Sokszor felröppen egy-egy hír a médiában, ahol emberek pénzét lopták el kártyáról, Revolutról, vagy más fizetőeszközről, ami sokkoló lehet. Ez bárkivel előfordulhat és az igazság az, hogy tökéletes védelem nincs a csalások ellen. Rengeteg eszközt és metódust bevethetnek a támadók, akár célzottan vagy általánosan.
A legjobb védekezés szerintünk, ha az ilyesmire fel vagyunk készülve. Tisztában vagyunk azzal, hogy milyen metódusokkal tudnak tőlünk adatokat lopni és mely adatokkal tudnak visszaélni, illetve mire figyeljünk, hogy ezek ellopását megnehezítsük. Egy további védekezés, ha minimalizáljuk visszaélés esetén az ellopható összeget.
A Forbes.hu weboldalán nemrégiben megjelent egy díjazott cikksorozat, mely bizonyos Revolut ügyfelek által elszenvedett lopásokat mutat be. A cikket nem szeretnénk részletekben kommentálni, mert nem üti meg szerintünk a mércét: egyoldalú, kihagyásokat tartalmaz és bűnbakot keres a Revolutban, holott nem úgy tűnik, hogy csak a Revolut hibájából történtek a visszaélések, sokkal inkább az Apple Pay és az iOS biztonságát kellene kritizálni. Az, hogy egy ilyen PR cikksorozatért díjat osztanak, az pontosan megmutatja, hol a szint jelenleg bizonyos médiaszervezeteknél.
Térjünk inkább a lényegre, milyen adatokat szeretnek a leggyakrabban ellopni?
A kártyaadatok kereskedelme mindig is virágzott, és ezeket jelenleg is lopják ahol tudják: online adathalász e-mailekben, adathalász weboldalakon, SMS-ben, vírusok és trójaik által asztali gépről és telefonokról, módosított ATM-eknél, üzletekben található termináloknál is.
Az adathalász e-mailek, weboldalak ellen egyszerre könnyű és nehéz védekezni. Ezekről sok pénzintézet állandó tájékoztatást küld, meg rengeteg anyag jelent meg róluk, de mégis sokan áldozatnak esnek. Egyszerű egy adathalász üzenetet kiszúrni, ha nem tartalmazza például még a nevedet sem, de amint ez célzottá, névreszólóvá válik, egyre nehezebb a valódi üzenetektől megkülönböztetni. Ezért a mi ajánlásunk, hogy minden ilyen üzenetet figyelemmel kezeljünk, és alapból úgy tekintsünk rájuk, hogy ezek csaló üzenetek.
Gondolkodjunk, mielőtt bármilyen ilyen linkre klikkelnénk: vártunk valami hasonló üzenetet például a banktól? Várunk csomagot? Biztosan a postán jön vagy azzal a futárszolgálattal, amit az üzenetben ír? Fizetni kell valamit? Tudunk ilyesmiről? Rendeltünk valamit mostanában az üzenetben szereplő weboldalról, üzletből, szolgáltatótól? Fura időpontban kaptunk üzenetet egy közüzemi számláról, amit sürgősen fizetni kell az üzenet szerint?
Itt ha bármilyen kérdésre nem vagy nem tudom a válasz, inkább hagyjuk figyelmen kívül az üzenetet. Ellenőrzéshez meg ne klikkeljünk a linkre, hanem lépjünk be a bank oldalára, webshopra, szolgáltató felületére és nézzük meg ott, hogy valós lehet az üzenet? Csomagos üzenetek esetén nézzük meg a követőkódot kézzel átmásolva, létezik egyáltalán ilyen kóddal csomag, amit nekünk címeztek? Ha nem rendeltél semmit, és jön ilyen üzenet, hogy fizetni kell egy csomagért, inkább töröld.
Weboldalak esetén is érdemes megnézni a weboldal kinézetét, sokszor nagyon gagyin másolják le az eredeti oldalt. A tanúsítványt is érdemes ellenőrizni a kis lakatra klikkelve. Ha meg nincs lakat, akkor semmi esetre se adjunk meg érzékenyebb személyes adatokat.
A jelszavakra is ajánlott figyelni, ne használjuk ugyanazt a jelszót több helyen. Nehéz sok jelszót észben tartani, ezért ajánlott valamilyen jelszókezelőt használni és azzal generálni a biztonságos jelszavakat. Sok böngészőben van beépített jelszókezelő, de van külső program is, amit használhatunk erre. A 1Password is egy ilyen alkalmazás.
