Senki ne törölje a gépét – szólt az egyik károsultnak Zsuzsi, miközben a másik károsult arról számolt be neki, hogy az MBH BANK fiókjában azt mondta neki a fiókvezető, hogy akkor kapja vissza a banki accountját, ha letörli a gépét és újra telepíti! Abszurd kis világunk újabb döbbenetes gyöngyszeme ez és jól mutatja, hogy az összefogás az egyetlen lehetőség akkor ha már több mint 600 embert biztosan sértettként tudhatunk, az MBH Bank számlafeltörési ügyében 2025. májusban.
A gond az, hogy nem ma kezdődött az ügy és nem is 2025-ben. Az első publikus botrányos ügy 2023-ban történt és az RTL foglalkozott az üggyel.
Döbbenetes banki visszaélés borzolta a kedélyeket már 2023-ban: egy magyar cég bankszámlájáról percek alatt tűntek el milliók. Az eset rávilágított az MBH Bank informatikai hiányosságaira. Azóta a probléma nemhogy megszűnt volna, hanem 2025-re súlyosabbá vált – ügyfelek tucatjai váltak hasonló csalások áldozatává. Cikkünk bemutatja a három éve történt esetet, ismerteti a jelenlegi helyzetet és a rendszerszintű problémákat, végül pedig felhív a közösségi összefogásra: mit tehet az ügyfél, és hogyan segít a károsultaknak létrejött civil támogatói hálózat. Lássunk a mélyére annak ami 2025. márciustól tömeges panaszokat eredményező és biztosan több mint 600 károsultat jelentő MBH Banki ügyet jellemzi.
A 2023-as TIIT Design Kft. esete – 10,8 millió forint két perc alatt
2023. szeptember 11-én mindössze két perc leforgása alatt 10,8 millió forint tűnt el a TIIT Design Építőipari Kft. MBH Banknál vezetett céges bankszámlájáról. Az eset megdöbbentő volt, hiszen a cég beszámolója szerint minden óvintézkedést betartottak: nem kattintottak gyanús e-mailre vagy SMS-re, pénzügyeiket nagyon körültekintően kezelték, és a netbankolásra használt laptopot a lopás előtti napokban egyáltalán nem is kapcsolták be. Ennek ellenére a számlájukról a teljes rendelkezésre álló összeget ismeretlenek leemelték, négy egyenlő részletben, alig pár perc alatt.
A legriasztóbb tényező, hogy a tranzakciók jóváhagyásához szükséges kétfaktoros azonosítás elmaradt: a cég állítása szerint egyáltalán nem érkezett sem SMS, sem más értesítés a kérdéses utalások jóváhagyására. Holott normális esetben, ha új (nem előre elmentett) partnernek indítanak utalást, a bank SMS-ben külön megerősítést kér – ez most teljesen elmaradt. Mire a bank 11:54-kor telefonon riasztotta a céget a gyanús tranzakciók miatt, már késő volt: a pénz 11:52 és 11:53 között elhagyta a számlát. A cég azonnal a bank egyik fiókjába sietett, ahol azonban azt a lehangoló választ kapták, hogy a pénzt már nem lehet visszahívni, és nem adhatnak ki információt arról sem, pontosan hová került. A vállalkozás panaszt tett a banknál, majd feljelentést a rendőrségen – de ettől még a hiányzó milliók nem kerültek vissza.
Később derült ki némi jó hír: a 10,8 millió forint közel fele végül megmenekült. Két részlet (összesen 5,4 millió forint) első körben egy ceglédi magánszemély számlájára futott be; az illető, mivel váratlanul érkezett nagy összeg, gyanút fogott és azonnal zároltatta a nála landolt pénzt. Ennek köszönhetően ez a hányad visszakerülhetett a megkárosított céghez. A másik fele a pénznek azonban ismeretlen úton eltűnt, a bank nem árulja el, kikhez került. Tuza István, a cég egyik munkatársa – aki a történetet nyilvánosságra hozta – az MNB-hez (Magyar Nemzeti Bank) is fordult kártalanításért. A jegybank azonban csak türelemre intette: meg kell várni a vizsgálat lezárását, ami a cég információi szerint 2023. október elejére ígértek. Vagyis a cégnek hosszadalmas procedúrára kellett berendezkednie, miközben likviditásából egy jelentős részt elvesztett.
Milyen biztonsági résre világított rá ez az eset?
