Aki olvasott már tőle valamit, egyetlen bekezdésből felismeri a stílusát. Jászberényi Sándor író, költő, haditudósító az utóbbi tizenöt év minden fegyveres konfliktusánál ott volt. Az ukrajnaihoz hasonlót még nem látott.
„A világon senkinek semmi köze hozzá.” Így summázza a véleményét, miután kedvesen elmagyarázza, miért nem fogja elárulni, novelláiban mennyi a fikció, és hogy szerinte ezt egyetlen írónak se kell bevallania. Aztán előre elnézést kér, ha elveszítené a türelmét interjú közben. Nem nekem szól, csak elfárad egy idő után, megviselték az idegeit az utóbbi másfél év harctéri lövései. Jászberényi Sándorral végül csaknem két órát beszélgetünk – csendesen, filozofálva, néha nevetgélve. Régi plakátokkal, fotókkal díszített lakásában hangosan szól Lou Reed, Másik János, a Coldplay és a The Beach Boys, sőt egy Cyndi Lauper-feldolgozásra is felkapom a fejem. Akár az én zenéim is lehetnének.
„Miután elkezdtem dolgozni mint újságíró, nagyon hamar megijedtem, hogy beáll az életem egy belátható pályára – mondja. – Nem érdekelt a hétköznapi élet, nem akartam belekerülni a család-munka-lakáshitel mókuskerékbe. Féltem, hogy mindezzel el fog fogyni az időm. Azt gondoltam, az egyetlen, amit ez ellen tehetek, az, hogy minél többet látok a világból.” Magyar és művelődésszervező ELTE-szakok után ment a Népszabadság újságíró-iskolájába, közben megtanult valamennyire arabul, és 2007-ben Egyiptomba költözött. Járt többek között Csádban, Nigériában, Irakban, Szíriában, a Gázai övezetben, Líbiában, Jemenben. „Az arab tavasz kitörése után rögtön odamentem, a krízishelyzetben megismerkedtem döntési pozícióban lévőkkel. Ez segít, hogy ha holnap mondjuk Nigerbe kellene utaznom, költséghatékonyan tehessem meg. Nincs bennem az a kardcsörtetős motiváció, csak akkor megyek fegyveres konfliktus közelébe, ha biztosan tudom, hogy érdemben tudok reflektálni a történtekre, és ezért el is tudom adni a nemzetközi sajtónak, amit írok.”
Tudósított az Al Jazeerának, a Sky News Arabiának, a The New York Timesnak és az Egypt Independentnek. Itthon legutóbb a 24.hu-n jelentek meg írásai az ukrajnai háborúról. „Mindig oda megy, ahonnan mások épp eljönnek, és a történteket úgy beszéli el, hogy érdemes rá figyelni – mondja Pető Péter, a 24.hu főszerkesztője. – Úgy ír a háborúk érzelmi oldaláról és az emberi szenvedésről, hogy leszakad a monitor a szövegei súlyától.”
A Forbes.hu-n megjelent első revolutos, csalós cikkem óta egyre-másra sodorja elém az élet a károsultak eseteit. Bőven vannak már tanulságok, de az is egyre világosabb, hogy lehet bármekkora zseni valaki, akkor sincs igazán védve.
Milyen ügyek vannak? A sorozat Tóth Attila ügyével indult. Hat perc alatt 2000 eurót, nagyjából 800 ezer forintot szívtak le a Revolut-számlájáról egy nyilvánvaló csalássorozat eredményeként, egyenlő, kereken 100, 200, 300, 500 eurós tételekben, váltakozva euró- és dolláralszámláiról. Nem ült a laptopja előtt, nem volt a keze ügyében a telefonja, egy budapesti jógateremben gyakorolt, cuccai a táskájában lapultak, miközben Apple Payre regisztrált kártyájával egy állítólagos brüsszeli dohányboltban (Ali Toys) garázdálkodtak egy téli esti órában.
