Könnyű rámondani minden bankkártyás visszaélésre, hogy biztos az ügyfél volt gondatlan, vagyis az áldozat a hibás. Ennél bonyolultabb a képlet, nem kell feltétlenül kamulink és weboldal, hogy áldozatokká váljunk. Revolut-dosszié, 5. epizód.
Elöljáróban
Amióta Tóth Attila (borítóképünkön) esetének bemutatásával elkezdtem cikksorozatot írni a Revolutos visszaélésekről (folytatás itt, itt, itt és itt), három tipikus kommentet kapok szép számmal.
- „Biztos az OTP vagy bármely más hagyományos, nagy bank áll a sorozat mögött!”
- „A rossz reklám is reklám, tuti a Revolut szponzorálja ezeket a cikkeket!”
- „Magára vessen mindenki, akit megloptak, ők voltak gondatlanok, hanyagok, bedőltek az adathalászoknak, és/vagy nem használták a Revolut és hasonló fintech appok biztonsági megoldásait!”
Az első két megjegyzésre határozott és rövid nem a válasz. Senki nem finanszírozza ezeket a cikkeket. Én is ügyfele vagyok több hagyományos banknak és a Revolutnak is, tudatosan használom mindegyiket arra, amire szerintem a legjobb. Még nem loptak meg, semmilyen önös sérelem nem vezérel, pusztán a szakmai kíváncsiság. Szeretném megérteni az egyre másra elém kerülő eseteket. És mert nagyjából egymillióan használják itthon a Revolutot. Szeretik, mert kényelmes, gyors, olcsó. Szóval jó lenne meggyőződni róla, hogy mindennek tetejébe még biztonságos is.
A harmadik típusú komment már sokkal érdekesebb és összetettebb. Ebből a cikkből az fog kiderülni, hogy mennyire nincs éles határvonal gondatlanság és csalás között. És hogy múlhat-e pusztán a véletlenen, hogy valaki áldozatául esik egy csalássorozatnak, vagy sem.
Három (+1) teória
Nagyon széles a skálája a csalásoknak – kezdi a Forbes.hu-nak Mayer Gellért Levente kibervédelmi szakértő. Már a korábbi cikkeinkben is segített megérteni és megértetni, mi zajlik a háttérben, most azt mondja, alapvetően három teória létezhet, ami megmagyarázza az általunk megismert Revolut-károsultak esetét.
Adathalászat
Az első – és egyébként messze a leggyakoribb – módszer a klasszikus adathalászat. Ilyenkor a kártyabirtokos egy kamulinkre kattintva a csalók által gondozott felületre téved, és ott megadja a bankkártyaadatait. Ez lehet egy ál-Netflix-oldal, egy Postának álcázott oldal, egy álfutár, egy hamis Telekomszámla-befizetés – mindenki postaládájában landolt már hasonló.
Ha ilyenkor valaki megadja a kártyaadatait, azzal nyilván sokat segít a csalóknak. Ugyanakkor ez önmagában még kevés ahhoz, hogy például az Apple Payjel visszaéljenek. Ehhez az is kell, hogy a kétfaktoros azonosításhoz szükséges extra kódot is megszerezzék. Majd betegyék a bankkártyát egy másik telefon mobiltárcájába, hogy aztán Apple vagy Google Payjel fizethessenek vele.
„A scam csak álca, hogy a felhasználó azt hihesse, ő volt a figyelmetlen
– mondja Tóth Attila. – Persze, figyelmetlen volt, de nem abban, hogy idegennek kiadta volna a mobiltárcába helyezési kódját. Márpedig a csalás akkor történik meg, amikor a felhasználó nevében tárcába helyezési engedélyt kérnek, és megszerzik a kódot.”
Attila egyébként január óta (amikor is néhány perc alatt, több részletben 800 ezer forintot loptak le a számlájáról) sem talált semmilyen nyomot arra, hogy bármilyen kamulinken megadta volna az adatait. És nem talált – a csalást megelőző hetekből – tárcába helyezéshez szükséges kódot tartalmazó sms-t sem.
