Tessék vigyázni, itt most az ajtók tényleg zárulnak! – megdöbbentő tények – MBH Bank számlafeltörés (8. rész)

Az elmúlt hetekben példátlan online csalássorozat rázta meg az MBH Bankot és ügyfeleit. Számlák százait törték fel ismeretlen tettesek, miközben a bank informatikai és biztonsági gyengeségei, valamint a késedelmes reakciók milliárdos károkat engedtek szabadjára. Hogyan vezethet egy technikai mulasztás odáig, hogy ügyfelek százai dőljenek be adathalászoknak? Hogyan lehetséges, hogy a bank egyszerre fenyegető hangnemet üt meg a károsultakkal szemben, miközben a nemzetközi csalókkal szemben tétlen marad?

Oknyomozó sorozatunk 8. részében feltárjuk az MBH Bank számlafeltörési ügy legmegdöbbentőbb tényeit – a félrekonfigurált banki webcím SSL-tanúsítványától kezdve a .nu végződésű adathalász domaineken át a felelősségi és jogi kérdésekig –, konkrét bizonyítékokkal alátámasztva. Lássuk, hogyan zárult (volna) az a bizonyos ajtó, és milyen kérdések maradtak még nyitva.

A történet egyik kiindulópontja egy meghökkentően egyszerű technikai hiba: az MBH Bank hivatalos webcíme (mbh.hu) nem rendelkezett megfelelő SSL-tanúsítvánnyal. Amikor az ügyfelek megpróbáltak a rövid mbh.hu címen keresztül belépni a bankhoz (ahelyett, hogy a hosszabb mbhbank.hu-t írták volna be), a böngészőjük riasztó üzenettel válaszolt. A Chrome például „Az Ön kapcsolata nem privát” hibaüzenetet jelenített meg, figyelmeztetve, hogy támadók próbálhatják megszerezni a mbh.hu webhelyen lévő adatokat.

A fenti képernyőkép piros körrel jelöli a böngésző címsorában a Nem biztonságos jelzést a https://mbh.hu előtt, illetve magát a hibaüzenetet. Ennek technikai oka az volt, hogy a webcím tanúsítványa név-eltérést mutatott (NET::ERR_CERT_COMMON_NAME_INVALID), azaz nem passzolt a mbh.hu domainhez. Magyarán: a bank nem konfigurált be érvényes biztonsági tanúsítványt a saját rövidített domainjére, így az mbh.hu oldal megbízhatatlannak tűnt a böngészők szemében. Ez nem pusztán informatikai baklövés – komoly bizalmi kérdés.

Aki ezt a riasztást látja, érthetően visszariad a belépéstől, és alternatív utat keres a netbank eléréséhez és ha ma ( 2025.05.27-én) ezt leelenőrzi pl az SSL LABS  segítségével és beírja az mbh.hu nevet… ( lentebb illusztrációként elérhető ami látható) Itt a mulasztás a fontos és intő jel: 2024. május 28-óta NINCS védelem az MBH.HU és www.mbh.hu domainok szempontjából az SSL-ben, mert nem szerepel benne.

Laikusként ert azt jelenti, hogy ez egy vállalati tanúsítvány ahol több domain név megvédésére van lehetőség CSAK, pont ez a két név kimaradt. Miközben az  MBH szóvédjegy (erről később) itt ez nem sok „vizet” zavart és „lemaradt”.

Itt léptek képbe a csalók. A felhasználó elment a Google-ba keresni a bank címét…bumm a bajba! 

A baj az, hogy ahelyett, hogy az ügyfél a figyelmeztetés láttán manuálisan a biztonságos mbhbank.hu címet gépelte volna be, sokan inkább a Google keresőt használták („ha a bank linkje nem működik, rákeresek a Google-ben”). A Google keresési találatok élén azonban nem a bank hivatalos oldala jelent meg, hanem szponzorált hirdetések – mégpedig az adathalászok hirdetései. A böngésző figyelmeztetése így ironikus módon pont az adathalászok karjaiba terelte az ügyfeleket.  A bank informatikai mulasztása – egy hibás tanúsítvány – váratlanul nyitott kaput  a támadók előtt, aláásva a digitális biztonságot és az ügyfelek bizalmát.

