Iparági becslések szerint a hitelkártya-csalások nagyjából évi 190 milliárd dollárral rövidítik meg a világ bankjait, kereskedőit és kártyahasználóit. Ez iszonyatosan sok pénz, több mint a teljes magyar gazdaság egy évi teljesítménye. Még akkor is, ha ebben az összegben tényleg minden benne van, a védekezés költségeitől az összes létező, lazán kapcsolódó veszteségig, és a lopott hitelkártyás ügyletekkel konkrétan ellopott pénz csak (csak!) évi 32 milliárd dollár körül van. Ez nem is olyan sok. Mintha mondjuk kirabolnák az OTP-t. Nem egy fiókot, az egész bankhálózatot, mindenestül, ahogy van. Négyszer.

A dologban az a legizgalmasabb, hogy a szervezett bűnözés más ágaival ellentétben, tulajdonképpen a szemünk előtt zajlik a nagy része.

Egyáltalán hogyan lopják el a kártyaszámom?

A klasszikus, hardveres módszer az ún. skimmer használata. Ez egy kütyü, amit tipikusan ATM-ekre szoktak feltűnés nélkül ráapplikálni, és annyit csinál, hogy leolvassa és megjegyzi a kártyáról a megfelelő adatokat (Kínából minden további nélkül beszerezhető nagy tételben). Elvileg akár egy boltban vagy étteremben is lehet skimmer a kártyaolvasón, sőt, akár a pincér/eladó is lefényképezheti a kártyát, vagy leírhatja róla az adatokat feltűnés nélkül, de ezek nem annyira jellemzőek.

Leginkább azért, mert az ilyen módszerek a hatékonysága ma már eltörpül az online megoldásoké mellett: vagy adathalász emailekkel a felhasználókat támadják, vagy adatbázis-hekkeléssel boltokat és szolgáltatókat. Itt lehet igazán bankot robbantani, ha a célpont elég nagy, lásd például a Home Depot (56 millió kártyaszám) vagy a Target (70 millió kártya) feltörését. A legkellemetlenebb, hogy az ilyen hekkelések sokszor a megtámadott számára is észrevétlenek maradnak, a Yahoo feltörése (500 millió felhasználó személyes adatait vitték el, mondjuk kártyaszámok ebben pont nem voltak) például két évig maradt titokban.

Rastislav Turek online biztonságtechnikai szakértő témába vágó előadása szerint a hekkerek átlagosan 1 dollár per kártyaszám áron passzolják el az így megszerzett adatokat. A kártyaadatok aztán további 2-3, de akár fél tucat közvetítő és dealer kezén is átmehetnek, míg feltűnnek az online feketepiacokon (nyilván nem az összes, egy részük ezt a kanyart kihagyva, direkt kerül bűnözői csoportok kezébe). És ez az a pont, ahol már laikusként is lehetőségünk nyílik belenézni a bizniszbe:

Az internet mélyén

A sötét web legnagyobb piacterén, a csak TOR böngészővel elérhető Alphabayen néztünk körül, hogy felmérjük a kínálatot és az árakat. A tutibiztosan működőként hirdetett, amerikai kártyaszámok átlagára 8,5-10 dollár körül mozog, de ebben a műfajban is van mennyiségi kedvezmény: tíz darabtól felfelé már 7, ötvenes rendelésnél 6 dolláros árat is találunk. Megvannak ennek a piacnak is az exkluzív butikjai és diszkont-nagyáruházai: előbbiekben platina kategóriás (vagyis több ezer dolláros vásárlási limitű) kártyákat találunk 20-25 dolláros darabáron, utóbbiakban a szlengben dumpnak nevezett adatbázisokat, amelyekben egy forrásból származó kártyaszámok vannak, ömlesztve. Mérettől függően több száz dollárt is elkérnek egy ilyenért. Külön piaca van a lopott kártyával feltöltött online szolgáltatásoknak, Netflixet vagy Spotifyt prémium hozzáféréssel 2-3 dollárért vehetünk, a pornóoldalakat csomagban adják, egy tizes környékén. (Bár az árak dollárban vannak megadva, a fizetés természetesen bitcoinban történik.)

Hogy mi van a csomagban, az is változó, a minimum a kártyára írt név, maga a kártyaszám, a lejárati dátum, és az ellenőrző kód – vagyis minden, ami egy online vásárláshoz kell. Extraként szerepelhet például a PIN-kód, vagy a tulaj címe; mindjárt látni fogjuk, miért fontos ez.

Régebben szokás volt a lopott adatokat felhasználva fizikailag leklónozni egy kártyát, aztán azzal megpróbálni vásárolni, vagy egy saját kártyaolvasóval egyszerűen lehúzni róla pénzt. Ez azonban lassú is, macerás is, kockázatos is, így ma már szinte teljesen kiszorította a lopott kártyaszámokkal való online vásárlás. Ennek a neve a szlengben carding, és valójában egy óriási, többszörösen illegális szerencsejáték, hiszen sosem tudhatjuk, hogy mikor veszi észre a tulaj a lopást, és tiltatja le a kártyát. A sötét web fórumain megdöbbentően aprólékos útmutatók vannak ahhoz, hogyan is kell ezt elkerülni. A tanácsok nagy része arra alapoz, hogy a kártya tulaja úgyis lassan reagál, a webshopoknak pedig csak a gyanús tranzakciók ellenőrzésére van energiájuk, tehát a megoldás: ne legyünk gyanúsak. Csináljunk magunknak a kártya eredeti tulajához passzoló ip-címet, tartsuk a vásárlások pár száz dolláros szint alatt. Ha fizikai terméket vásárlunk, ne a saját címünkre rendeljük, és időzítsünk forgalmas időszakra, például karácsony elé. A legmeglepőbb tanácsot egy indiai oldal adta, ami egyébként egyfajta online orgazdaként lopott kártyaszámmal vásárolt cuccok továbbértékesítésével foglalkozik, kábé féláron:

Ne menj egyből az apple.com-ra iPhone-t venni. Kezdj valami szirszar webshoppal és vacak termékekkel, így a legkisebb az esély, hogy lebuksz.