Kardos Melindától már 5500 eurót loptak el, mialatt Budapesten aludt, tőle távoli helyeken, egy párizsi elektronikai használtcikk-boltban (Back Market) és a Dior párizsi luxusüzletében. A tajvani származású, de Budapesten élő Bonny (a teljes nevét pozíciója és a céges policy miatt nem közölhetjük) 4000 eurót veszített el, nála is csak néhány percre és egy ritmikus visszaélés-sorozatra volt ehhez szükség egy állítólagos Apple boltban, Barcelonában.
Mi a közös bennük? Mindhárom, a Forbes.hu-n korábban részletesen bemutatott esetben azt állítja a Revolut, hogy a tranzakciók mobiltárcás, Apple Pay-es fizetések voltak. Ezt a károsultak maguk nem tudják ellenőrizni, kénytelenek arra hagyatkozni, amit a fintech bank állít, és így el kell fogadniuk azt is, hogy a Revolut szabályzata kimondja, a mobiltárcás visszaéléseket nem tekinti visszaélésnek. Szerintük ugyanis a kétlépcsős azonosítás (ami ahhoz kell, hogy a bankkártyát társítsák a mobiltelefonhoz, és fizethessenek vele) annyira biztonságossá teszi ezt a fizetési módot, hogy csak az ügyfél tevőleges közreműködésével használhatja valaki más a mobiltelefonra regisztrált bankkártyát.
Csakhogy a megismert esetekben ezt kizárhatjuk, így felmerül a gyanú, hogy a Revolutnak kényelmesebb csípőből rávágnia minden hasonló esetre, hogy „sajnáljuk, Apple Pay volt, ezért nem fizetjük meg a károdat”. Ez a hárítás is közös, egyelőre egyik esetben sem ismeri el a bank, hogy az ő rendszerük is támadható. A károsultak hónapok óta futnak a pénzük után, eddig sikertelenül tettek be- és feljelentést rendőrségen, (litván) bankfelügyeletnél, ombudsmannál és hasonló szerveknél.
Hogyan történtek a csalások? A banki válasz erre egyszerű: adathalászat. Az áldozatok nyilvánvalóan benyeltek valami olyan linket (mailben, sms-ben, futártól, postától, akárhogy), aminek felülve és amire kattintva önként és dalolva megadták bizonyos adatukat, kártyaszámukat. Informatikai szakértőkkel beszélgetve és megint csak a részletesen megismert esetekből kiindulva ez nem ilyen egyszerű. Igen, a háromból egy esetben, Bonnynál volt egy kamu link (a Magyar Posta nevében jött), de a másodlagos azonosítót ő sem adta ki senkinek. Attila és Melinda sztorijában nem volt adathalászatnak nyoma, kifinomultabb módszerek állhattak a háttérben.
Hogyan dolgoznak a csalók? Rescator.cm, vought.cards, kfcclub.cm, majorcc.su – csak néhány példa, amit Mayer Gellért Levente (sorozatunkat az elejétől aktívan követő és segítő) kibervédelmi szakértő kapásból sorol. Ezek olyan „üzletek”, ahol lopott kártyaadatokat lehet vásárolni, és még csak nem is a darkweben, hanem az úgynevezett clearneten, minden extra nélkül, sima böngészőkből elérhető módon.
Vannak náluk rejtőzködőbb lelőhelyek és csoportok is, de ugyanazt csinálják: ezrével, tízezrével szereznek meg és adnak tovább bűnözőknek kártyaadatokat, és kimondottan olyanokat is árulnak, amiket mindenféle autentikáció nélkül Apple Payhez lehet párosítani. Minden banknak kicsit más a gyakorlata, de szinte mindenhol vannak könnyebben vagy nehezebben támadható biztonsági rések. És ha a csalók az adott bankok speciális szabályzatát is ismerik, például, hogy az Apple Pay-csalásokkal nem is foglalkoznak, az még nagyobb kísértés a lenyúlásra.
BotNetek, RAT hálózatok, sniffing, adatbázis feltörések, SQL-injekció, personalized spamming – mezei számlatulajdonos a kifejezésekről sem hallott, nemhogy tudná, hogyan védekezzen ellenük. De ez az egész kicsit olyan, mint a doppingszerek meg az ellenőrök egyenlőtlen versenyfutása, a bankok és főleg a szabályozók is kullognak a kiberbűnözők nyomában.
