanakodj és jelentsd a közösségi média platform üzemeltetőjének!
• ellenőrizd rendszeresen a bankszámlakivonataidat! Ha olyan dologért terhelték meg a számládat, amelyet nem rendeltél meg, vedd fel a kapcsolatot a bankkal és a kártyatársasággal!
• állíts be számládhoz és kártyádhoz napi és tranzakciós limiteket, online vásárlási limitet vagy korlátozást

• soha ne add ki senkinek:

  • K&H énazonosítódat,
  • ePIN kódodat,
  • mPIN kódodat,
  • felhasználónevedet,
  • jelszavadat,
  • az elsődleges/másodlagos SMS jelszót,
  • mobil-token használata esetén a belépési és tranzakció aláíró numerikus kódokat
     

• ne add át senkinek:

  • a bankoláshoz használt eszközödet
  • és a hozzá tartozó jelszót/PIN kódot
  • ne mutasd meg a feloldáshoz használt mintát
     

• semmiképp ne tárold titkosítatlanul a bankolásra használt eszközödön az

  • K&H énazonosítódat,
  • ePIN kódodat,
  • mPIN kódodat,
  • felhasználónevedet,
  • jelszavadat
• ne írd fel a telefonod/számítógéped feloldására használt jelszót, PIN kódot, ne rögzítsd a feloldó mintát sehová
• a legjobb, ha fentieket megjegyzed
• különösen ügyelj arra, hogy teljesen elkülönítetten kezeld és tárold azonosítódat (pl. jelszószéfben) a bankszámlától, bankkártyától, tokentől, lehetőség szerint a bankolásra használt eszközöktől, illetve bármi olyan dokumentumtól, ami a pénzügyi tevékenységeddel összefügg
• különösen ügyelj arra, hogy a bankolásra (is) használt eszközödhöz kizárólag a te biometikus azonosítód (pl. ujjlenyomatod, arcmásod) kerüljön rögzítésre. Ha más személynek is engeded az azonosító rögzítését, te magad biztosítod számára a pénzügyeidhez történő hozzáférést.
• soha ne használj bankolásra feltört (root-olt, jailbreak-elt) operációs rendszert futtató eszközt
• ne használj bankolásra olyan eszközt, amin nem jogtiszta szoftver(ek) fut(nak)
• ha felmerül a gyanúja, hogy rajtad kívül más is megismerhette a fentieket, vagy hozzáfért a bankolásra használt bármely fizikai eszközödhöz, esetleg olyan tranzakciót észlelsz, amit nem te kezdeményeztél, haladéktalanul értesítsd a Bankot (a további halaszthatatlan teendőkről a „mit tegyél, ha támadás áldozatává váltál” menüpont alatt olvashatsz)
• ne add ki soha azokat az adataidat, amellyel azonosítod magad a Bank felé: neved, lakcímed, édesanyád neve, bármely banki azonosító számod, pénzügyi tranzakcióid adatai, vagy épp az általad igénybe vett termékek részletei
• amennyiben fizikai azonosító eszközt (tokent) használsz a belépéshez, ügyelj arra, hogy az eszköz tanúsítványa mindig érvényes legyen, ne engedd azt lejárni, idejében indítsd el a megújítási folyamatot

• napi költéseidhez állíts be limitet, amit bármikor módosíthatsz. A limitmódosítás lehetőségéről bővebben a következő lenyíló cikkben olvashatsz.
• kérj sms értesítést a tranzakcióidról, élj a lehetőséggel, tekintsd meg a K&H mobilinfo szolgáltatását
• függeszd fel kártyádat a K&H mobilbankban, vagy a K&H e-banki felületén, ha huzamosabb ideig nem kívánod használni, vagy ha olyan helyen vagy, ahol kevésbé tudsz rá vigyázni (pl. fesztivál, utazás) stb.

bárkinek lehet rosszabb pillanata és már meg is történik a baj. Ha csalók áldozatává váltál, neked sem mindegy, hogy a számlá(i)don található teljes összeghez, vagy annak csak a töredékéhez férnek hozzá a támadók.

biztonsági tippünk, hogy élj a díjmentes limitmódosítás lehetőségével, állíts be egy alacsonyabb limitet, amit, ha nagyobb összegre van szükséged, pár másodperc alatt meg tudsz emelni, majd ha a tranzakció sikeresen lezárult, vissza tudsz csökkenteni. A limitmódosítás rendelkezésedre áll a napi készpénzfelvétel, napi vásárlás és napi internetes vásárlás esetén is.

ha limitet szeretnél módosítani, a következő lehetőségeid vannak:

• K&H mobilbankon, ahol pénzügyi asszisztensünk, KATE is rendelkezésedre áll, amihez csak annyit kell mondanod: „limitet szeretnék módosítani”
• K&H ebankon, vagy az Electrán keresztül
• megteheted bármely K&H személyes ügyfélpontunkban
• lakossági és kkv ügyfelek a TeleCenteren keresztül azonosítást követően
• vállalati ügyfelek a Vállalati Ügyfélszolgálaton keresztül.

