Ami józan ésszel napnál világosabb, és minden jóérzésű ember igazságérzetét sérti, az a Revolut és a litván bankfelügyelet oldaláról teljesen máshogy néz ki. Ellopott milliók és a visszaszerzésükért folytatott küzdelem története. Revolut-sztori 3.0.
Ígértük, hogy követjük és megosztjuk a fejleményeket abban az ügyben, ami azzal a kínos kérdéssel kezdődött, hogy hogy tűnhet el 800 ezer forint hat perc alatt a Revolutról. Azóta tudjuk, messze nem egyedi esetről van szó. A Revolutot nem sikerült megszólaltatnunk az ügyben, de azt tudjuk, hogy a hagyományos bankok szerint 99 százalékban adathalászat és sokszor az ügyfelek figyelmetlensége áll a hasonló visszaélések mögött.
- Tudjuk azt is, hogy léteznek igen kifinomult módszerek, amik ellen majdnem tehetetlenek vagyunk, legyünk bármennyire óvatosak.
- Van fogalmunk arról, hogy nagyjából milyen technika áll a csalássorozatok mögött.
- Sejtjük, hogy nemzetközi hálózatokban garázdálkodó kiberbűnözők lopják meg az akár pénzügyekben átlagon felül képzett banki ügyfeleket, és hogy a globális neobankok (Revolut, Wise és társai) különösen kedvelt célpontjaik.
- És tudjuk, hogy több Revolut-ügyfél beleállt a sztoriba. Teljes munkaidőkkel számolva fejenként már legalább 2–3 hétnyi munkát tettek abba, hogy bizonyítsák igazukat, és visszakapják a pénzüket.
- Legfőképpen azért küzdenek, hogy a továbbiakban hasonló esetek velük vagy mással ne történhessenek meg, és hogy a Revolut a mostaninál lényegesen többet tegyen a benne bízó banki ügyfelek pénzének biztonságáért.
„Évekig fog tartani, ebben biztos vagyok. A jognak előbb utol kell érnie a technikai fejlődést”
– mondja Kardos Melinda. Az általunk megismert károsultak közül eddig ő jutott a legmesszebbre, és mint látni fogjuk, jogosan csalódott. Előbb azonban érdemes röviden végigmenni három alanyunk, Attila, Melinda és Bonny esetén. Vannak közöttük hasonlóságok és tanulságos különbségek is.
Attila
Tóth Attila ügyével indítottuk el a Revolut-dossziét. Fotó: Sebestyén László
Cikksorozatunk első részében részletesen bemutattuk Tóth Attila ügyét. Most csak egész röviden: Attila pénzügyi szakember, régi Revolut-ügyfél, aktívan és tudatosan használja az app kényelmi és biztonsági funkcióit. Január 31-én este 7 óra 5 perc és 7 óra 11 perc között egymást követő kamuvásárlásokkal mégis meglopták, összesen 2050 euróval (akkori árfolyamon majdnem 800 ezer forinttal). A már ránézésre is gyanús, kivétel nélkül kerek összegű, 100-300-500 eurós tranzakciókat egy bizonyos Ali Toysból indították.
Egymás után 12 ilyen „vásárlás” történt, ez alatt az idő alatt Attila egy budapesti jógateremben mit sem sejtve gyakorolt.
Telefonja, számítógépe, okosórája nem volt a keze ügyében. A geolokációs védelem be volt kapcsolva a Revolut appban. Előzetesen nem adta meg senkinek a kártyaadatait vagy bármilyen egyszer használatos belépési kódot, és azóta sincs semmi nyoma a számítógépén, hogy bármilyen adathalász linkre kattintott volna.
Az Ali Toysról addig életében nem hallott még, azóta is csak annyi információja van róluk, amit kiguglizott. A térkép szerint látszólag egy belgiumi dohányboltról van szó. Nincs semmilyen oldaluk vagy normális elérhetőségük, így lehetetlen velük felvenni a kapcsolatot. Minden bizonnyal egy olyan beépített kamukereskedő, mint akikről cikksorozatunk második részében írtunk. Egyike lehet azoknak, akik együttműködnek a RAT-tal visszaélő csaló hálózatokkal. (A RAT a remote access trojan szoftverek rövidítése, amelyek a számítógépre rátelepülve képesek átvenni az irányítást a gép fölött – működésükről részletesen a második részben írtunk.)
