Miután áttekintettük a csalások típusait, érdemes rávilágítani, milyen gyenge pontokat használnak ki a bűnözők a siker érdekében. Ezek lehetnek informatikai sebezhetőségek vagy éppen a folyamatok, szabályok hézagjai. Az alábbiakban összefoglaljuk a legfontosabb hiányosságokat – ezek ismerete segít megérteni, hol kell beavatkozni a rendszerbe a megelőzéshez.
- Az ügyfelek hiányos pénzügyi és digitális ismeretei: Még mindig sok felhasználó nincs tisztában az alapvető biztonsági tudnivalókkal. A támadók éppen ezt a tudáshiányt használják ki, pszichológiai manipulációval érik el, hogy kiadjuk az adatainkat . Különösen veszélyeztetettek az idősebbek vagy kevésbé technikai hátterűek, akik “nem tudnak lépést tartani a digitalizáció rohamos fejlődésével”. Bár a bankoknál kiváló informatikai védelem is lehet, ha az ügyfél önként beengedi a támadót (adatot ad át), azt nehéz kivédeni.
- SMS-alapú azonosítás sérülékenységei: A PSD2 előírta az erős ügyfélhitelesítést, de sok bank ennek keretében a SMS-ben küldött egyszeri kódokra épít. Az SMS kommunikáció azonban több sebből vérzik: könnyen adathalászható (mert az ügyfél átadhatja a kódot megtévesztés hatására), és bizonyos esetekben elfogható vagy átirányítható (lásd SIM swap támadás). Ráadásul a csalók a hívószám-hamisítással a banki SMS-ekhez hasonló feladót is be tudnak állítani, így a telefonunkon egy adathalász SMS ugyanabban a beszélgetésben jelenhet meg, mint a banki SMS-ek – ezzel a hitelesség látszata megvan. Ez komoly rendszerbeli hiányosság, hogy az SMS-ek feladói azonosítása nem megoldott nemzetközileg. (A megoldás a jobb, kétirányú titkosított kommunikáció lehet – pl. a bank mobilapp értesítése.)
- Korlátozott információ a tranzakciók jóváhagyásakor: Sokszor amikor jóváhagyunk egy utalást vagy kártyás vásárlást, az ügyfél csak minimális adatot lát. Például egy banki app push értesítés csak annyit közöl: “Erősítse meg a tranzakciót: 50 000 Ft”. De nem derül ki belőle, pontosan kinek megy, mire. Ezt kihasználva a csalók rávehetik az ügyfelet, hogy “nyomja meg az igen gombot” akár egy rossz tranzakcióra is (azt gondolva, hogy pl. a belépést erősíti meg). Ez tervezési hiányosság: jobb lenne, ha a jóváhagyáskor mindig megjelenne a kedvezményezett neve, számlaszáma, tranzakció célja, stb., így az ügyfél könnyebben észrevenné a csalást.
- Azonnali fizetési rendszer visszaélései: Magyarországon 2020 óta működik az Azonnali Fizetési Rendszer (AFR), amely 5 mp-en belül célba juttatja az átutalásokat, akár éjjel is, 10 millió Ft-ig. Ez remek az ügyfeleknek, de megnehezíti a csalások utólagos megfogását. Régebben, ha valakit átvertek, volt esély másnap reggelig letiltani a tranzakciót. Ma azonnal továbbmegy a pénz a fogadó félig-meddig anonimitást élvező számlára (gyakran “mulas” strómanokra nyitott számla), ahonnan még tovább küldik vagy készpénzben kiveszik. Az MNB 2024-től bevezetett egy új eljárást, miszerint az ügyfél vagy a rendőrség bejelentésére a bankok zárolhatják a csalással érintett összegeket a fogadó oldalon, akár 24 órán túl is . De ez is utólagos, a kár gyakran bekövetkezik. Maga a villámgyors utalási lehetőség egy olyan környezetben lett bevezetve, ahol a fogyasztói tudatosság nem volt kellően fejlett – ezt a hiányosságot a csalók kiaknázták.