Bankkártyáiddal kapcsolatos változások: Nevedre szóló bankkártyáiddal kapcsolatos változásokról értesítünk. Legyen szó igénylésről, digitalizálásról, aktiválásról és tiltásról, SMS vagy push üzenetet küldünk számodra. SZÉP kártya esetén továbbra is e-mailen küldjük az értesítést (kivéve a digitalizálásról, ami sms-ben fogsz megkapni). Ha ilyen üzenetet kapsz, azonban a fenti műveleteket nem te végezted el, akkor azonnal hívd a K&H Telecentert a +36 (1/20/30/70) 335 3355 telefonszámon!​

E-bank vagy mobilbank aktiválás: üzenetet küldünk, ha aktiválod a mobilbankod vagy e-bank felhasználónév jelszót hozol létre.

E-bank vagy mobilbank első belépés: értesítést küldünk, amikor az első belépést észleljük az e-bankodba vagy mobilbankodba. Számlád biztonsága érdekében, ha nem te végezted el ezt a belépést, akkor azonnal hívd a K&H Telecentert a +36 (1/20/30/70) 335 3355 telefonszámon!​

Személyes adatok változása: ha elektronikus csatornákon kezdeményezve személyes adataidban változás történik, akkor push üzenetben értesítünk, ha nincs mobilbankod, akkor pedig SMS-ben. Ez az értesítés csak az adatváltozás tényét jelzi, személyes adatokat és részleteket nem tartalmaz. A konkrét változás részleteiről a mobilbank postaládádba küldünk levelet.

KiberPajzs műveletmegfigyelési értesítés: kártyabirtokosként díjmentes értesítést kapsz, ha a betéti bankkártyáiddal kezdeményezett min. 15 000 Ft értékű terhelési tranzakciót észlelünk. Ez az üzenet a tranzakcióval kapcsolatos részleteket nem tartalmazza - az értesítés célja, hogy ha nem te kezdeményezted a tranzakciót, akkor is azonnal értesülj róla és tudj intézkedni számlád/bankkártyád biztonsága érdekében.

A KiberPajzs műveletmegfigyelési értesítésekről részletes információkat itt találsz: https://www.kh.hu/biztonsag-a-penzugyekben/kiberpajzs

meghatalmazottak és társtulajdonosok részére adott hozzáférés kockázatai

előfordulhat, hogy számládhoz társtulajdonost rendelsz, valamint az elektronikus ügyintézés során gyakran szükséges, hogy meghatalmazott személyeket jelölj ki, akik a nevedben intézhetnek ügyeket. Ilyen esetekben fontos, hogy megfelelően tájékozódj a társtulajdonos hozzárendelés és a meghatalmazás feltételeiről, hatályáról és visszavonásáról, valamint a hozzáférés biztonságáról.

milyen kockázatok merülhetnek fel a társtulajdonosi, meghatalmazotti hozzárendelés miatt?

• a társtulajdonos nem megfelelően kezeli a hozzáféréshez szükséges adatokat, például a felhasználónevet, a jelszót, az azonosító kódokat, vagy az elektronikus aláíráshoz szükséges eszközöket, ezek illetéktelen személy kezébe kerülnek, akik visszaélnek az elektronikus csatorná(ko)n való hozzáféréssel.
• a meghatalmazott személy szándékosan, vagy véletlenül olyan ügyeket intéz, amelyek sért(het)ik az érdekeidet.
• ha közös használatú számlád van valaki mással, akkor mindketten önállóan is jogosultak vagytok meghatalmazottat bejelenteni, illetve a meghatalmazást visszavonni, függetlenül attól, hogy a meghatalmazást melyikőtök jelentette be.

hogyan kerüld el a kockázatokat?

• meghatalmazást, társtulajdonosi hozzárendelést csak olyan személynek adj, akiben megbízol és aki tisztában van a meghatalmazás feltételeivel, hatályával és visszavonásával.
• meghatalmazást csak olyan ügyekre adj, amelyeket nem tudsz, vagy nem akarsz magad intézni, és amelyek nem sértik a jogszabályokat vagy a szerződéseket.
• társtulajdonosi hozzárendelést, meghatalmazást csak az adott számla vonatkozásában, szükséges időtartamra adj és ha lejárt, vagy már nem szükséges, akkor vond vissza. Az általános meghatalmazást csak különösen indokolt esetben alkalmazd.
• a meghatalmazott rendszeresen tájékoztasson az ügyintézés során tett lépéseiről. Ellenőrizd, hogy a tevékenység megfelel-e a meghatalmazás feltételeinek.

A meghatalmazott személynek, társtulajdonosnak hívd fel a figyelmét, hogy ne kattintson gyanús linkekre, ne töltsön le olyan fájlokat, amelyek Bank nevében, illetéktelenül küldött elektronikus levelekben, üzenetekben, vagy weboldalakon szerepelnek, valamint ezeken az oldalakon ne adjon meg személyes adatokat. 