Amint a történtek után pár órával észrevette a csalásokat, azonnal jelezte a Revolutnak, kérte a még függőben lévő tranzakciók leállítását és az elcsalt pénzek visszafizetését. Hosszú és kimerítő levelezések után a Revolut válasza annyi volt, szerintük nem történt visszaélés. Belső, Attila által azóta sem megismerhető információik szerint a vitatott tranzakciókat Apple Payjel fizették.
Belső szabályzatukra és arra hivatkozva, hogy a mobiltárcás fizetések nem történhetnek meg a kártyatulajdonos közreműködése és tudta nélkül, kártérítési kérelmét lesöpörték. A tanulságos csörte részletei korábbi cikkeinkben – itt és itt.
Melinda
Kardos Melindának már a litván nemzeti banktól is van egy elutasító levele. Fotó: Sebestyén László
Kardos Melinda esete kísértetiesen hasonló. Ő sem tegnap kezdte használni a Revolutot, maga is a pénzügyi szférában dolgozik, és mivel nem sokkal azelőtt érkezett haza egy hosszú külföldi utazásról, az átlagosnál több pénzt tartott ottani számláján. Őt is mobiltárcás fizetéssel lopták meg fizikailag tőle távol lévő helyekről egy februári éjszaka közepén. Negyedóra leforgása alatt 5553 eurót szivattyúztak ki revolutos dollár- és eurózsebeiből.
A tranzakciók február 16-án hajnali 3 után történtek, a következő lépésekben:
- 3.17. Back Market: 662,87 euró
- 3.18. Back Market: 662,87 euró
- 3.19. Back Market: 662,87 euró
- 3.21. Christian Dior Couture: 1900 euró
- 3.25. Christian Dior Couture: 999,95 euró
- 3.31. Back Market: 664,52 euró
Volt még további négy kísérlet összesen 3800 euró értékben, ezek fedezethiány miatt már nem teljesültek.
Csak a csalások másnapján vette észre, mi történt, ekkor ő is azonnal jelezte a visszaéléseket a banknak. Egyértelművé tette, hogy
soha életében nem vásárolt ezekben az üzletekben. Pláne nem február 16-án éjjel, amikor az ágyában aludt Budapesten.
A Back Marketről ezt megelőzően még hallani sem hallott, azóta annyit tud róla, hogy egy állítólagos kütyübolt a párizsi Opera mellett, használt elektronikai eszközöket árul, de csak regisztrált vevőiknek (ő sohasem regisztrált). A szintén párizsi Dior divatháznál álmában talán szívesen költene 3000 eurót egy ruhakölteményre, de valójában ez sem fordult még vele elő.
A kereskedők neve és címe azonban voltaképpen lényegtelen, hiszen ahogy Attila esetében is, ez a két kereskedő is minden bizonnyal álca, a csalók visszaélnek a nevükkel.
Azért Melinda megpróbálta felvenni velük a kapcsolatot. A Back Markethez nem jutott el, a Dior pedig nem adott ki információt a kérdéses vásárlásokról arra hivatkozva, hogy ezek csalárd tranzakcióknak tűnnek.
Csakhogy a Revolut nem így látja. Az ő válaszuk itt is ugyanaz volt, mint Attilánál: ha Apple Pay-es vásárlások voltak, az nem visszaélés. Nem jár kártérítés, nem foglalkoznak vele.
Van jele a támadásnak
Az eddig említett két eset között nagyon sok a hasonlóság, de egy fontos különbség van.
Míg Attilánál utólag sincs nyoma annak, hogy hogyan fértek hozzá a csalók a kétlépcsős mobiltárcás azonosítókhoz (könnyen lehet, hogy maga a RAT eltüntette az árulkodó nyomokat), Melindánál legalább feltételezni lehet, hogy tényleg hozzáfértek.
Ő ugyanis utólag a nyomára bukkant egy sms-nek, benne egy, a Revolut által küldött kóddal, ami ahhoz kellett, hogy a bankkártyáját egy másik iPhone-on lehessen használni. Ezt csak hetekkel a csalás után vette észre, de az még a kamuvásárlások előtt két nappal érkezett, este 10-kor.
