Hiába vagy feketeöves kártyahasználó, átlagon felül tudatos banki ügyfél és öt éve elégedett Revolut-ügyfél, ha minden rendszer meghekkelhető. Végigmentünk egy egyértelmű csalássorozaton, sok tanulság akadt. A legfontosabb: nem elég bízni a bankokban, neked is tenned kell a pénzed biztonságáért, és bizony harcolnod a magad igazáért. És akkor sem biztos, hogy kárpótolni fognak.
A háttér és a szereplők
A következőkben egy megtörtént esetet kísérünk végig, a károsult Tóth Attila. Pénzügyi szakember, évtizedeken át biztosításközvetítéssel foglalkozott, ma is MNB által felügyelt cége van, pénzügyileg messze az átlagos felhasználók fölötti képzettséggel, tudatossággal és tapasztalattal rendelkezik. Öt éve használja a Revolutot, ez alatt az öt év alatt 13 ezernél is több tranzakciója volt a Revolutnál. Kifejezetten szereti, sokkal jobbnak, kényelmesebbnek tartja, mint bármelyik más bankot, amelyikkel eddig dolga volt, a cége számláját is évek óta ott vezeti. Ma is használja a Revolutot, de pár dologban már óvatosabb.
Nem vádaskodni akar. Szeretné megérteni, miként esett csalók áldozatául. Szeretne tanulságokat levonni és ezáltal segíteni másoknak, hogy velük ugyanez ne fordulhasson elő.
És szeretné visszakapni a pénzét, amit elloptak tőle.
Gergely Péter és Homa Péter a BiztosDöntés.hu vezető szakértői. Gergely Péter korábban a Bankráció banki összehasonlító oldal egyik alapító-tulajdonosa volt, cégét később az Ingatlan.com vásárolta fel. Homa Péter a magyar piac talán legképzettebb bankkártya szakértője. Négyesben ültünk le, hogy átbeszéljük az esetet.
2023. január 31. este 7 óra
Tóth Attila megérkezik szokásos esti jógájára, átöltözik, bemelegít, a mobiltelefonját és az óráját a biztonság kedvéért nem hagyja az öltözőszekrényben, beviszi magával a jógaterembe a sporttáskájában. Az óra fél 8-kor kezdődik, este 9-re hazaér, még kicsit tesz-vesz, majd kezébe veszi a telefonját, és négy banki üzenetet lát: négy, egymást követő automata feltöltést a CIB-es bankszámlájáról a Revolut számlájára, egyenként 50 ezer forint értékben.
Attila régóta használja azt a kényelmi funkciót, hogy ha bizonyos összeg alá süllyed a revolutos egyenlege, akkor a CIB-es számlájáról automatikusan rátölt a Revolutra 50 ezer forintot. Most is ez történt, egymás után négyszer is – csakhogy ezúttal nem a saját kényelmét és gördülékeny vásárlásait segítette elő, hanem önhibáján kívül a kártyaadatait ellopó csalókat etette. Így történhetett, hogy míg ő a jógateremben gyakorolt, és elő se vette a bankkártyáját vagy a mobiltelefonját, az eredeti egyenlegénél is többet, nagyjából 800 ezer forintnak megfelelő pénzt apasztottak le a revolutos számlájáról.
A csalássorozat 12 tranzakcióból állt, minden esetben kerek összegeket szívtak le a számlájáról, hol a dolláros zsebéből, hol az eurósból, hol a forintosból, mikor, melyiken találtak pénzt. Este 7 óra 5 perc és 7 óra 11 perc között a következő pénzmozgások pörögtek le a tudta nélkül:
- 500 euró a dollár számláról (543 dollár),
- 500 euró a dollár számláról (543 dollár),
- 300 euró a forint számláról (117 ezer forint),
- automata rátöltés a CIB-es számláról
- 200 euró megint a dollár számláról
- automata rátöltés a CIB-es számláról
- újabb 100 euró mínusz
- újabb rátöltés
- újabb 100 euró mínusz
- és még további 5 kisebb összegű (50 eurós) kamuvásárlások, valamint közben két újabb rátöltés.
A hatperces eseménysor eredménye: összesen 2050 eurónyi kamuvásárlás valahonnan Belgiumból egy bizonyos Ali Toys nevű szolgáltatótól.
