Lehet, hogy pechens napja volt az MBH Banknak, lehet hogy az egész hetük ugyan így sikerült, de az amikor már hetek óta borul a „bili” és ügyfelek tömegei posztolnak az MBH Bankon keresztül őket ért kifosztásukról? Akkor bizony már kolompolni kell és verni a vész-harangot ahogy csak bírja az ember! Az Internet ordít, hangos, sikít és a felhasználók sírásától könnyes a padlónk is.
A napokban, számos helyen megjelent cíkk így a KamuWebshopok.hu Preventív Közösség és a MielottAtvernek.hu Átverés Megelőző Közösség oldalain, a HUP -on és a Reddit-en felhasználói véleményként megjelent blogbejegyzések nagy száma is arra ösztönzött minket, hogy egy másik vetületétt nézzük meg ennek a hatalmas privát MBH Bank fiókot ért támadásoknak.
Remélhetőeg az illetékes IT-sek is elérnek a Google-ban addig, hogy rátalálnak ezekre a vélemény cikkekre. Addig is a mi vetületünk a hogyan és miért élnek ezek az oldalak 1 napnál tovább, ha erre elméletben van egy Kibervédelmi Hatósága Magyarországnak aki 1 perc alatt tilthatná ezen oldalak elérhetőségét már az előtt, hogy a domain név további kárt okozna.
Az átverős domain név ami olyan friss, hogy még ropog
A (takarékszövetkezeti) MBH Bank nevével visszaélő adathalász domain, a takarek.login-onlihe-mbhdank.com regisztrációs adatai alapján 2025. április 23-án került bejegyzésre.
Ez azt jelenti, hogy a csalók ekkor hozták létre ezt a hamis webcímet, amely kinézetében az MBH Bank online belépőfelületét utánozta.
Felhasználói panaszok már április 15-től jelentkeztek, tele vele az Internet
Egy szakmai fórumon 2025. április 15-én késő este egy felhasználó jelezte, hogy a családjában valakinek “egy használt autó ára tűnt el” az MBH Banknál vezetett számlájáról. Többen aggódva számoltak be hasonló gyanús esetekről; a HUP tech-fórum témájában sorra jelentek meg az aggodalmak. Az MBH Bank ügyfelei közül többen kaptak olyan phishing (adathalász) üzeneteket vagy kerültek olyan hamis honlapra, amely a bank netbanki bejelentkező oldalát utánozta (Hamis, csaló SMS az MHB Bank tartozási értesítő üzenete – KamuWebshopok.hu Preventív Közösség).
Az egyik legutóbbi áldozat például arról számolt be, hogy egy egyszerű Google-keresés után a megtévesztő oldalra jutott, ott megadta az azonosítóit és az SMS-ben kapott belépőkódot – látszólag semmi sem történt, majd nem sokkal később jött a sokk: egy értesítő SMS-ből derült ki, hogy a számlájáról 6,5 millió forintot utaltak el. Ez világosan mutatja, hogy a támadók már április közepén aktívan vadásztak az MBH ügyfelek adataira, és a felhasználói visszajelzések szerint többeket sikerült is megtéveszteniük.
Vizsgáljuk meg, mit tehetett volna az MBH Bank a hamis domain mielőbbi letiltása érdekében.
Ilyen helyzetben az idő kritikus tényező: amint a bank tudomást szerzett a megtévesztő webcímről és az ügyfeleket ért támadásokról, haladéktalanul kezdeményeznie kellett volna a domain nemzetközi eltávolítását. Ennek egyik módja a CERT-Hungary (Nemzeti Kibervédelmi Intézet) riasztása, amely kiberincidensek kezelésére szakosodott szervezet. A CERT nemzetközi kapcsolatain keresztül képes közvetlenül fellépni a külföldön regisztrált adathalász oldalakkal szemben: együttműködnek a domain-nyilvántartókkal és tárhelyszolgáltatókkal, szükség esetén a külföldi CERT-hálózat bevonásával.
Erre korábban is volt példa: a magyar bankok elleni adathalász támadásoknál a CERT-Hungary a Magyar Bankszövetség és a rendőrség megkeresésére felderítette és elérhetetlenné tette a bejelentett phishing oldalakat, nemzetközi együttműködéssel még a domain névszervereit is kiiktatva (Adathalász támadások a magyar banki rendszerek ellen – Nemzeti Kibervédelmi Intézet). Ez a gyors, összehangolt fellépés akkor azt eredményezte, hogy az ügyfeleket nem érte kár (Adathalász támadások a magyar banki rendszerek ellen – Nemzeti Kibervédelmi Intézet). Hasonló határozottsággal az MBH Banknak is azonnal a CERT-hez kellett volna fordulnia. A CERT 0-24 órás forródrótot is üzemeltet ilyen esetekre (Adathalász támadások a magyar banki rendszerek ellen – Nemzeti Kibervédelmi Intézet), így a banknak minden adott volt egy villámgyors bejelentésre és a káros domain jelentésére. Emellett a banknak célszerű lett volna közvetlenül is megkeresni a domain regisztrátort (a WHOIS információk alapján a japán GMO/Onamae szolgáltatót) és a domain mögött álló DNS-szolgáltatót (jelen esetben a Cloudflare-t), hogy gyorsított eljárással függesszék fel a nyilvánvalóan csalásra használt webcímet.
