kép Istiről


 
Rólam
 
Önéletrajzom
 
Blogom
 
Könyvem
 
Publikációim
 
Sajtóban
 
Fényképek
 
Linkek
 
in English
 

 

rss icon A blogom RSS-en kersztül is elérhető.


 
NAGY E-SZIGNÓ KÖNYV

 

elektronikus aláírás
facebook oldal facebook icon

Dr. Berta István Zsolt
<<< e-Szignó tudásbázisGoogle Chrome >>>

SZJA visszaigénylés hamis adóbevallással2008-09-01
Egy csaló kb. 30 millió forintot igénylet vissza mások nevében beküldött hamis személyi jövedelemadó bevallásokkal. Kb. 250 áldozat nevében küldött be adóbevallást, levelezési címnek postafiókot adott meg, a pénzt pedig hajléktalanok nevében nyitott bankszámlákra kérte. Az egyes áldozatok nevében csak kisebb összegeket igényelt vissza, hogy az APEH-nek ne tűnjön fel a kiugróan nagy visszaigénylés.

A cikkek szerint az APEH-nek az tűnt fel, hogy egyesektől több adóbevallás is érkezett, ez alapján járt utána a hatóság az ügynek. Sikerült felvennie a kapcsolatot az áldozatokkal, akik a két bevallás közül csak az egyik aláírását ismerték el sajátjuknak. A csalónak kb. 19 millió forintot sikerült felvennie, a feltehetően pénzfelvételkor kaphatták el.

Az áldozatok ugyanazon a munkahelyen dolgoztak, így könnyen lehet, hogy a csaló az ottani nyilvántartásból jutott hozzá az adataikhoz. Látható, hogy az emberek személyes adatai sok helyen megvannak, nem szerencsés, ha önmagában a személyes adatokkal érdemi visszaélést lehet elkövetni.

A támadás alapvetően azt használta ki, hogy az APEH az adóbevallás befogadásakor alig-alig tudja ellenőrizni a bevallás hitelességét. A bevallásban szereplő adatokon kívül (amelyeket esetünkben a csaló elég jól tudott hamisítani), csupán azt tudja megvizsgálni, hogy a bevalláson van-e - kézzel írott - aláírás. Úgy vélem, ehhez képest csekély előrelépés a most használt, felhasználónév-jelszó alapon beadott adóbevallás. Most felhasználónevek és jelszavak ügyes, social engineering alapú összegyűjtésével lehetne talán kivitelezni egy nagyon hasonló támadást, ahol még az aláírások alapján sem lehet rendet tenni.

Az adóbevallást olyan példaként szokták emlegetni, ahol érzékeny adatok mozognak ugyan, de nem sok értelme van valaki más nevében adóbevallást beadni, így nemigen van lehetőség a visszaélésre. Ez az eset jó példa rá, hogy bizony, még az adóbevallással is történnek visszaélések, vannak csalások. A csalót nem vették volna észre, ha a hamis adóbevallások beküldése mellett az áldozatok igazi adóbevallását is el tudta volna téríteni (vagy pl. el tudta volna hitetni az APEH-hel, hogy a csaló adóbevallás az igazi adóbevallás korrekciója). Így is csak azért kapták el, mert nem hagyta abba elég hamar a pénzfelvételt.

Tekinthetjük ezt egy elszigetelt esetnek, de az is felmerülhet bennünk, hogy vajon hány olyan eset van, ahol nem kapják el a csalót, és esetleg fény sem derül a bűntényre.

 

 

Ez az én személyes blogom, amit benne írok, az az én saját, személyes véleményem. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.