Az Apple többféle megoldást kínál a bankoknak. Ezekből minimum kettőt fel kell kínálniuk az ügyfeleiknek a kétfaktoros azonosításhoz – ezt már Mayer Gellért Levente mondja. Az azonosítási megoldások között van az sms-azonosítás (ez a leggyakoribb), a telefonazonosítás, a bank saját, úgynevezett grid authorizációja, illetve az alkalmazás-azonosítás. Utóbbinál, ha közvetlenül az appból kattint a felhasználó, vagy épp a csaló a kártya hozzáadására, akkor a kérelem automatikusan tartalmazza a jóváhagyási tokent. Vagyis egyetlen mozdulat, és minden plusz azonosítás nélkül társítani lehet a kártyát a mobiltárcához.
Levente is egyetért azzal, hogy az adathalászat mostanában sokkal inkább álca. A csalók nem is csak azokat az adatokat akarják megszerezni, amiket a gyanútlan felhasználó esetleg tényleg megad (persze nem azzal a céllal, hogy aztán a kártyáját egy idegen mobiltárcába tehessék). Csakhogy a bankok csalásmegelőzése sem tart lépést a csalási módszerekkel. A legtöbb esetben kimerül abban, hogy küldenek egy e-mailt, hogy vigyázz az adataidra.
+Adathalászat 2.0
Ma az adathalászat már nem csak a kártyaadatokra vonatkozik.
„A beépített kereskedők teljes munkameneteket (úgynevezett sessionöket) tudnak vásárolni 50–60 dollárért az adathalászoktól”
– mondja Levente. Ilyenkor az történik, hogy miközben zajlik az adathalászat, a kamukereskedő instruálja az adathalászt, hogy pontosan mire van szüksége.
Ezt úgy kell elképzelni, hogy egy időben azzal, hogy valaki jelen van egy adathalász oldalon, a munkamenetére rá lehet csatlakozni. Így láthatóvá válik minden egyes lépés és adat, amit ő megad. A kereskedő adatbekérő dobozokat tud megjeleníteni az áldozat számára. Ez főleg olyan helyeken fordul elő, ahol az áldozat egy hamis webshopot látogat meg, tehát számít rá, hogy meg fogják terhelni a kártyáját. Így nem meglepő, hogy a weboldal kér egy sms-kódot a fizetés megerősítésére. Miután ezt megszerezte, akár egy technikai ismeretekkel nem rendelkező csaló is párosítani tudja az áldozat kártyáját egy idegen Apple Payhez.
A folyamat valahogy így néz ki.
- Az áldozat vásárolni szeretne a kamuwebshopon.
- A csaló szoftver eladásra kínálja a munkamenetét.
- Egy csaló megvásárolja, és követi, hogy milyen adatokat ad meg az áldozat.
- Látja, hogy megadta a kártyaadatokat, így gyorsan nekikezd az Apple vagy Google Paybe helyezésnek.
- Szüksége van a kétfaktoros azonosításra, ezért egy üzenetet helyeztet el az áldozat böngészőjében. Például: „A megrendelés befejezéséhez erősítse meg a tranzakciót a banki applikációban.” Vagy: „Adja meg az sms-ben kapott kódot a tranzakció befejezéséhez.”
- A gyanútlan áldozat ilyenkor nem feltétlenül olvassa végig az ekkor kapott sms-t. Célzottan a hatjegyű számsort keresi benne, így megadja a weboldalon. Ezt a csalók arra használják fel, hogy egy idegen mobiltárcába helyezzék a kártyát, nem pedig a megtévesztés céljából indított online kártyás vásárlásra.
- A kamu webshop közben sikeres megrendelést jelez.
A veszélyes, hogy ilyenkor néhány esetben akár napokat, heteket is várnak azzal, hogy visszaéljenek a kártyákkal. Tovább fenntartják annak a látszatát, hogy a kamuoldal valóságos webáruház.
Financial RAT
Az adathalászatnál kevésbé tetten érhető az úgynevezett Financial RAT (Remote Access Trojan) szoftverekkel elkövetett csalás. Ezt korábbi cikkünkben már részletesen leírtuk. A lényeg, hogy a csalók a felhasználó számítógépét megfertőzve, már előre konfigurált lépéssorozatokat hajtanak végre.
Nagyon egyszerű levezetéssel a következő lépéssorozat történik.