Sorry, Apple Pay volt
Amint este 10 után Attila érzékelte, hogy visszaéltek a kártyájával, azonnal írt a Revolutnak. 22.11-kor kimerítő, éjszakába nyúló csetelés kezdődött közötte és a bank éppen ügyeletes „live agentje” között. Az első rutinkérdések arra irányultak, hogy megadta-e bárkinek a közelmúltban a kártyaadatait, rákattintott-e bármilyen gyanús linkre, levelezett-e bármikor az Ali Toys nevű kereskedővel, vagy megadta-e bárkinek az Apple Pay azonosítóját.
Természetesen mindenre nemleges választ adott, az Ali Toysról soha életében nem hallott, az Apple Pay kódjára vonatkozó kérdést pedig nehezen is értelmezte, hiszen arcfelismeréssel használja azt az eszközein (telefonján és okosóráján), se ezeket, se a PIN kódját sem adta ki a kezéből senkinek.
Húsz perccel később ott tartottak, hogy a Revolut szerint a visszaéléseket Apple Pay-jel követték el. A tranzakciós listából ugyan semmi nem utalt erre, de a live agent állította, belső rendszerük adatai szerint nem online kártyás vásárlások történtek, hanem érintésmentes Apple Pay tranzakciók.
Ennek pedig sokkal nagyobb a jelentősége, mint elsőre gondolnánk.
Mobiltárcás fizetéseknél a Revolut rögtön belső szabályzatának azon pontjaival takarózhat, melyek szerint az ott történt esetleges visszaélés rajtuk kívül álló esemény, így nem minősül csalásnak, ezért nem őket terheli a felelősség, és semmilyen visszatérítés sem jár.
Azt tanácsolták, hogy Attila vegye fel a kereskedővel a kapcsolatot, mert náluk lehet a „hiba”, és ők tudják kártalanítani őt.
Betekinthettünk a levelezésükbe, a válasz egész pontosan így hangzott:
„…Yes all the transactions were made with the virtual card 7299. In this case we can’t consider these payments fraudulent since they were made with apple pay. I highly advise you to contact the merchant to clarify this situation, since it might be a mistake from their end. I’m afraid we do not reserve the rights to dispute these transactions, but the merchant should be able to refund you…”
Sorry, nem tudjuk blokkolni
Attila ezek után azt próbálta elérni, hogy blokkolják a még függőben lévő tranzakciókat, hiszen azokat elvileg egy nappal később könyvelik le. Azt remélte, hogy a Revolut még közbe tud lépni, mivel nem ő kezdeményezte ezeket a vásárlásokat, sőt vitatja azokat, és azonnal jelezte, hogy csalás történt.
A Revolut erre azt mondta, hogy az úgynevezett pending időszak alatt a szabályzata szerint ők nem, kizárólag a kereskedő, Ali Toys kérheti a kifizetés visszavonását. Vagyis a tanácsuk ismételten az, hogy ő vegye fel az Ali Toys-szal a kapcsolatot, és náluk reklamáljon.
Sorry, mi sem tudjuk, ki ez az Ali Toys
A tranzakciós listából csak annyi látszik, hogy a kereskedő egy bizonyos Ali Toys, és a vásárlások Belgiumban történtek. Pontosabban nem biztos, hogy valóban ott történtek a tranzakciók, ahogy ezt a Revolut később pontosította, pusztán annyi látszik, hogy oda van bejegyezve a kereskedő.
„No, allow me to clarify: The location stated in the app (in this case Belgium) does not mean they were made there. This is just where the merchant’s headquarters (administrative offices) is registered there. So the payments could have been made in another location but we can’t see this information from our end, that’s why the best thing to do is to contact them, to clarify this situation and acquire more information.”
Attila ugyanakkor hiába próbált több információhoz jutni a Revoluttól. Ha nem ismerem a kereskedőt, soha nem vásároltam nála, azt sem tudom, ki ő, mit és hol áru, hogy vegyem fel vele a kapcsolatot? – tette fel többször is a kérdést, mire annyit tudtak javasolni, hogy: Google.
„The best thing to do would be to google the merchant’s contact. If you are confident that you might have been defrauded, a viable alternative would be to file a police report (if you haven’t already done so) regarding the possibly fraudulent transaction(s).”
