VIGYÁZAT: Akarsz egy 200. 000 Ft-os Netflix-számlát ONE előfizetőként?

Döbbenetes Netflix-Csalás Hullám a ONE Ügyfeleinél! Tömegesen "legyalulják" a magyar mobilozók számláit kamu Netflix-előfizetésekkel a ONE (ex-Vodafone/Digi) rendszerén keresztül. Akár 150-800 ezer forintos terhelések! A trükk: Direct Carrier Billing (DCB) gyengesége – nincs erős hitelesítés, token-lopás miatt jelszócsere sem véd. Globális probléma: Ausztráliában milliókban mért bírságok, UK-ben kötelező 2FA. Csalók dark weben adják el a fiókokat. Védekezés most: Állíts 0 Ft limitet appban! Kijelentkezés minden eszközről Netflixen! Feljelentés rendőrségen, panasz NMHH-nak! Ne hagyd, hogy a te keretedet zabálják! Lássuk, hogy mi történik valójában.

Tömegével gyalulják le NETFLIX előfizetésnek látszó csalással, sértettek számláit a ONE (korábbban digi, upc,vodafone végső tulaj 4IG) számlákról a nélkül, hogy a ONE bármit tudna ez ellen tenni. 2025. év év gén beindult az ami a világban már máshol javában lefutott de most valamiért a ONE-t vették célba a digitális bűnelkövetők!

Így „gyalulják le” a magyar mobilozók keretét! (ONE-nál már biztosan)

Az elmúlt hetekben tömegesen érkeznek a panaszok: a (volt Vodafone/Digi) ügyfelei döbbenten tapasztalják, hogy a havi számlájukon több tucatnyi, nem kért Netflix-előfizetés jelenik meg. Van, akinél a végösszeg meghaladja a 150 000 forintot is.

Hogyan lehetséges ez, és miért nem állítja meg a szolgáltató?

A „Kocsmáros-trükk” (Mi az a DCB?)

A csalás alapja a Direct Carrier Billing (DCB), vagyis a közvetlen szolgáltatói számlázás.

A lényeg: Olyan ez, mint a hitel a kocsmában. Nem kell bankkártya, csak odaszólsz a kocsmárosnak (a mobilszolgáltatónak):

„Írja a többihez!” * A hiba: A kocsmáros (a szolgáltató) sokszor nem kérdez semmit, nem kér személyit, csak írja a számlát. A bűnözők pedig pont ezt a „beépített biztonsági rést” használják ki.

A „VIP Karszalag” esete (Miért nem elég a jelszócsere?)

Sokan hiába változtatnak jelszót, a terhelések folytatódnak. Ez a Token-alapú visszaélés.

Példa: A jelszavad a személyid, amivel belépsz a buliba. A belépés után kapsz egy VIP karszalagot (Tokent), hogy ne kelljen újra és újra igazolnod magad.

A csalás: A tolvaj nem a személyidet lopja el, hanem a karszalagodat veszi le a csuklódról. Innentől ő a „VIP”, és a te nevedben rendelheti a pezsgőt (a Netflixet). Hiába mész haza és cserélsz személyit, a tolvaj még bent van a buliban a te karszalagoddal!

FONTOS: Csak a „Kijelentkezés minden eszközről” funkció tépi le a tolvajról a karszalagot!

A 800 ezres „legyalulás” sem kizárt?

A bűnözők nem filmet akarnak nézni, hanem a te kreditedet (hitelkeretedet) akarják készpénzre váltani.

A szolgáltatók sokszor alapbeállításként magas hitelkeretet adnak az ügyfeleknek. Ha nincsenek beállítva a vásárlási limitek, a csalók akár 800 000 forintig is „legyalulhatják” a számládat percek alatt.

A nevedben vett Netflix-fiókokat aztán a feketepiacon (Telegramon, Dark Weben) adják el darabonként pár dollárért. Ez tiszta haszon nekik, te pedig kifizeted a teljes árat.