Informatikai szakértők szerint az MBH Bank rendszerében akkoriban súlyos hiba volt: ha egy ügyfél még nem állította be a mobilbanki alkalmazásban a biometrikus (vagyis az alkalmazáson keresztüli) hitelesítést, akkor egy támadó pusztán a felhasználónév és jelszó ismeretében beregisztrálhatta saját készülékét az adott fiókhoz, és ezzel megkerülhette az SMS-ben küldött második faktort. Magyarán: a csalók, ha megszerezték a belépési adatokat, kihasználhatták, hogy a netbank felhasználói fiókhoz új eszközt lehetett kapcsolni csak jelszóval, és onnantól a tranzakciók jóváhagyása már azon az eszközön történt – az igazi ügyfél tudta és SMS értesítése nélkül. Ez a fatális tervezési hiba magyarázatot ad arra, miként történhetett meg, hogy a TIIT Design Kft. semmilyen jóváhagyó kódot nem kapott az utalások előtt. Az eset rámutatott: komoly technikai és biztonsági hiányosságok voltak az MBH Bank rendszereiben, melyeket a csalók kihasználtak. (Sőt, utólag kiderült, hogy a bank már tudott is erről a „kiskapuról” egy ideje – ennek ellenére vált a cég áldozattá.) A 2023-as incidens tehát intő jel volt arra, hogy a digitalizált banki folyamatok nincsenek megfelelően bebiztosítva minden eshetőség ellen.
Kapcsolódás a jelenhez (2025): a probléma súlyosbodott
Bár sokan remélték, hogy a fenti eset egyedi és a bank gyorsan lép a biztonság erősítésére, 2025-ben is sorra érkeznek hírek hasonló számlafeltörésekről, sőt úgy tűnik, a helyzet romlott.
Az utóbbi hónapokban célzott adathalász támadássorozat indult az MBH Bank ügyfelei ellen, amelyben már többen is milliós károkat szenvedtek. A csalók újfajta módszereket vetnek be: az interneten az MBH Bank nevével visszaélve hoznak létre megtévesztésig hasonló ál-weboldalakat, illetve hamis mobilbanki alkalmazásokat, és ezek révén férnek hozzá a gyanútlan ügyfelek fiókjaihoz. Április közepétől kezdve ugrásszerűen megnőtt az ilyen incidensek száma: szakértői vizsgálatok megállapították, hogy pl. egy “login” weboldalnak látszó adathalász domain is regisztrálásra került (“takarek.login-onlihe-mbhdank.com” néven) – ez a cím megtévesztően hasonlít a bank hivatalos webcímére, csak apró betűcserékkel tér el attól. A csalók ezzel a trükkel azt érték el, hogy az óvatlan ügyfél azt higgye, a bank bejelentkező oldalán jár, miközben valójában a bűnözők szerverére gépeli be az adatait.
Ráadásul a megtévesztő oldal rendelkezett érvényes biztonsági tanúsítvánnyal is – a böngészőben lakattal jelzett HTTPS kapcsolat jelent meg, ami sok felhasználó szemében a “biztonságos” webhely garanciája. Így még a gyanakvóbb ügyfelek is könnyen csapdába eshettek, hiszen látszólag minden stimmelt: a link “mbhbank”-nek tűnt, a lakat ikon zöld volt, a design pedig kísértetiesen utánozta a netbank felületét. Voltak, akik egyszerűen Google-keresés vagy hirdetés útján botlottak bele a hamis oldalba – például egy új laptopján netbankolni próbáló vállalkozó rögtön egy ál-oldalra jutott, anélkül hogy ezt észrevette volna. Az eredmény: aznap éjjel a csalók leürítették a számláját, 2,4 millió forinttal megkárosítva a családját. Csak másnap döbbent rá, hogy átverés áldozata lett. A helyi rendőrségen közölték vele: egy héten belül ő volt a negyedik ilyen károsult ugyanabban a kisvárosban – vagyis korántsem egyedi esetről van szó, hanem gombamód szaporodó bűncselekmény-sorozatról.
Mit tett eközben a bank és a hatóságok?
