Gedeon, Johanna
2 °C
21 °C

Gyenge a Szép-kártyák védelmi rendszere

2012.03.28. 15:46
Ellophatják a pénzünket az év elején kiadott Szép-kártyákról az informatikai biztonsággal foglalkozó Balabit IT Security szerint. A magyar tulajdonú cég arra figyelt fel, hogy a kártya használatakor kiadott bizonylaton minden olyan adat szerepel, ami az online vásárláshoz szükséges. A K&H, az MKB és az OTP közös nyilatkozatban reagált a felvetésre.

Az év elején kiadott Szép-kártyák használatakor sokkal óvatosabbnak kell lennünk, mint egy átlagos bankkártyás fizetésnél, mert a gyengébb védelmi rendszer könnyen kijátszható, és illetéktelenek költhetik el a kártyán tárolt pénzünket. A hibát felfedező Balabit Security tanácsokat is ad azzal kapcsolatban, hogy mire kell odafigyelni.

Hagyományos bankkártyák használatakor meg kell adnunk egy PIN-kódot, de a mágnescsíkkal ellátott Szép-kártyák esetében hiányzik ez a magasabb szintű védelem. Az eladók ellenőrizhetik a személyazonosságunkat, de a gyakorlati tapasztalatunk az, hogy az eladók, a pincérek nem kérnek semmilyen okmányt kártyás fizetés esetén. A felhasználó azonosítását segíti még a kártya hátoldalán lévő aláírás, ami nélkül a kártya érvénytelen, de az aláírás ellenőrzése is rendszeresen elmarad, ha bankkártyával fizetünk, és nem túl életszerű, hogy pont a Szép-kártya esetében lesznek figyelmesebbek az eladók.

Visszaélésekre ad lehetőséget, hogy személyes fizetés esetén két bizonylatot kapunk, és az egyiket aláírva vissza kell adni. A Balabit azt fedezte fel, hogy mindkét példányon rajta van a teljes 16 jegyű kártyaszám, ami elég meglepő, ugyanis hagyományos bankkártyás fizetésnél csak az utolsó négy számjegy látható, a többi ki van csillagozva. Emellett rajta van a papíron az aktuális egyenlegünk, a kibocsátó neve és a kártya lejárati dátuma.

A fenti adatok ismeretében online elkölthetik a pénzünket, például pizzát vagy bármi mást rendelhetnek a kontónkra. A Balabit tesztjében kiderül, hogy online vásárlás esetén a fenti négy adatot kérik el: a kártyaszámot, a kártyabirtokos nevét, a kibocsátó nevét és a lejárat dátumát. "A gyakorlat sajnos azt mutatja, hogy ha a kártyaszámot és a lejáratot sikerül helyesen beírni, a további mezők üresen hagyhatók vagy elgépelhetők, a tranzakció ettől még sikeres lesz, az összeget azonnal levonják a kártyáról" - áll a Balabit elemzésében.

Értékes papírfecnik

Az emberek általában nem foglalkoznak a blokkal, tapasztalatunk, hogy azt általában a kasszánál hagyják, tehát az illetéktelenek rendkívül egyszerűen megszerzik a fizetéshez szükséges információkat. Ha ismert a kártyaszám, akkor blokk nélkül is könnyen kitalálható a többi adat, mert csak három kártyakibocsátó van, az OTP, a K&H és az MKB. Egyelőre – mivel a kártyák kibocsátása sem régen kezdődött, és a kártyák öt évig érvényesek – a lejárati dátum is könnyen, néhány próbálkozással kitalálható.

Az egyik banknál elmondták, hogy nyolc éve hasonló biztonsági rendszerrel működnek az egészségpénztári kártyák, és eddig nem történt visszaélés. A kártyaszám kitakarása egy gyors beállítással megoldható lenne, ám ezzel jelentősen megnehezítenék a kereskedők elszámolási nyilvántartását.