A Google-lel odáig jutott, hogy – szemben a Revolut appban látható belgiumi dohánybolttal – ilyen néven egy spanyol nyelvű, argentin webáruház érhető el. Játékboltnak tűnik, ahol kereken 500, 300, 100, 50 eurós vagy dolláros címletekben nyilvánvalóan nem történhettek valós vásárlások, semmi sem kerül pontosan ilyen összegekbe. Ezzel is érvelt a Revolut felé, és ahogy ők is javasolták, a rendőrségen is tett feljelentést.
A Revolut appja szerint valahol itt van az a bizonyos Ali Toys. (4 kép)
A rendőrségen az Ali Toys hallatán az első reakciójuk az volt, hogy esetleg egy szerencsejátékos cég lehet. Semmi bizonyíték sincs erre sem, mindenesetre eggyel életszerűbb és nehezebben lenyomozható eset, hogy a lopott bankkártya adatokkal mondjuk kerek összegű zsetonokat vettek a csalók, amiket például gyorsan készpénzre is válthattak.
Jó, de hogy történhetett?
Attila nem hagyta annyiban. Hajnali egykor járunk, szeretne bizonyítékokat kapni, hogy a tranzakciók valóban Apple tárcás visszaélések voltak. Sehogy sem érti, hogy fordulhat elő, hogy valaki úgy használja az ő telefonos pénztárcáját valahol tőle távol, a világ másik táján, hogy minden erre alkalmas eszköze a közvetlen közelében van, és azt ujjlenyomat vagy arcfelismerés is védi.
A telefonos fizetés – legyen az Apple Pay vagy Google Pay – elvileg biztonságosabb is, mint a sima bankkártyás fizetés. A kártyaadatokat egyszer ugyan be kell pötyögni a telefonodon, de utána azokat a Mastercard vagy a Visa felhő alapú technológiája titkosítja, és a kártya eredeti száma a fizetéskor sem kerül ki.
Ehelyett minden egyes mobiltárcás fizetésnél az alkalmazás generál egy egyszeri titkosított kártyaszámot, ehhez úgynevezett tokeneket használ a fizetési szolgáltató. Ezek a tokenek tömörítik össze a fizetési adatokat. Általában tíz ilyen tokent tölt le egyszerre az app, hogy akkor se legyen fennakadás, ha épp nincs internetkapcsolat. Ha van tíz ilyen token az appban, akkor egymás után tízszer net nélkül is kényelmesen lehet használni a mobilfizetést, miközben a valós kártyaadatokhoz nem fér hozzá senki.
Vagyis elvileg a következő esetek képzelhetők el:
- Valaki megszerezte Attila kártyaadatait – kártyaszámot, háromjegyű CVC kódot –, betette azokat a saját telefonos tárcájába, majd az ilyenkor szükséges másodlagos azonosítót (sms-t) is a saját telefonjára irányította. Ez elvileg nem zárható ki, de a gyakorlatban rendkívül bonyolultnak tűnik, hiszen az kell hozzá, hogy miután valaki ellopta a kártyaadatokat, még a Revolut által küldött másodlagos azonosítót is eltérítse. Ráadásul úgy, hogy ezek az sms-ek nem közvetlenül a Revoluttól érkeznek, hanem egy általuk megbízott külső szolgáltatótól, tehát van még egy szereplő a történetben, ahol elvileg hiba/hekkelés/csalás történhet.
- Valaki megszerezte Attila Apple ID-ját, és bejelentkezett vele egy másik telefonon, majd ugyanúgy, mint az előbb, az ilyenkor szükséges másodlagos azonosítót (sms-t) is a saját telefonjára irányította. Ez hasonlóan trükkös, itt is fel kell törni egy számítógépet/telefont/okosórát, és még meg is buherálni az sms-küldést.
A történtek óta több mint két hónap eltelt. Attila ma sem tudja, mi történt, hogy történt. Arra sem kapott választ, hogy hogyan biztosítja a Revolut, hogy például amikor adott kártyaadatokat beleteszünk az Apple Paybe, és küldenek egy egyszer használatos másodlagos azonosítót, akkor biztos, hogy jó helyre érkezik?
Miért csak ezzel a kártyával éltek vissza?