Adathalász .nu domainek: klónozott banki oldalak és nyomok

Mi jelent meg a Google találati lista élén? Kétlem, hogy bárki számított rá, de a csalók megtévesztésig hasonló weboldallal várták az óvatlan ügyfeleket. A Google találati lista tetején az MBH Bank nevével visszaélő hirdetések szerepeltek. Ezek a linkek egy Niue (.nu) országkódú domainre mutattak, például mbhbank.nu, mbhbunk.nu vagy mbhbauk.nu. Ezek a címek első pillantásra a bank hivatalos oldalának tűnhetnek – az „MBH Bank” név szerepel bennük – de apró elgépeléseket, idegen végződést tartalmaznak. A felhasználó számára látható oldal teljes egészében az MBH Bank netbanki belépő felületének másolata volt. A .nu domain – Svéd szigetek a Csendes-óceánban területének domain végződése.

A fenti kép jól szemlélteti a hamis weboldalt: az MBH Bank logója és arculati elemei pontosan ugyanúgy jelennek meg, mintha a netbanki bejelentkezési oldalon járnánk. A látszólagos navigációs menüben ott sorakoznak a „Számlavezetés”, „Kölcsönök”, „Megtakarítások” stb. menüpontok, a főcímen pedig ez áll: „Online bankolás lakossági ügyfeleknek”. A csalók még arra is figyeltek, hogy a bank friss összeolvadása utáni helyzetet lemásolják: három külön netbanki opciót kínálnak (MBH Netbank – korábban BB/MKB/Takarék) a volt különböző banki platformoknak megfelelően. Minden egyes panel alatt ott a „Bejelentkezés” gomb – ami azonban nem a valódi netbankba visz, hanem a csalók csapdájába.

Technikailag az történt, hogy az ügyfél hiába próbált belépni a hamis oldalon: a csalók általában „folyamatban lévő azonosítás” üzenetet vagy hasonló hamis hibaüzenetet jelenítettek meg. Ekközben a háttérben összegyűjtötték a beírt azonosítót, jelszót, és amikor a bank által küldött egyszer használatos SMS-kódot is megadta a gyanútlan ügyfél, azt is azonnal megszerezték. Ezzel a csalók gyakorlatilag teljes hozzáférést szereztek az adott bankszámlához – mégpedig a bank saját biztonsági protokolljait kijátszva. A megszerzett adatok birtokában ugyanis azonnal regisztrálták az adott ügyfél fiókját a bank hivatalos mobilbanki alkalmazásában (vagy „digitális pénztárcában”). Mivel a mobilapplikáció regisztrációja a banknál erős, kétfaktoros hitelesítést igényel – amihez pont az előbb kicsalt SMS-kód kellett –, a csalók sikeresen saját eszközükön aktiválták az adott számlához tartozó netbankot.  Innentől kezdve pedig már a bank szemében hitelesített tranzakciók indultak: a bűnözők a mobilbankon keresztül, további SMS-kódok nélkül utalhattak el pénzt a sértett számlájáról. Ez magyarázza, hogyan vihettek végbe ismeretlenek banki műveleteket az ügyfelek tudta nélkül – a netbanki rendszer azt hitte, maga az ügyfél tranzaktál, hiszen a csalók az ügyfél „bőrét viselve” léptek be.

A hamis oldalak hónapok óta elérhető és folyamatosan szedik az áldozataikat. Végül – több hét elteltével – a Google Safe Browsing rendszere is érzékelte a problémát és vörösre változott a képernyő. Ekkorra azonban már késő volt a károk szempontjából.

Az alábbi képernyőmentés mutatja, ahogy a Chrome böngésző piros riasztást jelenít meg a mbhbank.nu oldalra navigálva, mely oldal a MAI NAPIG ÉL! (2025.05.27-én íródott a cikk)

Védjegybitorlás és jogi mulasztás: a bank neve nincs biztonságban?

Az MBH Bank esetében nem csak informatikai értelemben sérültek a biztonsági előírások, hanem jogi szempontból is aggályos a történet. A csalók ugyanis védjegyoltalom alatt álló nevet használtak fel jogosulatlanul. Az MBH Bank elnevezés a bank tulajdonát képező márkanév, amelyet a magyar hatóságoknál és nemzetközi szinten is levédettek. A Szellemi Tulajdon Nemzeti Hivatalának nyilvántartása szerint az „MBH Bank” megjelölés 2023. február 9-én lajstromozásra került védjegyként.