• telepítsd a szoftverfrissítéseket, amint azok elérhetővé válnak, vagy állítsd be a frissítések automatikus letöltését!
• gondoskodj vezeték nélküli (Wi-Fi) hálózatod biztonságáról! E-bank vagy mobilbank használatakor kerüld a nyilvános Wi-Fi hálózatokat.
• ne telepíts semmilyen illegális, vagy ismeretlen szoftvert!
• zárold számítógéped, amikor épp nem használod, hogy senki ne tudjon könnyen hozzáférni személyes adataidhoz és alkalmazásaidhoz!
• a számítógép feloldásához legalább 12 karakter hosszúságú jelszót használj. A jelszó ne legyen értelmes szó, ne legyen hozzád köthető, tartalmazzon kis- és nagybetűt, számot és speciális karakter. Fontold meg valamelyik megbízható jelszószéf szolgáltatás használatát.
• ne telepíts olyan alkalmazásokat, melyek a számítógép távoli vezérlésére szolgálnak.
• senkinek ne adj távoli hozzáférést a bankolásra használt eszközödhöz
• titkosítsd az eszközön tárolt adataidat
• rendszeresen készíts biztonság mentést az adatokról, ellenőrizd, hogy a mentés valóban betölti funkcióját és visszaállíthatóak a számodra fontos adatok
• használj olyan böngészőt, amely képes blokkolni a felugró ablakokat, ezek általában olyan weboldalakon jelennek meg, amelyek érzékeny adatokat kérnek

Mobiltokenes jóváhagyás

• QR kódot kizárólag a Bank weboldaláról olvass be, mindig ellenőrizd az URL-t ahol jársz
• ha e-mailben, vagy üzenetben kapsz QR kódot, ne olvasd be, látogasd meg a kh.hu oldalt

• zárold okostelefonod és táblagéped, amikor épp nem használod, hogy senki ne tudjon könnyen hozzáférni személyes adataidhoz és alkalmazásaidhoz!
• csak a hivatalos alkalmazás áruházakból telepíts appokat (iOS: App Store, Android: Play Store)
• a képernyőzár feloldásához legalább 5 számjegyből álló PIN kódot, vagy ennél biztonságosabb egyéb megoldást használj,
• ne használj feltört operációs rendszert futtató mobilkészüléket (jailbreakelt vagy rootolt), mert a feltört operációs rendszer számos beépített biztonsági funkciót kiiktathat!
• mobilalkalmazásunk és mobilkészüléked operációs rendszerének mindig a legfrissebb verzióját használd
• kapcsold ki a külső harmadik féltől származó alkalmazások telepítésének engedélyezését okoseszközödön
• telepítsd a szoftverfrissítéseket, amint azok elérhetővé válnak, vagy állítsd be a frissítések automatikus letöltését
• gondoskodj vezeték nélküli (Wi-Fi) hálózatod biztonságáról! E-bank vagy mobilbank használatakor kerüld a nyilvános Wi-Fi hálózatokat
• ne telepíts semmilyen illegális, vagy ismeretlen szoftvert
• ne telepíts olyan alkalmazásokat, melyek a az okoseszköz távoli vezérlésére szolgálnak
• senkinek ne adj távoli hozzáférést a bankolásra használt eszközödhöz
• titkosítsd az eszközön tárolt adataidat
• rendszeresen készíts biztonság mentést az adatokról, ellenőrizd, hogy a mentés valóban betölti funkcióját és visszaállíthatóak a számodra fontos adatok

A K&H Bank az online belépéshez és tranzakciók jóváhagyásához kétlépcsős hitelesítési folyamatot alkalmaz. Az SMS azonosítás során az ügyfeleknek nem csak a jelszavukkal kell bejelentkezniük, hanem további, SMS-ben történő azonosítást is végre kell hajtaniuk. A másodlagos hitelesítési kérés megjelenik a telefonodon, akkor is, ha a tranzakciót valójában más kezdeményezte.

ha találkozol egy ilyen helyzettel, és gyanú merül fel, hogy a hitelesítési folyamat hamis, kövesd az alábbi lépéseket:

• ellenőrizd az azonosítási kérést: győződj meg róla, hogy a belépési kísérletet vagy tranzakciót valóban te kezdeményezted
• soha ne hagyj jóvá olyan kérelmet, amelyet nem ismersz fel
• ellenőrizd a jóváhagyó SMS-t: ha egy jóváhagyó SMS érkezik, nézd meg az abban szereplő információkat, például a műveletet, az összeget és a címzettet, ellenőrizd, hogy minden helyes-e
• ne hagyd felügyelet nélkül a hitelesítési eszközöket: mindig tartsd azokat biztonságos helyen és ne oszd meg másokkal
• használj képernyőzárat: a mobiltelefonon való képernyőzár használata megvédi az eszközödet az illetéktelen hozzáférésektől
• csak saját biometrikus azonosítódat (ujjlenyomat, arc) regisztráld
• beállítások ellenőrzése: állítsd be a telefonod úgy, hogy a push-üzenetek és SMS értesítések tartalma csak a képernyőzár feloldása után legyen látható, ez megvédi az érzékeny információkat illetéktelen személyektől