A csalás, amit a One (korábbi Vodafone/Digi) ügyfelei tapasztalnak, szakmailag a Direct Carrier Billing (DCB) rendszer gyengeségein alapul, ahol a mobilszolgáltató közvetlenül a havi számlára terheli harmadik fél szolgáltatásait (pl. Netflix előfizetéseket) anélkül, hogy erős hitelesítést vagy előzetes jóváhagyást követelne meg. Ez lehetővé teszi illetéktelenek számára, hogy lopott hitelesítő adatokkal vagy session tokenekkel tömegesen aktiváljanak szolgáltatásokat, növelve a számlát. Nemzetközi adatok és esetek alapján ez nem egyedi magyar probléma, hanem globális jelenség, amit a gyenge autentikáció, a szolgáltatók mulasztása és a csalók evolúciója hajt. Az alábbiakban részletezem az okokat, alátámasztva nemzetközi példákkal és statisztikákkal.

Fő okok a csalás mögött

Gyenge hitelesítési mechanizmusok: Sok szolgáltató, mint a One, nem alkalmaz kétfaktoros autentikációt (2FA) vagy SMS-alapú megerősítést a DCB-tranzakciókhoz. Ez azt jelenti, hogy ha egy csaló megszerzi az ügyfél fiókjának jelszavát (pl. phishinggel vagy adatbázis-szivárgással), szabadon aktiválhat szolgáltatásokat. Nemzetközi szinten ez a leggyakoribb ok: a DCB rendszerek gyakran defaultként engedélyezik a terhelést anélkül, hogy további ellenőrzést végeznének, ami “beépített biztonsági rést” jelent. Például az ausztrál Optus esetében a DCB szolgáltatás automatikusan terhelt nem kívánt prémium tartalmakat (pl. ringtones, játékok) ügyfelek számláira, anélkül, hogy egyértelmű beleegyezést kértek volna, ami 240 000 ügyfelet érintett és 31 millió dollár visszatérítést eredményezett. Hasonlóan, az Egyesült Királyságban a Phone-paid Services Authority (PSA) kötelezővé tette a 2FA-t a DCB-tranzakciókhoz, éppen azért, mert korábban széleskörű kizsákmányolás történt a rendszer sebezhetőségei miatt.

Token-alapú visszaélések és session hijacking: Még jelszócsere után is folytatódhatnak a terhelések, mert a csalók nem a jelszót, hanem az aktív session tokent lopják el (pl. malware-rel vagy man-in-the-middle támadással). Ez olyan, mint egy “VIP karszalag”: a token lehetővé teszi a folyamatos hozzáférést anélkül, hogy újra be kelljen lépni. Nemzetközi adatok szerint ez különösen gyakori mobil appokon keresztül, ahol a tokenek hosszú ideig érvényesek maradnak. A COVID-19 alatt ez robbanásszerűen nőtt: Upstream elemzése szerint 35 operátor 23 országban vizsgált 1 milliárd tranzakciójából 1/6 érintett malware-fertőzött eszközt, és a DCB-tranzakciók 95%-a csalárd volt, gyakran session lopással. Ez globálisan akár 20 milliárd dollár veszteséget okoz az iparnak évente.

Ausztráliában az eljárás végül dollár 10 milliókban mérhető bírsággal végződött…

Magas hitelkeretek és limit hiánya: Sok szolgáltató alapbeállításként magas (pl. 800 000 Ft-ig terjedő) hitelkeretet ad az ügyfeleknek DCB-re, anélkül, hogy napi vagy tranzakciós limiteket állítana be. Csalók ezt kihasználva percek alatt tömegesen aktiválnak előfizetéseket (pl. 19-28 Netflix fiókot, mint a dokumentumban említett esetekben), majd eladják őket a dark weben vagy Telegramon pár dollárért. Oliver Wyman becslése szerint a mobilszolgáltatók évente 1-2% bevételt írnak le rossz adósságként ilyen csalások miatt, ami szűkülő margók mellett jelentős. Ausztráliában a Telstra és Optus tízmillió dolláros büntetéseket kapott hasonló mulasztásokért, mert nem védték meg ügyfeleiket a DCB-csalásoktól.