A fenti hivatalos adatlap igazolja: az MBH Bank védjegy oltalom alatt áll, a jogosult 100%-ban az MKB Bank Nyrt. (az MBH Bank jogelődje), a bejelentés dátuma 2022.07.18, a lajstromozási határozat kelte 2023.02.09.

Ugyanezen a napon nem csak a teljes név, de az „MBH” rövidítés is védjegyoltalom alá került.

E két hazai védjegy biztosítja, hogy az MBH Bank név vagy akár csak az MBH betűszó használata a bank engedélye nélkül jogsértő – különösen pénzügyi szolgáltatásokkal összefüggésben. A csalók .nu domainjei azonban nyíltan használták az MBH nevet (mbhbank.nu, stb.), ami egyértelmű védjegybitorlásnak minősül.

Nem csupán magyar, de európai uniós szinten is védett márkanevről beszélünk.

Az MBH Bank nemzetközi oltalmat is szerzett: az Európai Unió Szellemi Tulajdoni Hivatalánál (EUIPO) 2022. július 18-án nyújtották be az „MBH Bank” védjegybejelentést, amely 2023. május 11-én regisztrálásra került.

A fenti EUIPO eSearch kivonat tanúsítja, hogy az 018734397 számú európai védjegy bejegyzett  és hatályban van, egészen 2032-ig érvényes oltalommal. A védjegy oltalma kiterjed az összes EU tagállamra, számos, a banki szolgáltatásokhoz kapcsolódó áruosztályban.

Mindez azt jelenti, hogy az MBH Banknak jogi eszközök is a rendelkezésére álltak (volna) a hamis oldalak leállítására.

Egy védjegybitorlás ilyen egyértelmű esete esetén a bank kérhette volna a domain felfüggesztését vagy átiratását saját nevére, akár nemzetközi vitarendezési eljárás (pl. UDRP) útján, akár a Niue domainkezelőnél közvetlenül. A rendelkezésre álló információk alapján azonban a hamis domainek  már akár 2 hónapon túl is működnek, ami arra utal, hogy a bank vagy nem kezdeményezte időben az eltávolításukat, vagy ha mégis, az eljárások lassúsága miatt ez nem hozott azonnali eredményt. Akárhogy is, a hamis domain azonnali letiltásának elmulasztása lehetővé tette a csalók számára, hogy jelentős kárt okozzanak.

Szakértők rámutatnak: ha a bank technikai-jogi ellenlépéseket időben megtette volna, jó eséllyel megelőzhető lett volna a károkozás nagy része, vagy legalábbis korlátozható lett volna.

Ellentmondásos banki reakció: a károsultak hibáztatása vs. nemzetközi tétlenség

Miközben a fenti események zajlottak, az MBH Bank hivatalos kommunikációja és ügyfélkezelése minimum ellentmondásosnak mondható.
A bank ugyanis nem vállalta a felelősséget a történtekért – sőt, több károsult beszámolója szerint inkább az ügyfeleket hibáztatta.
A károsultak panaszaira adott válaszlevelekben az MBH Bank rendre arra hivatkozott, hogy az ügyfelek súlyos gondatlanságukkal hozzájárultak a történtekhez, ezért a bankot nem terheli kártérítési kötelezettség.

Magyarán: a bank álláspontja szerint nem az ő rendszereik sérülékenysége okozta a bajt, hanem az, hogy az ügyfelek bedőltek egy adathalász trükknek és kiadták érzékeny adataikat ismeretleneknek. Ezt a narratívát a bank a sajtó ( 17 média írt cikket a tárgyban)  megkeresésére is megerősítette: hangsúlyozták, hogy szerintük a visszaélések hátterében nem banki rendszerhiba áll, hanem az ügyfelek által megadott adatok miatt bekövetkezett incidensek.

Az MBH Bank gyakorlatilag elvárja, hogy az ügyfelek vállalják magukra a felelősséget – és a veszteséget.