Egy banki szakértő elismerte, hogy az online tranzakcióknál van probléma, de a kockázatelemzés alapján arra számítanak, hogy egymillió tranzakcióra talán száz csalás jut. A bankoknak a veszélyek mellett azt is számításba kellett venniük, hogy PIN-kódot használó infrastruktúra felépítése pedig elég drága, és körülményesebb is a használata, emellett úgy gondolják, a Szép-kártyát jellemzően alacsony keresetűek használják, akik hamar elköltik majd a rajta lévő összeget. A bankoknak egyébként van eszközük arra, hogy a személyazonosság ellenőrzésére vegyék rá az elfogadóhelyeket: a vásárlások összegét csak 10-15 nappal később utalják át, és ha visszaélésről érkezik bejelentés, akkor nem fizetnek a kereskedőnek. Persze ugyanezt a módszert alkalmazzák a bankkártyák esetében is, a boltok mégsem kérnek tőlünk személyit.

"Minden esetben igaz, hogy a valódi kártyabirtokos az online lekérdező, telefonos lekérdező, és a vásárláskor kapott bizonylat információi alapján azonnal tudomást szerez egyenlege alakulásáról, és jogos reklamáció esetén biztonságban van elektronikus egyenlege." - írja a három bank közösen kiadott közleménye. A bankok arra figyelmeztetik a Szép-kártya birtokosait, hogy "bankkártyájukhoz hasonlóan fokozottan vigyázzanak Szép-kártyáikra is, azt ne adják ki a kezükből, és ha elvesztették, vagy ellopták tőlük, azonnal tiltassák le. Ugyanezt tegyék, ha megvan, de visszaélést tapasztalnak."

Hét tanács a Balabittől

Milyen lépéseket kell mindenképpen megtenni ahhoz, hogy SZÉP kártyánk adatait ne juttassuk illetéktelenek kezébe?

1. Azonnal cserélje le a jelszót vagy a 3 jegyű TeleKódot a kártya aktiválása után!

2. Ne dobja ki felelőtlenül a kártyával együtt kapott tájékoztatót!

3. Soha ne hagyja ott a pénztárnál a blokk másodpéldányát, ha SZÉP Kártyával fizetett! Ne dobja ki felelőtlenül ezeket a bizonylatokat!

4. A SZÉP Kártya számát ne mondja el másnak!

5. A SZÉP Kártya lejárati dátumát ne árulja el senkinek!

6. Rendszeresen ellenőrizze egyenlegét és tételesen nézze át tranzakcióit!

7. Ha bármilyen gyanús tranzakciót észlel, jelezze szolgáltatójánál és/vagy tiltsa le SZÉP Kártyáját!

A Széchenyi Pihenő Kártyát (Szép-kártyát) 2011-ben vezették be a béren kívül adható munkáltatói (közismert nevén cafeteria) juttatások új elemeként. A banki hátterű, POS-terminálokon felhasználható utalványt az eredeti tervek szerint turisztikai szolgáltatások kifizetésére lehetett volna használni, a cél a korábbi, visszaélésekre lehetőséget adó Üdülési csekk kiváltása volt (tavaly október óta üdülési célú kedvezményes béren kívüli juttatást csak a Szép-kártyára lehet adni).

Az idén januárban hatályba lépett szja-törvény tovább bővítette a kártya felhasználhatóságát, azon három alszámlát különítettek el – szálláshely-szolgáltatási, rekreációs és melegétel-alszámla –, amivel felváltották a legelterjedtebb utalványokat. A kártyára egy munkavállalónak most már évi 450 000 forintot adhat kedvezményes, csak 30,94 százalékos közteherrel a munkáltatója (tavaly még 300 000 forint volt a felső határ).

A kártyát először az OTP bocsátotta ki, azóta a K&H és az MKB csatlakozott a rendszerhez. Március eleji adatok szerint a bankok eddig nagyjából kilencezer céggel és tizenötezer elfogadóhellyel kötöttek szerződést (egymással viszont nehezen állapodnak meg a kölcsönös elfogadásról, noha ez kötelező lenne). Az NGM néhány napja azt közölte, hogy több mint 350 000 dolgozó kapott ilyen kártyát.

Igaz, a kártyákat még korántsem töltötték fel teljesen. Ha ugyanis mind a 350 000 Szép-kártyás megkapná a maximális, 450 ezres összeget, az éves szinten 157,5 milliárd forintot  jelentene. Az első negyedévben azonban ennek csak töredékét, 10,5 milliárd forintot utaltak a pihenőkártyákra – vagyis egy kártyára körülbelül 30 000 forintot –, ez időarányosan is csak alig több mint negyede a lehetséges teljes összegnek.