Janka, Zsanett
belföldkülföldgazdaságvideóélettechtudafterenglish
12° 18°

Menü

Kereső

Belépés

Az MBH-s áldozatok tényleg bedőltek a csalóknak, de ettől még nem reménytelen a helyzetük

Techtud
Gazdaság
Legfontosabb

Az MBH-s áldozatok tényleg bedőltek a csalóknak, de ettől még nem reménytelen a helyzetük
Az MBH Bank fiókja Kőbányán a Kőrösi Csoma sétányon – Fotó: Róka László / MTI Bizományosi
Flachner Balázs
Flachner Balázs

Kevés lesújtóbb dolog történhet manapság egy emberrel annál, mint hogy egy banki csalás áldozata lesz – egy rossz döntés, néhány kattintás, és több millió forint tűnhet el egy bankszámláról. Az illető pedig nemcsak a pénze miatt búslakodik, hanem még hülyének is érzi magát, mert a bankok általában csak széttárják a kezüket, mondván, ők nem hibáztak. Ebben tulajdonképpen igazuk is van: a banki csalásoknál szinte mindig az ügyfelet szedik rá a csalók, akik a figyelmetlenséget vagy a nyomás alatt jelentkező stresszt kihasználva férnek hozzá az áldozatok számláihoz.

Ez történt az elmúlt hetekben az MBH Bank több száz ügyfelével is: a csalók adathalász módszerekkel megszerezték a belépési adataikat, aztán kipucolták a bankszámláikat, olykor több tízmilliós károkat okozva nekik. Az MBH azóta hangsúlyozta, hogy a csalók nem a banki rendszereket támadják, és ha az ügyfeleik a honlapjukon szereplő „biztonsági tájékoztató szerint járnak el, akkor a felsorolt csalási események nem fordulhatnak elő”.

Ez jogosnak is tűnik, de egy, több károsulttal is dolgozó ügyvéd elmondása alapján valójában nem ilyen fekete-fehér a helyzet, és nem minden esetben zárható ki a bank felelőssége: egy problémás sms, egy korábbi kúriai határozat és egy nemrég meghozott ítélet is bonyolíthatja még az ügyet.

Mi történt?

Az MBH Bank ügyfeleit érintő csalássorozat először múlt héten kapott nagyobb nyilvánosságot, amikor a 24.hu több károsult beszámolója alapján, nagyobb cikkben foglalkozott az üggyel. Maguk a csalások viszont jóval korábban kezdődtek, a Telex olyan áldozatról is tud, akit még április közepén húztak csőbe a csalók.

A csalás a sajtóban korábban megjelent és a Telexhez közvetlenül eljutott ügyek alapján a legtöbb esetben a következőképpen néz ki:

  • az ügyfelek valamilyen módon eljutnak egy, az MBH Bank hivatalos oldalára megszólalásig hasonlító oldalra;
  • ahol, miután pont ugyanúgy néz ki, mint az eredeti oldal, és csak az URL alapján lenne megállapítható, hogy nem az, megadják a bejelentkezési adataikat;
  • megadják a belépéshez szükséges kétfaktoros hitelesítési kódot – vagy legalábbis egy kódot, amit ők a kétfaktoros belépés hitelesítőkódjának hisznek –, ami szintén a csalóknál landol, és lehetővé teszi, hogy egy új eszközre telepítsék az MBH mobilos alkalmazását;
  • a csalóknak ehhez az apphoz már korlátlan hozzáférésük van, beállíthatják például a saját biometrikus azonosításukat, szóval ennek használata már teljesen független az eredeti tulajdonostól;
  • az alkalmazásba belépve pedig már azt csinálnak, amit akarnak, bármilyen limitet feloldhatnak, bármilyen alszámlához hozzáférhetnek, és bármennyi pénzt elutalhatnak bárhova – ezt jellemzően több részletben teszik meg, köztes számlák beiktatásával, hogy nehezebb legyen lefülelni a csalást.