Nagyobb pénzintézeteknek tipikusan megvannak a kapcsolati csatornái ezekhez a szolgáltatókhoz, illetve a nemzetközi bankközi összefogások (pl. Anti-Phishing Working Group) is segíthetnek egy phishing domain lekapcsolásában. Mindezeket a lépéseket az MBH Banknak már az első panaszok beérkezésekor, tehát napokkal (ha nem hetekkel) a konkrét nagy összegű lopás előtt meg kellett volna indítania.
A kárenyhítés kommunikációja
Ezzel párhuzamosan a bank feladata lett volna a kárenyhítés kommunikációs oldalról is. Bár az MBH Bank a hírek szerint több platformon figyelmeztette ügyfeleit a csalókra (Csalók az MBH Bank ügyfeleire vadásznak) – például közösségi média posztban jelezték, hogy “az utóbbi napokban a csalók bankunk nevében küldenek e-mailt… rendszereink frissítése miatt újra kell regisztrálni” stb. –, ez önmagában nem bizonyult elegendőnek. Ilyen fenyegetés esetén indokolt lett volna célzott riasztást küldeni az összes ügyfélnek (például push üzenetet a mobilbanki alkalmazásban, figyelmeztető e-mailt vagy SMS-t), melyben nyomatékosan felhívják a figyelmet a konkrét csalási módszerre: hogy ne kattintsanak ismeretlen linkre, ne keressenek rá Google-ben a netbankra, és soha ne adják meg azonosító adataikat ilyen kérésre. Egyes bankok hasonló helyzetben akár a netbanki bejelentkező felületen is kiraknak egy figyelmeztető bannert.
Az MBH Banknál utólag derült ki, hogy a netbanki biztonsági beállítások sem voltak alapértelmezetten szigorúak: a károsult ügyfél hozzátartozója utólag figyelmeztetett rá, hogy külön be kell állítani az SMS-alapú jóváhagyást minden tranzakcióra, különben viszonylag egyszerűen kijátszható a rendszer. A bank tehát nemcsak a domain letiltásában volt lassú, de mulasztott abban is, hogy proaktívan megszigorítsa vagy legalább ajánlja az ügyfeleknek a védelmi beállítások ellenőrzését (például kötelező kétfaktoros hitelesítés minden belépésre és utalásra).
Magyarországon rendelkezésre állnak hivatalos eljárások az ilyen phishing oldalak gyors eltávolítására.
Az egyik a már említett CERT-Hungary koordináció, amely a Nemzeti Kibervédelmi Intézet keretében működik, és törvény adta jogkörrel bír az incidenskezelésre. Emellett 2024. március 1-jétől új jogszabályi eszközök is életbe léptek: a 2023. évi XCVI. törvény felhatalmazása alapján a hatóságok – így különösen a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) – sokkal szélesebb jogköröket kaptak a jogsértő honlapok blokkolására (SZABÁLYOK ÉS HATALMAS BÍRSÁGOK VÁRNAK A KÁROKOZÓ WEBOLDALAKRA! – mielottatvernek.hu Preventív Közösség). Ez gyakorlatban azt jelenti, hogy például az SZTFH határozattal elrendelheti egy adathalász weboldal hazai internetes hozzáférésének tiltását, és akár súlyos (több millió forintos) bírságot is kiszabhat a károkozó weboldalak üzemeltetőire.
A SZTFH korábban elsősorban a pénzügyi csalások (pl. engedély nélküli online szerencsejáték) és fogyasztóvédelmi ügyek terén szerzett hatáskört, de ma már a kibertérben elkövetett csalások ellen is bevethető. Létrehozták továbbá a KiberPajzs nevű programot is, melyben a hatóságok és a bankszektor együttműködnek a csalások megelőzésében – ennek keretében az SZTFH és más szervek közösen ellenőrzik az online visszaéléseket. Fontos megjegyezni, hogy a büntetőeljárás megindítása (feljelentés a rendőrségen) szintén egy hivatalos út: a Nemzeti Nyomozó Iroda kiberbűnözésre szakosodott egysége foglalkozhat az üggyel, sőt a korábbi tapasztalatok alapján együtt tud működni a CERT-tel a nemzetközi nyomozásban (Adathalász támadások a magyar banki rendszerek ellen – Nemzeti Kibervédelmi Intézet). Összefoglalva, adott a jogi és operatív keretrendszer hazánkban ahhoz, hogy egy adathalász weboldalt akár órák alatt lekapcsoljanak – feltéve, hogy a bank vagy az illetékes hatóság időben kezdeményezi.
