Az utóbbi években számos ukrán eredetű online bűnszervezet és hackercsoport tűnt fel, amelyek kifejezetten banki csalásokra és pénzügyi jellegű kiberbűncselekményekre szakosodtak. Ezek a csoportok több országban – köztük Magyarországon – tevékenykednek, nem ritkán tetemes anyagi károkat okozva. Jellegzetes módszereik közé tartozik az adathalászat (phishing), a telefonos social engineering trükkök (vishing), a bankkártya-adatok ellopása és visszaélése, a rosszindulatú szoftverek (malware) telepítése a célpontok eszközeire, valamint a SIM-cserés (SIM-swap) támadások az SMS-alapú hitelesítés kijátszására.

Hirdetés
Fotó: Shutterstock

Ukrán bűnszervezetek

Hazánkban 2023–2024 folyamán szaporodtak meg ugrásszerűen a banki ügyfeleket célzó online csalások. A magyar hatóságok beszámolói szerint az ilyen kibercsalások túlnyomó többsége ukrán bűnözői csoportokhoz köthető. A rendőrség több nyomozócsoportot állított fel, amelyek végül főként ukrán bűnszervezetek szálait tárták fel (néhány esetben szlovákiai csoportok is érintettek voltak).

A magyar és az ukrán rendőrség 2024-ben közös akció során felszámolt egy Kárpátaljáról irányított illegális call center hálózatot, amely kifejezetten magyar állampolgárokat célzott online csalásokkal.

Az összehangolt rajtaütés során 2024. június 3-án, 39 helyszínen egyszerre lecsapva 41 embert fogtak el Ukrajnában.

A hálózat módszere az volt, hogy telefonon, a hivatalos call centerek munkamenetét imitálva keresték meg a kiszemelt áldozatokat, magukat magyarországi bank alkalmazottainak adták ki. A hívások során titkos banki információra hivatkozva rávették az ügyfelet, hogy telepítsen egy „biztonsági” alkalmazást a készülékére – ez valójában egy távoli hozzáférést biztosító program volt (pl. AnyDesk). Ezzel a csalók teljes hozzáférést nyertek a célpont bankszámlájához, ahonnan saját maguknak utalhatták el a gyanútlan áldozat pénzét – írta a Police.hu. A bűnszervezet vezetője az operátoroknak heti 100 ezer dollár bevételi célt tűzött ki, ami mutatja az akciók szervezettségét és nagyságrendjét. Az ellopott pénzeket rendszerint strómanok, azaz pénzmosásra beszervezett számlatulajdonosok közbeiktatásával mosták tisztára. Az említett 2024-es akcióban a nyomozók lefoglaltak számos bizonyítékot – számítógépeket, mobiltelefonokat, pendrive-okat, bankkártyákat, továbbá 12 nagy értékű autót és 20 millió forint értékű készpénzt – a csoport ukrajnai call centereiben és tagjainak lakóhelyein. Az ukrán bíróság a 41 gyanúsított közül 19 főt – köztük a bűnszervezet vezetőjét és két szervezőjét – letartóztatott, a többiek ellen folyamatban van az eljárás.

Korábban írtuk

A banda legalább 360 millió forint kárt okozott magyar áldozatoknak.

Bankkártyaadatok ukránoknál

Hogy konkrét példát is említsünk, 2022 nyarán egy kifinomult támadás érte a Raiffeisen Bank ügyfeleit. Augusztus 8-án ismeretlen hackerek túlterheléses támadást (DDoS) intéztek az ukrán Ukrainian Processing Center (UPC) ellen, amely a magyar bankok számára a 3D Secure erős ügyfélhitelesítési szolgáltatást nyújtja. A 3D Secure átmeneti megbénítását kihasználva a támadók a korábban megszerzett bankkártyaadatokkal ellenőrzés nélkül tudtak vásárlási tranzakciókat indítani – mégpedig kriptovaluta-vásárlásokat a WhiteBit tőzsdén, mintegy 81 millió forint értékben. A Raiffeisen Bank vizsgálata szerint összesen 338 ügyfél bankkártyaadatai szivárogtak ki, és a banknak 83,7 millió forint kárt okoztak a csalók. Az ügyben a bank kártalanította az érintett ügyfeleket és feljelentést tett a KR NNI Kiberbűnözés Elleni Főosztályán.

Érdekesség, hogy a tranzakciókhoz használt WhiteBit kriptotőzsde hivatalosan észtországi és litvániai bejegyzésű, de irányítását három ukrán állampolgár végzi. Felmerült a gyanú, hogy a csalók összejátszhattak a kriptotőzsde egyes partnereivel is a támadás során. A Raiffeisent ért támadás előtt egy nappal – 2022. augusztus 7-én – az MKB Banknál is történt hasonló visszaélés, és a nyomozás kiderítette, hogy mindkét esetben egy bizonyos nemzetközi webshopból (LightInTheBox) lopták el a bankkártya-adatokat, és a csalások mind MasterCard típusú kártyákat érintettek. Ez arra utal, hogy a támadók előre megszerezték a kártyaadatokat adathalász weboldal vagy adatszivárgás útján, majd célzottan kerestek technikai kiskaput (a 3DS szolgáltatás átmeneti kiiktatását) a visszaélésekhez.

Négy nap alatt 51 millió forint

Egy másik módszerre példa egy 2023-as debreceni ügy, amelyben egy ukrán férfit ítéltek börtönre online banki csalásért. A vádlott egy társa segítségével internetes hirdetéseken keresztül csapta be áldozatait: eladóként jelentkezett különböző adás-vételi oldalakon, majd a szállításra hivatkozva egy futárszolgálatnak vagy banknak álcázott adathalász linket küldött a gyanútlan eladóknak. A Haon.hu szerint a link egy megtévesztő weboldalra vezetett, ahol az áldozatok megadták bankkártyaadataikat, beleértve a CVC kódot is. A csalók ezután a megszerzett kártyaadatokat mobiltelefonos fizetési alkalmazásba (pl. Apple Pay vagy Google Pay) regisztrálták, és így fizikai bankkártya nélkül, érintésmentes mobilfizetéssel vettek fel készpénzt ATM-ekből. A nyomozás feltárta, hogy a vádlott 2023 augusztusában négy nap alatt 41 sértett kártyaadatait felhasználva összesen több mint ötmillió forintot vett fel különböző debreceni ATM-ekből. További nyolc sértett adataival is próbálkozott mintegy 1,5 millió forint összegben, de ezeknél a tranzakcióknál az időben letiltott kártyák miatt nem járt sikerrel.

Az ügyfelek panaszai nyomán a bank kamerafelvételek alapján beazonosította az elkövetőt, akit a rendőrök éppen egy ATM-nél tetten érve elfogtak. A bíróság a vádlottat bűnösnek mondta ki és jogerősen 2 év letöltendő börtönre ítélte, valamint 5 évre kiutasította Magyarországról. Az eset tanulsága, hogy

éveken át spórolt összegek is pillanatok alatt eltűnhetnek egy jól szervezett adathalászcsalással kombinált bankkártya-visszaélés nyomán.