Ez a hozzáállás érthető felháborodást keltett a károsultak körében, akik közül sokan nem érzik magukat hibásnak.Többen elmondták: mindent a bank előírásai szerint csináltak, soha nem kattintottak gyanús e-mailekre, a Google hirdetés viszont a megszokott rutin része volt számukra. Az adathalász oldal pedig annyira profin utánozta a bankit, (lásd fentebbi képet, aza tényleges és ezt biztos benéznénk mi is ha nem látnánk azt a fránya.nu-urlt) hogy nem volt nyilvánvaló a csalás. Ráadásul olyan esetek is voltak – például egy sportegyesület esete – az a Hámori Zsuzsa szinkronúszó aki pont az Adhoc Support CIC és az EuroAstra által kezdeményezett oknyomozás tevékeny részese maga is – ahol az érintettek nem is rendelkeztek mobilbanki alkalmazással, sőt a telefonjuk sem volt alkalmas rá, mégis azon keresztül lopták el a pénzüket. Az mostanra sokaknál kiderült: felhasználónév és jelszó, majd a jóváhagyási sms-re vészesen hasonlító SMS és már is meg volt az új app, az elkövetők kezében. Ez nyilvánvalóvá tette, hogy a csalók kifinomult módszerrel (a fent bemutatott mobilapp-regisztrációval) éltek vissza. A bank ennek ellenére mereven kitartott amellett, hogy a felhasználó mulasztott. Olyannyira, hogy egy fillér kártérítést sem ajánlottak a károsultaknak.

Sőt, a levelezések hangneme sokak szerint már-már fenyegető volt: a bank a saját felelősségének elhárítása érdekében lényegében az ügyfelet vádolta szabályszegéssel (pl. azzal, hogy megsértették az elektronikus bankolásra vonatkozó szerződési feltételeket azzal, hogy kiadták az adatokat). Ez a fajta kommunikáció inkább olaj volt a tűzre – ahelyett, hogy empátiát és segítségnyújtást mutatott volna a bank, másodszor is áldozattá tette a károsultakat, ezúttal erkölcsileg.

Google „zöld pipás” hirdetések: a megtévesztés magasiskolája

Külön említést érdemel a Google szerepe ebben a történetben. A csalók a Google Ads hirdetési rendszerét használták fel arra, hogy a hamis oldalaikat a találati lista élére juttassák. Ezek a hirdetések első ránézésre meggyőzőek voltak: az „MBH Online” címsorral futottak, és még egy zöld pipával (ellenőrzött hirdetői jelvénnyel) is el voltak látva, azt sugallva, hogy a Google ellenőrizte és jóváhagyta az adott hirdetőt.

A fenti képen látható két Szponzorált találat pontosan ilyen: a mhbbauk.com és mhhbunk.com domainű oldalak „MBH Online” néven hirdették magukat, és a domain neveik mellett ott a zöld körben a fehér pipa – a Google rendszerében ez a jele a hitelesített hirdetőnek. E hirdetések szövegében banki szolgáltatásokra utaló félmondatok szerepeltek (pl. „Az egyes ügyfelekkel – hitelektől a befektetési…, Regisztrálj online!”), hogy megtévesszék az olvasót. Mindez a valódi MBH Bank organicus találatai felett jelent meg, gyakorlatilag kitúrva a hivatalos oldalt a képernyőről.

A felhasználó szemszögéből nézve ez egy tökéletes csapda volt: a Google keresőben feljövő első találatra rákattintottak – hiszen miért is ne, a Google eleve kiemelte, ráadásul egy zöld pipával hitelesítette is. Innen már csak egy lépés volt, hogy a Google által megbízhatónak láttatott oldalon az ügyfél megadja a belépési adatait. Fontos kiemelni, hogy a hamis weboldal is HTTPS kapcsolaton keresztül működött, tehát a böngészőben megjelent a lakat ikon. A hamis domainhez a tanúsítványt éppenséggel a Google Trust Services egyik hitelesítő hatósága adta ki.  Vagyis a Google duplán “megütötte” a gyanútlan ügyfeleket: először is fizetett hirdetésben népszerűsítette a csaló oldalt, másodszor a saját tanúsítványával hitelesítette a site-ot, ami miatt a böngésző biztonságosnak jelölte azt. Ez persze nem szándékos károkozás a Google részéről, sokkal inkább a csalók rafináltságát és a Google automatizmusainak kihasználását mutatja.

