Mára nagy üzletté vált, így minden erőfeszítés ellenére hihetetlenül jól kiépült a bankkártyacsalási iparág. Ahhoz képest, hogy régen képzett hekkerek űzték az ipart, ma 20 perc alatt bárki megveheti magának olyan bankkártyák adatait, amiken garantáltan van pénz. A dolog onnantól kezd nehezebbé válni a tolvajoknak, hogy a megszerzett adatokat hogyan teszik pénzzé, de erre is egyre bejáratottabb módszerek épülnek ki. A neten bankkártyás fizetést elfogadó cégek, tehát lényegében az összes ismert vállalkozás veszélyben van, mivel leggyakrabban nekik kell megtéríteni a csalással okozott károkat.
Hogyan lehet védekezni a bankkártyacsalások ellen? A kártyatulajdonosoknak nagyjából sehogy.
Sokféleképpen lenyúlhatják a bankkártyánk adatait, van, ami ellen tudunk védekezni, de vannak olyan módszerek is, ami ellen kevésbé, vagy jelenleg épp sehogy. Arról pedig pláne alig tudunk, hogy hogy működik az iparág, hogyan dolgoznak a csalók. Pedig nagyon izgalmas belenézni.
Az online bankkártyacsalások mértéke a netes tranzakciókkal együtt egyre növekszik, egyre nő a csalások átlagos értéke is, finomodnak a bűnözők módszerei és egyre olcsóbb beszállni. Ráadásul nagyon gyakran külön szereplők lopják el a kártyaadatokat, eladják az információt és mások szedik le róla pénzt.
Ez azért is ijesztő, mert az utóbbi csoportba akármelyikünk könnyedén bekerülhet. Ha megfelelő kifejezést írunk a keresőbe, egyből ömlenek az olyan oldalak, ahol kártyaadatokat vehetünk. Ezek fele-harmada átverés, de a komolyabb oldalakra is olcsón vagy ingyen lehet bekerülni. Darabonként 10-50 dollárért vehetünk tuti kártyaadatokat, érthető okokból a leggyakrabban Bitcoinban, más virtuális pénzben, esetleg a szintén anonim Western Unionnál. Persze egy nagyobb adatlopási hullám után, amikor hirtelen sok kártyaadat kerül fel a netes értékesítése oldalakra, az árak leeshetnek akár egy dollár alá is.
A megszerzett adatokkal aztán teljesen átlagos módon felhasználhatjuk bármilyen vásárlásra, mintha csak az eredeti tulajdonosa használná, hiszen mindent tudunk, amit ő tud a bankkártyájáról.
Elég jól kiépült az iparág, a közvetítőoldalak kényelmes, felhasználóbarát felületen kínálják a különböző típusú és országbeli kártyákat, az eladók szinte mindig garanciát vállalnak a kártyákért, ha mégse jók az adatok vagy nincs rajtuk pénz, akkor ingyen kicserélik, és sokszor a netes kereskedőcégekhez hasonlóan megbízható ratingrendszer segít eligazodni az eladók megbízhatósága között. Annyira elterjedt, hogy egy friss tanulmány szerint már a Google is milliárd dollárban mérhető összeget kaszál a hirdetéseiken.
Nagy mennyiségben lehet személyazonosságokat is kapni, lakcímmel, családi adatokkal, de akár hozzájuk tartozó autórendszámmal vagy hiteltörténettel is. Ez több dologra is jó lehet, a legkönnyebben például hitelt lehet felvenni némi felkészüléssel. De egyelőre ilyesminek döntően inkább fejlettebb országok lakosai vannak kiszolgáltatva.
De vehetünk kitűnő minősítésű e-Bay, Amazon vagy Paypal fiókokat is, amiket aztán gyorsan tönkre vághatunk jó pénzért. Az igazán komoly fórumokon szoftverhibákból megszerezett vállalati információkat is lehet kapni vagy rendelni forintban akár tízmilliókért, de ez már kiberbűnözés más ágaihoz vezet.
Az adattolvajoknak azért fontos lehetőleg hamar megszabadulniuk a kártyaadatoktól, mert termékként elég bizonytalan, hiszen rövid lehet az életciklusuk - ha mondjuk egy bank felfedezi, hogy ellopták az egyik ügyfele adatait, azonnal megváltoztatja. Ott lehet probléma, ha mondjuk egyszerre több tízezer kártyaadatot lophattak el, és a bank se tudja, hogy pontosan melyikeket.