Szolgáltatói mulasztások és rendszerbeli hibák: A szolgáltatók gyakran nem detektálják a tömeges aktiválásokat valós időben, és nem állítják le őket (pl. nincs AI-alapú anomália-detektálás). Emellett felelősséget hárítanak az ügyfelekre, állítva, hogy külső eszközről (pl. vírusos telefonról) indult a támadás. Nemzetközi esetekben ez vezetett hatósági beavatkozásokhoz: az USA-ban a FTC leállított nemzetközi műveleteket, ahol csalárd “free trial” ajánlatokkal terheltek DCB-n keresztül, és a szolgáltatókat is felelősségre vonták. A csalás evolúciója gyors: hackerek 2-3 nap alatt új módszereket fejlesztenek, míg korábban 2-3 hétig tartott, ami növeli a kockázatot a növekvő piacokon (pl. COVID alatti mobil használat robbanása).

Csalási módszerek evolúciója: Csalók gyakran használják social engineeringet (pl. “láthatatlan gombok” appokban, amik véletlen kattintással aktiválnak terhelést), malware-t (45 000+ azonosított rosszindulatú app 2020-ban, 29% Google Play-en), vagy botokat/click farmokat hamis tranzakciókhoz. Ez különösen feltörekvő piacokon gyakori, ahol a mobil-first felhasználók függnek a DCB-től, és alacsony az átlagos tranzakcióérték, de nagy volumenben nyereséges a csalóknak.

Ausztrália: Az Optus ügye kiemeli, hogyan vezet a default DCB-beállítás tömeges panaszokhoz (600 000+ ügyféllekérés), büntetéshez (10 millió dollár) és szolgáltatás leállításához. Hasonlóan a Telstra is büntetést kapott.

Egyesült Királyság: A PSA kötelező 2FA-t vezetett be, miután széleskörű DCB-kizsákmányolást tapasztaltak, és a csalás incidensei 3,4 milliót értek el 2016-17-ben. (Megjegyzés: A UK APP fraud szabályai hasonlóak, de banki átutalásokra fókuszálnak, nem közvetlen DCB-re.)

USA és globális: FTC akciók nemzetközi hálózatok ellen, ahol DCB-t használtak csalárd ajánlatokhoz. Egmont Group esetek mutatják, hogyan kötődik ez pénzmosáshoz és szervezett bűnözéshez. COVID alatt a csalás triplázódott fake appokon keresztül (RSA Security adat).

Egyéb régiók: Spanyolországban a Movistar 40%-kal csökkentette rossz adósságait AI-eszközökkel. Globálisan a DCB-piac 46,74 milliárd dollárról 155,28 milliárdra nő 2023-2030-ig, de a csalás kockázata alacsonyabb reputable providereknél (pl. Evina, Golden Goose partnerség).

A csalás gyökere a DCB rendszer tervezési hibáiban rejlik, amit nemzetközi hatóságok (pl. ACCC, FTC, PSA) büntetésekkel és szigorúbb szabályokkal kezelnek. Megelőzésre javasolt: 0 Ft-os limit beállítása, minden eszközről kijelentkezés, 2FA aktiválása (ha elérhető), és feljelentés a hatóságoknál.

MIT TEHETSZ MOST? (A túlélőkészlet)

Állíts be LIMITET! Lépj be a szolgáltatód applikációjába, és a „Vásárlási limit” vagy „Szórakoztató szolgáltatások” keretét állítsd 0 forintra.
Kijelentkezés mindenhonnan! A Netflix beállításaiban válaszd a „Kijelentkezés minden eszközről” opciót, majd CSAK EZUTÁN változtass jelszót.
Tegyél feljelentést! Ha károsult vagy, menj a rendőrségre. A jegyzőkönyvvel a kezedben követeld a szolgáltatótól a számla felfüggesztését.
Irány az NMHH! Ha a szolgáltató elutasítja a panaszodat (arra hivatkozva, hogy „te hibáztál”), fordulj a Nemzeti Média- és Hírközlési Hatósághoz.

A 28 darabos Netflix-vásárlás engedése technológiai mulasztás a szolgáltató részéről! ( a kétfaktoros azonosítás hiánya itt bosszulja meg magát)

Ne hagyd, hogy a te számládra bulizzanak! Oszd meg ezt a cikket, hogy mások is időben beállíthassák a limitjeiket vagy ha kérd az ügyfélszolgálatot a limit minimalizálására, amivel pl. mobil parkolsz havi néhány ezer forintra.

#NetflixCsalás #OneNetflixCsalas #mileottatvernek #adhocsupport