Kártyás fizetések biztonsága
Az online fizetési folyamat megbízható helyeken biztonságos, de a kártyaadatok tárolása nem mindig az. Nem ajánlott lementeni például a valódi kártyád adatait egyetlen weboldalon sem kényelmi okokból. Bármikor jöhet egy hír, hogy feltörték az adott weboldalt és hozzáfértek az ügyfelek tárolt kártyáihoz.
Ilyen esetben a legjobb megoldás a virtuális kártyák használata, beállított korlátokkal. Sok pénzügyi szolgáltató kínál virtuális kártyákat: Revolut, Skrill, Neteller, Wise, sőt, egyes bankok is már. Ezekre be lehet állítani jóval alacsonyabb tranzakciós korlátokat, így lopás esetén minimális veszteségünk lesz.
Havidíjas előfizetések
Itt is kizárólag virtuális kártyák használatát ajánljuk. Bár Európában nem jellemző, hogy megnehezítik az előfizetések lemondását, azért az Amazonról sok hír jelent meg, hogy eléggé elrejtik a lemondási gombot. Ilyen esetekre is jó védelem a virtuális kártya: ha nem sikerül lemondani az előfizetést, megszűntetjük a kártyát 2-3 klikkel és kész. Több pénzt nem tudnak levonni tőlünk.
Online fizetések gyanúsabb oldalakon
Mi ide soroljuk az AliExpresst is, meg más kínai weboldalakat (pl. Wish.com). Ilyeneken még virtuális kártyák adatait sem adnánk meg szívesen, de van jó megoldás erre is, például a Revolut egyszer használatos kártyája, vagy olyan virtuális kártya, amit csak erre használunk és a korlátait csak a fizetéskor emeljük meg a terhelhető összegre. Amint megérkezett a rendelt termék (ha egyáltalán megérkezik), a virtuális kártyát le lehet mondani.
Kártyás fizetések biztonsága üzletekben
Európában hamar bevezették a chip és PIN technológiát és rögtön utána az érintéses fizetést, így manapság mágneskártyával nem is nagyon lehet fizetni. Ez nem jelenti azt, hogy mágneskártyás olvasók nincsenek vagy azt, hogy a bankkártyánkon nincs mágnescsík. Mivel ezek nemzetközi fizetőeszközök, kompatibilitási okok miatt továbbra is működnek a régebbi, nem biztonságos mágneskártyás fizetések, ha más nem érhető el.
Tehát a kártyádról ugyanúgy le lehet olvasni egy skimmer segítségével az adatokat, mint korábban, de ezt észre lehet venni. Ha fizetéskor az eladó áthúzza a kártyát egy olvasón, az már gyanús. Alapjáraton ezek a kártyák már a chip olvasót kérik, tehát ha áthúzták egy mágneses olvasón, akkor azt más okból teszik.
Ahhoz, hogy ezt elkerüljük, lehetőleg ne adjuk ki a kártyánkat a kezünkből. A legjobb megoldás pedig, ha érintésmentesen fizetünk telefonnal. A telefonos fizetés jelenleg a legbiztonságosabb módnak tűnik: a kártyaadatok nem továbbítódnak, hanem a telefon generál minden tranzakcióra egy egyedi tokent, és ez csak egyetlen tranzakcióra érvényes.
A sima érintéses fizetés is biztonságosabb, mint ha átadnánk a kártyát az eladónak. Bár a kártyaadatok ilyen esetben nem változnak minden tranzakció esetén, ezek kiolvasása csak részben lehetséges egy NFC olvasó segítségével. Az alábbiakban bemutatjuk, hogy mit láthat egy ilyen NFC olvasó, a médiában rettegettnek beállított Flipper Zero segítségével (a linkelt HVG-s cikk szerintünk álhírnek tekinthető, de ez a magyarországi újságírás).
Látható, hogy kiolvasható könnyen a kártya száma, lejárati dátuma, pénzneme, országa, de ennél több adat titkosítási kulcs nélkül nem nagyon szerezhető be egy egyszerű olvasóval és ezzel sok mindent nem lehet kezdeni. A kiolvasott kártyaszám egyezik a kártyára nyomtatott számmal, de nem elég a kártya klónozásához. A kártyaterminálokban megtalálható a titkosítási kulcs, de azokkal visszaélés esetén gyorsan megkerül a tettes, így nem praktikus ilyen célokra használni, mivel regisztrált eszközök.
További példával illusztráljuk, hogy Google Pay fizetés esetén teljesen más kártyaadatok kerülnek továbbításra, mint a valódiak.