Ma már sejti, hogy ez annak jele volt, hogy:
- előzőleg megfertőződhetett a számítógépe (azt nem tudta feltárni, hogy hogyan),
- hozzáfértek a kártyaadataihoz,
- akcióba lendült a financial RAT a gépén,
- egy alkalmas pillanatban párosították a kártyáját egy, a csalóhoz tartozó iPhone-hoz,
- majd a fertőzött számítógép üzenet-szinkronizálását kihasználva megszerezték az Apple Pay aktiválásához szükséges sms-kódot, amit elküldött a Revolut.
Ma már azt is tudja, hogy az efféle sms-eket nem elég ignorálni. Ha újra ilyet kapna, valószínűleg befagyasztaná a kártyáját és lecseréltetné a Revoluttal, jelszót cserélne a mobilappban, átvizsgáltatná az eszközeit, esetleg offline használná egy ideig, vagy legalább kikapcsolná a szinkronizálást.
Persze, nincs rá garancia, hogy így megúszná a visszaélést, mint ahogy arra sem, hogy nincsenek más módszerek a kártyaadatok és az Apple Pay-es hozzáférés megszerzésére. Attilánál például semmilyen értesítésnek nincs nyoma, ami arra utalna, hogy a Revolut-fiókjához tartozó virtuális kártyáját egy új eszközben helyezték volna üzembe, mégis hónapok óta fut a tőle ellopott 2000 eurója után.
Bonny
Bonny IT-vezető egy globális pénzügyi cégnél. Mégis tőrbe csalták. Fotó: Sebestyén László
Bonny tajvani származású, Amerikában nevelkedett, és néhány éve Budapesten él, IT-vezető egy globális pénzügyi cégnél. (Munkahelye irányelvei miatt nem írhatjuk le a teljes nevét és munkahelyét, sztoriját csak mint magánember oszthatta meg velünk.) Nem mondhatni, hogy ne lenne rutinja vagy tudása bankügyekhez és/vagy technológiához, ám ez sem volt garancia arra, hogy ne essen áldozatul a csalóknak.
Két éve használja a Revolutot, a fizetését nem oda utaltatja („hál’ Istennek” – mondja most), de utazások miatt olykor elég sok pénzt tart ottani számláján. Nagyjából 4000 eurót loptak el tőle, a Revolut szerint nála is Apple Payjel.
„Túlbecsültem a biztonságot, amit ígértek. Elhittem, amit folyton hangsúlyoznak, hogy működik a Mastercard Zero Liability Protection és a pénzmosás elleni védelmük.”
Aztán eljött május 6., szombat, III. Károly koronázásának napja. Bonny délelőtt a XIII. kerületben találkozott néhány angol barátjával egy kis koronázási partira, majd ebédelni ment, és hazafelé beugrott egy ázsiai fűszerboltba. Délután ötkor otthon volt egy kb. 45 perces telefonbeszélgetése, ezután látta, hogy 17 óra 13 perc és 17 óra 24 perc között leapasztották a számláját.
Előbb az euró-, majd forint-, dollár- és cseh koronás zsebeiből szívtak le tételeket látszólag ugyanabból a barcelonai Apple Store-ból az alábbi ritmusban:
- 17:13 – 600 euró
- 17:14 – 1000 euró
- 17:14 – 823,7 euró
- 17:20 – 1204,95 euró
- 17:21 – 31 602,46 forint
- 17:24 – 213,84 dollár
További négy kisebb összegű lehúzásra már nem volt fedezet.
17:50-kor írt a Revolutnak, hogy mi történt. Miután az online ügyfélszolgálat neki is azt mondta, hogy Apple Payjel történtek a vásárlások, írt az Apple Supportnak is, hogy kiderüljön, nem az ő Apple Pay fiókjával történtek a tranzakciók. A két cég egymásra kezdett mutogatni, ami a mobiltárcás azonosítás menetét és felelősségi körét illeti, miközben Bonnynak azt kellett bizonygatnia, hogy ha a telefonjával a kezében Budapesten ül, akkor ugyanabban az időben tényleg nem ő ugrott be a barcelonai Apple-boltba, hogy megszabaduljon sok ezer eurójától.
Ez tényleg adathalászat volt
Bonny esete annyival könnyebben érthető, mint Attiláé és Melindáé, hogy ő már tudja: adathalászat áldozata lett. Ezt persze csak később detektálta, miután ismét megpróbálták adathalász üzenetekkel tőrbe csalni, már a csalárd tranzakciók után.
