Ez bizony nagyobb üzlet, mint a drog
További Bank és biztosítás cikkek
- Megvásárolta piaci riválisát Mészáros és Keszthelyi Erik alkuszcége
- A Takarék beszáll Mészáros Lőrinc és Keszthelyi Erik alkuszcégének cégébe
- Az MNB megbüntette az állami fejlesztési bankot
- MNB: Több mint 9 millió azonnali fizetés történt márciusban
- 26 milliárd forint veszteséget jelent az OTP-nek a törlesztési moratórium
Valutaváltó
Hogyan lehet védekezni a bankkártyacsalások ellen? A kártyatulajdonosoknak nagyjából sehogy.
Sokféleképpen lenyúlhatják a bankkártyánk adatait, van, ami ellen tudunk védekezni, de vannak olyan módszerek is, ami ellen kevésbé, vagy jelenleg épp sehogy. Arról pedig pláne alig tudunk, hogy hogy működik az iparág, hogyan dolgoznak a csalók. Pedig nagyon izgalmas belenézni.
Az online bankkártyacsalások mértéke a netes tranzakciókkal együtt egyre növekszik, egyre nő a csalások átlagos értéke is, finomodnak a bűnözők módszerei és egyre olcsóbb beszállni. Ráadásul nagyon gyakran külön szereplők lopják el a kártyaadatokat, eladják az információt és mások szedik le róla pénzt.
Ez azért is ijesztő, mert az utóbbi csoportba akármelyikünk könnyedén bekerülhet. Ha megfelelő kifejezést írunk a keresőbe, egyből ömlenek az olyan oldalak, ahol kártyaadatokat vehetünk. Ezek fele-harmada átverés, de a komolyabb oldalakra is olcsón vagy ingyen lehet bekerülni. Darabonként 10-50 dollárért vehetünk tuti kártyaadatokat, érthető okokból a leggyakrabban Bitcoinban, más virtuális pénzben, esetleg a szintén anonim Western Unionnál. Persze egy nagyobb adatlopási hullám után, amikor hirtelen sok kártyaadat kerül fel a netes értékesítése oldalakra, az árak leeshetnek akár egy dollár alá is.
A megszerzett adatokkal aztán teljesen átlagos módon felhasználhatjuk bármilyen vásárlásra, mintha csak az eredeti tulajdonosa használná, hiszen mindent tudunk, amit ő tud a bankkártyájáról.
Elég jól kiépült az iparág, a közvetítőoldalak kényelmes, felhasználóbarát felületen kínálják a különböző típusú és országbeli kártyákat, az eladók szinte mindig garanciát vállalnak a kártyákért, ha mégse jók az adatok vagy nincs rajtuk pénz, akkor ingyen kicserélik, és sokszor a netes kereskedőcégekhez hasonlóan megbízható ratingrendszer segít eligazodni az eladók megbízhatósága között. Annyira elterjedt, hogy egy friss tanulmány szerint már a Google is milliárd dollárban mérhető összeget kaszál a hirdetéseiken.
Mást is lehet venni
Nagy mennyiségben lehet személyazonosságokat is kapni, lakcímmel, családi adatokkal, de akár hozzájuk tartozó autórendszámmal vagy hiteltörténettel is. Ez több dologra is jó lehet, a legkönnyebben például hitelt lehet felvenni némi felkészüléssel. De egyelőre ilyesminek döntően inkább fejlettebb országok lakosai vannak kiszolgáltatva.
De vehetünk kitűnő minősítésű e-Bay, Amazon vagy Paypal fiókokat is, amiket aztán gyorsan tönkre vághatunk jó pénzért. Az igazán komoly fórumokon szoftverhibákból megszerezett vállalati információkat is lehet kapni vagy rendelni forintban akár tízmilliókért, de ez már kiberbűnözés más ágaihoz vezet.
Az adattolvajoknak azért fontos lehetőleg hamar megszabadulniuk a kártyaadatoktól, mert termékként elég bizonytalan, hiszen rövid lehet az életciklusuk - ha mondjuk egy bank felfedezi, hogy ellopták az egyik ügyfele adatait, azonnal megváltoztatja. Ott lehet probléma, ha mondjuk egyszerre több tízezer kártyaadatot lophattak el, és a bank se tudja, hogy pontosan melyikeket.
A tolvajoknak viszont gondot okozhat megtudni, hogy mennyi pénz van a megkárosítottak számláján, de még ha tudják is, elvenni se egyszerű úgy, hogy utána ne maradjanak azonnal követhetők a globális pénzügyi rendszerben. Ha megpróbálják készpénzben kivenni a szajrét, ahhoz is több tucat ember kellhet szerte a világban. És legalább olyan könnyű lebukni, ha nem sikerül kiiktatni az összes fejlettebb országot a hadműveletből.