A különbség az esetek között az, hogy melyik adathalász módszert használták a csalók. Itt felmerülhetnek a látszólag a közművektől vagy a NAV-tól kapott kamu emailek, marketplace-es vagy foxpostos csalások vagy akár az, hogy a csalók keresőoptimalizálással vagy fizetett hirdetéssel elérik, hogy a Google keresőjében a kamu oldal legyen a találati lista első helyén. Magáról a kamu oldalról is bevett módszerekkel hitetik el, hogy valódi: azon túl, hogy ugyanúgy néz ki, az URL is minimálisan tér csak el a valóditól – például mbhbank.hu helyett mbhbahk.com, vagy .hu helyett .nu a végződés.

Mit mond a bank?

Az MBH Bankot a korábbi közleményük után külön is megkerestük az ügyben. Azt szerettük volna megtudni, hogy pontosan hogyan verték át az áldozatokat a csalók, milyen mechanizmusai vannak a banknak a csalások kikerülésére, és melyek azok az esetek, amikor a bank kártérítést fizet a károsultaknak.

Az MBH konkrét esetekre nem tért ki, mert ezeket védi a banktitok intézménye, de azt megerősítette, hogy általánosságban hamis felületek létrehozásával és adathalász módszerekkel verik át az embereket. Mint írták, elkötelezettek az ügyfeleik pénzügyi biztonsága mellett, ezért rendszeresen hangsúlyozzák a belépési adatok védelmének fontosságát, és felhívják a figyelmet a csalási trendekre. Ez valóban így is van, a honlapjukon több ilyen tájékoztató is elérhető.

A bank biztonsági okokra hivatkozva nem sorolta fel, milyen mechanizmusai vannak a csalások kivédésére, de azt írta, olyan rendszert is használnak, amely valós időben figyeli a tranzakciókat, és azonosítja a gyanús műveleteket. A számlamozgásokról, a kártyás tranzakciókról, a belépési adatok változásáról és a gyanús tevékenységekről állításuk szerint külön tájékoztatják az ügyfeleiket, és a szűrőrendszerük folyamatosan figyelemmel kíséri az utalási szokásokat és a megjelenő csalási tendenciákat, amely alapján folyamatosan finomítják az eljárási protokolljaikat. Hozzátették,

éppen ezért javasolják ügyfeleinknek, hogy egy külföldi tartózkodást vagy egy szokásostól eltérő tranzakciót, például lakásvásárlást vagy autóvásárlást jelezzenek előre a banknak.

Arra, hogy mikor fizethetnek kártérítést egy áldozatnak, azt írták, hogy minden esetet és panaszt egyedileg és kellő alapossággal vizsgálnak. De általánosságban elmondható, hogy ilyen akkor történhet, ha a csalás a bank informatikai rendszereinek, munkatársainak egyértelmű hibája miatt történt; ha a hiba és a csalárd tranzakciók bekövetkezte között egyértelmű az összefüggés; ha a bank nem teljesítette az MNB biztonsági előírásait; vagy ha az ügyfél nem járult hozzá a tranzakcióhoz, és ezzel párhuzamosan nem volt gondatlan.

Akkor egyértelműen az ügyfelek hibáztak?

Az eddigiek alapján úgy tűnhet, hogy igen, és kész. Makay József kiberbiztonsági szakértő is rámutatott a honlapján, hogy a probléma forrása végeredményben az, hogy az áldozatok figyelmetlenek voltak, illetve a kevésbé támadható mobilos alkalmazás helyett a webes felületen bankoltak. Így nem meglepő, hogy a csalók úgy is le tudták húzni például a H2O Sportegyesületet, hogy ők állításuk szerint nem kaptak értesítést a mobilapp aktiválásáról – ha a belépési adatokat és a kétfaktoros hitelesítés kódját is megadták, akkor a csalók egyszerűen csak hozzáférhettek a számlájukhoz, amivel aztán azt csinálhattak, amit akartak.

A Telex által megismert egyik eset és a lapunknak nyilatkozó, az üggyel aktívan foglalkozó ügyvéd, Kóródi-Juhász Zsolt által elmondottak alapján viszont könnyen lehet, hogy mások mellett a H2O Sportegyesület sem a kétfaktoros hitelesítés kódját kapta meg az SMS-ben, amikor átverték őket. Olvasónk, Bence, akinek az egyesületétől több mint 2,3 millió forintot vittek el a csalók, ugyanis azt mondta, ő később, amikor visszaolvasta a csalás előtt küldött üzenetet, arra döbbent rá, hogy

amit ő a belépéshez szükséges kódnak hitt, azzal valójában azt engedélyezte, hogy egy másik eszközre telepítsék az MBH alkalmazását.

