Ismeretlen csalók bankkártyaadatokat próbáltak megszerezni internetes böngészőkben felugró ablakként megjelenő képernyőrészlettel – figyelmeztette ügyfeleit közleményében augusztus végén az MKB Bank. Okulásul képként is mellékelték a hitelesség kedvéért a MasterCard kártyatársaság nevével is visszaélő, hamis üzenetet.
A legutóbbi akció csak egy a hosszú sorban, a bűnözők egyre aktívabbak. Tavaly a bankkártyák kibocsátói (vagyis a bankok) és elfogadói (azaz a készpénzkiadó automatákat, kereskedői terminálokat üzemeltető hitelintézetek) oldalán összesen 866 millió forint kár keletkezett itthon visszaélések miatt – állapította meg nemrég publikált tanulmányában a Magyar Nemzeti Bank (MNB).
Az adatok azt jelzik, hogy a kárösszeg soha nem látott ütemben nőtt az előző évhez képest. Intő jel az is, hogy a bűncselekmények okozta veszteség csak egy részét „nyelték le” a bankok, 177 millió forintnyi kárt maguknak az ügyfeleknek, illetve az ügyleteket lebonyolító kereskedőcégeknek kellett állniuk.
Áruló mágnescsík
A legegyszerűbb trükk, ha a bűnözők az elvesztett vagy ellopott kártya adatait felhasználva veszik fel a pénzt az ügyfél folyószámlájáról. „Ezt olykor annál is könnyebben megtehetik, mert sokan a figyelmeztetések ellenére is bankkártyájuk közelében tartják PIN-kódot” – mondja Jakab Péter, a Magyar Bankszövetség bankbiztonsági munkabizottságának vezetője. De önmagában egy PIN-kód nélküli, de a banki biztonsági eszközökkel (például UV-jegyekkel) felszerelt kártya is értékes lehet az elkövetők számára, hiszen utólag is rá lehet másolni mágneskártya-tartalmakat.
Más bűnözők a mágnescsík tartalmának lemásolására „szakosodtak”. Ők kereskedői vásárlásoknál illegálisan azokon a könnyen és olcsón beszerezhető kézi kártyaleolvasókon is végighúzzák a vevő látóköréből rövid időre kikerülő kártyát, amelyek rögzítik az adatait. Ezek tartalma kerül azután át egy korábban eltulajdonított, másik plasztiklapra vagy egy teljesen „sima” kártyafelületre (utóbbi felhasználásához már a kereskedővel való összejátszásra is szükség van, amire sajnos szintén volt példa).
A mágnescsík tartalmát a bűnözők e mellett banki bejárati ajtókra felszerelt készülékekkel is meg tudják szerezni. Az ottani ATM-eket ugyanis zárás után csak akkor lehet elérni, ha az ügyfél az ajtónyitón végighúzza a kártyát. Ilyenkor lemásolható annak tartalma. Egyes bűnözői készülékek szemtelen módon még a PIN-kód beütését is előírják.
A piacon csak „libanoni huroknak” nevezik azt a megoldást, amikor a bűnözők közvetlenül az ATM-automatába telepítik saját készüléküket. Ez megakadályozza, hogy a pénzkiadó automata üzemszerűen elolvassa a kártyát, és azt is, hogy tulajdonosa visszakapja. A bosszankodó ügyfélhez ilyenkor rendszerint odalép egy segítőkész ismeretlen, aki azt tanácsolja, hogy együtt gépeljék be a szükséges PIN-kódot, mert akkor az ATM „majd visszaadja a kártyát”. Miután a kártyabirtokos elégedetlenül távozott, minden együtt van a számlapénz ellopásához.
Utóbbi megoldásnak sajnos már ismert a „csúcstechnológiás” variációja is – mondja Jakab Péter. Ennél az ügyfél szabályszerűen felveheti pénzét az ATM-ből, csakhogy az automata kártyaadagolójába rejtett, parányi készülék tárolja vagy rádiófrekvencián továbbküldi a mágnescsík adatait. S akkor még ott vannak az elektronikus levélben, interneten küldött üzenetek, amelyek a kártyaadatok megadására buzdítanak…
Csip a megoldás?
A jegybank szerint lényegesen csökkennének a kockázatok – többek között a mintegy 430 ezer darab vállalkozói kártya használata során –, ha a hazai pénzintézetek (is) áttérnének a mágnescsíkosról a csipes, azaz voltaképp saját operációs rendszerrel ellátott miniszámítógépet magában foglaló bankkártyákra. Ezek másolása, jogtalan felhasználása ugyanis összehasonlíthatatlanul nehezebb.