- Nincs “név-ellenőrzéses” utalás: Ha valakinek utalunk, elég a számlaszámot megadni, a bank nem ellenőrzi, hogy a megadott név egyezik-e a számla tényleges tulajdonosával. Így a csalók gyakran más nevet diktálnak be, hogy nehezebben lehessen a kedvezményezettet beazonosítani. Az EU felismerte ezt a problémát, és előírni tervezi a kötelező számlaszám név-egyezőség vizsgálatot a bankoknak. Ez segíthet majd kiszűrni, ha pl. “OTP Bank Zrt.” név helyett valójában egy magánszámla a cél (gyakori trükk, hogy bank nevéhez hasonló nevű fióktelepet adnak meg, de a számlaszám valójában egy csalóé).
- Felhasználói eszközök sebezhetőségei: Az emberek jelentős része nem frissíti időben a számítógépe, mobilja szoftvereit, nincs rendes vírusvédelem telepítve. Ez nem banki hiányosság, de a bankoknak számolniuk kell vele. Egy elavult böngésző vagy OS sebezhető, a csalók pedig akár automatisáltan is próbálkoznak ismert biztonsági réseket kihasználva malware-eket teríteni. A nyílt Wi-Fi használatának veszélyeit is sokan alábecsülik. Ezek mind olyan tényezők, amik a csalóknak kedveznek – és a banki appok/weboldalak biztonságát végül alááshatják, hiába védett a banki oldal, ha a kliens oldalon történik a kompromittálás.
- Szolgáltatók közti együttműködés hiánya a csalók ellen: A csalások gyakran határokon átívelők – a telefonhívás lehet külföldről VoIP-pal, a pénzt fogadó számla lehet egy másik EU országban, a pénzt felvevő ATM pedig harmadik országban. Ilyen esetekben a hatóságok és bankok közti nemzetközi kommunikáció lassú, nehézkes. A csalók ezt kihasználják: a pénzt gyorsan “kipörgetik” több számlán át. Sok országban (pl. UK) már rájöttek, hogy egyedül a bankok nem tudják ezt megfogni, iparági összefogásra van szükség (pl. közös adatbázis csaló számlákról, gyorsabb információcsere, gyanús utalások megosztása egymással valós időben). Ezek hiánya egyelőre megkönnyíti a csalók dolgát.
- A felelősség és kártérítés kérdésének tisztázatlansága: Korábban a magyar bankok sok esetben az ügyfélre hárították a kárt mondván “ő adta meg az adatot, az az ő hibája”. Emiatt az ügyfelek jelentős része nem kapott kártérítést, ha például bedőlt egy vishing hívásnak. Ez morális kockázatot is teremtett: a bankoknak kevésbé fájt a veszteség, így talán kevésbé voltak érdekeltek a megelőzés maximalizálásában – míg az ügyfél nem tehetett mást, mint magát okolta (vagy a bankot szidta). Az MNB 2023 szeptemberében kiadott egy ajánlást, ami kimondja, hogy nem lehet automatikusan az ügyfélre terhelni minden kárt, minden esetet egyedileg vizsgálni kell, és a bankoknak “jelentős lépéseket kell tenniük a biztonság érdekében”. Az EU is készít elő szigorítást: a tervek szerint ha a bank nevével visszaélve (pl. banknak kiadva magát) követnek el csalást, akkor alapesetben a bank viselje a kárt, kivéve ha az ügyfél szándékosan csalt. Ez egyelőre nincs életbe lépve, de rámutat, hogy eddig hiányzott a szabályozói nyomás ezen a téren – ami a csalások elszaporodásához is hozzájárult.
Összefoglalva: a csalók a rendszer minden résében találnak kiskaput – legyen az technológiai (pl. SMS, telefonszám, elavult eszközök) vagy emberi (tudatlanság, figyelmetlenség, segítőkészség kihasználása) vagy a koordináció hiánya. Ezek a hiányosságok megmutatják, hol van tér a javításra, amivel a következő két menüpont foglalkozik.