Belföld

Lecsaptak a bankkártyacsalók

Egy perc alatt mínusz 258 ezer. Ennyivel akarták megrövidíteni ismeretlenek egy férfi számláját a minap. A bankok szerint nincs ok az aggodalomra, de nem árt az óvatosság.

Több mint 250 ezer forintot próbáltak meg leemelni – több részletben – trükkös tolvajok egyik olvasónk bankszámlájáról csütörtökön. A budapesti férfi egy percen belül három értesítést is kapott a bankjától SMS-ben, miszerint kártyás vásárlás címén első körben 72 ezer, majd 185 ezer, végül pedig 985 forintot vonnak le a számlájáról. Pár perc múlva hívták az OTP Banktól, hogy észlelték a forgalmat a bankkártyáján, és megerősítést kérnek, hogy valóban ő kívánt-e egy jelentősebb összeget felhasználni az egyenlegéből. Miután kiderült, hogy visszaélésről van szó, a kártyáját bevonták és biztosították arról, hogy újat állítanak ki a számára.

A tranzakciókat a csalóknak végül nem sikerült végrehajtaniuk, ugyanis a tavaly decemberi adatlopási botrány miatt korábban zárolták a külföldi vásárlásokat – a többi közt – az ő plasztikján is.

Bankkártyafrász

December elején hatalmas mennyiségű bankkártyaadatot loptak el ismeretlenek egy kereskedelmi hálózattól, vagy annak elszámoló részlegétől. Információink szerint, az adatokat az Euronet hálózatán, illetve feldolgozó központján keresztül szerezték meg. Több hazai bank a hackerakció után óvintézkedéseket vezetett be: lecserélték, egyes esetekben letiltották a kártyákat, vagy a vásárlási limitet nulla forintra húzták vissza, és kiemelten figyelték a plasztikok forgalmát. Ez azokra a kártyákra nem vonatkozott, amelyek bizonyíthatóan nem voltak érintettek az adatlopásban, valamint POS- és az ATM-hálózatokon keresztül az ügyfelek mind a mai napig teljes biztonsággal használhatják őket. A bankkártyával végrehajtott külföldi tranzakciókat, vásárlásokat azonban továbbra sem engedélyezik. Hogy meddig, az bankoktól függően eltérő lehet. A rendőrség az ügyben még nyomoz.

A gyors reagálás ellenére a pénzintézetek nem úszták meg olcsón az ügyet: az eddig nyilvánosságra hozott adatok alapján a kicserélt kártyák száma megközelíthette a százezret, így – az egyéb járulékos tételekkel együtt – lapunk kalkulációi szerint csak ebből az egy ügyből eredően százmillió forintos nagyságrendű költségekkel kellett szembenéznie a hitelintézeti szektornak.

Azt ugyanakkor minden hitelintézetnél hangsúlyozták korábban, hogy a gyors, minden létező kommunikációs csatornát kihasználó reakció miatt nagyon kevés illetéktelen tranzakció történt az adatlopásnak tulajdoníthatóan, és ezek költségét is megtérítik a kártyabirtokosoknak: ebből következően az ügyfeleket maximum kis kellemetlenség terheli, de anyagi kár semmiképpen sem.

24 órás felügyelet

Az OTP Bank megkeresésünkre nem kívánta elárulni, de olvasónk kérdésére megerősítették, a csütörtöki visszaélés összefügg a decemberi adatlopási üggyel.

„A tavaly év végén nagy visszhangot keltő, külső szolgáltatónál történt bankkártya adatszerzéssel kapcsolatban az OTP Bank Nyrt. kockázatelemzés alapján nem a bankkártyák tömeges lecserélése mellett, hanem a bankkártyák kiemelt, napi 24 órás monitoringozása mellett döntött. Az OTP által használt korszerű monitoring rendszer alkalmas arra, hogy a gyanús tranzakciókat kiszűrje, és a biztonsági szakemberek azonnal a szükséges kármegelőzési intézkedéseket meg tudják tenni. Az elmúlt időszak tapasztalatai azt mutatják, hogy ez a döntés helyes volt, mivel az eset kapcsán csupán néhány OTP-s bankkártya lecserélése volt indokolt” – írta közleményében a pénzintézet.

A bank a kártyabirtokosok részére tájékoztató jelleggel összeállított egy úgynevezett jó tanácsokból álló listát (Tanácsok a biztonságos kártyahasználathoz), ami segít a kártya biztonságosabb használatában.

“Az OTP Bank – üzletpolitikájának megfelelően – minden olyan ügyfelet kártalanít, akinek a bankkártyájával bizonyítottan jogtalan tranzakciók történtek vagy indokolt a bankkártya soron kívüli cseréje” – zárul a dokumentum.

Nincs miért aggódni

„A bankkártyákkal való visszaélés sajnos egyáltalán nem szokatlan, szinte minden nap előfordul. Mondhatni hétköznapi eset” – nyilatkozta lapunknak Jakab Péter, a Magyar Bankszövetség bankbiztonsági bizottságának elnöke. Hozzátette: az ügyfeleknek nem kell megijedniük, a bankok továbbra is szigorúan ellenőrzik a PIN-kódos tranzakciókat, a legmagasabb szintű elővigyázatossággal járnak el, és azonnal jelzik, ha gond van a kártyájukkal.

A pénzintézetek azt kérik a kártyabirtokosoktól, hogy amennyiben szokatlan – különösen külföldi –tranzakciót észlelnek kártyájukon, azonnal vegyék fel a kapcsolatot bankjukkal. Az úgynevezett SMS kontroll alkalmazása – mint olvasónk esetében is – lényeges segítség lehet ebben.

Jakab Péter hangsúlyozta, hogy a szokásos kártyahasználattal – ha az ügyfél az elvárt óvatossággal fizet vagy vesz fel pénzt a kártyájával – nem nő a kockázata és veszélye annak, hogy az adatlopásban a kártyatulajdonos érintett legyen.

Adatlopás dióhéjban
Egy precíz hackertámadás mindig az információszerzéssel kezdődik. Tudni, ismerni kell azt, amivel szemben állunk. Ezután jöhet az adott rendszer hibáinak alapos felkutatása. Általában a leggyakoribb gyengeség az emberi tényező, de vannak authentikációs problémák is, például a TLS-ben. (A legtöbb internetes oldal http és https protokollon keresztül SSL és TLS titkosítási rendszert használ. Ezek közvetlenül a hálózati kapcsolatok szakaszait titkosítják. Az üzeneteket vagy jelszavakat, kódokat RSA kódolással védik, például bank-kliens viszonyt online átutalás, kézpénzfelvétel esetében).
Az RSA-eljárás napjaink leggyakrabban használt titkosító algoritmusa, mellyel a kódokat asszimetrikusan, vagyis csak egy irányba titkosítják. Ez azért jó, mert így az sem tudja a jelszavunkat, akinél tároljuk, ráadásul számításelméleti okok miatt a visszafejtés olyan sokáig tartana, hogy nem éri meg próbálkozni.
Az utolsó lépés maga a támadás. Egy úgynevezett MITM (Man In The Middle) támadást kell végrehajtani, vagyis a feltárt résekben rejlő lehetőségeket felhasználni. Ha ez megvan, akkor csatlakozunk az oldalra, hálózatra, szerverre. Ami kell hozzá, az kitartás, átlátó, rendszerező ismeret, megfelelő eszközök és számítási kapacitás.

Ajánlott videó

Olvasói sztorik