Hirben.hu Hírben jók vagyunk! Február hatodikán, késő délután érkezett e-mail indította el a történetet. A levél a Nemzeti Adó- és Vámhivatal nevében íródott, és arról tájékoztatott, hogy a 2025-ös személyi jövedelemadó-bevallás alapján adó-visszatérítés jár számomra. Az üzenet a magán-e-mail-címemre érkezett, nem arra, amelyet hivatalos ügyintézéshez használok, ez azonban első pillanatban nem tűnt fel különösebb figyelmeztető jelként.
A levél hangvétele kifejezetten hivatalos volt. Tartalmazta az adóévet, egy feldolgozási dátumot, egy iktatószámot, valamint egy státuszjelzést is, amely szerint a visszatérítés feldolgozása már megtörtént. Megvolt a címer, a logó stb. A szöveg nem sürgetett, nem fenyegetett, nem ígért irreálisan gyors kifizetést, mindössze annyit közölt, hogy a visszatérítendő összeget – néhány munkanapon belül – megkapom.
A levél egyik kulcseleme az volt, hogy
nem közvetlenül kért adatokat, hanem egy megszokott, hivatalos csatornára irányított tovább.
A „Bejelentkezés az Ügyfélkapuba” feliratú gomb pontosan azt sugallta, amit egy állami értesítéstől az ember elvár: az ügyintézés nem e-mailben történik, hanem egy külön, ismert felületen. Ez önmagában is erős hitelesítő elem.
A kattintás után egy többlépcsős folyamat indult el, amely külsőre és logikájában is hasonlított az állami digitális szolgáltatások megszokott működéséhez. Előbb az Ügyfélkapu, majd a Digitális Állampolgárság Program felülete jelent meg, vagy legalábbis annak hiteles másolata. A képernyők nem voltak zsúfoltak, nem villogtak figyelmeztetések, a lépések sorrendje ismerős volt számomra, aki az elmúlt években online intéztem ügyeimet.
Az egész folyamat alatt végig az volt az érzésem, hogy egy már lezárt ügy adminisztratív utolsó lépései zajlanak. Nem új kérelmet kellett benyújtani, nem kellett hosszú adatlapokat kitölteni, csupán megerősíteni vagy ellenőrizni meglévő információkat. Ez a „már majdnem kész van” érzet tovább csökkentette a gyanakvást.
A fordulópont akkor következett be, amikor a rendszer bankkártyaadatok megadását kérte. Nem befizetéshez, nem tartozás rendezéséhez, hanem azonosításhoz, arra hivatkozva, hogy csak így lehet elindítani a visszatérítés kifizetését.
Ez a pont már kilógott a megszokott állami ügyintézési gyakorlatból, és egyértelművé tette, hogy nem valódi NAV-folyamatról, hanem Adathalász támadásról van szó.
Több mint kamu e-mail
Az eset azonban túlmutat egy egyszerű csalási kísérleten: jól mutatja, hogyan vált a digitális közigazgatás működése maga is támadási felületté.
Utólag visszanézve jól látható, hogy az egész történetet gondosan felépítették. Az időzítés, a nyelvezet, a használt intézménynevek és a lépések sorrendje mind azt szolgálta, hogy az üzenet beleilleszkedjen a digitális állammal kapcsolatos mindennapi tapasztalatainkba. A történet ezért nem egy egyszerű „kamu e-mailről” szól, hanem arról, hogyan lehet a hivatalos működés logikáját felhasználni az állampolgárok megtévesztésére.
Az eset nem egyedi, és nem is elszigetelt. A Nemzeti Adó- és Vámhivatal az elmúlt években több alkalommal figyelmeztetett arra, hogy a nevével visszaélve próbálnak adathalász e-mailekkel és SMS-ekkel személyes, illetve pénzügyi adatokat megszerezni. A hivatal honlapján külön tájékoztató oldal foglalkozik ezekkel a csalásokkal, és részletesen leírják, milyen jelek utalhatnak arra, hogy nem valódi NAV-üzenetről van szó.
A most tapasztalt módszer azonban jól mutatja, hogy a csalások jellege megváltozott. Míg korábban az adathalász üzeneteket gyakran a nyelvi hibák, az átlátszó fenyegetések vagy az irreális ígéretek buktatták le, ma már sokkal kifinomultabb megoldásokkal találkozni. A hangsúly nem a sürgetésen, hanem a hitelességen van.
Ebben kulcsszerepet játszik az állami digitális ügyintézés elmúlt évekbeli átalakulása. Az Ügyfélkapu, a DÁP és az automatikus értesítések mára a mindennapi közigazgatás részévé váltak. Állampolgárként megszokták, hogy hivatalos ügyekről e-mailben kapnak tájékoztatást, majd egy online felületen folytatjuk az ügyintézést. Ez kényelmes, gyors és hatékony – ugyanakkor pontosan ez a kiszámíthatóság teszi sebezhetővé.
A teljes cikk megtekintéséhez és tovább olvasásához KATTINTSON IDE!
*Tisztelt Olvasó! Amennyiben a cikk tartalma módosult vagy sértő elemeket tartalmaz, kérjük jelezze számunkra info@net-front.hu e-mail címen!