Ellophatják a pénzünket az év elején kiadott Szép-kártyákról az informatikai biztonsággal foglalkozó Balabit IT Security szerint. A magyar tulajdonú cég arra figyelt fel, hogy a kártya használatakor kiadott bizonylaton minden olyan adat szerepel, ami az online vásárláshoz szükséges. A K&H, az MKB és az OTP közös nyilatkozatban reagált a felvetésre.
Az év elején kiadott Szép-kártyák használatakor sokkal óvatosabbnak kell lennünk, mint egy átlagos bankkártyás fizetésnél, mert a gyengébb védelmi rendszer könnyen kijátszható, és illetéktelenek költhetik el a kártyán tárolt pénzünket. A hibát felfedező Balabit Security tanácsokat is ad azzal kapcsolatban, hogy mire kell odafigyelni.
Hagyományos bankkártyák használatakor meg kell adnunk egy PIN-kódot, de a mágnescsíkkal ellátott Szép-kártyák esetében hiányzik ez a magasabb szintű védelem. Az eladók ellenőrizhetik a személyazonosságunkat, de a gyakorlati tapasztalatunk az, hogy az eladók, a pincérek nem kérnek semmilyen okmányt kártyás fizetés esetén. A felhasználó azonosítását segíti még a kártya hátoldalán lévő aláírás, ami nélkül a kártya érvénytelen, de az aláírás ellenőrzése is rendszeresen elmarad, ha bankkártyával fizetünk, és nem túl életszerű, hogy pont a Szép-kártya esetében lesznek figyelmesebbek az eladók.
Visszaélésekre ad lehetőséget, hogy személyes fizetés esetén két bizonylatot kapunk, és az egyiket aláírva vissza kell adni. A Balabit azt fedezte fel, hogy mindkét példányon rajta van a teljes 16 jegyű kártyaszám, ami elég meglepő, ugyanis hagyományos bankkártyás fizetésnél csak az utolsó négy számjegy látható, a többi ki van csillagozva. Emellett rajta van a papíron az aktuális egyenlegünk, a kibocsátó neve és a kártya lejárati dátuma.
A fenti adatok ismeretében online elkölthetik a pénzünket, például pizzát vagy bármi mást rendelhetnek a kontónkra. A Balabit tesztjében kiderül, hogy online vásárlás esetén a fenti négy adatot kérik el: a kártyaszámot, a kártyabirtokos nevét, a kibocsátó nevét és a lejárat dátumát. "A gyakorlat sajnos azt mutatja, hogy ha a kártyaszámot és a lejáratot sikerül helyesen beírni, a további mezők üresen hagyhatók vagy elgépelhetők, a tranzakció ettől még sikeres lesz, az összeget azonnal levonják a kártyáról" - áll a Balabit elemzésében.
Az emberek általában nem foglalkoznak a blokkal, tapasztalatunk, hogy azt általában a kasszánál hagyják, tehát az illetéktelenek rendkívül egyszerűen megszerzik a fizetéshez szükséges információkat. Ha ismert a kártyaszám, akkor blokk nélkül is könnyen kitalálható a többi adat, mert csak három kártyakibocsátó van, az OTP, a K&H és az MKB. Egyelőre – mivel a kártyák kibocsátása sem régen kezdődött, és a kártyák öt évig érvényesek – a lejárati dátum is könnyen, néhány próbálkozással kitalálható.
Az egyik banknál elmondták, hogy nyolc éve hasonló biztonsági rendszerrel működnek az egészségpénztári kártyák, és eddig nem történt visszaélés. A kártyaszám kitakarása egy gyors beállítással megoldható lenne, ám ezzel jelentősen megnehezítenék a kereskedők elszámolási nyilvántartását.