Sajnos azt látni, hogy a csalók néhány lépéssel a bank elé kerültek. A felhasználók sorra posztolták panaszaikat a közösségi médiában és fórumokon, jelezve, hogy kifosztották őket az MBH netbankján keresztül. Eleinte úgy tűnt, az MBH Bank lassan reagál: a fenti adathalász weboldal pl. napokig aktív maradhatott,(sőtt, mai napig fennmaradt sok belőlük, miközben a sértettek szorgalmasan lejelentették őket) pedig a Gyorsreagálású Informatikai Csapat (CERT-Hungary) és a kibervédelmi hatóságok bevonásával akár hamarabb le lehetett volna állítani. Később azu MBH Bank azért közzétett figyelmeztetéseket: több platformon (saját mobilappban, Facebook-oldalán) is felhívta ügyfelei figyelmét a csalásra és jelenleg is a felületén az app használhatatlanságára hivja fel a figyelmet. Ráadásul ezt teszi, bizonytalan ideig, ami a probléma mélységét eszkalálodni mutatja.
Arra figyelmeztettek, hogy ismeretlen számról érkező, sürgető SMS-eknek ne dőljenek be, ne kattintsanak a linkekre, és soha ne adják meg netbankos belépési adataikat ilyen felületen. Hangsúlyozták, hogy a bank sosem kérne SMS-ben jelszót vagy azonnali átutalást. Ezek az intézkedések azonban sokaknál már későn érkeztek – addigra az adathalász üzenetek több embert megtévesztettek és megkárosítottak.
Közben világossá vált, hogy az MBH Bank rendszerszintű problémákkal küzd a biztonsági és kommunikációs területen.
Az a bizonyos hitelesítési kiskapu – melyre a 2023-as eset is rávilágított – a jelek szerint 2025 elejéig létezett, és csalók viszonylag egyszerűen kijátszhatták a banki védelmet, ha az ügyfél nem volt elég óvatos. A HUP.hu technikai fórumán egy informatikus egyenesen azt írta: “az MBH bank rendszere nem biztonságos, viszonylag egyszerűen kijátszható”, és több beszámoló utal arra, hogy a bank korábban értesült már a hibáról, mégis időbe telt, mire orvosolták. Emellett a ügyfél-tájékoztatásban és -kezelésben is akadoztak a fogaskerekek. Aki ilyen csalás áldozata lett, gyakran arról számolt be, hogy a bank első reakciója a felelősség hárítása volt – mondván adathalászat történt, amiért az ügyfél a hibás.
Időközben a Magyar Nemzeti Bank is lépett egy más ügyben: 2025 elején 15 millió forintos bírságot szabott ki az MBH Bankra, amiért az nem tájékoztatott időben mintegy 70 ezer ügyfelet a számlavezetési díjak éves kimutatásáról. Bár ez a mulasztás nem közvetlenül az adathalász incidensekhez kapcsolódik, jól mutatja, hogy a bank ügyfélkommunikációs gyakorlata hagyott kívánnivalót maga után. A számlafeltörések károsultjai gyakran érezték úgy, hogy nincs megfelelő tájékoztatás és segítség: hosszú kivizsgálási határidők, automatikus elutasító válaszok, a bank és hatóságok közti ping-pong jellemezte az esetek kezelését. Mindez azt támasztja alá, hogy a 2023-ban feltárt problémák 2025-re sem szűntek meg – sőt, a digitalizáció árnyoldala egyre többeket utolér, ha nem történik érdemi változás.
Rendszerszintű problémák, további bizonyítékok, több mint 600 károsult, a kár összebe 1 milliárd forint felett és még nem látható, hol a jéghegy csúcsa!
Közösségi fellépés és mit tehet az ügyfél – összefogással a jogainkért
A történtek hatására példátlan közösségi összefogás körvonalazódik Magyarországon az érintett banki ügyfelek védelmére. A sok károsult és a bank részéről tapasztalt “rendszerszintű tagadás” – azaz, hogy egyéni ügyfélhibának próbálják beállítani a nyilvánvalóan tömeges jelenséget – hívta életre egy civil kezdeményezést. Ennek élére az Adhoc Support CIC nevű érdekvédelmi szervezet állt, és csatlakozott hozzá több partner, így a KamuWebshopok.hu Preventív Közösség és az EuroAstra.hu internetes magazin is.
A cél közös: segíteni a károsultakat abban, hogy adataikat összegyűjtve, egységes erővel léphessenek fel jogaik érvényesítéséért, és elérjék a megfelelő kártalanítást.
Az EuroAstra.hu – amely elsőként kezdte el cikksorozatban feltárni az MBH Bank körüli visszaéléseket – partnerként állt az Adhoc Support kezdeményezése mellé, hogy együtt adjanak hangot az ügyfelek panaszainak. A KamuWebshopok.hu közösség pedig a gyakorlati támogatásban segít: felületet biztosít a károsultak regisztrációjához és információkat nyújt a teendőkről.