Kik a legveszélyeztetettebbek? Csalások bárhol és bárkivel előfordulhatnak, de az úgynevezett neobankok, fintech szolgáltatók sokkal jobban ki vannak téve nekik. A Revolutnak és a Wise-nak globális és nagyon kiterjedt ügyfélköre van, remek célpontjaik a szintén globális és szervezetten működő kiberbűnözőknek. Aki ezekben a bankokban sok pénzt tart, még vonzóbb célpont. Nem jellemző, hogy háromszáz euróért hekkeljék meg valakinek a számláját, mert ha ugyanannyi idő alatt, ugyanakkora macerával vissza tudnak élni ezer, több ezer, több tízezer euróval is, inkább azt csinálják.
Hol hibázott a bank? A megismert esetek alapján két állítás mindenképpen megfogalmazható. Az egyik általánosabb: a kényelem kontra biztonság egymásnak feszülő harcában nehéz mindkettőben domborítani. A Revolutot és a Wise-t (meg nyilván más hasonló fintech cégeket) azért szeretik itthon is már legalább egymillióan, mert lényegesen gyorsabban, könnyebben kezelhető felületen, rugalmasabban, olcsóbban oldanak meg olyan alapvető banki funkciókat, amiket a hagyományos nagybankok sokszor extrém idegesítő tempóban vagy körülményességgel tesznek meg.
Látszólag a biztonságra is sokat adnak, beépített videós kurzusokkal, egészen szofisztikált egyéni beállításokkal azt a hamis érzetet adják, hogy semmi baj sem történhet a pénzeddel. A felhasználók nagy százalékánál ez így is van, de a sokasodó esetek (háromról írtunk részletesen, de rengeteg van, a nemzetközi sajtóban is egyre forróbb a téma) sajnos azt igazolják, hogy jóval többet kellene költeniük a rendszerszintű biztonságra.
És nem is elsősorban amiatt, mert fintech cégek, hanem mert globális jelenlétük miatt jobban a csalók szeme előtt vannak, cserébe egy adott országban kisebb a reputációs kockázatuk, ha nem adják vissza az ellopott pénzeket, mint az évtizedek óta fiókhálózattal működő nagy bankoké.
De van egy konkrétabb állítás is, amit a sorozatot indító Tóth Attila esete remekül példáz. Öt év Revolut-múlt tizenkétezer tranzakciója és mindenféle biztonsági beállítások (például geolokációs védelem) mellett jogosan veszi zokon, hogy az évek alatt kirajzolódó egyéni pénzforgalmi sémájából tökéletesen kiugró tételek nem akadtak fenn a bank csalásmegelőző rendszerén (fraud scoring). Ezért mondja: „A tyúktojások között kellett volna felfedezni, nem egy kakukktojást, hanem egy strucctojást. És nem egyet, hanem tizenvalahány egymást követőt.”
Miért nem lehet lenyomozni az ellopott pénzt? Elvileg le lehetne, de úgy tűnik, senkinek sem igazán érdeke, és mindenkinek túl nagy macera. A meglopott ügyfél hiába tesz rendőrségi feljelentést, annak alapján aligha indul minden egyes ügyben egy komplett nemzetközi nyomozás. A Revolut a nála vezetett számlákra rálát, de a csalók pillanatok alatt tovább és még tovább utalják a pénzt, ennek felderítésére megint csak nagy elszántság kell, és hogy a bank is tegyen feljelentést. Minden – számára apró – ügyben nem fog, inkább hárít, mást okol, vagy ha valaki túl hangosan veri az asztalt, legfeljebb őt kifizeti. Még mindig olcsóbb kárpótolni néhány károsultat, mint minden ügyben eljárni, és főképp még több pénzt ölni a biztonsági fejlesztésekbe.