Azt, aminek véletlenül bedőlt, azt látszólag a Magyar Postától kapta. Ahogy az lenni szokott, egy kifejezetten sűrű napján érték a támadások. Óvatlanul rákattintott az sms-ben küldött linkre, hogy kiegyenlítsen egy néhány száz forintos csomagküldési számlát, ami aztán egy ál-Simple Pay-es felületre vezette. Szépen be is pötyögte a kártyaadatait, és emlékszik rá, hogy később olyan sms-t is kapott, amit már a Revolut küldött egy kóddal, hogy hozzátehessen egy új kártyát a mobiltárcájához. Mivel nem ő kérte, nem is használta fel, és nem foglalkozott vele.
Ahogy Melinda esetében is írtuk, itt még talán lehetett volna lépni, ezért fontos ezekre a kósza Revolut-kódos sms-ekre figyelni. Ezt most már Bonny is tudja, hasonló sms-t látva azonnal befagyasztaná a kártyáját és újat igényelne.
Június elején beszélgettünk a Millenáris Parkban. Fotó: Sebestyén László
A csalás az csalás – de nem a Revolut szerint
Bonny története tehát világosabb, mint Attiláé vagy Melindáé, ám nem kevésbé igazságtalan. Ugyanúgy átverve érzi magát, mint az, akit még trükkösebben csaptak be, vagy akinek fogalma sincs arról, mi hogyan történt.
A Mastercard Zero Liability védelmét minden bank, így a Revolut is bőszen hangoztatja. Azt, hogy a védelem ezek szerint az Apple Pay-vásárlásokra mégsem áll a Revolut szerint, azt Attila, Melinda és Bonny most a saját bőrén tapasztalja.
Holott a szabály elvileg úgy szól, hogy a kártyabirtokosok nem felelősek a jogosulatlan kártyás tranzakciókért, ha
- minden észszerű intézkedést megtettek azért, hogy megelőzzék a kártyájuk elvesztését/ellopását,
- és ha azonnal bejelentik a kártya elvesztését/ellopását a bankjuknál.
Ami az első pontot illeti: egyikőjük sem osztotta meg harmadik személlyel a kártyaadatait, vagy a mobiltárcába helyezéshez szükséges, sms-ben kapott azonosító kódot. Attila nem is kapott ilyen kódot a csalást megelőző hónapokban, Melinda kapott, de nem ő kérte. Bonny szintén kapott, de megint nem azért, mert ő kérte volna, hanem mert a csalók kérték a nevében. A csalás tehát akkor történt, amikor tudta nélkül idegenek behatoltak a számítógépébe, majd kértek a nevében egy azonosító kódot.
„Ennek ellenkezőjét, vagyis a súlyos gondatlanságot a Revolutnak kellene bizonyítania – mondja Attila –, ha ezt nem teszi, akkor viszont ő a felelős. Ehelyett a felhasználókra hárítja a felelősséget, és még azt sem teszi lehetővé, hogy az ügyfelek lekérdezhessék, mely mobiltelefonok elektronikus tárcájába tették be a bankkártyájukat. „Ezek az adatok a GDPR szerint különösen érzékeny banki adatoknak minősülnek, amik megismeréséhez az adattulajdonosnak mindenkinél erősebb joga fűződik.”
„Az amerikaiak nem adják fel könnyen!”
Ami a második pontot – a bejelentési kötelezettséget – illeti, Bonny is rögtön lépett, megfutotta az összes szokásos kört, és még néhány extrát. Beküldte a hivatalos visszatérítési kérelmet a Revolut appjában – elutasították. Panaszlevelet is írt a report (pont) fraud (kukac) revolut (pont) com címre – pár nap múlva azt is elutasították. Küldött levelet a pénzügyi ombudsman irodájának Angliába. Nem tőlük várta a megoldást, de szerette volna, ha legalább nyoma van a panaszának abban az országban is, ahol a Revolut épp a bankká alakulásának engedélyére vár. Onnan is jött a válasz: forduljon a litván bankfelügyelethez.
Írt a litván nemzeti banknak – még várja a választ. Felkeresett egy csalásokkal foglalkozó ügynökséget, akik szívesen elvállalnák az ügyét. Ez a következő reménye, a fejleményekről természetesen majd beszámolunk.
Bonny is azért küzd, hogy rendszerszintű változásokat érjen el a Revolutnál, és legalább másokat ne lopjanak meg.
