Milyen ügyek vannak?
A sorozat Tóth Attila ügyével indult. Hat perc alatt 2000 eurót, nagyjából 800 ezer forintot szívtak le a Revolut-számlájáról egy nyilvánvaló csalássorozat eredményeként, egyenlő, kereken 100, 200, 300, 500 eurós tételekben, váltakozva euró- és dolláralszámláiról. Nem ült a laptopja előtt, nem volt a keze ügyében a telefonja, egy budapesti jógateremben gyakorolt, cuccai a táskájában lapultak, miközben Apple Payre regisztrált kártyájával egy állítólagos brüsszeli dohányboltban (Ali Toys) garázdálkodtak egy téli esti órában.

Kardos Melindától már 5500 eurót loptak el, mialatt Budapesten aludt, tőle távoli helyeken, egy párizsi elektronikai használtcikk-boltban (Back Market) és a Dior párizsi luxusüzletében. A tajvani származású, de Budapesten élő Bonny (a teljes nevét pozíciója és a céges policy miatt nem közölhetjük) 4000 eurót veszített el, nála is csak néhány percre és egy ritmikus visszaélés-sorozatra volt ehhez szükség egy állítólagos Apple boltban, Barcelonában.

Mi a közös bennük?
Mindhárom, a Forbes.hu-n korábban részletesen bemutatott esetben azt állítja a Revolut, hogy a tranzakciók mobiltárcás, Apple Pay-es fizetések voltak. Ezt a károsultak maguk nem tudják ellenőrizni, kénytelenek arra hagyatkozni, amit a fintech bank állít, és így el kell fogadniuk azt is, hogy a Revolut szabályzata kimondja, a mobiltárcás visszaéléseket nem tekinti visszaélésnek. Szerintük ugyanis a kétlépcsős azonosítás (ami ahhoz kell, hogy a bankkártyát társítsák a mobiltelefonhoz, és fizethessenek vele) annyira biztonságossá teszi ezt a fizetési módot, hogy csak az ügyfél tevőleges közreműködésével használhatja valaki más a mobiltelefonra regisztrált bankkártyát.

Csakhogy a megismert esetekben ezt kizárhatjuk, így felmerül a gyanú, hogy a Revolutnak kényelmesebb csípőből rávágnia minden hasonló esetre, hogy „sajnáljuk, Apple Pay volt, ezért nem fizetjük meg a károdat”. Ez a hárítás is közös, egyelőre egyik esetben sem ismeri el a bank, hogy az ő rendszerük is támadható. A károsultak hónapok óta futnak a pénzük után, eddig sikertelenül tettek be- és feljelentést rendőrségen, (litván) bankfelügyeletnél, ombudsmannál és hasonló szerveknél.

Hogyan történtek a csalások?
A banki válasz erre egyszerű: adathalászat. Az áldozatok nyilvánvalóan benyeltek valami olyan linket (mailben, sms-ben, futártól, postától, akárhogy), aminek felülve és amire kattintva önként és dalolva megadták bizonyos adatukat, kártyaszámukat. Informatikai szakértőkkel beszélgetve és megint csak a részletesen megismert esetekből kiindulva ez nem ilyen egyszerű. Igen, a háromból egy esetben, Bonnynál volt egy kamu link (a Magyar Posta nevében jött), de a másodlagos azonosítót ő sem adta ki senkinek. Attila és Melinda sztorijában nem volt adathalászatnak nyoma, kifinomultabb módszerek állhattak a háttérben.

Hogyan dolgoznak a csalók?
Rescator.cm, vought.cards, kfcclub.cm, majorcc.su ­– csak néhány példa, amit Mayer Gellért Levente (sorozatunkat az elejétől aktívan követő és segítő) kibervédelmi szakértő kapásból sorol. Ezek olyan „üzletek”, ahol lopott kártyaadatokat lehet vásárolni, és még csak nem is a darkweben, hanem az úgynevezett clearneten, minden extra nélkül, sima böngészőkből elérhető módon.

Vannak náluk rejtőzködőbb lelőhelyek és csoportok is, de ugyanazt csinálják: ezrével, tízezrével szereznek meg és adnak tovább bűnözőknek kártyaadatokat, és kimondottan olyanokat is árulnak, amiket mindenféle autentikáció nélkül Apple Payhez lehet párosítani. Minden banknak kicsit más a gyakorlata, de szinte mindenhol vannak könnyebben vagy nehezebben támadható biztonsági rések. És ha a csalók az adott bankok speciális szabályzatát is ismerik, például, hogy az Apple Pay-csalásokkal nem is foglalkoznak, az még nagyobb kísértés a lenyúlásra.

BotNetek, RAT hálózatok, sniffing, adatbázis feltörések, SQL-injekció, personalized spamming – mezei számlatulajdonos a kifejezésekről sem hallott, nemhogy tudná, hogyan védekezzen ellenük. De ez az egész kicsit olyan, mint a doppingszerek meg az ellenőrök egyenlőtlen versenyfutása, a bankok és főleg a szabályozók is kullognak a kiberbűnözők nyomában.

