A NAV e-mailben adó-visszatérítésről értesít! Vagy mégsem?

Váratlan levélben a NAV arról tájékoztat minket: „Visszatérítést kap, amelyet a nav.gov biztosítás nem teljesített. Műveletkezelő rendszerünk észleli, hogy jogosult-e erre a kifizetésre.”

Bár ez látszólag magyar nyelven íródott, de azért a fogalmazáson érezni némi Fülig Jimmy és Tuskó Hopkins jellegű utóízt.

A kéretlen levélnek az sem szolgál előnyére, hogy bár azt egy hazai állami hivataltól kaptuk, a feladója mégis egy németországi sazihazi KUKAC t-online PONT de.

Pedig jöhetett volna a hivatalos Ügyfélkapun is. Az egész adó-visszatérítési levelet az ESET halászta elő, s vette sorra a felbukkanó intő jeleket.

Aki a fejlécet bedobja egy online e-mail trace dobozba, annak az is kiderül, hogy a levelet éppenséggel egy brüsszeli, azaz Belgiumban található IP-címről küldték. Ennek ellenére hivatalosnak látszó referenciaszámot kaptunk, miénk az A8005W ügyirat. A hivatkozott nav.gov pedig tényleg a nav.gov.hu oldalra mutat, igaz, csak az alsó linknél.

Aztán lássuk a nekünk járó pénzt, az is csábító: 63688.73700HUF. Látszik, hogy kihegyezett mérnöki precíz pontossággal kalkulálták ki.

A gyors online pénzhez jutáshoz nincs is másra szükség, mint a NAV oldalán begépelni a személyes és banki adatainkat. Hogy nincs biztonságos HTTPS kapcsolat? És hogy ez valójában nem is a NAV oldala, hanem csak annak látszik, miközben ez a „zebdal7wa PONT com” URL című webhely? Nem akad fenn ilyen apróságokon, aki pénzt akar itt és most.

Az űrlaptöltögetés a teljes név, adóazonosító jel, e-mail-cím (ezt miért is, hiszen megkaptuk az elektronikus levelet?), telefonszám, valamint a pontos lakcímünk irányítószámmal ékesített formájában való beírását kéri, ami már csak azért is furcsa, hiszen egy adóhivatal szinte többet tudhat rólunk, mint mi saját magunkról.

És máris a bankkártya adataink megadása című fejezethez érkezünk…

Foglaljuk össze az eddigieket: brüsszeli IP-címről egy német ismeretlen ír nekünk egy kéretlen e-mailt, amelyben a NAV nevében ingyenpénzt ígér, csak előtte be kell gépelnünk részletes személyes adatainkat, valamint bankkártya-információinkat. Vajon vissza is lehet ezzel élni?

Miért is kellene a bankkártyánk háromjegyű CVV biztonsági kódját megadnunk, hiszen itt mi kapunk pénzt? Nem lenne elég ehhez a számlaszámunk vagy a kártyaszámunk?

Az oldal a banki adatok begépelése után

rendre timeout hibaüzenetet jelenít meg, ekkor dörzsölik az adathalászok a tenyerüket,

és valós adatok begépelése esetén hamarosan csörög is nekik a kassza, miközben az áldozat számlája hamar kiürülhet. Vagyis a pénzhez jutás ígérete igaz ugyan, csak éppen nem mi kapunk a NAV-tól, hanem a bűnözök csapolják le azt a hiszékeny emberektől.

Az adathalász oldalt az ESET jelentette a hatóságoknak, ez az oldal már nem érhető el. Ám a módszer nagyon is életképes, és bármikor, bármilyen hasonló formában szembejöhet.

Borítóképünk illusztráció