A kiolvasott szám teljesen különbözik a kártyán található számtól, ez látható az utolsó 2 számjegyből is, pedig ugyanarról a kártyáról van szó, csak Google Payen keresztül. Ez a kártyaszám minden fizetés után változik és a korábbi érvénytelen lesz.
A kártyán található chipből sem tudnak használható adatokat kiolvasni. Még nem.
Viszont van egy nagyon egyszerű metódus, amivel bárki ellophatja a kártyád adatait, és ezt saját bőrünkön tapasztaltuk: pult mögé rejtett kamera. A módszer egyszerű: a tolvaj (ne nevezzük eladónak, bár a mi esetünkben nagy valószínűséggel ő volt a tettes) a pult mögé rejti a telefonját, laptopját, bekapcsolt kamerával. Átveszi a kártyád, és szépen megmutatja a kamerának az elejét és a hátát. Te ebből annyit látsz, hogy keresi a chip helyét vagy vizsgálja a nevet vagy aláírást. A kártyán rajta van a legtöbb esetben a neved, a teljes kártyaszám, a lejárati dátum, aláírásod és a CVC/CVV szám is.
Ezen adatok birtokában lehet klónozni a kártya mágnescsík részét, amit 3-ik világbeli országokban még tudnak fizetésre használni. Vagy egyszerűen vásárolni kezdenek vele online. A 2 faktoros hitelesítés nem kötelező a világ minden országában, még mindig lehet anélkül vásárolni, ha ezt a funkciót a bankod támogatja, és sok esetben nincs ez kikapcsolva a kártyádon. Szerencsére ilyen esetekben a chargeback védelmet nyújthat, de nem egy gyors folyamat.
Védekezni ez ellen egyszerű: nem adod oda a kártyád, hanem te helyezed a terminálba. Egy másik egyszerű lehetőség, az adatok elrejtése nem átlátszó ragasztószalaggal.
Védekezés vírusok és trójaiak ellen
Mondhatnánk, hogy az antivírus programok használata a megoldás, de közel sem tökéletes. Rengeteg vírus jelenik meg állandóan és ezeket nem fogják meg minden esetben a vírusírtók. A legjobb védekezés a vírusírtók és szoftverfrissítések mellett az elővigyázatosság: gyanús helyekről nem töltünk le semmit, e-mail csatolmányoknál kiemelten figyelünk. Asztali gépeken használhatunk virtuális gépeket a gyanús tartalmak letöltésére, a VMware Player, VirtualBox meg más hasonló programokkal a saját gépünkön belül futtathatunk biztonságban virtuális gépeket, így azokból a fertőzés nem terjed át a fő gépünkre. Ez már haladók számára ajánlott megoldás.
Ugyanígy telefonra sem kell felesleges alkalmazásokat telepíteni, és ajánlott a nem használt appokat törölni. Bár az alkalmazás áruházak biztonságosnak vannak beállítva, sok esetben csúsztak be oda is trójaival ellátott appok vagy azoknak frissített verziói. Tökéletes védelem sajnos nincs.
Mit tudnak ellopni a telefonos vírusok, trójaiak?
A Google Pay és Apple Payben tárolt kártyaadatokat elméletileg nem tudják ellopni, és nem is tudunk ilyen szintű célzott támadásról. Ugyanígy más fizetős appokban tárolt adatokhoz sem fognak hozzáférni.
Amit sok esetben céloznak, azok az ellenőrzésekhez szükséges SMS üzenetek és e-mailek. Ezekkel tudnak hitelesíteni általuk indított tranzakciókat, belépéseket, kártyák hozzáadását más telefonra, egyszeri jelszavakat. Ezek ellopása óriási veszélyt jelent, és nem is könnyen érzékelhető. Szerintünk kicsit túl sok bizalmat vetett minden szolgáltató ezekbe az üzenetekbe a kétfaktoros hitelesítések esetén, és nem volt a legjobb választás. Remélhetőleg ez a jövőben változni fog, és bevezetnek jobb többfaktoros hitelesítési módszereket.
Megoldás lehet, ha tartunk egy második nem okos telefont, ahova az ilyen üzeneteket kapjuk, de ez nem minden esetben működik és nem is praktikus.
Hogyan minimalizáljuk a veszteséget lopás esetén?
Bemutattuk, hogy tökéletes védelem nincs és új módszerek állandóan születnek. Az érintéses fizetés meg a chip és PIN sem tökéletes, bármikor találhatnak egy sebezhető pontot ezekben a rendszerekben.