Mit jelent ez a gyakorlatban?
Létrejött egy közösségi jogérvényesítési platform, ahol az érintett ügyfelek regisztrálhatják a káreseteiket. Ezt a folyamatot az Adhoc Support CIC koordinálja, és az a célja, hogy az MBH Bank digitális visszaéléseinek károsultjai láthatóvá váljanak, valamint egységes formában képviselhessék az érdekeiket a hatóságok, a Pénzügyi Békéltető Testület vagy akár bírósági eljárások előtt. A regisztráció egy online kérdőív kitöltését jelenti, mely a KamuWebshopok.hu oldalán érhető el nyilvánosan. Ez a tömeges károsulti nyilvántartás, amelybe bekerülve az Adhoc Support képviselni tudja az adott ügyfelet – ezért minden érintettnek erősen javasolt rászánni néhány percet a kérdőív kitöltésére.
A bekért adatok segítenek összerakni a teljes képet: mikor történt a csalás, milyen módszerrel, milyen értesítéseket (vagy épp figyelmeztetések elmulasztását) tapasztalta az ügyfél, mekkora kár érte, mit lépett eddig a bank. Természetesen a szervezők kérik, hogy csak valós adatokkal és saját névvel jelentkezzenek a károsultak, hiszen a jogi eljárásokban csak a hiteles információkra tudnak építeni.
Mit tehet az, akinek lenyúlták a pénzét a bankszámlájáról?
A szakemberek és a civil támogatók az alábbi lépéseket javasolják az érintetteknek a saját ügyükben és a közös fellépés érdekében:
- Azonnali panasztétel a banknál: Ha gyanús tranzakciót észlel, azonnal jelezze a bank felé, írásban is erősítse meg a panaszt. Kérje a kivizsgálást és a tranzakciók visszahívását (még ha kicsi is az esély a sikerre). Jegyezze fel a panasz számát, dátumát.
- Bizonyítékok összegyűjtése: Őrizzen meg minden kapcsolódó értesítést – SMS-t, e-mailt a banktól. Ha nem kapott például SMS-t a tranzakciók jóváhagyásáról, azt is jegyezze fel, mert ez fontos bizonyíték. Készítsen képernyőmentéseket a netbanki tranzakciókról, a gyanús bejelentkezésekről, esetleg a hamis oldalról, ha elérhető még. Minden apró részlet segíthet utólag a felelősség tisztázásában.
- Hatósági bejelentés és jogorvoslat: Tegyen rendőrségi feljelentést ismeretlen tettes ellen internetes csalás miatt – még ha a nyomozás eredménye bizonytalan, fontos a hivatalos nyom. Amennyiben a bank elutasítja a kártalanítást, forduljon a MNB Pénzügyi Békéltető Testületéhez – ez egy ingyenes vitarendezési fórum, ahol kivizsgálják az ügyét (igaz, akár 90 napig is eltarthat az eljárás). Ha itt sem jár sikerrel, további opció a polgári peres eljárás, amelyet egyedül vagy – optimális esetben – összefogva, csoportosan is el lehet indítani.
- Csatlakozás a közösségi kezdeményezéshez: Ne maradjon egyedül a problémával! Regisztráljon a károsultak közös adatbázisába a KamuWebshopok.hu oldalán található kérdőív kitöltésével. Csak néhány perc, és ezzel csatlakozik ahhoz a közösségi jogérvényesítési folyamathoz, amit az Adhoc Support CIC koordinál. Így az Ön ügye is része lesz a “nagy képnek”: a hasonló károsultak ügyeit egyesítve sokkal nagyobb nyomás gyakorolható a bankra és a hatóságokra, hogy érdemi lépéseket tegyenek. Emellett folyamatos tájékoztatást és segítséget kaphat a fejleményekről a közösség tagjaként.
Miért fontos az összefogás és az adatgyűjtés?
Mert egy vagy néhány elszigetelt esetet könnyű lenne “egyedi figyelmetlenségnek” minősíteni, de amikor ügyfelek tucatjai vagy jelen esetben több mint 600-an jártak pórul ugyanúgy, az már rendszerszintű problémára utal. Ha a károsultak összeadják a történeteiket és bizonyítékaikat, kirajzolódik, hogy tipikusan milyen módszerrel dolgoztak a csalók, hol voltak gyenge pontok a bank védelmi rendszerében, és hogyan reagált (vagy nem reagált) a bank. Ez a tudás hatalmas fegyver lehet egy közös érdekérvényesítés során – sok szem többet lát, az egyedi mozaikokból összeáll a teljes kép. A közösség ereje nem csupán abban áll, hogy megosztják egymással a tapasztalatokat, hanem pszichésen is támogatást nyújt: senki nem érzi magát egyedül hagyva a bajban. Az Adhoc Support és partnerei hangsúlyozzák, hogy nem „bűnbakkeresés” a cél, hanem az igazság feltárása és a tények felhasználása a károsultak érdekében.