Mégis felmerül a kérdés: hogy engedheti meg a világ legnagyobb keresője és hirdetési platformja, hogy vadonatúj, alig néhány napja regisztrált, „bank” szót tartalmazó domainről pénzügyi szolgáltatást hirdessenek? A hamis domain életkora (2-5 napos), a nyilvánvalóan banki tartalom, és számos gyanújel együtt is bőven elég lenne, hogy a Google lépjen ez ellen.  Úgy tűnik azonban, hogy a Google szűrői nem működtek hatékonyan, vagy a csalók meg tudták kerülni azokat (például a hirdetés szövegének, célzásának módosításával). Az eredmény: a Google akaratlanul is tevékeny elősegítőjévé vált a csalásnak.  A magyar tech-közösségben is többen értetlenkedtek, hogy a Google miként emelhette ki a csalókat a találati listán. A történtek rámutatnak egy súlyos általános problémára: még a „zöld pipával” jelölt online hirdetéseknek sem szabad fenntartás nélkül hinni. Még ha a Google ellenőrizte is az hirdető adatait, magát a hirdetésben szereplő szolgáltatást vagy weboldalt úgy tűnik, nem vizsgálja mélységében – így történhet meg, hogy bűnözők is kaphatnak ilyen jelölést.

A magyar domain-regisztrálók ellen jár a kemény fellépés!
Avagy: miért a károsultak önszerveződéseit támadja a bank?

Miközben az MBH Bank hónapokon keresztül tétlen maradt a svéd .nu domaineken keresztül zajló csalásokkal kapcsolatban, meglepően keményen lépett fel két olyan magyar domain-regisztráló ellen, akik épp az áldozatok érdekvédelmét kívánták segíteni.

2025. május 25-én, vasárnap két levelet is kaptak azok a hazai magánszemélyek, akik – épp a banki csalások károsultjainak segítése céljából – bejegyezték az „MBH” és „MBH Bank” kifejezéseket tartalmazó magyarországi (.hu) domaineket károsulti érdekképviseleti céllal, amit azóta visszavontak, lévén a cél az volt, hogy lássák: mit tesz a BANK amikor a károsultak közös érdekérvényesítése a nevüket tartalmazó domain névben manifesztálódik. A leveleket Dr. XXXX, az MBH Bank Nyrt. hivatalos jogi képviselője írta alá, és azok tartalma jogilag fenyegető volt:

„Alulírott, Dr. XXXX(kamarai jogtanácsos KASZ: #######) az MBH Bank Nyrt képviseletében eljárva, ezúton felhívom figyelmüket, hogy az MBH, mint szóvédjegy a Szellemi Tulajdon Nemzeti Hivatala által 239996 lajstromszám alatt nyilvántartásba vett védjegy, amelynek jogosultja az MBH Bank Nyrt. […] A védjegy használatának azonnali abbahagyására ezúton felszólítjuk. Felhívjuk szíves figyelmüket, hogy amennyiben a fenti domain használatot haladéktalanul, legkésőbb a mai napon nem szüntetik meg, úgy az MBH Bank Nyrt. a védjegyhasználat eltiltása, valamint kártérítés iránt nyomban polgári peres eljárást kezdeményez Önök ellen, egyúttal a büntetőeljárásról szóló 2017. évi XC. törvény 34. § (2) bekezdés szerinti hatóságnál is bejelentéssel él.”

Ez a rendkívül kemény és gyors fellépés – 1 nap alatt a domain regisztrációt követően –  különösen annak fényében visszás, hogy közben a csalók által létrehozott, a bank nevével és logójával tömegesen visszaélő külföldi oldalak – például a mbhbank.nu – 2 hónapja zavartalanul működhet!

Miért épp azokat fenyegeti a bank kemény jogi retorziókkal, akik saját idejükből és erőforrásaikból próbálnak segíteni a károsultaknak?

Ez a fellépés – az eddigi események tükrében – minimum visszatetsző.

Ez azt az érzetet kelti, mintha a bank számára fontosabb lenne a saját hírnevének védelme, mint ügyfelei érdekeinek valós képviselete.
A joggal elvárható felelősség, amire a Polgári Törvénykönyv (Ptk.) és a pénzügyi szolgáltatásokról szóló jogszabályok kötelezik, messze nem valósult meg.