A hamis WiFi-hálózatok olyan trükkösek lehetnek, hogy az átlagos felhasználók számára fel sem tűnnek. Ebben az elkövetési módban a támadók egy megtévesztő hozzáférési pontot (WiFi) hoznak létre, amely ugyanolyan nevet visel, mint egy ismert és legitim hozzáférési hálózat. Ezután arra próbálják rávenni az áldozatokat, hogy csatlakozzanak az eszközükkel. A hamis hálózaton keresztül figyelik, lehallgatják az eszközeidet. Ennek eredményeként hozzáférhetnek érzékeny adatokhoz, például felhasználónevekhez és jelszavakhoz, miközben a felhasználók gyakran észre sem veszik a támadást.

hogyan védekezhetünk ezekkel szemben? Íme néhány fontos tipp:

• kerüld a "nem biztonságos" hálózatokat: amikor hozzáférhető hálózatokat keresel, kerüld azokat, amelyeket a készülék "nem biztonságosnak" jelöl
• ne használj nyilvános WiFi-hálózatokat, ha nem muszáj: nyilvános WiFi-hálózatok használatakor fokozottan kitett lehetsz a támadásoknak, ha van más alternatíva, például a saját mobilinternet vagy egy megbízható otthoni hálózat azt használd
• ne engedélyezd az "automatikus kapcsolódás WiFi-hálózatokhoz" funkciót: az automatikus kapcsolódás lehetősége esetén a készülék könnyen csatlakozik egy ismeretlen hálózathoz, ami fokozza a veszélyt
• vigyázz a kényes bejelentkezési oldalakon: nyilvános WiFi-hálózat használatakor ne lépj be olyan weboldalakra, ahol meg kell adnod a felhasználóneved és jelszavad
• használj többfaktoros autentikációt: amennyiben lehetséges, olyan weboldalakon, amelyek fontos adataidhoz hozzáférést biztosítanak, használj többfaktoros autentikációt, ez a lépés megnöveli az online biztonságot
• használj megbízható szolgáltatótól származó VPN (virtual private network) hozzáférést

Az adathalász levelek vagy SMS támadások során rosszindulatú kódokat telepíthetnek a csalók az eszközökre, amelyek estenként figyelhetik és gyűjthetik az elérhető információkat, beleértve a különböző bejelentkezési adatokat és azonosítókat. Ezek a kódok általában a felhasználó tudta nélkül kerülnek az eszközre. A telepítés általában olyan módon történik, hogy a felhasználó hibásan kattint egy linkre egy hivatalosnak tűnő, valójában adathalász üzenetben, vagy olyan alkalmazásokat telepít, amelyek rosszindulatú kódokat tartalmaznak. Ilyen esetekben a felhasználó nem tud róla, hogy eszközét figyelik és ezáltal érzékeny adatokat, például bejelentkezési adatokat, pénzügyi információkat is elveszíthet.

hogyan védekezhetünk ezen támadások ellen? itt van néhány hasznos tanács:

• mindig frissítsd a szoftvereid, beleértve a böngészőt, a vírusirtót és az operációs rendszert, mivel a legújabb frissítések javíthatják a biztonságod. Ha lehetőséged van rá, kapcsold be az automatikus frissítések telepítését.
• rendszeresen indítsd újra a mobilkészülékeidet.
• soha ne kattints hivatkozásokra az üzenetekben és ne nyisd meg a mellékleteket
• mindig nézd meg alaposan az e-maileket és keress következetlenségeket, például furcsa nyelvezetet, helyesírási hibákat, vagy sürgető hangnemet
• mobileszközök használatakor is légy óvatos és ne engedélyezd az automatikus csatlakozást a hálózatokhoz
• ha gyanús e-mailt kapsz, jelentsd azokat a Bank felé, az információ segíthetik az ilyen típusú támadások megelőzését
• mielőtt szoftvert telepítesz, mindig gondold végig, hogy valóban szükséged van-e az adott applikációra, a nem használt alkalmazásokat távolítsd el eszközödről
• kizárólag hivatalos webáruházból (Google Play, App Store) telepíts alkalmazást, soha ne telepíts feltört (root-olt, jailbreak-elt) operációs rendszert, alkalmazást
• mindig nézd meg, hogy az alkalmazás mihez kér hozzáférést az eszközödön. Ha nem tartod indokoltnak a hozzáférés jóváhagyását, inkább keress más alkalmazást (pl. nem indokolt, ha egy térkép alkalmazás hozzáférést kér a telefonkönyvedhez).