Bence, aki elmondása szerint azért használta a webes felületet, mert nemzetközi utalásokat az alkalmazásból nem lehet indítani, a Google-ön keresztül jutott el a kamu oldalra. Azért onnan, mert a Budapest Bank, a Takarékbank és az MKB összeolvadásából létrejött MBH Bank felületén a régebbi ügyfeleknek a mai napig három különböző rendszerben kell ügyet intézniük. Ha viszont valaki a Google-be írja be, hogy „MBH Bank, korábban MKB”, akkor egyből a neki megfelelő netbankos felületre lyukad ki, nem kell a bank főoldaláról elnavigálnia oda.

Olvasónk így jutott el végül az mbhbank.nu oldalra, ahol úgy tűnt, sikeresen be is lépett, de ott az fogadta, hogy az oldal szerverkarbantartás miatt átmenetileg nem üzemel. Ebben nem is kételkedett – az MBH Bank most hétvégén is bankszünnapokat tart, szóval nem is elképzelhetetlen a dolog –, de amikor legközelebb, már a helyes oldalra belépve ránézett a számlára, kiderült, hogy a csalók 10 ezer forint híján az egészet kiürítették. Így leírva ez nyilvánvaló csalásnak tűnik, utólag Bencének is evidens, hogy mi történt, de neki is csak egy héttel később állt össze a kép, és szerinte az eddig megjelent cikkek alapján másokkal is ez történhetett.

Oké, de ez miért lényeges?

A Kóródi-Juhász által elmondottak alapján azért, mert ebbe simán kapaszkodhatnak a károsultak. Ő éppen a múlt héten járt sikerrel a Magyar Nemzeti Bank Pénzügyi Békéltető Testületénél (PBT) egy nagyon hasonló, szintén az MBH-t érintő ügyben. Itt a testület megállapította, hogy az új mobilapp beállításáról és a belépéskor használt kétfaktoros autentikációról szóló SMS-ek között annyira jelentéktelen az eltérés, hogy nem volt elvárható, hogy az ügyfél felismerje a különbséget. A PBT szerint az ügyfél azt sem ismerte fel, hogy a kód kiadásával milyen további kár érheti őt, tehát

nem valósult meg a súlyos gondatlanság jogszabályban rögzített tényállása, amely alapján a bank mentesülhetett volna a felelősség alól.

De miért döntött így a testület, ha látszólag az ügyfél hibázott? Ebben alighanem szerepet játszhatott egy, a Kúria által januárban meghozott határozat, amelyben a Kúria egy hasonló ügyben végül helybenhagyta a károsult pártjára álló PBT eredeti javaslatát. A bank akkor a PBT döntését megtámadta, és bár a Fővárosi Törvényszék elutasította a keresetet, a másodfokon eljáró Fővárosi Ítélőtábla megállapította az ügyfél súlyos gondatlanságát. Az elvi ellentmondás miatt a PBT a Kúriához fordult, így született meg végül az ítélet, amelyről a Kúria itt számolt be részletesen.

A döntés lényege, hogy a Kúria szerint az eddigi gyakorlattal szemben nem lehet egy elképzelt, teljesen átlagos fogyasztóból kiindulni, és azt nézni, hogy milyen viselkedés várható el tőle. Ehelyett minden esetben egyedileg meg kell nézni, hogy az áldozat hogyan viselkedett, mennyire volt tisztában azzal, hogy amit csinál, annak ennyire durva következménye is lehet. Kóródi-Juhász azt mondta, a bankok jellemzően azzal kötik össze a súlyos gondatlanságot, hogy az ügyfelük kiadta az adatait, de ez önmagában nem alapozza meg azt. A bankok persze az általános szerződési feltételeikben meg szokták határozni, hogy mit tekintenek súlyos gondatlanságnak,

a bírói gyakorlat azonban ezt nem szokta figyelembe venni, mert a bank nem jogosult arra, hogy objektíve, a körülmények vizsgálata nélkül súlyosan gondatlannak minősítsen valamilyen tevékenységet.