Na de miért venne bárki vacak cuccokat? Hát azért, mert ez az egész biznisz nem arról szól, hogy olyasmit vásárolok a lopott kártyámmal, ami egyébként kell nekem, hanem arról, hogy veszek valamit, amit aztán továbbpasszolok pénzért, a kártyát meg úgyis letiltják, na bumm. Így megvan a nyereség, és a pénz tisztára mosása is. Az aktuális slágertermék egészen meghökkentő módon a printerbe való festékkazetta: nem túl drága, nem feltűnő, ha valaki sokat vesz, könnyen eladható nagyobb mennyiségben is például az Ebayen. De jellemző még a telefon, mindenféle szórakoztató elektronikai kütyük, luxuscuccok, ajándékkártyák, kuponok, és a különféle online szolgáltatások, előfizetések, pénzes letöltések. Utóbbiak leginkább azért, mert hosszú távon is működhetnek: sok esetben egyszerűen nem tűnik fel a lopott kártya tulajának, hogy leesett a számlájáról mondjuk egy Netflix-havidíj.

Akkor most rettegjek?

Van egy jó hírünk és egy rossz. A jó: a magyar kártyaszámok aránylag biztonságban vannak. Ennek több oka is van:

• Kicsi és egzotikus ország vagyunk, és a feketepiacon nem az ilyen helyekről származó kártyák a keresettek, hanem az amerikaiak és nyugat-európaiak.
• Itthon már jó ideje általános az sms-értesítő a pénzmozgásokról (kevesen tudják, de ennek a bevezetésében világelsők voltunk 1998-ban), ami gyorsan lebuktatja, ha illetéktelen használja a kártyaszámot.
• Nálunk sokkal kevesebb a kártyahasználat (online meg pláne), mint tőlünk nyugatra, ahol tipikusan több kártyája is van egy embernek, és készpénzt alig használnak - így kevésbé is tűnik fel egy-egy plusz vásárlás az összesítőn.
• Európában már rég véget ért az átállás a mágnescsíkos kártyákról a csipesekre (Amerika épp most nyögi ezt a váltást), ami a fizikai kártyahamisítást, klónozást nagyon megnehezíti, de a skimmer használatát is..

A rossz hír pedig az, hogy mindez nem jelenti azt, hogy mi ne járnánk rosszul az egész jelenséggel. A lopott bankkártyák bizniszén a veszteségnek csak aránylag kis részét nyeli le a kártyatulajdonos, a nagyját a bankok és főleg a kereskedők szenvedik el, ahol a lopott kártyát használták. A legjellemzőbb ez a forgatókönyv:

1. A kártyaadatokat ellopják (valakik, valahogy, erről már volt szó).
2. Darkwebes vagy egyéb dealereken keresztül eljut ahhoz, aki használni akarja.
3. Ő valamilyen kereskedőnél vagy szolgáltatónál pénzt költ a kártyával.
4. A kártyát előbb-utóbb letiltják.
5. A bank törli a tranzakciót, és visszautalja a pénzt a kártya tulajdonosának.
6. A kereskedő meg nyomozhat a csaló után, de jellemzően, és főleg kis összegeknél inkább kénytelen-kelletlen lenyeli a veszteséget.

Mivel összességében irdatlan pénzekről van szó, aminek a nagy része sosem térül meg, ezt a veszteséget (vagy a biztosítás költségét, amit kötnek rá) kénytelenek belekalkulálni az áraikba az online boltok és szolgáltatók, ahogy a bolti lopásokat a hagyományos áruházak. Így aztán végső soron minden vásárló megszívja.

Na de mit tehetünk, ha a minimumra akarjuk szorítani a kártyaszámunk ellopásának az esélyét? Ne dőljünk be adathalász leveleknek. Kérjünk a banktól sms-értesítést a kártyánkhoz, és az online vásárlásokat intézzük direkt erre specializált virtuális kártyával, amin nincs ott az egész fizetésünk, csak annyi, amennyi éppen a vásárláshoz kell. Kerüljük a gyanús webes boltokat, csak megbízható helyen adjuk meg a kártyaadatainkat. És ha bárki, pillanatnyi elmezavar által hajtott hirtelen felindulásból arra jutna, hogy nahát, ez az egész carding milyen jó móka lehet, ki kéne próbálni, legyen világos mindenki számára, hogy nem az, hanem bűncselekmény, jogászul úgy hívják, készpénz-helyettesítő fizetési eszközzel visszaélés, és a Btk. alapjáraton egy, üzletszerű elkövetésénél három évig terjedő szabadságvesztéssel jutalmazza.