A tolvajoknak viszont gondot okozhat megtudni, hogy mennyi pénz van a megkárosítottak számláján, de még ha tudják is, elvenni se egyszerű úgy, hogy utána ne maradjanak azonnal követhetők a globális pénzügyi rendszerben. Ha megpróbálják készpénzben kivenni a szajrét, ahhoz is több tucat ember kellhet szerte a világban. És legalább olyan könnyű lebukni, ha nem sikerül kiiktatni az összes fejlettebb országot a hadműveletből.
Itt jönnek képbe az elosztók, akik gyorsan ki tudják pörgetni a számlákról a pénzt. Vesznek egy jó adag kártyaadatot, majd azokról nagyobb értékű termékeket és szolgáltatásokat vesznek a vevőiknek. Hamar rájöttek, hogy terméket kevésbé éri meg, mert a vevőnek meg kell adnia egy postacímet.
Nem túl megerőltető megcsinálni mondjuk a mycheaptravel123.com utazási oldalt, ahol a csalók féláron kínálhatnak repjegyeket. Ha a vevő fizet, akkor az utazásához minél közelebbi időpontban (hogy a megkárosított kártyatulajdonosnak a lehető legkevesebb ideje legyen a bankján keresztül meghiúsítani az utazást) megveszik a jegyet az egyik lopott kártyáról a vevő nevére, aki közben örül a hatalmas akciónak, de nem tudja, hogy a csalók valakinek a kártyájáról valójában a repjegy teljes árát kifizetik. A vásárlás után a jegyet elküldik mailben, ő pedig gyorsan le is utazza.
Amikor a kártya igazi tulajdonosa egyszer csak észreveszi, hogy meglopták, akkor reklamál a bankjánál. A bank aztán reklamál a légitársaságnál, akik pedig elmondják, hogy náluk minden oké volt, tökéletes adatokat kaptak. Végül a bankok az esetek jó részében a kereskedőre, ebben az esetben a légitársaságra tudják hárítani a lopott kártya valódi tulajdonosának kártalanítását.
Persze ebben az esetben mi is megjárjuk, a bejelentés is vesződség, az új banki adatokért is felszámíthatnak némi díjat, ahogy az se lehet kellemes, ha adott esetben hónapokig nem férünk hozzá a pénzünkhöz.
Ami végül a repjegyet felhasználó felet illeti, ő elvileg tényleg nem felelős azért, hogy lényegében lopott pénzből utazhatott féláron. Azt viszont végig kockáztatja, hogy beszállásnál félreállítja pár marcona alak, és nemcsak, hogy nem fog utazni, de utána órákig faggathatják a rendőrök arról, hogy pontosan hogyan és kitől vette a jegyét. Ezért az erkölcsi fenntartásokon túl egyébként is kockázatos így utazni.
A csalók mindig a leggyengébb láncszemnél fognak próbálkozni pénzre váltani az adatokat, ezért a neten bankkártyát elfogadó kereskedők, irodák lesznek kitéve leginkább az ilyen irányú támadásoknak. A bankok ezért pontosan náluk próbálják megfogni a csalásokat, de ez nem egyszerű, hiszen ők csak különböző szoftverekkel közvetítik a pénzlekéréseket, és kevés eszközük van kiszűrni a bűnözőket.
A szolgáltatók szerint maximum a tolvajoknak sikerült pár percnyi szórakozást okozni a 3D-s bankkártyák megjelenésével.
Ilyenkor annyi extra történik, hogy netes fizetéskor továbbirányítanak az elszámolóbankhoz és egy extra titkos kódot még meg kell adnunk a vásárláshoz. Értelemszerűen viszont, amikor minden banki adatot ellopnak, akkor ez is köztük lehet. Ha a bank SMS-ben küldi el a kódot, akkor a telefonszámot is meg lehet változtatni, így nem feltétlenül ez lesz a tökéletesen megnyugtató védekezés módja.
Sőt, sokszor inkább káros is lehet a 3D, hiszen a banknál lesznek azok az informatikai adatok, amik a kereskedőnek kellenének a védekezéshez.
Azt lehet mondani, hogy a kereskedők kezdenek egyre komolyabban fellépni, de nehéz olyan szűrőket felállítani, amik igazán hatékonyan kidobnák a csalókat, de azért nem büntetnék a kevésbé tipikus vásárlókat.
A cégek ellenőrizhetik a vásárlóik mailcímeit, egyeztethetik a vásárló és a bankkártya országának ip-címét, strukturált feketelistát állíthatnak fel, amikkel megnehezíthetik a csalók működését. Ha viszont egy csaló nagyon alapos és csak kis tételben csinálja, akkor még a legdrágább kézi ellenőrzéssel se lehet feltétlenül rájönni, hogy hol lehet a hiba.