Kik a legveszélyeztetettebbek?
Csalások bárhol és bárkivel előfordulhatnak, de az úgynevezett neobankok, fintech szolgáltatók sokkal jobban ki vannak téve nekik. A Revolutnak és a Wise-nak globális és nagyon kiterjedt ügyfélköre van, remek célpontjaik a szintén globális és szervezetten működő kiberbűnözőknek. Aki ezekben a bankokban sok pénzt tart, még vonzóbb célpont. Nem jellemző, hogy háromszáz euróért hekkeljék meg valakinek a számláját, mert ha ugyanannyi idő alatt, ugyanakkora macerával vissza tudnak élni ezer, több ezer, több tízezer euróval is, inkább azt csinálják.

Hol hibázott a bank?
A megismert esetek alapján két állítás mindenképpen megfogalmazható. Az egyik általánosabb: a kényelem kontra biztonság egymásnak feszülő harcában nehéz mindkettőben domborítani. A Revolutot és a Wise-t (meg nyilván más hasonló fintech cégeket) azért szeretik itthon is már legalább egymillióan, mert lényegesen gyorsabban, könnyebben kezelhető felületen, rugalmasabban, olcsóbban oldanak meg olyan alapvető banki funkciókat, amiket a hagyományos nagybankok sokszor extrém idegesítő tempóban vagy körülményességgel tesznek meg.

Látszólag a biztonságra is sokat adnak, beépített videós kurzusokkal, egészen szofisztikált egyéni beállításokkal azt a hamis érzetet adják, hogy semmi baj sem történhet a pénzeddel. A felhasználók nagy százalékánál ez így is van, de a sokasodó esetek (háromról írtunk részletesen, de rengeteg van, a nemzetközi sajtóban is egyre forróbb a téma) sajnos azt igazolják, hogy jóval többet kellene költeniük a rendszerszintű biztonságra.

És nem is elsősorban amiatt, mert fintech cégek, hanem mert globális jelenlétük miatt jobban a csalók szeme előtt vannak, cserébe egy adott országban kisebb a reputációs kockázatuk, ha nem adják vissza az ellopott pénzeket, mint az évtizedek óta fiókhálózattal működő nagy bankoké.

De van egy konkrétabb állítás is, amit a sorozatot indító Tóth Attila esete remekül példáz. Öt év Revolut-múlt tizenkétezer tranzakciója és mindenféle biztonsági beállítások (például geolokációs védelem) mellett jogosan veszi zokon, hogy az évek alatt kirajzolódó egyéni pénzforgalmi sémájából tökéletesen kiugró tételek nem akadtak fenn a bank csalásmegelőző rendszerén (fraud scoring). Ezért mondja: „A tyúktojások között kellett volna felfedezni, nem egy kakukktojást, hanem egy strucctojást. És nem egyet, hanem tizenvalahány egymást követőt.”

Miért nem lehet lenyomozni az ellopott pénzt?
Elvileg le lehetne, de úgy tűnik, senkinek sem igazán érdeke, és mindenkinek túl nagy macera. A meglopott ügyfél hiába tesz rendőrségi feljelentést, annak alapján aligha indul minden egyes ügyben egy komplett nemzetközi nyomozás. A Revolut a nála vezetett számlákra rálát, de a csalók pillanatok alatt tovább és még tovább utalják a pénzt, ennek felderítésére megint csak nagy elszántság kell, és hogy a bank is tegyen feljelentést. Minden – számára apró – ügyben nem fog, inkább hárít, mást okol, vagy ha valaki túl hangosan veri az asztalt, legfeljebb őt kifizeti. Még mindig olcsóbb kárpótolni néhány károsultat, mint minden ügyben eljárni, és főképp még több pénzt ölni a biztonsági fejlesztésekbe.

Mi a megoldás?
Amennyire lehet, óvatosnak és kicsit gyanakvónak kell tudni maradni. Nemcsak az adathalászlinkek a veszélyesek, lehetőség szerint kémprogramot se gyűjtsünk be (ez leginkább fertőzött letöltésekkel kerülhet az eszközeinkre), és ne tévedjünk függönyoldalakra, kamuoldalakra, amikor például repülőjegyet foglalunk, szállást keresünk stb. Kétfaktoros azonosításhoz, ha tudunk, független azonosítót (például Google-autentikátort) használjunk. Sokkal biztonságosabb, mint az sms-ben küldött azonosító kód, és biztonságosabb a banki applikáción belüli azonosításnál is.

Ha pedig mégis megtörtént a baj, azonnal lépni kell és hangosan cselekedni. A jóhiszeműség itt is kevés: nem elég a szükséges nyomtatványokon, hivatalos csatornákon szorgosan panaszt tenni. Azon kevés esetben, amikor a károsult visszakapta a pénzét, a tapasztalat sajnos azt mutatja, hogy kiverte a palávert. Ez 2023-ban azt jelenti, hogy a közösségi médiában, leghatásosabban Linked­Inen, Twitteren nyilvánosan balhézott, illetve direkt Messenger-üzenetekben próbálta meg bombázni az érintett bank vezetőit.

A Revolut-dosszié részletes anyagai a Forbes.hu-n gyűlnek. A következő epizód a másik nagy neobank, a Wise egyik károsultjáról fog szólni. Tőle 45 000 eurót (17 millió forintot) loptak el. Izgalmas sztori, izgalmas végkifejlettel.