A veszteségek minimalizálása viszont egy járható út, és megvéd a nagyobb pénzösszegek elvesztésétől. Ezért azt ajánljuk, hogy a helyi bankodnál 2 külön számlát tarts fenn. Bankkártyás hozzáférésed csak egyikhez legyen, és az legyen a fő számlád, amit napi szinten használsz. A második számlán (ez jó esetben valamilyen takarékszámla, ami kevés kamatot is adhat) tartsd a pénzed nagy részét, a fő számlán mindig csak annyit, amennyi kell az elkövetkező kiadásokra. Lehet ez egy fizetésnyi összeg, vagy kisebb. Szükség esetén legyen hozzáférésed internetes banki alkalmazáson keresztül az átutalásokhoz. Ha ilyesmit nem kínál a bankod, vagy gyenge a netbankjuk, netalán nem tűnik biztonságosnak, keress más, jobb bankot.
Ideális esetben a bankod applikációját (legyen az mobil vagy webes) olyan eszközről használd csak, amit másra nem használsz, tehát nem lehet vírusos sem. Ezt nehéz betartani, de nagyobb biztonságot eredményez.
A helyi bankod mellé ajánlott egy Skrill, Neteller, Revolut vagy Wise számla nyitása is. Ezek sokkal több, és sok esetben olcsóbb lehetőségeket biztosítanak napi használati kártyák terén. Igényelhetsz ingyen több virtuális kártyát, valódi kártyákat és ezek használatát javasoljuk napi szinten. Ezek a kártyák nagyon gyorsan letilthatóak az appon belül. A bankodhoz valószínűleg telefonálni kell elvesztett, ellopott kártya esetén. Napi használatra a Revolut és Wise kártyák és appok rendelkeznek a legtöbb hasznos funkcióval, de a Skrill és Neteller kártyái is hasznosak.
A telefonodon mindig legyen bekapcsolva legalább valamilyen biometrikus azonosítás, a sima mintás képernyőzár nem túl biztonságos. Ezek sem tökéletesek, de erősebb jelszóval kombinálva védik a telefonod lopás esetén. A telefonod is legyen lezárható távolról, az Android és az iOS is kínál ilyen lehetőséget.
Revoluton vagy Wise-on is csak annyi pénzt tarts, amennyi éppen kell. Ezeket a számlákat gyorsan fel tudod tölteni bármikor a rendes bankod kártyájáról.
Állítsd be a Revolut vagy Wise kártyád biztonsági beállításait az igényeid szerint. A Revolutnál például a mágnescsík teljesen kikapcsolható és több más tiltást is beállíthatsz vagy feloldhatsz igény szerint. A Wise-nál is vannak hasonló beállítások a kártyára vonatkozóan.
Ne aktiváld az automatikus feltöltéseket. A legtöbb probléma sajnos a kényelmi funkciókból ered.
Aktiváld az értesítéseket úgy a bankodnál (amennyiben lehetséges, még felár ellenében is hasznosak), mint a Revolut vagy Wise alkalmazásban. Ezekkel együtt kell élni, ha zavarnak is. Nagyon hasznos lehet, ha idejében észreveszel egy nem általad kezdeményezett tranzakciót. Egyből léphetsz, és blokkolhatod a hozzá tartozó kártyát.
Kerüld a bankszámládhoz tartozó kártya használatát. Ezt csak a további kártyák feltöltésére használd lehetőleg, és mindent azokkal a kártyákkal fizess.
Online fizetéshez használd a virtuális vagy egyszer használatos kártyákat. Beállíthatsz tranzakciós korlátokat ezekre a kártyákra, amit csak szükség esetén emelsz meg. Amennyiben a bankod támogatja ezt, ott is beállíthatsz tranzakciós korlátozást a kártyára és kapcsold ki a nem biztonságos online fizetés lehetőségét (CVV és 2 faktoros hitelesítés nélkülit).
Utazás során ne legyen nálad egy helyen az összes bankkártyád. A bankszámládhoz tartozó kártyát mindig tartsd biztonságos helyen. Ha például utazás során ellopják a pénztárcád, és abban volt az összes kártyád, akkor csak a telefonod marad fizetésre, de pénzfelvételt nem mindenhol tudsz a telefonoddal intézni. Ha viszont a hazai bankkártyád külön helyen tartod, akkor azzal még mindig hozzá tudsz férni a számládhoz, és a nyaralásod sem lesz veszélyben.
Lehetőleg fizess a telefonoddal, érintéssel. Jelenleg ez az egyik legbiztonságosabb kártyahasználati mód. Bankautomatáknál is használhatod a telefonod, ha van ilyen lehetőség.