• gyorsabban, egyszerűbben - biztonságosan
• az azonnali fizetési rendszerben az év minden napján, a nap 24 órájában, másodpercek alatt a kedvezményezett számlájára kerül az átutalt összeg. Az azonnali átutalási rendszerrel együtt elindult az úgynevezett másodlagos számlaazonosítók használatának lehetősége is, ha az utalás fogadója/ címzettje előzetesen regisztrálta a bankjánál az e-mail címét, vagy mobilszámát, esetleg adószámát / adóazonosító jelét, akkor számlaszám helyett ezeknek a megadásával is teljesül az utalás. Az esetleges csalások megelőzése érdekében az ügyfeleknek is körültekintőbbeknek kell lenniük a megbízások megadásánál.
• lényeges, hogy az érintettek a téves utalások elkerülése végett pontosan adják meg a másodlagos azonosítójukat. Ha esetleg pontatlanul adod meg partnerednek az azonosítód – tehát mondjuk az e-mail címet vagy telefonszámodat – amikor az utalás egyeztetése zajlik, akkor nem kapod majd meg a neked küldött pénzt. Rosszabb esetben más számlájára fog megérkezni ez az összeg. Ezért kétszer, háromszor is ellenőrizd, hogy jó azonosítót adtál-e meg.
• szintén fontos, hogy ha változik a másodlagos azonosítóként használt e-mail címed vagy a telefonszámod, akkor azt azonnal jelezd partnereidnek, illetve frissítsd az adatokat számlavezető bankodnál.
• amikor pedig Te akarsz újra pénzt küldeni egy régebben használt, esetleg a K&H e-bank vagy mobilbank Partner listában rögzített másodlagos azonosítóra, akkor fizetés előtt kérdezz rá, hogy a partnered, akinek fizetni kívánsz továbbra is használja-e azt az azonosítót.
• ha az a gyanúd, hogy más használja másodlagos azonosítóként e-mail címedet vagy mobilszámodat, vagy regisztrációhoz szükséges megerősítő kódot kapsz, anélkül, hogy regisztráltál volna, haladéktalanul vedd fel a kapcsolatot a K&H TeleCenterrel a +36 1/20/30/70 335 3355 telefonszámon!
• olvasd el, hogy miként működik az azonnali fizetés a K&H-nál:

tovább

A digitalizáció elterjedése új lehetőségeket teremt a csalók számára is, akik a legváltozatosabb módszerekkel igyekeznek vállalatokat is megkárosítani, tőlük pénzt hamis információkkal kicsalni.

Napjaink egyik gyakori, vállalatok körében elterjedt visszaélési típusa az úgynevezett „Hamis vezetői utasítás”, mely módszerrel kifizetési jogkörrel rendelkező alkalmazottat támadnak az elkövetők, akit hamis számla kifizetésére, vagy jóvá nem hagyott átutalás indítására próbálnak rávenni. Arra építenek, hogy az alkalmazottak igyekeznek gyorsan teljesíteni azokat a feladatokat, amelyek közvetlenül a felső vezetéstől érkeznek.

Megfelelő kontrollok alkalmazásával megelőzhetők, vagy csökkenthetők az ilyen, vagy ehhez hasonló csalási módszerek.

A leggyakoribb hibaforrás az összeférhetetlen jogosultságok birtoklása

Az összeférhetetlen jogosultságokat olyan helyzetként határozzuk meg, ahol egyetlen személy több olyan joggal rendelkezik, amelyek lehetővé teszik számára az illetéktelen tevékenységek végrehajtását anélkül, hogy megfelelő ellenőrzés alá esnének, így kockázatot jelentenek egy csaló által végrehajtott támadás során.

&mit tehetsz?

• adott munkakör ellátásához adott jogok csoportosítása (szerepkör alapú hozzáférés: pl. lekérdező/megnéző jogcsoport, rögzítő jogcsoport, aláíró jogcsoport),
• egymást átfedő, vagy egymással alá-fölé rendelt viszonyban lévő jogosultságok birtoklásának tiltása ugyanazon személy esetében (pl. visszaélésre vagy tévedésre adhat okot, a tranzakció rögzítés és jóváhagyás ugyanazon személy által),
• rendszeres jogosultság-felülvizsgálat,
• szigorú azonosítási eljárások és a négyszemelvű kontroll.

A négyszemelvű kontrollok olyan eljárások, amelyek során két független személy szükséges egy tranzakció vagy művelet végrehajtásához, ezzel megelőzve:

• a hibákat és csalásokat,
• valamint növelve a folyamatok átláthatóságát.

& K&H Electra jogosultságok

A bank kifejezetten javasolja, hogy céges ügyfeleink a K&H Electrában a felhasználói és aláírási limit pontszámokat úgy alakítsák ki, hogy lehetőleg több felhasználó közreműködése legyen szükséges egy megbízás elindításához, vagy legalább a magasabb összegű megbízások esetén egynél több felhasználó aláírására legyen szükség.

A K&H Electra rendszer aláírási pontszámok segítségével kontrollálja az egyes megbízások elindíthatóságát. Ez a pontszám mátrix két ismérv szerint testreszabható:

• Felhasználó aláírási pontszáma egy adott számlára: Legjellemzőbb esetben 5 vagy 10 ponttal rendelkezik egy aláírói joggal rendelkező felhasználó, de ettől el lehet térni 1-99-es tartományban.
• Összeghatárokhoz kötött számlánként meghatározható aláírási limit: Electra alap beállítása szerint 10 pontnyi aláírás szükséges egy megbízás elindításához, de ettől el lehet térni és a funkció használatával számlánként különböző összeghatárokhoz is különböző pontszám rendelhető.

