Egyaránt külföldi és magyar telefonszámokról SMS-üzenetekben értesítik a magyar embereket arról, hogy egy bizonyos rendelt csomagjuk kézbesítése meghiúsult, melynek ismételt kézbesítését egy csatolt linken keresztül kérhetik – különben a csomag vissza lesz küldve. A linkre kattintva egy laikusok számára teljesen általános weboldal nyílik meg, ahol a pontos cím megadása után az újbóli kézbesítés minimális díját is meg kell téríteni, amire „természetesen” csak bankkártyával van lehetőség.

Az adatok megadása után azonban semmilyen csomag nem fog érkezni, helyette az adathalász weboldal mögött álló bűnszervezet fogja darabonként elkölteni a kártyához társított bankszámlán fellelhető összegeket. Az üggyel kapcsolatban egy olvasónk is megkeresett minket, aki – mivel pont egy fontos csomagot várt – sajnos bedőlt az átverő üzenetnek.

November első napjaiban lopták el a bankkártyaadataim, valószínűleg egy adathalász oldalon keresztül, és a tudtom/beleegyezésem nélkül 9 online bankkártyás vásárlást hajtottak rajta végre, lemerítve a kártyámon szabadon lévő nagyobb eurós összeget. Az éjszakai tranzakciókat csak másnap vettem észre, amikor 13:49 körül érkezett egy push üzenet, hogy 38 euró értékben történt levonás az Uber Eatstől (Budapesten élek, és itt is tartózkodtam, amikor a vásárlás történt, Uber Eats pedig nincs Magyarországon). Ekkor láttam meg az előző esti 8 tranzakciót, ami az Aliexpressen történt

– magyarázta olvasónk, hozzátéve, hogy a kilenc tranzakció körülbelül egy napig függőben volt, ezek után azonban ténylegesen levonták az együttesen több százezer forintos összeget.

Ez idő alatt egyből felvette a kapcsolatot bankjával, akik deaktiválták a kártyát, visszatérítést azonban nem kapott tőlük. Mindezt azzal indokolták, hogy az ominózus kártyával nemcsak személyesen, hanem online is vásároltak már, tehát egy harmadik fél is hozzáfért a bizalmasnak számító adatokhoz – az ilyen esetekben pedig a bank nem vállal felelősséget egy esetleges csalás ügyében sem. A panaszbejelentésnek ennek ellenére utánajártak, a kivizsgálás után azonban nem találtak csalárd tevékenységre utaló bizonyítékot, így magukat a tranzakciókat sem függesztették fel.

Külső szemmel vizsgálva az ügyet tehát úgy tűnhet, mintha maga az olvasónk kezdeményezte volna a korábban is említett tranzakciókat, ez azonban persze nem így volt. Hogy pontosan mi is történhetett, az csak később jutott az eszébe.

Épp csomagot vártam, és pont a lehetséges kézbesítési idő elején kaptam egy sms-t, benne azzal az üzenettel, hogy nem tudták kikézbesíteni a címre a csomagot, majd ott volt egy link, ahol megtehetem a címmódosítást. Megrémültem, hogy nem tudták kiszállítani a csomagom, és megadtam a címet még egyszer. Ott kellett egy minimális összeget is fizetnem, amit én az újrakikézbesítés díjának véltem, és valószínűleg ekkor történt meg, hogy ellopták a bankkártyaadataim

– magyarázta olvasónk. A levélben említett SMS-hez hasonlót szerkesztőségünk több tagja is kapott az elmúlt hetekben, így úgy véltük, szervezett csalásról lehet szó.

A rendőrség is tud az esetekről

Az üggyel kapcsolatban felkerestük az Országos Rendőr-főkapitányságot is, akik kérdéseinkre elmondták, az olvasónkkal is megtörtént, csomagküldéssel kapcsolatos, futárszolgálatok nevében küldött adathalász üzenetek (e-mailek, sms-ek) kapcsán 2022. október 1-jét követően a rendőrség nyomozóhatóságainál 12 büntetőeljárás indult csalás, illetve információs rendszer felhasználásával elkövetett csalás gyanúja miatt. Arra vonatkozóan azonban, hogy szervezett csalásról van-e szó, jelenleg nem áll rendelkezésükre elegendő információ.

Erre érdemes figyelni

A rendőrség szerint az áloldalak sok esetben kinézetükben, szerkezetükben nagyon hasonlítanak az eredeti oldalhoz, más esetben csak a szervezet arculati elemeit (színek, logók) alkalmazzák egyszerűsített formában. Vannak azonban olyan egyértelmű jelek, amelyek jelzik, hogy áloldalról van szó. Ilyen például az, hogy

• a böngésző címsorában nem a szervezet hivatalos honlapjának internetes (URL) címe szerepel, hanem teljesen ismeretlen, a hivatalos oldal címére esetleg hasonlító más szöveg;
• az URL-címben https helyett csak a http szerepel, vagyis az oldal nem rendelkezik tanúsítvánnyal, és a felhasználó számítógépe és az oldal közötti kommunikáció sem titkosított;
• a megbízható tanúsítvánnyal rendelkező oldalakat a böngészők általában jelzik (általában kis lakattal), illetve zöld jelzéssel a böngésző címsorában.

Ezeken felül mindig ellenőrizni kell, hogy valóban a feladónak tűnő személy, szervezet küldte az e-mailt! A bankok soha nem kérnek e-mailben bankkártyaadatokat, más szervezeteknek pedig ne adja meg azokat. Online történő bankkártyás fizetésnél mindig győződjön meg arról, hogy valódi bankoldalon adja meg az adatokat, más oldalon (pl. kereskedő oldalán) ezek megadását mellőzze. Amikor belép egy banki vagy bármilyen más oldalra, győződjön meg arról, hogy az valóban ahhoz a szervezethez tartozik – felhasználói nevet és jelszót pedig csak a korábban is említett tanúsítvánnyal (https előtag) rendelkező oldalon adjon meg! 

(Borítókép: Olivier Chassignole / AFP)