Elutazzuk mások pénzét
Itt jönnek képbe az elosztók, akik gyorsan ki tudják pörgetni a számlákról a pénzt. Vesznek egy jó adag kártyaadatot, majd azokról nagyobb értékű termékeket és szolgáltatásokat vesznek a vevőiknek. Hamar rájöttek, hogy terméket kevésbé éri meg, mert a vevőnek meg kell adnia egy postacímet.
Nem túl megerőltető megcsinálni mondjuk a mycheaptravel123.com utazási oldalt, ahol a csalók féláron kínálhatnak repjegyeket. Ha a vevő fizet, akkor az utazásához minél közelebbi időpontban (hogy a megkárosított kártyatulajdonosnak a lehető legkevesebb ideje legyen a bankján keresztül meghiúsítani az utazást) megveszik a jegyet az egyik lopott kártyáról a vevő nevére, aki közben örül a hatalmas akciónak, de nem tudja, hogy a csalók valakinek a kártyájáról valójában a repjegy teljes árát kifizetik. A vásárlás után a jegyet elküldik mailben, ő pedig gyorsan le is utazza.
Amikor a kártya igazi tulajdonosa egyszer csak észreveszi, hogy meglopták, akkor reklamál a bankjánál. A bank aztán reklamál a légitársaságnál, akik pedig elmondják, hogy náluk minden oké volt, tökéletes adatokat kaptak. Végül a bankok az esetek jó részében a kereskedőre, ebben az esetben a légitársaságra tudják hárítani a lopott kártya valódi tulajdonosának kártalanítását.
Persze ebben az esetben mi is megjárjuk, a bejelentés is vesződség, az új banki adatokért is felszámíthatnak némi díjat, ahogy az se lehet kellemes, ha adott esetben hónapokig nem férünk hozzá a pénzünkhöz.
Ami végül a repjegyet felhasználó felet illeti, ő elvileg tényleg nem felelős azért, hogy lényegében lopott pénzből utazhatott féláron. Azt viszont végig kockáztatja, hogy beszállásnál félreállítja pár marcona alak, és nemcsak, hogy nem fog utazni, de utána órákig faggathatják a rendőrök arról, hogy pontosan hogyan és kitől vette a jegyét. Ezért az erkölcsi fenntartásokon túl egyébként is kockázatos így utazni.
A csalók mindig a leggyengébb láncszemnél fognak próbálkozni pénzre váltani az adatokat, ezért a neten bankkártyát elfogadó kereskedők, irodák lesznek kitéve leginkább az ilyen irányú támadásoknak. A bankok ezért pontosan náluk próbálják megfogni a csalásokat, de ez nem egyszerű, hiszen ők csak különböző szoftverekkel közvetítik a pénzlekéréseket, és kevés eszközük van kiszűrni a bűnözőket.
A kereskedőkön, szolgáltatókon csattan
3D-s kártyám van
A szolgáltatók szerint maximum a tolvajoknak sikerült pár percnyi szórakozást okozni a 3D-s bankkártyák megjelenésével.
Ilyenkor annyi extra történik, hogy netes fizetéskor továbbirányítanak az elszámolóbankhoz és egy extra titkos kódot még meg kell adnunk a vásárláshoz. Értelemszerűen viszont, amikor minden banki adatot ellopnak, akkor ez is köztük lehet. Ha a bank SMS-ben küldi el a kódot, akkor a telefonszámot is meg lehet változtatni, így nem feltétlenül ez lesz a tökéletesen megnyugtató védekezés módja.
Sőt, sokszor inkább káros is lehet a 3D, hiszen a banknál lesznek azok az informatikai adatok, amik a kereskedőnek kellenének a védekezéshez.
Azt lehet mondani, hogy a kereskedők kezdenek egyre komolyabban fellépni, de nehéz olyan szűrőket felállítani, amik igazán hatékonyan kidobnák a csalókat, de azért nem büntetnék a kevésbé tipikus vásárlókat.
A cégek ellenőrizhetik a vásárlóik mailcímeit, egyeztethetik a vásárló és a bankkártya országának ip-címét, strukturált feketelistát állíthatnak fel, amikkel megnehezíthetik a csalók működését. Ha viszont egy csaló nagyon alapos és csak kis tételben csinálja, akkor még a legdrágább kézi ellenőrzéssel se lehet feltétlenül rájönni, hogy hol lehet a hiba.
A bankok viszont nem akarják, hogy nekik kelljen állni a cehhet a figyelmetlen kereskedők miatt, ezért akinél sok a csalás, azt jellemzően először figyelmeztetik, aztán kötelezik valamelyik jobb szűrőrendszer bevezetésére. Ha ez se használ, akkor megszüntetik az együttműködést a céggel, aki így gyakorlatilag nem fog tudni semmit eladni utána a neten. Persze, ha sokat kell költeni a védekezésre, már attól is drágábbak lesznek bankkáryták, a repjegyek, vagy általában a nagyobb cégektől neten vett holmik.