Mi a megoldás? Amennyire lehet, óvatosnak és kicsit gyanakvónak kell tudni maradni. Nemcsak az adathalászlinkek a veszélyesek, lehetőség szerint kémprogramot se gyűjtsünk be (ez leginkább fertőzött letöltésekkel kerülhet az eszközeinkre), és ne tévedjünk függönyoldalakra, kamuoldalakra, amikor például repülőjegyet foglalunk, szállást keresünk stb. Kétfaktoros azonosításhoz, ha tudunk, független azonosítót (például Google-autentikátort) használjunk. Sokkal biztonságosabb, mint az sms-ben küldött azonosító kód, és biztonságosabb a banki applikáción belüli azonosításnál is.
Ha pedig mégis megtörtént a baj, azonnal lépni kell és hangosan cselekedni. A jóhiszeműség itt is kevés: nem elég a szükséges nyomtatványokon, hivatalos csatornákon szorgosan panaszt tenni. Azon kevés esetben, amikor a károsult visszakapta a pénzét, a tapasztalat sajnos azt mutatja, hogy kiverte a palávert. Ez 2023-ban azt jelenti, hogy a közösségi médiában, leghatásosabban LinkedInen, Twitteren nyilvánosan balhézott, illetve direkt Messenger-üzenetekben próbálta meg bombázni az érintett bank vezetőit.
A Revolut-dosszié részletes anyagai a Forbes.hu-n gyűlnek. A következő epizód a másik nagy neobank, a Wise egyik károsultjáról fog szólni. Tőle 45 000 eurót (17 millió forintot) loptak el. Izgalmas sztori, izgalmas végkifejlettel.
A dicső járványéveknek vége. Az e-kereskedelemben szinte mindenkinek jól ment a szekere, viszont a covid lecsengésével most már tényleg okosnak kell lenni, és a pénzzel meg a fejlesztésekkel is okosan kell bánni. Pláne olyan tőkeerős régiós titánok árnyékában, mint az Emag, az Alza vagy a Kifli – ezek ugyanis egyre agresszívabbak a magyar piacon. A Forbes és a Google három országban, Csehországban, Szlovákiában és Magyarországon is feltérképezte a digitális hősöket. Közös listánkban hoztunk is tíz (plusz három) meggyőző sztorit – ezek a cégek, webáruházak az elmúlt évben is bebizonyították, hogy nem hiába biztosak a dolgukban.
Al Ghaoui Hesna író, újságíró kézírással szeret leginkább jegyzetelni, csakis olyan telefont használ, amihez érintőtoll is tartozik. Most megmutatja az általa leggyakrabban megnyitott alkalmazásokat, és ráadásul arról az appról is mesél, amelyiken ő is dolgozott.
Olyan gazdasági modellt építünk, amihez semmilyen erőforrásunk nincs meg, inflációban és recesszióban ülünk, és ha körbenézünk a régióban, legalább 400-as euró lenne logikus. Amikor Jaksity György elemez, nem lesz sokkal jobb kedved, de biztos, hogy tisztábban látod a világ és benne Magyarország dolgait, mint addig. A Concorde Értékpapír legismertebb alapító tulajdonosa és az ország egyik legholisztikusabb befektetője szerint bár ördögi körben vagyunk, csinálni kell a dolgokat.
Magáról azt mondja, nem vállalkozna Magyarországon, ha annyira pesszimista lenne, mint amilyen a híre, de ha valami nem jó irányba megy, arról nem tudja azt mondani, hogy jó irányba megy. Négy éve nem ült repülőre, mert minden megváltozott. Egyvalami nem: ahogy Jaggernek a Stones, neki harminc éve a Concorde a hobbija.
Semmilyen pénzügyminiszter vagy jegybankelnök sem tudott volna pontosabban fogalmazni az öngondoskodásról, mint erdész barátom a minap. Szerinte a faültetésre a legjobb időpont éppen húsz évvel ezelőtt volt, a második legjobb időpont pedig ma van. Ugyanez igaz az öngondoskodásra. Esszenciális meglátás ez. Az én tanácsom is az, hogy semmiképpen ne várjunk az államra, vegyük tudomásul, hogy esélyünk sincs arra a – szerény […]