Itthon azonban ma még tízből mindössze 3 kártyán van csip, s csak az ATM-berendezések 39 százaléka tudja fogadni ezeket (mindkét adat nagyjából fele az Európai Unió átlagának). A magyarországi POS-termináloknál jobb a helyzet, négyötödüknél már lehetséges használni a modernebb kártyatípust.
Az ügyfelek sürgetése mellett az EU is megpróbál nyomást gyakorolni tagállamaira a biztonságosabb kártyahasználat érdekében. Az egységes eurófizetési térségről (SEPA) szóló direktíva keretében az unión belül a bankoknak 2010-ig teljesen át kell térniük a csipes kártyarendszerre, és kötelezően meg kell honosítaniuk a PIN-kód használatát a kereskedői forgalomban. Csakhogy ezek az előírások az eurózónába még be nem lépett tagállamokra csak csatlakozásukat követően vonatkoznak majd.
Közvetlenebb fenyegetést jelent a pénzintézeteknek a MasterCard és a Visa nemzetközi kártyatársaságok már három éve bevezetett felelősségviselési szabálya. Ez szintén a csip általános használatára ösztönöz.
A bankok ódzkodása az átállástól persze érthető, mivel nem olcsó mulatság. Egy csipes kártya előállítása minimum ezer forintba kerül, a költségek döntő részét ráadásul a belső banki kártyakiszolgáló IT-rendszerek teljes körű átállítása, a különböző tanúsítványok megszerzése adja.
E terheket valószínűleg minden bank be fogja építeni az árazásba – közölte több pénzintézet is. Ez virágnyelven azt jelenti, hogy a költségeket az ügyfelekre hárítják majd tovább, noha a csalások visszaszorítása náluk is kiadáscsökkentéssel járhat.
Fokozott biztonság
Az OTP Bank viszont már 2004-ben befejezte rendszereinek csipes átállítását, sőt mostanra a dombornyomott kártyák szinte mindegyike ilyen. „A csak PIN-kóddal használható kártyák esetében is folyamatos az áttérés” – mondja Hargitainé Várhegyi Teréz ügyvezető igazgató.
A K&H Banknál már minden üzleti kártyán ott a csip, és idén év végéig fejezik be az ATM-hálózat teljes körű csipesítését. A mágnescsíkos POS-terminálok lecserélése attól függ, hogy milyen gyorsan tudnak erről megegyezni az érintett kereskedőkkel.
Szeip Attila, a CIB Bank bankkártyamenedzsment-vezetője szerint náluk ugrásszerű gyorsasággal, 1-2 hónapon belül csippel fogják ellátni az összes ATM-automatát. Nem tervezi viszont a közeljövőben üzleti kártyáinak csipesítését a Raiffeisen Bank, amelynek saját ATM- vagy POS-hálózata sincs – jelezte Braun Csaba, a hitelintézet főosztályvezetője.
A csip mellett a bankok szerencsére más biztonsági megoldásokat is ajánlanak. Üzleti betéti kártyák esetében például a K&H Banknál a vállalkozó külön kártyaszámlára helyezheti a cég pénzének egy részét, s a kártya segítségével csak ehhez a számlához lehet hozzáférni – vagyis nem a teljes vállalati megtakarításhoz. Ugyanez a külön kártyafedezeti számla áll rendelkezésére a CIB Bank és más hitelintézetek céges ügyfeleinek is internetes kártyás tranzakcióik lebonyolítására. A kártyabirtokos által előzetesen megfelelően beállított (de szükséges esetén akár telefonon módosítható) napi vásárlási és készpénzfelvételi limitek is hozzásegíthetnek ahhoz, hogy a kártyát megszerző bűnözők ne tudják zsákmányként elvinni a teljes számlaösszeget.
Manapság szinte mindegyik banknál elérhető már az a szolgáltatás, amelyik biztonsági sms-visszaigazolást küld az ügyfél mobiltelefonjára az éppen elvégzett tranzakcióról. Ennek keretében, mint az OTP Banknál és a CIB Banknál közölték, ha a megszokottól eltérő vásárlást vagy készpénzfelvételt tapasztalnak egy-egy bankkártyánál, telefonon is megkeresik az ügyfelet, hogy megbizonyosodjanak arról, valóban ő hajtotta-e végre.