Emellett a leggyengébb láncszem-elmélet a cégek közt is igaz: ha valahol ügyesen fellépnek a csalások ellen, akkor a versenytársára ugrik rá majd minden tolvaj. Olyasmire lehet itt gondolni, hogy mondjuk a Finnairnek arányosan akár századannyi vesztesége lehet ilyen csalásokon, mint mondjuk egy kevésbé profi rendszerrel védekező afrikai légitársaságnak.
Egyre nagyobb üzlet
Az USA-ban tavalyelőtt már nagyjából 800 milliárd forintra volt tehető a bankkártyacsalások okozta kár, nagyjából minden kártyás vásárlás egy százalékát lopták el.
Mi egyelőre szerencsére viszonylag kimaradtunk a buliból, a környékünkön már gyakrabban bukkannak fel bankkártyában utazó szervezetek, a mediterrán régió pedig kifejezetten fertőzöttnek számít. Nem feltétlenül azért, mert butábbak vagy erkölcsösebbek lennénk náluk, hanem azért, mert például Magyarország a legkevésbé sem célállomás az ilyen gyanúsan olcsó szolgáltatásokat gyakran igénybe vevő harmadik világbeli szegényebbeknek.
Azért kell szervezetekről beszélni, mert az elmúlt 10 évben az egyéni hekkertől teljesen átvették a piacot a komolyabb csapatok: a kétezres években szabadúszók voltak felelősek a csalások 80 százalékáért, mára 80 százalékot a szervezett csoportok tesznek ki. Hatékonyabbak is: mostanában átlagosan 12 másodpercenként történik a világban egy csalás lopott adatokkal.
Közelebb vannak a végső felhasználóhoz, és lényegében szinte minden a neten zajlik, tehát gyakorlatilag nincsenek költségek, és az ügyesebbeknek nagyon alacsony a lebukási kockázata. De az is gyakori, hogy összekapcsolják a kellemeset a hasznossal, a drogfutárok is sokat repkednek csalással szerzett jegyekkel.
Amikor nem is olyan rég Vietnamból lekapcsolták Troungot és bandáját "mattfeuter" nevű oldalukkal együtt, már 1,1 millió jól dokumentáltan eladott kártyaadattal vádolták a csapatot. De például a repjegyes csalásoknál idén is volt egy nagyobb, minket is érintő nemzetközi akció, aminek a végén elkaptak 180 embert.
Ugyanakkor jól jelzi a helyzet bonyolultságát, hogy a csoport és üzletfeleik lekapcsolásához 32 ország 68 repterén kellett szinte egyszerre lecsapni, 32 légitársaság, a nagy kártyakibocsátók az EU, az amerikai titkosszolgálat és még számtalan szervezet embereinek és adatainak igénybevételével Kolumbiától Lettországig.
A jó hír az, hogy miután ilyen könnyű belépni a piacra, a legjobban szervezett bűnözőknek egyre kevésbé éri meg ilyen sok embert meglopni, és a szakértők szerint egyre inkább át fognak állni a célzottabb támadásokra, akár speciálisabb információkért.
Nehezen tudjuk megvédeni magunkat
Dacára, hogy szinte mindig megtérítik a kárunkat, ha önhibánkon kívül lelopják a pénzt a számlánkról, azért érdemes erőfeszítéseket tenni, hogy elkerüljük az ilyen eseteket.
Mondjuk olyan őrült sokat nem tehetünk, hiszen már egy szállodai szoba kifizetésénél is megszerezhetik az összes bankkártyaadatunkat, amit utána a jóég tudja, hogy ki láthat még. Vagy ha egy étteremben kártyával fizetünk, akkor is beviheti a pincér a pulthoz a kártyát, és közben azt csinál vele még, amit nem szégyell.
Mindenesetre csökkentjük a kocázatunkat, ha a pár, gyakran elhangzó jó tanácsra odafigyelünk. Így például, ha egy mód van rá:
- ne adjunk meg banki adatokat hirtelen előkerülő afrikai milliárdos rokonainknak,
- sőt, úgy általában senki másnak se, soha, még a netbank jelszavait se mentsük a gépünkre,
- ne vegyünk fel pénzt olyan ATM-ből, amire valamilyen plusz gépet tettek vagy gyanúsan megbuheráltnak tűnik,
- ne bankoljunk nyílt wifin keresztül,
- miután megjegyeztük, érdemes lehet lekaparni a bankkártya hátuljáról a netes fizetésekhez szükséges biztonsági kódot
- az elvesztett kártyát azonnal jelentsük be,
- ahogy azt is, ha ismeretlen módon távozott bármilyen kevés pénz a számlánkról.