Az MBH Bank mulasztásai és az időveszteség okozta károk sajnos jelentősek.
A jelek szerint a bank későn és nem kellő hatékonysággal reagált a bejelentésekre. Ennek következtében a hamis oldal napokig aktív maradhatott, és ezalatt “brutális online bankrablás” történt: egy ügyfél 6,5 millió forint megtakarítását emelték el a csalók (Védekezz az MBH Bank számla feltörés ellen! – mielottatvernek.hu Preventív Közösség). Több más károsult is lehet – fórumhozzászólások és panaszok utalnak rá, hogy “sokan jártak mostanság így” (Védekezz az MBH Bank számla feltörés ellen! – mielottatvernek.hu Preventív Közösség). Az időben meg nem tett intézkedések miatt a csalók további áldozatokat szedhettek, és minden egyes órával nőtt az esélye, hogy újabb ügyfelek adják meg adataikat a hamis oldalon. A késlekedés anyagi kárt okozott az érintett ügyfeleknek, amelynek megtérülése kérdéses (a rendőrségi nyomozás és a pénz visszaszerzése hosszadalmas és bizonytalan lehet). Emellett komoly bizalmi és reputációs veszteség érte a bankot: az ügyfelek megrendülhetnek abban, hogy pénzintézetük képes megóvni őket az ilyen támadásoktól. Mindez hatósági elmarasztaláshoz is vezethet. (Figyelemre méltó, hogy az MNB 2025 áprilisában bírságot is kiszabott az MBH Bankra más mulasztások miatt (Megbüntették az MBH Bankot – Piac&Profit) – egy ilyen adathalász incidens kezelésének elégtelensége pedig hasonlóan szankciókat vonhat maga után a pénzügyi felügyelet részéről.) Összességében tehát elmondható: az MBH Banknak sokkal proaktívabban és gyorsabban kellett volna fellépnie. A hamis domain azonnali letiltásának elmulasztása lehetővé tette, hogy a csalók jelentős kárt okozzanak, amit megfelelő időben megtett technikai-jogi ellenlépésekkel jó eséllyel meg lehetett volna akadályozni vagy legalább korlátozni.
Az eset tanulsága, hogy a bankok és hatóságok együttműködése kulcsfontosságú az ilyen jellegű online visszaélések megfékezésében. A konkrét phishing oldal időben történő eltávolítása nem csak pénzügyi károkat előz meg, de erősíti az ügyfelek biztonságérzetét is. Jelen helyzetben utólag már csak a kármentés zajlik – a bank belső biztonsági beállításait felülvizsgálja (pl. kockázatalapú hitelesítés fontossága, nagy összegű utalások kiemelt figyelése), az ügyfelek pedig tanulópénzként megtanulják, hogy soha ne a keresőből, reklám linkre kattintva lépjenek be a netbankba, hanem mindig a hivatalos webcímet használják (Védekezz az MBH Bank számla feltörés ellen! – mielottatvernek.hu Preventív Közösség).
Az MNB lépjen fel valódi felügyeleti szervként…
A jövőre nézve remélhető, hogy az MBH Bank – okulva ebből – szorosabb kapcsolatot épít ki a kibervédelmi hatóságokkal, és villámgyors reakciótervet dolgoz ki az ehhez hasonló incidensek kezelésére, hogy ne ismétlődhessen meg egy ekkora károkkal járó időhúzás.
Források: Az elemzésben hivatkozott adatok és idézetek nyilvános szakmai fórumokról, sajtóközleményekből és kiberbiztonsági szakértői anyagokból származnak, többek között a HUP tech-fórum vonatkozó témájából, a MielőttÁtvernek.hu prevenciós oldal cikkeiből (Védekezz az MBH Bank számla feltörés ellen! – mielottatvernek.hu Preventív Közösség) (Védekezz az MBH Bank számla feltörés ellen! – mielottatvernek.hu Preventív Közösség), valamint a Nemzeti Kibervédelmi Intézet tájékoztatóiból (Adathalász támadások a magyar banki rendszerek ellen – Nemzeti Kibervédelmi Intézet) (Adathalász támadások a magyar banki rendszerek ellen – Nemzeti Kibervédelmi Intézet).