Hogyan vezette félre az MBH Bank ügyfeleit saját SSL-hibája és a Google csaló hirdetései?
Az MBH Bank ügyfelei közül sokan egy különösen alattomos csapdába sétáltak bele – és nem is biztos, hogy a saját hibájukból. A probléma gyökere egy meglepően technikai, mégis ügyfélélményt alapjaiban befolyásoló hiba: az MBH Bank hivatalos címe, az „mbh.hu”, hosszú ideig hibás SSL-tanúsítvánnyal volt elérhető, így a böngészők figyelmeztető üzenettel riasztották el a látogatókat. A piros színű „Nem biztonságos kapcsolat” felirat önmagában is félelmetes lehetett azoknak, akik épp a bankjukat akarták elérni.
Mi történt ezután? Teljesen érthető reakcióként sokan egyszerűen megnyitották a Google keresőt, és rákerestek arra, hogy „MBH bank belépés”. A böngésző megbízhatatlannak tűnt, a Google pedig „barátságosabb”. Csakhogy pont itt várt rájuk a következő csapda. A zöld pipa, a szponzorált és kiemelt hirdetés és még egy tanulság, a kamu oldalak SSL-jét is a Google biztosította. Ha kiderül, hogy a bank rendszere hibázott, akkor azért közösen fognak kiállni, hogy ezt ismerjék el és a károkat térítsék meg. Ha pedig az ügyfelek óvatlanságát használták ki a csalók, akkor a Google szerepe is erősen kérdésessé vállhat, mert a közösség a prevenció érdekében keményen nekimehet több eljárással is a kereső óriásnak.
A közösségi fellépés tehát kettős haszonnal jár: egyrészt nagyobb esély a kártérítésre, hiszen kollektív nyomás alatt a bank és a döntéshozók sem söpörhetik könnyen szőnyeg alá az ügyet; másrészt hozzájárul a jövőbeni biztonság növeléséhez, mert ráirányítja a figyelmet a banki rendszerek gyenge pontjaira. Az Adhoc Support CIC mottója találó: “Közös erővel, együtt – a közösség, ami nem hallgat többé”. Ez azt üzeni, hogy az ügyfeleknek igenis van hangjuk és erejük, ha összefognak.
Végül a legfontosabb: ha Önt vagy ismerősét is kár érte az MBH Banknál, ne maradjon csendben és ne maradjon egyedül!
Kérjük, csatlakozzon a károsultak közösségéhez – töltse ki a regisztrációs kérdőívet, és ezzel tegye meg az első lépést afelé, hogy összegyűjtve az eseteket közösen léphessünk fel a visszaélések ellen.
Az összefogás erejével küzdjünk meg azért, hogy minden érintett igazságot és megfelelő kártérítést kapjon, és hogy a jövőben biztonságosabbá váljon a bankolás mindannyiunk számára!
Közösségi válasz: prevenció és jogérvényesítés
Az Adhoc Support CIC és a Kamuwebshopok.hu által koordinált közösségi fellépés célja pontosan ezekre a láncolatokra irányul: az ügyfelek egyéni hibáztatása helyett a rendszerszintű problémákra világítanak rá. Az eddigi adatokból ugyanis világosan látszik: ha a hibás tanúsítvány miatt elbizonytalanodott ügyfél egy csaló linkre kattintott, az nem tekinthető gondatlan magatartásnak, hanem a rendszer egészének egy láncszemszerű hibájából fakad.
Ezért is kulcsfontosságú, hogy a károsultak:
-
összegyűjtsék a bizonyítékokat (böngészési előzmények, hibás tanúsítvány képernyőmentés, stb.),
-
jelentsék az esetet a megfelelő fórumokon,
-
és közösségként lépjenek fel, mert csak így érhető el, hogy ne egyénenként, hanem rendszerszinten is történjen változás.
Az eddigi károsulti visszajelzések alapján az MBH Bank a felelősséget, egyetlen esetben sem ismerte el!