A felhasználói és aláírási pontszámok Önadminisztrációs joggal lekérdezhetőek, Céges joggal pedig módosíthatóak

A social engineering az emberi tulajdonságokat, aktuális lelkiállapotokat kihasználó támadások gyűjtőneve. Ezek a tulajdonságok sok esetben kimondottan hasznosak az adott munkakör betöltéséhez, azonban tisztában kell lenni azzal, hogy bizonyos kockázatot jelentenek. Például az ügyfélszolgálatokon dolgozó munkatársak esetén kimondottan pozitív tulajdonság a segítőkészség, azonban egy támadás során ezt a tulajdonságot könnyen kihasználhatja a csaló, egyszerűen csak segítséget, tanácsot, információt kell kérnie. A social engineering támadásnak különösen kitett munkatársak közé tartoznak a személyügyes kollégák, az informatikai területen dolgozók, az ügyfélszolgálati feladatokat ellátók, a pénzügyesek, a felsővezetői asszisztensek, de a kommunikációs, illetve marketing szakemberek is.

A social engineering támadások közül vannak olyanok, amelyek a fizikai világban valósulnak meg. Ilyen például, amikor a támadó másnak adva ki magát (külső informatikai szakember, auditor, takarító, vendég, újságíró, szakdolgozatot író diák stb.) bejut a céghez, ahonnan a kollégák biztonságtudatlanságát kihasználva adatokat, iratokat, esetleg eszközöket (pl. ebédidőben magára hagyott laptopot, telefont, belépőkártyát stb.) gyűjt, szemeteseket vizsgál át, a zárolatlanul hagyott gépekről mentést készít, vagy épp fertőzött adathordozókat hagy el olyan helyeken, ahol a kollégák könnyedén megtalálják. Azt, hogy a social engineering mennyire gyakori jelenség jól mutatja, hogy minden fent felsorolt támadásfajtának van önálló neve.

&védekezz!

Ne feledd, a kulcs Te vagy: olyan erős a szervezet védelme, mint a leggyengébb láncszeme - az ember védelme.

Tanítsd meg a kollégáknak, hogy egészséges gyanakvással kezeljék az idegeneket és a szokatlan kéréseket ne csak az online, hanem a fizikai világban is. Nagyobb vállalatok esetén javasoljuk az őrszolgálat ilyen irányú képzését, a beléptetési eljárásrend kialakítását, de kis- és középvállalkozások esetén is, ahol a kollégák ismerik egymást megoldás – és egyben udvarias gesztus - lehet a vendégek kísérése. Fektess hangsúlyt arra, hogy a vállalkozás/vállalat minden munkatársa tudatában legyen annak, hogy ő is lehet célpont, hiszen rajta keresztül a vállalatot/vállalkozást is megtámadhatják.

A CEO fraud, vagy whaling (bálnavadászat) a szervezet felsővezetőit célzó támadás.

Az ilyen megkeresésekre jellemző, hogy hosszas kutatómunka előzi meg annak érdekében, hogy a megtámadni kívánt felsővezető, vagy asszisztense mindenképpen horogra akadjon. A CEO fraud e-mailek tökéletes nyelvezettel készülnek, minden esetben olyan – fontosnak tűnő – információt tartalmaznak, ami miatt szinte biztosan megnyitják őket, sok esetben egy meglévő kapcsolatra hivatkozva, vagy meglévő kapcsolat identitását ellopva történik a kapcsolatfelvétel, a levél feladója nem árulkodó. Sok esetben csatolmányt tartalmaznak, ha pedig megvizsgáljuk a linket, akkor azt látjuk, hogy a támadók elrejtik a valódi URL-t, ahová a link mutat. Ezeknek a támadásoknak az anyagi haszonszerzésen túl az esetek többségében minél több információ összegyűjtése is célja (például a szervezet működésére vonatkozó információk összegyűjtése egy későbbi, nagyobb támadás előkészítéséhez).

A mesterséges intelligencia és a deep fake előretörésével egyre könnyebb akár egy adott felsővezető hangját, képét megszerezve olyan támadásokat végrehajtani, ahol a támadó a vezető hangján megszólalva kér információkat, vagy épp nagyobb összegű átutalást egy videóbeszélgetés során.

&hogyan védekezhetsz?

A védekezés egyik alapvető szabálya, hogy minél kevesebbet tudjanak rólad. Gondosan különítsd el a munkahelyi és a magánéletedet. Felsővezetőként különösen fontos, hogy odafigyelj a láthatósági beállításokra a különféle közösségi oldalakon. Találd meg a szükséges-elégséges egyensúlyt: csupán annyit posztolj, ami elősegíti az üzleti tevékenységeidet, soha ne ossz meg a minimálisnál több információt és törekedj arra, hogy a lehető legkevesebbszer jelenjen meg a hangod, arcod nyilvános fórumokon.

Különösen figyelj arra, hogy vezetőként minden biztonsági szabályt betarts, amit elvársz a kollégáidtól: esetedben akár a szigorúbb kontrollok is indokoltak lehetnek, hiszen a téged ért sikeres támadás komoly kárt okozhat.

Mindig ellenőrizd, vagy ellenőriztesd a megkereséseket. Az óvatosság kifizetődő: hívd vissza a téged megkereső, magát már meglévő kapcsolatnak kiadó személyt, kollégát az általad ismert telefonszámán. Neked csak egy telefonba kerül, hogy ellenőrizd, valóban attól kaptál-e megkeresést, akit az emailben látsz, vagy a telefonban hallasz, viszont nagyon nagy veszteségtől óvhatod meg magad.