„Születésnap: 2 hónapos lett az MBHBANK.NU – hurrá…ja nem” -szólt egy károsult a mai napig élő három .NU végződésű domain név láttán.  Miközben  e három  domain  név  éli  életét,  addig  a károsultakis remeghetnek a jövőben  is.

A nemzetközi csaló .nu domainekkel szembeni látványos banki passzivitás – kettős mérce?

Az agresszív fellépés a hazai domainhasználókkal szemben éles kontrasztot mutat a bank passzivitásával, amit a ténylegesen károkozó .nu domainekkel szemben tanúsított. Mint korábban már dokumentáltuk, az adathalászok a .nu országkódú (Niue-szigetekhez tartozó, svéd kezelésű) domaineket használták tömegesen az MBH Bank ügyfeleinek megtévesztésére.

Ezek a domainek (mbhbank.nu, mbhbunk.nu, mbhbauk.nu) nyíltan és egyértelműen sértették az MBH Bank védjegyét, mégis hónapokon át zavartalanul működtek. A bank a nemzetközi hatóságok, valamint a svéd domainregisztrátor (Internetstiftelsen) felé intézett megkereséseit vagy nem megfelelő határozottsággal tette meg, vagy pedig egyszerűen nem követte nyomon megfelelő intenzitással.

Amint az Adhoc Support CIC levelezéséből világosan kiderül, a svéd domain-regisztrátor gyakorlatilag elhárította magáról a felelősséget, jogilag gyenge kifogásokra hivatkozva. A Svéd Internet Alapítvány nyíltan visszautasította, hogy beavatkozzon, mondván, hogy ők csak a regisztrációért felelnek, nem a tartalomért. Ez az álláspont jogilag aggályos, különösen az EU NIS2 direktíva (amely Svédországban még nem implementált ugyan, de EU-s jogként közvetlen hatályú lehet) és a Digital Services Act (DSA) alapján, amelyek szerint az ilyen infrastruktúra-szolgáltatóknak felelősséget kell vállalniuk a nyilvánvalóan csalásra használt domainek eltávolításában.

A bizonyítékként közölt levelezések világosan demonstrálják – több levélváltásban is – az Adhoc Support CIC érdekérvényesítő szervezet szélmalomharcát a svéd domainregisztrátorral.  Az Adhoc Support CIC vezetői többször is világosan, határozottan kérték a domainek eltávolítását, akkor még  700+ áldozatra és 5 millió eurós kárra hivatkozva, de a svédek válasza rendre elutasító volt. Főleg mert Svédország még a kötelezettségszegési eljárást is vállalva, nem állt bele a NIS2 biztonsági direktíva folyamatába. Miközben tehát a sértettek közössége fellépne de eredménytelen, addig láthatóan az MBH Bank sem….és itt jönnek a kérdések.

Ez a passzivitás komoly nemzetközi jogi kérdéseket vet fel:

• Miért nem tudott vagy akart az MBH Bank ugyanolyan intenzitással fellépni a külföldi domainek ellen VÉDJEGY védelme okán, mint amilyen agresszíven fenyegette a magyarokat,  Magyarországon?

• Miért nem élt az MBH Bank az EU-s védjegyoltalomból fakadó jogaival és nemzetközi jogi eljárásokkal (például UDRP) a csaló domainek lekapcsolására?

• Van e írásos bizonyítéka annak, hogy tettek lépéseket a .NU domainok eltávolítására, mert ennek hiánya is komoly következményekkel járhat.
• Hogyan lehet az, hogy míg magyar állampolgárokat börtönnel fenyegettek, addig a külföldi csalók hónapok óta büntetlenül üzemeltetik adathalász oldalaikat, súlyos károkat okozva a sajátügyfeleiknek?

Az MBH Bank számlafeltörési ügye nem pusztán egy online csalássorozat, hanem egy aggasztó történet arról, hogyan vezethet egyetlen technikai hiba, egyetlen rosszul konfigurált SSL-tanúsítvány, egyetlen elmulasztott intézkedés sok száz ügyfél katasztrófájához.

A hibásan konfigurált „mbh.hu” domain kaput nyitott az adathalászok előtt, akik ezt kihasználva, professzionális megtévesztéssel milliárdos károkat okoztak az ügyfeleknek. A bank felelőssége ebben a helyzetben nem lehet vita tárgya: nem csupán informatikai mulasztást követett el, hanem elmulasztotta a jogilag is elvárható gondosságot.