Egy banki szakértő elismerte, hogy az online tranzakcióknál van probléma, de a kockázatelemzés alapján arra számítanak, hogy egymillió tranzakcióra talán száz csalás jut. A bankoknak a veszélyek mellett azt is számításba kellett venniük, hogy PIN-kódot használó infrastruktúra felépítése pedig elég drága, és körülményesebb is a használata, emellett úgy gondolják, a Szép-kártyát jellemzően alacsony keresetűek használják, akik hamar elköltik majd a rajta lévő összeget. A bankoknak egyébként van eszközük arra, hogy a személyazonosság ellenőrzésére vegyék rá az elfogadóhelyeket: a vásárlások összegét csak 10-15 nappal később utalják át, és ha visszaélésről érkezik bejelentés, akkor nem fizetnek a kereskedőnek. Persze ugyanezt a módszert alkalmazzák a bankkártyák esetében is, a boltok mégsem kérnek tőlünk személyit.
"Minden esetben igaz, hogy a valódi kártyabirtokos az online lekérdező, telefonos lekérdező, és a vásárláskor kapott bizonylat információi alapján azonnal tudomást szerez egyenlege alakulásáról, és jogos reklamáció esetén biztonságban van elektronikus egyenlege." - írja a három bank közösen kiadott közleménye. A bankok arra figyelmeztetik a Szép-kártya birtokosait, hogy "bankkártyájukhoz hasonlóan fokozottan vigyázzanak Szép-kártyáikra is, azt ne adják ki a kezükből, és ha elvesztették, vagy ellopták tőlük, azonnal tiltassák le. Ugyanezt tegyék, ha megvan, de visszaélést tapasztalnak."
Milyen lépéseket kell mindenképpen megtenni ahhoz, hogy SZÉP kártyánk adatait ne juttassuk illetéktelenek kezébe?
1. Azonnal cserélje le a jelszót vagy a 3 jegyű TeleKódot a kártya aktiválása után!
2. Ne dobja ki felelőtlenül a kártyával együtt kapott tájékoztatót!
3. Soha ne hagyja ott a pénztárnál a blokk másodpéldányát, ha SZÉP Kártyával fizetett! Ne dobja ki felelőtlenül ezeket a bizonylatokat!
4. A SZÉP Kártya számát ne mondja el másnak!
5. A SZÉP Kártya lejárati dátumát ne árulja el senkinek!
6. Rendszeresen ellenőrizze egyenlegét és tételesen nézze át tranzakcióit!
7. Ha bármilyen gyanús tranzakciót észlel, jelezze szolgáltatójánál és/vagy tiltsa le SZÉP Kártyáját!
A Széchenyi Pihenő Kártyát (Szép-kártyát) 2011-ben vezették be a béren kívül adható munkáltatói (közismert nevén cafeteria) juttatások új elemeként. A banki hátterű, POS-terminálokon felhasználható utalványt az eredeti tervek szerint turisztikai szolgáltatások kifizetésére lehetett volna használni, a cél a korábbi, visszaélésekre lehetőséget adó Üdülési csekk kiváltása volt (tavaly október óta üdülési célú kedvezményes béren kívüli juttatást csak a Szép-kártyára lehet adni).
Az idén januárban hatályba lépett szja-törvény tovább bővítette a kártya felhasználhatóságát, azon három alszámlát különítettek el – szálláshely-szolgáltatási, rekreációs és melegétel-alszámla –, amivel felváltották a legelterjedtebb utalványokat. A kártyára egy munkavállalónak most már évi 450 000 forintot adhat kedvezményes, csak 30,94 százalékos közteherrel a munkáltatója (tavaly még 300 000 forint volt a felső határ).
A kártyát először az OTP bocsátotta ki, azóta a K&H és az MKB csatlakozott a rendszerhez. Március eleji adatok szerint a bankok eddig nagyjából kilencezer céggel és tizenötezer elfogadóhellyel kötöttek szerződést (egymással viszont nehezen állapodnak meg a kölcsönös elfogadásról, noha ez kötelező lenne). Az NGM néhány napja azt közölte, hogy több mint 350 000 dolgozó kapott ilyen kártyát.
Igaz, a kártyákat még korántsem töltötték fel teljesen. Ha ugyanis mind a 350 000 Szép-kártyás megkapná a maximális, 450 ezres összeget, az éves szinten 157,5 milliárd forintot jelentene. Az első negyedévben azonban ennek csak töredékét, 10,5 milliárd forintot utaltak a pihenőkártyákra – vagyis egy kártyára körülbelül 30 000 forintot –, ez időarányosan is csak alig több mint negyede a lehetséges teljes összegnek.