A ransomware támadás egy olyan kibertámadás, amelyben a támadó egy rosszindulatú szoftvert telepít a célpont számítógépére, vagy hálózatára, amely titkosítja az adatokat. A támadó ezután váltságdíjat követel az adatok visszaállításáért. A ransomware támadások gyakran adathalász e-mailek segítségével terjednek, amelyek rosszindulatú mellékleteket vagy linkeket tartalmaznak. A zsarolóvírus támadások talán a legékesebb példáját szolgáltatják annak, hogy miért fontos a munkatársak biztonságtudatossági ismereteinek naprakészen tartása: elég egyetlen figyelmetlen kolléga ahhoz, hogy komoly károkat okozzon a vállalatok/vállalkozások számára, amelyek a támadás miatt elveszíthetik adataikat, a váltságdíj kifizetése pedig nem garancia arra, hogy a támadók visszaállítják az adatokat.

&hogyan védekezhetsz?

A már ismert zsarolóvírusok ellen hatékony védelmet nyújtanak a vírusirtó szoftverek, azonban az új, csak a későbbiekben megjelenő ransomware támadások ellen az adathalász jelek biztos, gyakorlati szintű ismerete nyújthat védelmet. Az adathalász támadások jeleit a kh.hu/biztonsag-a-penzugyekben oldal mutatja be. Tartsd szem előtt, hogy 100 %-os védelem nem létezik, azonban egy ransomware támadás esetén a rendszeresen elkészített és ellenőrzött biztonsági mentésekből visszaállíthatóak az adatok.

Gyakori támadás a vállalkozások/vállalatok ellen amikor a támadók egy partnerük nevében számlát állítanak ki számukra, sőt esetenként még a figyelmet is felhívják arra, hogy megváltozott a számlaszám.

&hogyan védekezz?

Az ilyen támadások viszonylag egyszerűen kivédhetőek azzal, ha a pénzügyesek tudják, hogy ezekben az esetekben ellenőrizniük kell, hogy valós-e a számla. Ennek legegyszerűbb módja, ha ellenőrzik, hogy valóban létezik-e megállapodás, szerződés a számlát kiállító céggel, illetve ha visszaellenőrzik – akár egy telefonhívással – a számlaszámot. Meglévő partnerek esetén még egyszerűbb az eljárás: ha változik a számlaszám, validáltasd.

A DDoS (distributed denial-of-service) egy olyan kibertámadás, amelyben a támadó több számítógépet vagy eszközt használ fel, hogy nagy mennyiségű adatforgalmat generáljon egy weboldalra vagy egy szerverre, hogy leterhelje azt, és megakadályozza a normális működését. A DDoS támadások célja gyakran a vállalatok weboldalainak vagy online szolgáltatásainak megbénítása, ami ügyfélvesztést, bevételkiesést és hírnévromlást eredményezhet, azonban nem szabad szem elől téveszteni azt sem, hogy a DDoS támadásokat esetenként más támadások „elfedésére” használják a hackerek.

&hogyan védekezhetsz?

A számos weboldalon már alkalmazott „captcha”-k védelmet jelenthetnek a robotok által indított megkeresések ellen. A várhatóan nagy forgalmat bonyolító alkalmazások esetén pedig érdemes megfontolni azokat a technikai megoldásokat, amelyek biztosítják a terhelés elosztását.

A kibertámadások teljes kiküszöbölése lehetetlen, de a vállalatok/vállalkozások tehetnek lépéseket a kockázatuk csökkentésére és a hatásuk enyhítésére. A védelem sarokpontja, hogy a vállalat/vállalkozás rendelkezzen olyan információbiztonsági stratégiával, amely pontosan meghatározza az elérni kívánt védelmi célokat.

Az alább felsorolt javaslatok gyakorlati segítséget nyújtanak a támadások elleni mindennapi védelemhez:

• frissítsd a vállalatod/vállalkozásod által használt szoftvereket, a vírusirtókat és a tűzfalakat, hogy megvédd vállalkozásodat a legújabb fenyegetésektől.
• vezesd be a biztonságos jelszavakat, a többfaktoros azonosítást,
• rendszeresen készüljön biztonsági mentés, ellenőrizd azt, hogy zsarolóvírus (ransomware) támadás esetén vissza tudnád-e állítani az adatokat,
• vezesd be a titkosítás és a jogosultságkezelés jó gyakorlatait, hogy megnehezítsd a támadók számára a hozzáférést az adatokhoz,
• edukáld a dolgozókat: készítsd fel a dolgozóidat a kibertámadások felismerésére és elkerülésére, különösen az adathalász megkeresésekre. A dolgozóknak tudniuk kell, hogyan ellenőrizzék az e-mail címeket, a weboldalak URL-jeit, a mellékleteket és a tartalmat, hogy ne dőljenek be a hamis üzeneteknek. A dolgozóknak soha nem szabad megadniuk a személyes vagy vállalati adataikat olyan forrásoknak, amelyek nem megbízhatók.
• lépj gyorsan kibertámadás esetén: rendelkezz kibertámadásra vonatkozó válságtervvel, amely meghatározza a felelős személyeket, a teendőket és a kommunikációs csatornákat. Értesítsd a hatóságokat, a partnereidet és az ügyfeleidet a kibertámadásról. 

