Biztos, mint a halál? Bankkártyás vásárlás interneten

Tavaly év végén sok bankot, illetve takarékszövetkezetet ért támadás, adathalászok próbálták ellopni ügyfeleik adatait. A kiküldött levelek adtegyeztetés címén arra kérték az embereket, hogy adják meg azonosítójukat. Ezt követően az adathalászok hozzáférnek a hiszékenyek számláihoz és pénzéhez. A támadások során alig kétszáz ember dőlt be a hamis leveleknek, a kár néhány százezer forint volt.

Azonosítók, sms-kódok, időkapu

A webáruházak, fapados légitársaságok elterjedésével egyre többen vásárolnának bankkártyával az interneten. Az internetes bankolás is terjed, ma már mindegyik pénzintézetnél lehetőség van arra, hogy neten kezeljük a számlánkat, utalásokat kezdeményezzünk. A netbankolás elterjedésének alapvető feltétele, hogy az ügyfelek biztonságosnak tartsák a rendszert. A pénzintézetek válogatott módszerekkel teszik idegenek számára elérhetetlenné az ügyfelek bankszámláit. A bankok többségénél azonosítóval és jelszóval lehet belépni a netbankba, de a legtöbb pénzintézetnél ez is csak arra elég, hogy lekérdezzük az egyenleget. Tranzakciók indításához egy előzőleg regisztált mobilra küldenek ellenőrző sms-t.

Az Inter-Európa Banknál azonosító és szigorúan meghatározott szabályok (nyolc karakter hosszú, kis és nagybetű, illetve szám is legyen benne) szerint létrehozott jelszóval azonosítják az ügyfeleket. A másodszintű azonosításra alkalmas az a szolgáltatás, amikor az ügyfelet sms-ben értesítik, ha sikeresen jelentkezett be az internetbanki rendszerbe. Ezenkívül egy meghatározott banki szám felhívásával időablakot nyithat, amellyel csak meghatározott ideig végezhetők műveletek. Egy tranzakció indításához tehát nem elég bejelentkezni a rendszerbe, hanem az ügyfél előzőleg regisztrált mobiltelefonjáról indított hívást is azonosítják. Hasonló időkorlát védi a Raiffesen-ügyfeleket is, sőt itt a konkurens bejelentkezések elleni védelmet is kiépítették. A CIB Banknál is lehet igényelni a biztonsági sms-t, itt valamennyi belépésről és tranzakcióról értesítést küld a bank a megadott mobilszámra. Szintén a biztonságot szolgálja, hogy ha az ügyfél percekig nem használja a rendszert, az automatikusan kilép a netbankból. Ugyanezt a módszert alkalmazza az OTP Bank is, vagyis sms-ben kell megerősíteni a tranzakciót.

Tokenek, kulcsok, lista

Az Erste Bank már a belépést is sms-hez köti majd a közeljövőben, csak akkor tud belépni az ügyfél, ha az sms-ben kapott, véletlenszerűen generált kódot begépeli. Tranzakciók indításához újabb sms-t kap, hasonlóan kialakított kóddal, amely öt percig érvényes. Az MKB Banknál a bejelentkezés után harmadik jelszót kér a rendszer a tranzakciókhoz, és itt is az sms-ben elküldött kóddal lehet megerősíteni, hogy a műveletet valóban az ügyfél indította. Vállalati számlánál kissé különbözik a rendszer, speciális kulcslemezek használatával lehet tranzakciót indtani. A rendszer lehetővé teszi, hogy az átutalás két vagy több felhasználó együttes rendelkezése alapján történhessen meg.

A K&H Bank kétféle megoldást kínál, az egyik a chipkártyás azonosítás, amelyhez a leolvasót és a kártyát a banktól megkapja az ügyfél. Vagyis a netbankba csak chipkártyával lehet belépni, azt pedig PIN-kód védi. A másik módszer az előbbiekben is megismert sms-es azonosítás. Az UniCredit Bank is kiegészítő eszközzel oldja meg a netbankolás biztonságát, illetve az sms-azonosítás mellett választhatják ezt is az ügyfelek. A rendszerbe lépéshez, a megbízások hitelesítéséhez szükséges jelszót egy kódgeneráló eszköz, az úgynevezett token generálja. Belépéskor az ügyfél megadja az azonosítóját és a token által generált jelszót. Minden jelszó csak meghatározott ideig érvényes.

A Citibanknál csak az előre megadott partnereknek lehet utalni. A listát természetesen bármikor lehet bővíteni, ehhez azonban sms-ben megadott kódot kell beírni a megfelelő helyre, vagy a bank telefonos ügyfélszolgálatán lehet bővíteni.

Biztonságos vásárlás neten

A bankok többsége felismerte, egyre nagyobb az igény a lakossági ügyfelek részéről, hogy olcsón és biztonságosan tudjanak interneten vásárolni, így különböző módszereket dolgoztak ki az internetes vásárláshoz. Netes vásárláskor ugyanis a technikai megoldásokon túl a biztonsági problémákat is meg kell oldani, hogy például a kártyaszám elvesztésénél ne tudják ellopni az összes megtakarított pénzünket. Az internetcsalások egyik legelterjedtebb formája a kártyacsalás, vagyis amikor a vásárolt termékek és szolgáltatások árát más kártyájára terhelik rá. A hackerek a lopott bankkártya-információkat összegyűjtik, és megcsapolják azokat a biztonsági szempontból rosszul felszerelt webhelyeket, ahol a kártyabirtokosok a kártyaszám megadásával vásárolnak. A csalások másik változata, amikor maguk az ügyfelek kezdeményezik a tranzakciót, de annak jogosságát nem ismerik el.