Röviden összefoglalva a lényeg az, hogy a súlyos gondatlanságnak ok-okozati összefüggésben kell lennie a kárral, és annak kell látszódnia, hogy a fogyasztó akkora közömbösséget mutatott a biztonsági intézkedések iránt, hogy az már súrolja a szándékosságot. A Kúria egyébként a döntésében konkrétan kimondja, hogy a súlyos gondatlanságot milyen törvények és irányelvek alapján kell megítélni, és azt is leszögezi, hogy azt a pénzforgalmi szolgáltatónak, jelen esetben az MBH Banknak kell minden egyes esetben külön-külön bizonyítania.

Az MBH Bank a lapunknak megküldött válaszában azt írta, minden esetet egyedileg, kellő alapossággal vizsgálnak, Kóródi-Juhász szerint azonban a tapasztalat azt mutatja, hogy a panaszokra első körben mindenkinek ugyanazt az elutasítást küldik meg. Ez azért lényeges, mert a legtöbben ennek hatására fel is adják a próbálkozást, hiszen nem tudják milyen lehetőségeik vannak, esetleg nincs idejük, energiájuk vagy pénzük arra, hogy érvényesítsék az érdekeiket. Pedig jelen állás szerint lehet is reális esélyük arra, hogy viszontlássák a pénzüket.

Akkor az áldozatoknak mégis van esélyük kártérítésre?

Ez az ő egyedi esetüktől függ, ezek az esetek pedig nagyban eltérhetnek egymástól. Kóródi-Juhász szerint éppen ezért hiába hasonlóak a jogviszonyok, a tényállás és maga a csalás is, és hiába lehetne akár még csoportosítani is ezeket az ügyeket: mivel egyénileg kell mérlegelni, hogy tisztában volt-e az illető a kockázattal, itt valószínűleg nem működne egy pertársaság, amelynek létrehozatalát több áldozat is felvetette az elmúlt időszakban. Hiszen hiába lennének többen, ugyanúgy konkrét esetekre lebontva kellene végignézni a szubjektív viselkedést.

Az ügyvéd ugyanakkor a PBT múlt heti ajánlása után optimista. Mint mondta, korábban nem mindig érezte, hogy a döntések konzekvensek lettek volna, időnként a testület elegendőnek tartotta a súlyos gondatlanság megállapításánál azt, hogy az ügyfél kiadta az azonosító adatait. A Kúria döntése alapján viszont ez önmagában már nem elegendő. Egy ügyből persze nehéz jósolni, de a kúriai döntésnek és a PBT múlt heti ajánlásának egyértelműen lehet az ügyfelekre nézve pozitív hatása a későbbi döntéseknél is.

Márpedig ha a PBT vagy a bíróság az áldozat javára dönt, akkor a bank köteles a megterhelés előtti állapot visszaállítására, azaz még az utalások banki költségeit sem számolhatja fel.

Az ingyenesen elérhető PBT, amely természetes személyeknek járható út, kétmillió forintos összeghatárig – vagy ha a pénzügyi szolgáltató alávetési nyilatkozatot tesz, akár még tovább – a szolgáltatót kötelező határozatot hozhat a teljes kár megtérítéséről. Ennél magasabb összegnél a PBT ajánlást tehet, ahol a banknak elméletileg szintén fizetnie kell, de ennek kötelező ereje nincs, bírósági végrehajtással nem kényszeríthető ki.

Ha viszont az érintett bank, vagy bármilyen pénzügyi szolgáltató nem fizet, akkor a PBT nyilvánosságra hozhatja az ügy részleteit, és azt, hogy a szolgáltató nem teljesítette az ajánlásban foglaltakat. Ha pedig vitatja az ítéletet, neki kell pert indítania a PBT-vel szemben, hogy megmásítsák azt, ahogy az történt az említett kúriai határozat előtt is, végül sikertelenül.

Mekkora lehet a bank felelőssége?

Az MBH mostani ügyeiben ezen túl is vannak még érdekességek, például maga a tény, hogy az ő ügyfeleik ilyen jellegű megkárosításából lett ügy a sajtóban, és a Telexnek nyilatkozó ügyvéd elmondása szerint hozzá is túlnyomórészt ők jelentkeztek ilyen ügyben az elmúlt időszakban. Persze ez nem bizonyítja, hogy az MBH rosszul csinál valamit: ez az egyik legnagyobb bankcsoport Magyarországon, rengeteg ügyfelük van, így érthető, ha a csalások is sok embert érintenek náluk. Úgy viszont mégis érdekes az egész, hogy több áldozat állítja: a bank csak akkor értesítette őket gyanús utalásokról, amikor már szinte minden pénz eltűnt a számlájukról.