E-bank vagy mobilbank aktiválás: e-csatorna aktiválásakor autentikációs eszköz regisztráció esetén küldünk üzenetet

- Electra esetén VICA regisztrációkról

- e-bank esetén mobiltoken, felhasználónév&jelszó létrehozásról

E-bank vagy mobilbank első belépés: e-csatorna első belépésről értesítést küldünk:

- Electra használók: VICA, USB token első használatakor

- E-bank használók: mobiltoken, felhasználónév&jelszó első használatakor

Számlád biztonsága érdekében, ha nem te végezted el ezt a belépést, akkor azonnal hívd a K&H Vállalati ügyfélszolgálatot a +36 1 468 7777, +36 1 468 7755 telefonszámon.

Kiberpajzs műveletmegfigyelési értesítés: olyan vállalkozások betéti kártyáinak kártyabirtokosaként, amelyek 10 fő alatti létszámmal és 2 millió EUR alatti éves árbevétellel rendelkeznek díjmentes értesítést kapsz, ha az üzleti betéti bankkártyáiddal kezdeményezett min. 15 000 Ft értékű terhelési tranzakciót észlelünk. Ez az üzenet a tranzakcióval kapcsolatos részleteket nem tartalmazza – az értesítés célja, hogy ha nem te kezdeményezted a tranzakciót, akkor is azonnal értesülj róla és tudj intézkedni számlád/bankkártyád biztonsága érdekében. A Kiberpajzs műveletmegfigyelési értesítésekről részletes információkat itt találsz: https://www.kh.hu/biztonsag-a-penzugyekben/kiberpajzsertesitesek

A K&H Electrában 2024. szeptember 23-tól új limitkezelési lehetőséget teszünk elérhetővé, mely egy újabb lépést jelent a biztonságosabb bankolás felé.

Az új funkció segítségével meghatározhatja számlánként, hogy a megbízások jóváhagyására egyes (tól-ig) összegsávok közötti megbízások jóváhagyásához a felhasználóktól hány aláírási pontot vár el, azaz a pontszámok segítségével szabályozhatja, hogy hány aláíró szükséges a megbízás elindításához. A sztenderd beállítás szerint összesen 10 pont szükséges egy megbízás elindításhoz, amely egy (egyedül eljáró vezető) vagy több aláírótól is összegyűlhet.

Szemléltető példa: Beállított limitek: 0-1 000 000 Ft között 5 aláírási pont, 1 000 000 – korlátlan összeg értéksávban pedig 10 aláírási pont az elvárt a megbízások jóváhagyásához. Ebben az esetben az A) 500 000 Ft értékű megbízást egyedül, egy 5 ponttal rendelkező felhasználó is jóvá tudja hagyni, míg ugyanez a felhasználó nem elegendő a B) 2 000 000 Ft-os megbízás jóváhagyásához. B) megbízáshoz így jellemzően vagy két 5-5 aláírási ponttal rendelkező, vagy egy 10 aláírási ponttal rendelkező felhasználóra van szükség.

Kérjük gondolja át vállalata működését a megbízásaik értéke és a jóváhagyási struktúra tekintetében és ezeknek megfelelően éljen a beállított limitek nyújtotta védelem lehetőségével. Javasoljuk, hogy olyan értékhatárokat rögzítsen a számláihoz, melyek igazodnak a fizetési szokásaihoz, ugyanakkor a szokásostól eltérő fizetési műveletek végrehajtását meg tudják akadályozni. A biztonságot a saját működéséhez legpontosabban illeszkedő aláírási limitek szolgálják leginkább, ennek érdekében kérjük gondolja végig vállalata tervezett aktivitását számlánként és annak megfelelően állítson be limiteket, ezeket aktívan tartsa karban, idővel vizsgálja felül és módosítsa, amennyiben szükséges.

Az új funkció az ügyféloldali adminisztrációs felületről lesz elérhető (beállítások/jogosultságkezelés/aláírási limitek menüpontban). A limitértékek megadásához, illetve módosításához ’Céges jog’ szükséges. Amennyiben számlánként 4 összegsávnál összetettebb struktúrát szeretne alkalmazni, azt továbbra is a K&H vállalati ügyfélszolgálat munkatársai tudják önnek beállítani, az ilyen komplex limitstruktúra a felületen keresztül nem módosítható.

Javasoljuk, hogy vagyona nagyobb biztonsággal történő kezelése érdekében rendszeresen vizsgálja felül felhasználóinak jogosultságát és aláírási pontszámait is, amit megtehet továbbra is a beállítások/jogosultságkezelés menüpontban.

Ügyelj adataid helyességére! A bank számára mindig az aktuális, valamint kifejezetten az adott felhasználóhoz tartozó legpontosabb elérhetőségeket - ne a központi elérhetőségeket - add meg, ha erre lehetőség van. Így biztosíthatod, hogy a különböző figyelmeztetések, regisztrációs illetve tájékoztató üzenetek mindig a megfelelő személyhez jussanak el. Különösen az azonosítási folyamatban részt vevő eszközök (pl. ViCA), mobilbankoláshoz szükséges telefonszám esetén figyelj erre fokozottan!