Van még egy momentum, ami még érthetetlenebbé teszi az esetet. Attila több kártyát is tárol a mobiltárcájában, volt idő, hogy 10-12 kártyát is használt az Apple Payen keresztül. Magán és céges kártyákat is tárolt, több revolutos, több CIB-es kártyát, de csak egyetlen egy kártyával történt a visszaélés.
Vagyis, ha tényleg Apple Pay-es visszaélésről van szó, mint ahogy a Revolut állítja, akkor hogyan lehetséges, hogy a többi, ott tárolt kártyával nem próbáltak meg csalni?
Természetesen ezt a kérdést is feltette, választ nem kapott.
Miért nem szűrik ki, ha valami gyanús?
Az külön érdekes, hogy a 12 vitatott tranzakció szabad szemmel is gyanús. Azt gondolná a laikus ügyfél, hogy fennakadnak a banki csalásfigyelő rendszereken, annyira kilógnak a sorból. Összegben, sorozatukban, térbeli és időbeli lefutásukban messze nem szokványos kártyás vásárlások. Főleg egy olyan felhasználónál, akinek múltja van, öt év és 13 ezer korábbi tranzakció mintája építi a profilját.
Ráadásul elvileg minden bank alkalmaz csalásfigyelő rendszereket. Ha észlelik, hogy egyik percben Bolíviából terhelik a kártyádat, másik percben Bulgáriában, annak ki kéne ugrania, az ember ilyenkor elvár egy visszakérdezést, hogy tényleg ő volt-e.
Attila egyenlege most magasabb volt a szokottnál. Általában nem tartott annyi pénzt a számláján, mint január végén, de nemsokára Amerikába készült. Kisebb-nagyobb devizaváltásokkal megpróbálta kihasználni az elmúlt időszak árfolyamhullámzásait is, időnként dollárt, eurót vett, az átlagosnál vonzóbb célponttá vált így a csalóknak is.
A csalássorozat napján Attila Budapesten használta a revolutos kártyáját, napközben például pár ezer forintot elköltött ebédre, Apple Pay-jel fizetett. Ha feltesszük, hogy tényleg Belgiumban éltek vissza a kártyájával, akkor mondhatjuk, hogy Brüsszel nem a világ vége, estig fizikailag is oda lehet érni, de azért ilyen gyors egymásutánban ilyen kerek összegeket leemelni ugyanabban a boltban, semmiképpen nem tipikus.
„Bankbiztonság, kártyabiztonság tekintetében most nagyon csalódott vagyok” – mondja Attila. „Nem a Revolut ellen akarok menni, azt szeretném, hogy jól működjön” – teszi hozzá, és még egy furcsa esetet említ hetekkel későbbről.
Február 23-án is azt észlelte, hogy alig két nappal a csalásssorozatot követően, február 2-án ismeretlenek Ausztriában beléptek a Revolut fiókjába. Akkor is Budapesten volt, miközben valaki egy számítógépes felületről Bruck an der Leithából próbálkozott. Ezt onnan tudja, hogy a Revolut számítógépes alkalmazásának eszköz historyjából (hol, mikor, milyen gépről jelentkeztek be a fiókjába) látta ezt a vadidegen gépet. Bár ezúttal visszaélés nem történt, ezt az esetet is jelentette – mint újabb jelét annak, hogy valami nem stimmel, a rendszer meghekkelhető.
Sorry, nem tudunk mit tenni
De ugorjunk még vissza a január 31-i csalássorozathoz. A csetelés egész éjjel folyt az ügyfélszolgálattal, február 1-jére virradóra, hajnali 5 óra 16 percre odáig jutottak, hogy a Revolut sajnálattal kimondta a konklúziót. Szerintük nincs nyoma csalásnak, nem tudnak kártérítést fizetni. A tranzakciók szerintük Apple pay-jel történtek, és csak azt tudják elképzelni, hogy Attila maga kezdeményezte azokat. Ha ő nem így érzi, akkor menjen a rendőrségre, a Revolut semmit sem tehet.
Az üzenet eredetiben így hangzott:
„I’m sorry Attila but there are no traces of fraudulent activity in your account, and we can’t take further action in this case. We do not reserve the rights to dispute the payments via the chargeback process, and we can’t issue the refund from our end. The payments were made with apple pay and we can only consider that they were made by you. If you are confident that you might have been defrauded, a viable alternative would be to file a police report. I’m really sorry but there’s nothing we can do from our end.”