Ez is megmagyarázható azzal, hogy a csalók valamilyen szinten nyilván ismerik a bankok védekező mechanizmusait, vélhetően sejtik, hol vannak a limitek, és hova érdemes utalni a pénzeket, hogy ne legyenek gyanúsak. Közben viszont visszatérő elem, hogy az áldozatok korábban egyáltalán nem használták a mobilos alkalmazást, és ha igen, akkor is nyilvánvalóan látszik, hogy olyan, menet közben is változó IP-címekről történnek utalások, amelyekről korábban még sosem. Az is gyanús lehetne, ha valaki regisztrál egy új eszközt, amiről egyből elkezd nagyobb összegeket utalni,

Kóródi-Juhász Zsolt szerint ezek mind olyan, gyanúsnak mondható tranzakciók, amelyeket egy automatizmusnak jeleznie kellene, meg kellene állítania, de az ügyek számossága alapján szerinte ez nem történik meg.

Az ügyvéd szerint a Magyar Nemzeti Bank banki csalások észlelésére, megelőzésére, megakadályozására és kezelésére vonatkozó, 5/2023. számú ajánlásában számos olyan dolog szerepel, amely az MBH-nál nem valósul meg. Mint mondta, többek közt ezzel is érvelt a PBT előtt a múlt heti, az ügyfeleire nézve kedvező ajánlással végződő ügyében. Szerinte már az is rengeteget segítene, ha egy újonnan regisztrált eszközzel 24 óráig nem lehetne tranzakciót végezni, vagy ha új eszközt csak személyesen lehetne regisztrálni. Erre vonatkozóan a bank vezetett is be korlátozást, jelenleg csak munkanapokon, 8 és 16 óra között lehetséges a regisztráció, szóval ebben a bank szerint is lehet valami. Egy másik, az üggyel szintén foglalkozó ügyvéd, Andó Gergely egyébként a napokban ennél is durvábban fogalmazott,

ő azt írta, hogy a bank hat ponton is megfoghatta volna a csalást, de nem tette, „mert az IT rendszere érzéketlen a leggyanúsabb tranzakciókra is”.

Kóródi-Juhász elmondása szerint az MBH azzal is védekezett, hogy még nem sikerült egy platformra hozni a fúzióban érintett bankok rendszereit. Ez tényleg így is van, és az is kétségtelen, hogy a három különböző belépési felület, amely külön feljöhet a Google keresőjében is, alighanem megkönnyíti az ügyfelek átverését, és megnehezíti a bank dolgát a hamis oldalak kigyomlálásában. Az ügyvéd szerint ugyanakkor az már nem az ügyfelek problémája, ha a bank – amely több mint két éve működik, és 2023 őszén már lezongorázott egy nagyobb hangvételű informatikai átállást – korábban nem készítette elő a megfelelő számítástechnikai hátteret.

Azt, hogy az MBH-nak mekkora lehet a felelőssége, ha egyáltalán van neki, ezen a ponton természetesen lehetetlen megmondani. Erről vélhetően akkor kapunk valamivel teljesebb képet, ha az elmúlt időszakban a csalók által megkárosított ügyfeleik közül viszonylag sokan terelik jogi útra az ügyet, és ezek nagy részében a bankot felmentő vagy elmarasztaló ítélet születik.

Az áldozatoknak a PBT vagy a bíróság felkeresése mellett mindenképpen érdemes feljelentést is tenniük. Már csak azért is, mert a jellemzően nemzetközi bűnszervezetekben dolgozó csalók a pénzt gyakran küldik először más áldozatok vagy egy Magyarországon beszervezett pénzmosó számlájára. Ilyenkor a pénz időnként megakadhat valamilyen okból, és így le lehet foglalni. A pénzmosókat pedig gyakran elfogják a rendőrök, és a kártérítési igényt ilyenkor velük szemben is lehet érvényesíteni.

Kedvenceink
Partnereinktől
Kövess minket Facebookon is!
FacebookKövetem!
Legfontosabb
Telex shop
További élő árfolyamok!
Mutasd!
Friss hírek