„Amerikában nőttem fel, és az amerikaiak nem adják fel könnyen! Drága lecke volt, de ez talán arra kellett, hogy megóvjon egy még nagyobb csalástól”
– mondja, hozzátéve, hogy nem számít rá, hogy visszakapja a pénzét.
„Komplex és összetett csalássorozat történt, a csalók nyilvánvalóan tudják, hogy van egy biztonsági rés a Revolut és az Apple Pay között, amit ki tudnak használni – mondja még. –
Amíg nem veled történik, azt hiszed, csak másokkal történhet meg.”
A litván felügyelet sem melletted áll
Három alanyunk közül Melinda jutott eddig legmesszebbre, ő már megkapta a litván bankfelügyelet hivatalos válaszát.
Röviden? „Dismissed” – vagyis szerintük Melinda volt hanyag, a Revolut nem hibázott.
Kicsit bővebben: Melinda 2023. március 16-án küldött egy jól összerakott és strukturáltan megírt levelet a Revolut felügyeletét ellátó litván nemzeti banknak (Bank of Lithuania) 13 dokumentumot csatolva.
A vele történtek dokumentálása mellett leírta, hogy szerinte
- „valaki” a Revolutnál hibázott, és szabálysértést követett el az Apple Pay azonosítása során;
- a bank nem járt el a kellő és elvárható körültekintéssel akkor, amikor a költési szokásaitól teljesen eltérő tranzakciósorozatot nem szúrta ki;
- a bank ezzel megsértette a pénzmosás és terrorizmusfinanszírozás elleni törvény rendelkezéseit;
- súlyos hiányosságok vannak a bank csalásfigyelő rendszerében és az egyszer használatos jelszavak használatánál;
- a Revolut hibázott, amikor nem kérte a jóváhagyását a látványosan gyanús tranzakciókhoz, a még függő tételeket pedig annak ellenére nem törölte, hogy erre kifejezetten kérte a bankot.
Sérelmezi továbbá, hogy
- a Revolut megtagadta tőle a bizonyítékokat arról, hogy tényleg az ő telefonjáról történtek volna a vitatott tranzakciók;
- az állítólagos kereskedők kilétéről sem kapott több információt, vagy hogy ténylegesen hova kerültek a számlájáról levont pénzek;
- megtagadták a kérését, amikor az ügyfélszolgálati kollégán kívül vezetőbb beosztású banki szakemberrel akart beszélni;
- a Revolut megtagadta a Mastercard Zero Liability védelmet;
- és azt is, milyen stílusban kommunikáltak vele mint ügyféllel, és hogy láthatóan nem vették komolyan az ügyét.
„Hanyagul és gondatlanul”
Levelében Melinda azt is kérte, hogy térítsék meg a tőle ellopott 5553 eurót, és fizessenek rá kamatos kamatot (évi 0,2 százalékkal számolva). Emellett fizessenek neki további 2500 eurós kompenzációt az addig erre az ügyre fordított 73 órányi munkaideje és az okozott stressz miatt. És mivel egyébként nem is mezei, hanem prémium Revolut-ügyfél, kéri a visszaéléseket követően levont havi 2500 forintos banki díj visszatérítését is.
Erre érkezett május 29-én a litván bankfelügyelet – a beadványnál rövidebb – elutasító válasza. Az indoklás szerint nincs rá bizonyíték, hogy a Revolut hibázott volna, sőt mint írják, a bank mindent megtett az ügyfél pénzének védelme érdekében. Az érvelés szerint így minden bizonnyal Melinda volt az, aki kiadta az adatait és az egyszer használatos azonosító kódot valaki másnak.
„The Applicant acted negligently and carelessly” – idézik a Revolutot angol nyelvű levelükben. Vagyis Melinda „hanyagul és gondatlanul járt el”. A felügyelet határozata szerint ezért kérelme megalapozatlan.
A történetnek itt még nincs vége. Melinda a következő lépésben úgynevezett class actiont, vagyis csoportos keresetet fog indítani az Európai Bírósághoz folyamodva. A jogi indítványt elsősorban a Revolut hanyag, a tényeket és az ügyfelek állításait semmibe vevő ügyfélkezelésére fogja alapozni, valamint arra a körülményre, hogy a bank nem ismeri fel a nyilvánvalóan gyanús tranzakciókat az ügyfelei fizetési mintázata alapján.