Attila ezután el is ment a rendőrségre, feljelentést tett, azóta a Revolutot felügyelő litván bankfelügyeletnek is írt. Ügyét még vizsgálják, április elején még semmi fejleményről nem tud. Azóta sem kapott bizonyítékokat rá, hogy tényleg mobiltárcás visszaélés történt és nem online kártyacsalás – utóbbi esetet nem söpörhetné le a Revolut az asztalról kártalanítás nélkül.
És ő is levonta a maga következtetéseit.
- Nem attól nem lesz csalás, hogy felügyelik, vagy hogy ki felügyeli a pénzügyi intézményt.
- Nem attól nem biztonságos valami, mert kényelmes.
- A bank többet is tehetne, de nem mindig tesz meg mindent a pénzed biztonságáért.
- Hiába vagy átlag feletti pénzügyi tudatosságú ügyfél, ha megbízol a bankban és a kényelmed érdekében nem figyelsz oda mindenre, amit extraként te magad is megtehetnél a pénzed biztonságáért, áldozatul eshetsz.
Mit csinálna másképp?
Ma is használja a Revolutot, de néhány dologban Attila már óvatosabb.
Az automata feltöltést (rátöltést) kisebb összegűre vette. Teljesen nem állította le, mert sokszor tapasztalja, hogy az alkalmankénti feltöltés iszonyú szenvedősen megy a CIB-es számlájáról. Úgy érzi, rá van szorulva erre a kényelmi funkcióra.
Fokozottan figyel arra, hogy mire milyen kártyát használ:
- Fizikai műanyagkártyát csak és kizárólag készpénzfelvételre.
- Online (internetes) vásárlásokhoz egyszer használatos virtuális kártyát, amire épp annyi pénzt tesz rá, amennyi az adott vásárláshoz szükséges.
- Rendszeres előfizetéseihez (Netflix és társai), valamint visszatérő vásárlásaihoz (például Kifli.hu) szolgáltatónként egy-egy virtuális kártyát, amit csak ezekhez a költéseihez használ. „Ha az a kártya korrumpálódik, tudom, hogy hol történt.”
- Offline vásárlásainál továbbra is Apple Payjel fizet, revolutos betéti kártyáról.
A Revolut fiókja beállításait is jobban figyeli.
- A kártya befagyasztása funkciót korábban egy darabig használta, most újra elgondolkozott, hogy visszakapcsolja. Egyfelől kicsit macerás, mert állandóan gondolni kell rá, hogy feloldd vásárlás előtt, aztán zárd is vissza, de úgy legalább nem lehet megterhelni a kártyádat.
- Az úgynevezett széf funkció is hasonló: ha a pénzed egy bizonyos részét Revolut széfbe teszed, azt az egyenleget nem éri el a bankkártyád. Te magad sem, de a csalók sem. Ha szükséged lenne rá, kiveszed onnan.
- A költési limitek továbbra is bosszantják. Nem érti, miért csak céges számláknál lehet valódi korlátokat szabni, egyedi tranzakciós limitet, napi, heti limiteket beállítani, hogy legfeljebb annyit lophassanak el tőled. Revolutos magánszámláknál csak havi kiadási limitet tudsz beállítani, ami inkább a túlzott pénzszórástól véd meg, de – ha nem kellően alacsony –, akkor egy ilyen hatperces villám lenyúlás esetén elég használhatatlan.
És egy kommunikációs tipp: amikor csalás történik, és elkezdesz levelezni a Revoluttal, majd megkérdezik, hogy felismered-e a tranzakciókat („recognise”), akkor ne mondd, hogy igen. Attila rávágta, hogy „igen, felismerem”, ami alatt azt értette, hogy igen, pont ezekről a csalárd tranzakciókról van szó, erre gondolt, amikor jelezte, hogy meglopták. A Revolut oldaláról meg belekapaszkodtak abba, hogy ha igen, akkor felismered, tehát te kezdeményezted a tranzakciókat. Egyszerű félreértésnek tűnik, szerencsétlen szőrszálhasogatás, de egy eleve stresszes helyzetben nem érdemes magas labdákat adni.
Hogy csinálja a többi bank?