A bankok viszont nem akarják, hogy nekik kelljen állni a cehhet a figyelmetlen kereskedők miatt, ezért akinél sok a csalás, azt jellemzően először figyelmeztetik, aztán kötelezik valamelyik jobb szűrőrendszer bevezetésére. Ha ez se használ, akkor megszüntetik az együttműködést a céggel, aki így gyakorlatilag nem fog tudni semmit eladni utána a neten. Persze, ha sokat kell költeni a védekezésre, már attól is drágábbak lesznek bankkáryták, a repjegyek, vagy általában a nagyobb cégektől neten vett holmik.
Emellett a leggyengébb láncszem-elmélet a cégek közt is igaz: ha valahol ügyesen fellépnek a csalások ellen, akkor a versenytársára ugrik rá majd minden tolvaj. Olyasmire lehet itt gondolni, hogy mondjuk a Finnairnek arányosan akár századannyi vesztesége lehet ilyen csalásokon, mint mondjuk egy kevésbé profi rendszerrel védekező afrikai légitársaságnak.
Az USA-ban tavalyelőtt már nagyjából 800 milliárd forintra volt tehető a bankkártyacsalások okozta kár, nagyjából minden kártyás vásárlás egy százalékát lopták el.
Mi egyelőre szerencsére viszonylag kimaradtunk a buliból, a környékünkön már gyakrabban bukkannak fel bankkártyában utazó szervezetek, a mediterrán régió pedig kifejezetten fertőzöttnek számít. Nem feltétlenül azért, mert butábbak vagy erkölcsösebbek lennénk náluk, hanem azért, mert például Magyarország a legkevésbé sem célállomás az ilyen gyanúsan olcsó szolgáltatásokat gyakran igénybe vevő harmadik világbeli szegényebbeknek.
Azért kell szervezetekről beszélni, mert az elmúlt 10 évben az egyéni hekkertől teljesen átvették a piacot a komolyabb csapatok: a kétezres években szabadúszók voltak felelősek a csalások 80 százalékáért, mára 80 százalékot a szervezett csoportok tesznek ki. Hatékonyabbak is: mostanában átlagosan 12 másodpercenként történik a világban egy csalás lopott adatokkal.
Közelebb vannak a végső felhasználóhoz, és lényegében szinte minden a neten zajlik, tehát gyakorlatilag nincsenek költségek, és az ügyesebbeknek nagyon alacsony a lebukási kockázata. De az is gyakori, hogy összekapcsolják a kellemeset a hasznossal, a drogfutárok is sokat repkednek csalással szerzett jegyekkel.
Amikor nem is olyan rég Vietnamból lekapcsolták Troungot és bandáját "mattfeuter" nevű oldalukkal együtt, már 1,1 millió jól dokumentáltan eladott kártyaadattal vádolták a csapatot. De például a repjegyes csalásoknál idén is volt egy nagyobb, minket is érintő nemzetközi akció, aminek a végén elkaptak 180 embert.
Ugyanakkor jól jelzi a helyzet bonyolultságát, hogy a csoport és üzletfeleik lekapcsolásához 32 ország 68 repterén kellett szinte egyszerre lecsapni, 32 légitársaság, a nagy kártyakibocsátók az EU, az amerikai titkosszolgálat és még számtalan szervezet embereinek és adatainak igénybevételével Kolumbiától Lettországig.
A jó hír az, hogy miután ilyen könnyű belépni a piacra, a legjobban szervezett bűnözőknek egyre kevésbé éri meg ilyen sok embert meglopni, és a szakértők szerint egyre inkább át fognak állni a célzottabb támadásokra, akár speciálisabb információkért.
Dacára, hogy szinte mindig megtérítik a kárunkat, ha önhibánkon kívül lelopják a pénzt a számlánkról, azért érdemes erőfeszítéseket tenni, hogy elkerüljük az ilyen eseteket.
Mondjuk olyan őrült sokat nem tehetünk, hiszen már egy szállodai szoba kifizetésénél is megszerezhetik az összes bankkártyaadatunkat, amit utána a jóég tudja, hogy ki láthat még. Vagy ha egy étteremben kártyával fizetünk, akkor is beviheti a pincér a pulthoz a kártyát, és közben azt csinál vele még, amit nem szégyell.
Mindenesetre csökkentjük a kocázatunkat, ha a pár, gyakran elhangzó jó tanácsra odafigyelünk. Így például, ha egy mód van rá: