Az MKB Bank augusztus végén figyelmeztette ügyfeleit, hogy ismeretlen csalók bankkártyaadatokat próbáltak megszerezni internetes böngészőkben felugró ablakként megjelenő képernyőrészlettel. Képként is mellékelték a hitelesség kedvéért a MasterCard kártyatársaság nevével is visszaélő, hamis üzenetet. A legutóbbi akció csak egy a sorban, a bűnözők egyre aktívabbak. Tavaly a bankkártyák kibocsátói (vagyis a bankok) és elfogadói (azaz a készpénzkiadó automatákat, kereskedői terminálokat üzemeltető hitelintézetek) oldalán összesen 866 millió forint kár keletkezett itthon a visszaélések miatt – ezt állapította meg nemrég publikált tanulmányában a Magyar Nemzeti Bank (MNB).
Az adatok azt jelzik, hogy a kárösszeg soha nem látott ütemben növekedett az előző évhez képest. Intő jel, hogy a bűncselekmények okozta veszteség csak egy részét nyelték le a bankok, 177 millió forintnyi kárt maguknak az ügyfeleknek, illetve az ügyleteket lebonyolító kereskedőcégeknek kellett állniuk.
Áruló mágnescsík
A legegyszerűbb trükk, ha a bűnözők az elvesztett vagy ellopott kártya adatait felhasználva veszik fel a pénzt az ügyfél folyószámlájáról. „Ezt gyakran könnyen megtehetik, mert sokan a figyelmeztetések ellenére is bankkártyájuk közelében tartják a PIN-kódot” – mondta Jakab Péter, a Magyar Bankszövetség bankbiztonsági munkabizottságának vezetője. Önmagában egy PIN-kód nélküli, de a banki biztonsági eszközökkel (például UV-jegyekkel) felszerelt kártya is értékes lehet az elkövetők számára, hiszen utólag is rá lehet másolni mágneskártya-tartalmakat.
Más bűnözők a mágnescsík tartalmának lemásolására szakosodtak. Ők kereskedői vásárlásoknál illegálisan azokon a könnyen és olcsón beszerezhető kézi kártyaleolvasókon is végighúzzák a vevő látóköréből rövid időre kikerülő kártyát, amelyek rögzítik az adatait. Ezek tartalma kerül azután át egy korábban eltulajdonított másik plasztiklapra, vagy egy teljesen sima kártyafelületre (utóbbi felhasználásához már a kereskedővel való összejátszásra is szükség van, amire sajnos szintén volt példa).
A mágnescsík tartalmát a bűnözők banki bejárati ajtókra felszerelt készülékekkel is meg tudják szerezni. Az ottani ATM-eket ugyanis zárás után csak akkor lehet elérni, ha az ügyfél az ajtónyitón végighúzza a kártyát. Ilyenkor lemásolható annak tartalma. Egyes bűnözői készülékek szemtelen módon még a PIN-kód beütését is előírják.
A pénzkiadó autómata is veszélyes lehet
A piacon csak libanoni huroknak nevezik azt a megoldást, amikor a bűnözők közvetlenül az ATM-automatába telepítik saját készüléküket. Ez megakadályozza, hogy a pénzkiadó automata üzemszerűen elolvassa a kártyát, és azt is, hogy tulajdonosa visszakapja. A bosszankodó ügyfélhez ilyenkor rendszerint odalép egy segítőkész ismeretlen, aki azt tanácsolja, hogy együtt gépeljék be a szükséges PIN-kódot, mert akkor az ATM majd visszaadja a kártyát. Miután a kártyabirtokos elégedetlenül távozott, minden együtt van a számlapénz ellopásához.
„Utóbbi megoldásnak sajnos már ismert a csúcstechnológiás variációja is” – mondta Jakab Péter. Ennél az ügyfél szabályszerűen felveheti pénzét az ATM-ből, csakhogy az automata kártyaadagolójába rejtett, parányi készülék tárolja vagy rádiófrekvencián továbbküldi a mágnescsík adatait. S akkor még ott vannak az elektronikus levélben, interneten küldött üzenetek, amelyek a kártyaadatok megadására buzdítanak.
Csip a megoldás?
A jegybank szerint lényegesen csökkennének a kockázatok – többek között a mintegy 430 ezer darab vállalkozói kártya használata során –, ha a hazai pénzintézetek áttérnének a mágnescsíkosról a csipes, vagyis a saját operációs rendszerrel ellátott miniszámítógépet magában foglaló bankkártyákra. Ezek másolása, jogtalan felhasználása ugyanis összehasonlíthatatlanul nehezebb.
Itthon azonban ma még tízből mindössze 3 kártyán van csip, s csak az ATM-berendezések 39 százaléka tudja fogadni ezeket (mindkét adat nagyjából fele az Európai Unió átlagának). A magyarországi POS-termináloknál jobb a helyzet, négyötödüknél már lehetséges használni a modernebb kártyatípust.
Az ügyfelek sürgetése mellett az EU is megpróbál nyomást gyakorolni tagállamaira a biztonságosabb kártyahasználat érdekében. Az egységes eurófizetési térségről (SEPA) szóló direktíva keretében az unión belül a bankoknak 2010-ig teljesen át kell térniük a csipes kártyarendszerre, és kötelezően meg kell honosítaniuk a PIN-kód használatát a kereskedői forgalomban. Ezek az előírások azonban az eurózónába még be nem lépett tagállamokra csak csatlakozásukat követően vonatkoznak majd.
Közvetlenebb fenyegetést jelent a pénzintézeteknek a MasterCard és a Visa nemzetközi kártyatársaságok már három éve bevezetett felelősségviselési szabálya. Ez szintén a csip általános használatára ösztönöz.
A bankok ódzkodása az átállástól persze érthető, mivel nem olcsó mulatság. Egy csipes kártya előállítása minimum ezer forintba kerül, a költségek döntő részét ráadásul a belső banki kártyakiszolgáló IT-rendszerek teljes körű átállítása, a különböző tanúsítványok megszerzése adja. Ezeket a terheket valószínűleg minden bank be fogja építeni az árazásba – közölte több pénzintézet is. Ez virágnyelven azt jelenti, hogy a költségeket az ügyfelekre hárítják majd tovább, noha a csalások visszaszorítása náluk is kiadáscsökkentéssel járhat.
Fokozott biztonság
Az OTP Bank viszont 2004-ben befejezte rendszereinek csipes átállítását, sőt már a dombornyomott kártyák szinte mindegyike ilyen. „A csak PIN-kóddal használható kártyák esetében is folyamatos az áttérés” – mondta el az Üzlet&Sikernek Hargitainé Várhegyi Teréz ügyvezető igazgató. A K&H Banknál már minden üzleti kártyán ott a csip, és idén év végéig fejezik be az ATM-hálózat teljes körű átalakítását. A mágnescsíkos POS-terminálok lecserélése attól függ, hogy milyen gyorsan tudnak erről megegyezni az érintett kereskedőkkel.
Szeip Attila, a CIB Bank bankkártyamenedzsment-vezetője szerint náluk ugrásszerű gyorsasággal, 1-2 hónapon belül csippel fogják ellátni az összes ATM-automatát. „Nem tervezi a közeljövőben üzleti kártyáinak csipesítését a Raiffeisen Bank, amelynek saját ATM- vagy POS-hálózata sincs” – jelezte Braun Csaba, a hitelintézet főosztályvezetője.
A csip mellett a bankok szerencsére más biztonsági megoldásokat is ajánlanak. Üzleti betéti kártyák esetében például a K&H Banknál a vállalkozó külön kártyaszámlára helyezheti a cég pénzének egy részét, s a kártya segítségével csak ehhez a számlához lehet hozzáférni – vagyis nem a teljes vállalati megtakarításhoz. Ugyanez a külön kártyafedezeti számla áll rendelkezésére a CIB Bank és más hitelintézetek céges ügyfeleinek is internetes kártyás tranzakcióik lebonyolítására. A kártyabirtokos által előzetesen megfelelően beállított (de szükség esetén akár telefonon is módosítható) napi vásárlási és készpénzfelvételi limitek is hozzásegíthetnek ahhoz, hogy a kártyát megszerző bűnözők ne tudják zsákmányként elvinni a teljes számlaösszeget.
Manapság szinte mindegyik banknál elérhető már az a szolgáltatás, amely biztonsági sms-visszaigazolást küld az ügyfél mobiltelefonjára az éppen elvégzett tranzakcióról. Ennek keretében, mint az OTP Banknál és a CIB Banknál közölték, ha a megszokottól eltérő vásárlást vagy készpénzfelvételt tapasztalnak egy-egy bankkártyánál, telefonon is megkeresik az ügyfelet, hogy megbizonyosodjanak arról, valóban ő hajtotta-e végre.