A végső tanulság valószínűleg az, hogy sajnos nincsenek feltörhetetlen rendszerek. Akármelyik bankról is van szó, nem érdemes csak bízni bennük, de érdemes ismerni és használni is a rendelkezésre álló biztonsági extrákat. Ezek lehetnek napi kártyalimitek, a kártya inaktiválása, felfüggesztése, földrajzi használatának korlátozása, vagy egyszer használatos kártyák használata.
A nagy hazai kereskedelmi bankok jelenlegi megoldásainak összegyűjtésében Gergely Péter és Homa Péter, a Biztosdöntés.hu szakértői segítettek. 2023 áprilisának elején a következő mobilappos védelmi funkciók állíthatók be.
1) Napi limit
Ha van napi limit, akkor legfeljebb annyi pénzt költhetünk el, és legfeljebb annyi pénzt lophatnak el tőlünk. A napi limit bármikor megváltoztatható. Készpénzfelvételnél érdemes tudni, hogy az ATM-ek is megszabhatnak maximálisan kiadható összeget (az OTP és a K&H például korlátozza az egyszerre felvehető összeget az idegen bank által kibocsátott bankkártyával).
A bankkártya napi limit az alábbi bankok mobilappjában állítható:
- CIB, Erste, Gránit Bank, K&H, MagNet Bank, MKB, OTP, Raiffeisen, UniCredit.
2) Megtakarítási számla, betétlekötés
A napi limitnél macerásabb megoldás, hogy a számlán eleve csak annyi pénzt tartunk, amennyi a napi költésekhez kell. A többit meg például olyan bankszámlán parkoltatjuk, amihez nem kapcsolódik bankkártya, vagy egy megtakarítási számlán, legrosszabb esetben lekötött betétben. Használat előtt a pénzt még másik bankból is át lehet vezetni. Vannak teljesen ingyenes utalást biztosító bankszámlák is.
Megtakarítási számlára átvezetés vagy betétlekötés ezen bankok mobilappjában érhető el:
- CIB, Erste, Gránit Bank, K&H, MagNet Bank, MKB, OTP, Raiffeisen, Revolut, Takarékbank, UniCredit.
3) Felfüggesztés, blokkolás, befagyasztás
Magát a kártyát is lehet védeni az illetéktelen terhelések ellen, felfüggesztéssel. Kicsit nehézkes a kezelése, hiszen minden használat előtt be-, a használat után pedig ki kell kapcsolni a kártyát a mobilappban, de kikapcsolt állapotban garantáltan nem terhelhető meg, a kártya ugyanis a visszakapcsolásig blokkolva van.
Az alábbi bankok mobilapplikációjában érhető el:
- Gránit Bank, K&H, MKB, Revolut, Raiffeisen.
4) Földrajzi korlátozás
A geolokációs beállítással a bankkártya földrajzi használatát korlátozzuk. A visszaélések ugyanis általában Magyarországon kívül történnek. Megtehetjük, hogy csak az internetes tranzakciók vagy csak a mágnescsíkos tranzakciók elfogadását kapcsoljuk ki. Utóbbi csak az EU-n kívülről érkezhet, így eleve gyanús lenne. (Ezért kell jelenteni a bankunknak, ha az EU-n kívülre utazunk.)
Geolokációs beállítás az alábbi bankok mobilapplikációjában érhető el:
Az internetes terhelések ezekben a mobilappokban kapcsolhatók ki:
- OTP, Revolut, Gránit Bank (az internetes vásárlásokra adott limit nullára vételével).
A mágnescsíkos kártyahasználat meg itt:
5) Internetkártya
Használhatunk internetkártyát, vagy fizethetünk az interneten egy elkülönített kártyaszámláról is, amin csak annyi pénz van, amennyi az aktuális költéshez szükséges. Ezt a kártyát még ha akarják, se tudják megterhelni a tolvajok, hiszen használaton kívül nincs rajta pénz.
Az alábbi bankoknál érhető el, és kezelhető a mobilapplikációban is:
- CIB, Erste, OTP, Revolut.
Megjegyzés: Attila ügyét még követjük, ha fejlemény áll be, folytatjuk.
A borítóképen Gergely Péter, Homa Péter (Biztosdöntés.hu), Tóth Attila és Fekete Emese beszélgetnek a revolutos csalásról.