Az évek során többféle védekezést dolgoztak ki az internetes vásárlás biztonságossá tételéhez. A nemzetközi kártyatársaságok és vezető számítástechnikai cégek megalkották a SET (Secure Electronik Transaction) nevű szabványt, amelyben a megrendelést és a fizetési tranzakciót többlépcsős eljárással titkosítják. A személyi adatok védelme érdekében a kereskedő nem is értesül a vevő kártyaszámáról, csak a vételár átutalásáról kap tájékoztatást. Ez úgy történik, hogy a kereskedő honlapja átirányít egy titkosított banki fizetőoldalra, és az adatokat ott kell megadni.

Csak óvatosan

Egy másik lehetőség: a Verified by Visa és a MasterCard Secure Code alkalmazása a netes tranzakciók védelme érdekében. Ez lehetőséget biztosít a kártyatulajdonosoknak, hogy egy általuk megválasztott titkos kód segítségével azonosítsák magukat vásárláskor. Internetes vásárláskor a bankok külön monitoringrendszert üzemeltetnek, és telefonon vagy sms-en ellenőrzik, hogy valóban a kártyatulajdonos végezte-e a tranzakciót. Ha a megszokottól eltérő forgalmat észlelnek, felveszik a kapcsolatot a kártya tulajdnosával.

Általánosságban elmondható, internetes fizetésnél ugyanolyan körültekintően kell eljárni, mint egyéb bankkártyahasználatkor. Figyelni kell arra, hogy a bankkártya adatai ne kerüljenek illetéktelen kezekbe, hiszen az internetes fizetéseknél pusztán a kártya adataival, vagyis a kártya fizikai jelenléte nélkül is elvégezhető a tranzakció. Internetes fizetéseknél a tranzakció elindítása után a bank engedélyt kérhet a teljesítésre, vagyis az összeg átutalására. Plusz biztonságot jelenthet a napi limit is. Fontos, hogy netes vásárláskor csak a kártyán szereplő adatokat kell megadni, a kártyaszámhoz tartozó PIN-kódot nem kérhetik. Internetes fizetéshez a legegyszerűbb módszer természetesen a dombornyomott kártya (debit vagy hitelkártya) igénylése, ezeknél biztonságot jelenthet a napi limit, illetve az sms-értestő beállítása. Mi az alternatív módszereket mutatjuk be, milyen megoldásokat kínálnak a bankok, ha nincs dombornyomott kártyánk.

Virtuális kártyák

A legegyszerűbb és egyben legelterjedtebb módszer az elkülönített kártyaszámla. Vagyis az ügyfeleknek lehetőségük van arra, hogy a bankkártyát külön kártyaalszámlához kapcsolják. Így a folyószámla nem érhető el közvetlenül a kártyával, csak az az összeg, amit előzőleg átvezettünk a kártyaszámlára. Ezt a megoldást alkalmazzák a CIB Banknál és az OTP Banknál. A CIB-nél a számlacsomag részeként internetkártyát is adnak az ügyfeleknek. Ez tulajdonképpen a bank rendszereiben nyilvántartott számsor, amelyet csak az internetes vásárláskor lehet használni, és csak az elkülönített számlán lévő összeghez lehet ezzel hozzájutni. Az OTP Banknál hasonló módszert alkalmaznak: az elektronikus számlacsomag részeként kiadnak egy webkártyát, vagyis egy számsort, amellyel csak az elkülönített számlán lévő összeghez férhetünk hozzá.

Az Inter-Európa Banknál is igényelhető egyszer használható kártyaszám, amely az első vásárlásig, vagy 48 óráig él. Azután megszűnik, így nem lehet visszaélni vele. A számot sms-ben kapja meg az ügyfél. Az Erste Banknál tavaly december óta elérhető a virtuális bankkártya, amelyhez alapbeállításként napi egy forintos vásárlási limit kapcsolódik. Ezt vásárlás előtt telebankon keresztül, időzáras limittel lehet módosítani. Az MKB Banknál is adnak csak interneten használható kártyát, amelyen az ügyfél csak arra a rövid időre biztosítja a szükséges fedezetet, amíg vásárol. Hasonló kártyát a K&H Banknál is adnak.

Ki fizeti a kárt?

Bármilyen óvatosan is jár el az ügyfél, bármilyen biztonsági rendszereket alkalmaz a bank, előfordulhat, hogy kár éri az ügyfeleket. A felelősségviselést törvény szabályozza. Ha a visszaélés nem az ügyfél figyelmetlenségének vagy gondatlanságának az oka, akkor az ügyfél csak a bejelentést – például kártyaletiltást – megelőző kárt köteles viselni a törvényben meghatározott mértékig. Ez jelenleg 45 ezer forint. A bejelentés utáni kárt a bank viseli, legfeljebb 15 millió forintig. Gondatlanság lehet például, hogy az ügyfél a kártya mellett tartja a PIN-kódját, ilyenkor a bank elvben nem fizet.

Sok esetben nehéz bizonyítani az ügyfél gondatlanságát. Az MKB Bank tájékoztatása szerint gyakran üzletpolitikai megfontolásokból sem próbálkoznak ezzel. Ilyenkor is a bank állja a kárt. Netes vásárláskor a visszaélések száma elenyésző az összes tranzakcióhoz képest. Az Erste Banktól megtudtuk, tavaly az így keletkezett kár háromnegyedét a kibocsátó és elfogadó bankok viselték, a kártyabirtokosokat a maradék egynegyed rész terhelte.