Nyakunkon az adóbevallási szezon, ami nemcsak a könyvelők és a hatóságok számára jelent mozgalmas időszakot, hanem a csalók szemében is felér egy aranybányával. Az idei kör egyik legrafináltabb átverése egy látszólag hivatalos értesítéssel indul, amely szerint a címzett adó-visszatérítésre jogosult. A levél stílusa, szóhasználata és felépítése ismerős lehet bárkinek, aki valaha kapcsolatba került a Nemzeti Adó- és Vámhivatallal, éppen ezért könnyű bedőlni neki - figyelmeztet a HVG.
Pedig már az első pillantás, amit az üzenetre vetünk, gyanúra kellene, hogy okot adjon, mivel nem hivatalos állami domainről érkezik, hanem a no-reply@formassembly.com e-mail-címről, ráadásul több tucat címzett szerepel benne egyszerre, ami finoman szólva sem illik egy adatvédelmet komolyan vevő hivatal kommunikációjába. Ha ezt nem szúrjuk ki, akkor már sikerrel vették az első kört a csalók, akik azzal is elaltatják az éberségünket, hogy a levélben nem kérnek rögtön pénzt vagy érzékeny adatot, csak annyit közölnek, hogy a visszatérítés igényléséhez be kell jelentkezni az Ügyfélkapuba.
A csapda itt kezd igazán bezárulni. A levélben található link egy olyan oldalra vezet, amely megtévesztésig hasonlít a Digitális Állampolgárság Program felületére. Az átlagfelhasználó számára első ránézésre minden rendben lévőnek tűnik, a háttérben azonban semmilyen valódi azonosítás nem történik. A kétfaktoros védelem például csak díszlet: az Ügyfélkapu+ esetében nem működik, míg a DÁP-belépés gyanúsan gyors, egyetlen kattintással "sikeres" hitelesítést produkál.
A következő oldalon már konkrét szám is megjelenik: esetünkben 140 ezer forintos visszatérítést ígérnek, amit egyetlen lépéssel "lehívhatunk". Ez a pont az, ahol sokan elveszítik az óvatosságukat, és rákattintanak a folytatásra. Innen viszont már nincs visszaút, ha nem figyelünk.
A rendszer ugyanis nem bankszámlaszámot kér, hanem bankkártyaadatokat. Ez kulcsfontosságú különbség, amit sokan nem vesznek észre vagy nem tulajdonítanak neki jelentőséget. Pedig ahhoz, hogy valaki pénzt utaljon nekünk - legyen az hivatal vagy magánszemély -, kizárólag a bankszámlaszámunkra van szüksége. A bankkártya száma, lejárati dátuma és a CVC-kód ezzel szemben fizetéshez kell, vagyis amikor mi költünk pénzt.
A csalók pontosan erre játszanak. A megszerzett kártyaadatokkal aztán online tranzakciókat hajtanak végre, akár olyan felületeken is, ahol valójában semmilyen termék vagy szolgáltatás nincs a háttérben. Az eredmény ugyanaz, a pénz eltűnik a számláról, és jó eséllyel soha nem kerül vissza.