A Google szerepe sem elhanyagolható: a világ legnagyobb keresőóriása, akaratlanul (?)  ugyan, de segítő szerepet játszott ebben a tragédiában. A „zöld pipával” ellátott szponzorált hirdetések egyenes úton vezették az ügyfeleket a csalókhoz, miközben a bank domainje éppenséggel „Nem biztonságos” jelzéssel riogatta őket.

Végül azok a sértetti állítások és hatósági visszajelzések is érdemesek a pillanatra, akik szerint 30 nap mire eljutnak az ügyek előre, addig pl. a banki és térfigyelő kamerák archive felvétele a magyarországi pénzfelvételekről huss a semmibe vesznek. Aztán vannak sértettek akinek a pénzét 5 millió forintot egyben fel tudtak venni, ott meg a pénzmosási törvény alól hogyan sikerült kilépni?

Számos kérdés van és ebben bizony eddig a vesztes: a károsultak 1600 fölötti tömege…

Az MBH Bank ügye messze túlmutat önmagán….

Konkrétan nyitva maradó kérdések a folytatáshoz

• Mikor és milyen felelősségre vonás lesz? Az MNB, mint felügyeleti szerv, indít-e vizsgálatot vagy szab ki bírságot az MBH Bank ellen a történtek miatt? Elszámoltatják-e a bank vezetését az SSL-hiba és a lassú reakció okán?

• Miért maradt tanúsítvány nélkül a mbh.hu? Hogyan fordulhatott elő mostanra 11. hónapon keresztül, hogy egy nagybank nem gondoskodott a saját rövid domainje biztonságos beállításáról? Ki ezért a felelős, és megtették-e a szükséges lépéseket a javításra (hogy ne terelje többé rossz irányba az ügyfeleket)?

• Mikor sikerül végre letiltani a tömeges MBHBANK.NU -val kárt okozó weboldalt?

• Mire készül a bank a károsultakkal szemben? Az MBH Bank a továbbiakban is ragaszkodik ahhoz, hogy nem fizet kártérítést, vagy hajlandó felülvizsgálni az álláspontját? Várhatóak-e peren kívüli egyezségek, mediáció, esetleg a bank által felajánlott kompenzáció a jó hírnév helyreállítása érdekében? A láthatóan dokumentált hibákat, meddig lehet csak a károsultakra kenni?

• Sikerül elkapni a tetteseket? A rendőrségi nyomozás feltárja-e a konkrét elkövetői kört, és sikerül-e nemzetközi együttműködéssel lekapcsolni azokat a bűnözői hálózatokat, amelyek a .nu domainek mögött álltak? Lesznek-e letartóztatások, vádemelések ebben az ügyben, vagy a tettesek kiléte homályban marad?

• Mikor ered az MNB a Google nyakába?  A hamis hirdetéseikkel történő stiklikért mikor indul GVH eljárás?

• Mit tanul a Google az esetből? A Google felülvizsgálja-e a hirdetési ellenőrzési folyamatait, különösen a pénzügyi témájú hirdetéseknél? Várható-e, hogy szigorítják a banki kulcsszavakra vonatkozó hirdetések engedélyezését, vagy bevezetnek új szűrőket (pl. újonnan regisztrált domainnel nem lehet banki szolgáltatást hirdetni)?

• Hogyan erősítik meg a jövőbeni védelmet? Az MBH Bank (és általában a magyar bankok) milyen konkrét technológiai és ügyfél-edukációs lépéseket tesznek majd a hasonló támadások megelőzésére? Bevezetésre kerül-e például valamilyen extra tranzakció-jóváhagyási mechanizmus új eszköz regisztrálásakor, vagy szigorúbb monitoring a szokatlan utalásokra?

• Változnak-e a szabályok? A jogalkotók és felügyeleti szervek részéről felmerülhet-e új szabályozás vagy ajánlás kiadása az ilyen típusú adathalász esetek kezelésére? Például kötelező azonnali incidensjelentés a CERT felé, vagy a bankok felelősségének egyértelműbb meghatározása a Ptk.-ban/pénzforgalmi törvényben, hogy az ügyfelek védelme erősebb legyen.