Ragaszd le a kártyádon található kártyaszámot és a CVV kódot a hátlapon, ha mégis át kell adnod valahol a kártyádat az eladónak. Így legalább a fotózást elkerülheted.
A PIN kódot mindig takard el a kezeddel beütéskor. Bankautomatánál is!
Lehetőleg banki épületben vagy védettebb helyen levő bankautomatákat használj pénzfelvételre. A legtöbb bank bármilyen kártyával kinyitja a zárt ajtót, ha nyitvatartási időn kívül szeretnéd használni az automatájukat.
Kerüld a WorldNet/EuroNet bankautomatáit. Ezek állandóan le akarnak húzni a pénzváltással és ezen kívül a bankod díján felül is további díjakat számolnak fel a pénzfelvételre.
Valódi esetek, ahol a fin-tech kártya hasznos volt
Ezek az esetek személyes beszámolók csapatunk tagjaitól, ismerőseitől.
Olaszországban több lehetőség van jegyvásárlásra vonatállomásokon. Van ahol egyenesen a jegypénztárnál vásárolhatsz és készpénzben vagy kártyával fizetsz, van ahol automaták vannak csak és van amikor elfogy az automatából a visszajáró ezért hiába van nálad készpénz, kártyával kell fizetned. Ezzel egyidőben van, hogy nem fogadja el a kártyát érintősen, ezért be kell helyezned az automatába. Én is így jártam egy koncert előtt, siettünk is, szerettem volna gyorsan jegyet szerezni de valamiért az automata hibás volt és elszívta a kártyám. A vonatállomáson senki nem tudott segíteni, fel kellett hívnom a bankot és lemondani a kártyát, és 50 euró készpénzzel maradtam egy egész hétvégére. Ha lett volna Revolut vagy más hasonló kártyám, simán átpakolhattam volna a pénzem a szokásos számlámról és nyugodtan élvezhettem volna tovább a vakációm, de hát nem volt.
Egy nyugodt délután sms-t kaptam a bankomtól, hogy a számlám zárolták. Fizikailag be kellett mennem, telefonon nem tudtak segíteni és kiderült, hogy valaki, valahol ellopta a kártyaadataim és megpróbálta ellopni a számlán szereplő pénzösszeget. Ez egészen hihetetlen volt számomra, ugyanis csak 2 helyen használtam a kártyám - Playstation Store és Amazon (Kindle könyvek vásárlásához). A banki alkalmazott megsúgta, hogy semmi sem biztonságos valójában és inkább keressek egy alternatív lehetőséget online vásárlásokra, egy olyat ami nincs összekötve a számlával ahova a fizetést utalják.
Van olyan személy, akit zavar ha a Revolut információkat küld folyamatosan, ezért nem állítja be ezt a lehetőséget. Van olyan is, aki nem tudja hogy van ilyen opció. A barátnőm is egyike volt ezeknek az embereknek és amikor egy fesztiválon ellopták táskájából a pénztárcáját reggel vette csak észre. Ekkor belépett a Revolut alkalmazásba és látta, hogy az ott szereplő kb. 100 euro is eltűnt. Ha be lett volna állítva, hogy az alkalmazás jelezze a vásárlásokat, rögtön elkaphatta volna a tolvajt. De a pozitív fele a dolgoknak az, hogy mivel a Revolut nincs összekötve más bankszámlával, nagyobb összeghez nincs hozzáférése fizikai vagy digitális tolvajoknak, amennyiben nem töltesz fel te oda nagyobb mennyiségű pénzt.
További előnyei a Revolut, Wise, Skrill kártyáknak
Külföldi utazásoknál előre válthatsz pénzt az adott ország pénznemére. Ezekkel a kártyákkal automatikusan előszőr a megfelelő pénznemben levő zsebből fogják végrehajtani a tranzakciót, ha van rá keret. Így elkerülöd a nem pontos váltásokat, mivel már előre átváltottad a megfelelő valutára az összeget.
Természetesen a terminálok ezeknél a kártyáknál is felkínálhatják a pénzváltás lehetőségét, de ezt itt is minden esetben el kell utasítani és a helyi pénznemben kell fizetni vagy felvenni a pénzt az automatáknál. Az ilyen felkínált váltások mindig lehúzások, és nevetséges árfolyamokat használnak (lásd WorldNet/EuroNet).
Tudj meg többet
Mindig tartsd észben, hogy tökéletes biztonság nincs.