- Megfertőződik a számítógép. A fertőzés jöhet pdf- vagy xlsx-fájlba ágyazva, akár egy hamis vírusirtón keresztül.
- A Financial RAT tétlen, figyeli a felhasználót, várva arra, hogy bankkártyaadatokat adjon meg egy webhelyen. (Nem kamuoldalon, hanem egy igazi webshopban, ahol legálisan vásárol.)
- Figyeli, hogy a számítógépen be van-e kapcsolva az üzenetek tükrözése, ha nincs, csendben bekapcsolja azt (a kétfaktoros hitelesítés kijátszása érdekében).
- Naplózza, hogy mely időpontokban inaktív a felhasználó.
- A megfelelő pillanatban alkalmazza az így szerzett adatokat, és egy előre definiált „kereskedőnél” végrehajt annyi tranzakciót, amennyit az így megszerzett információkkal csak tud.
Jó hír, hogy vannak biztonsági szoftverek, amik a számítógépeinken kiszűrik a trójai szoftvereket. Rossz hír, hogy a mobiltelefonjaink ettől még sérülékenyek maradhatnak (lásd következő pont), illetve, hogy a dark weben hemzsegnek a RaS (Rat as a Service) szolgáltatások. Potom pénzért – 40–70 dolláros havidíjon – hozzáférést lehet vásárolni a RAT-okhoz, vagyis nem kell óriási erőforrás a tömeges visszaélésekhez.
Apple-lukak
Mindig vannak biztonsági rések, amiket a csalók előszeretettel kihasználnak addig, míg be nem foltozzák őket. Alig két hete is volt egy úgynevezett zero day sérülés (nulladik napi hiba), amit egy iPhone-frissítéssel egybekötve javított a cég. A CVE-2023-37450 kód alatt nyilvántartott hibát tehát észlelték, és befoltozták, de addigra rosszindulatú felek már aktívan kihasználták.
Mint a technológiai hírekre specializálódó amerikai Neowin írta, úgy tudtak visszaélni a hibával, hogy a felhasználókat kártékony weboldalakra terelték, majd a biztonsági rést kihasználva tetszőleges kódot futtattak az eszközén. Ezekben az esetekben – addig, amíg egy frissítéssel a javítást nem telepíti – teljesen ki van szolgáltatva a felhasználó a csalóknak.
A biztonsági résen át lenyúlhatják az adatait, vagy akár teljeskörű hozzáférést szerezhetnek a gépe fölött. Nincs az a hiperszuper vírusírtó, ami ezt kiszűrné. Ráadásul már az ilyen ismeretlen sebezhetőségek piaca is kiterjedt a dark weben.
„Néhány tíz-, legfeljebb százezer dollárért lehet vásárolni ilyen zero day sérüléseket”
– mondja Levente.
Még három égető kérdés
1. Mennyire Revolut-specifikus mindez? Előfordulhatnak hasonló visszaélések a nagy bankoknál is?
Igen, előfordulhatnak. Technikailag ugyanazzal a mechanizmussal bármelyik bank bármelyik ügyfele ellen követhetnek el visszaéléseket, nem csak a Revolut, a Wise és hasonló neobankok ügyfeleivel szemben. (Neobanknak a banki szolgáltatásokat nyújtó fintech cégeket hívjuk, akik fiókhálózat nélkül, digitális csatornákon szolgálják ki az ügyfeleiket.)
A különbség jellemzően a csalásokra adott reakcióban van. Egy klasszikus nagy bank hamarabb leírja saját veszteségnek az ellopott pénzt, és kártalanítja az ügyfelet. A neobankok beleállnak a harcba. Váltig állítják, hogy nem az ő hibájukból történt, ami történt, sőt – mint a megismert esetek példázzák – sokszor azt sem hajlandóak elismerni, hogy csalásról van szó.
Ennek feltehetően az is az oka, hogy globális ügyfélkörük miatt számosságában és arányaiban náluk gyakoribbak a visszaélések, sokkal mélyebben kellene a zsebükbe nyúlniuk, ha elismernék a csalásokat. Másrészt a csalásszűrő rendszerüket is könnyebb átverni. Egy külföldi tranzakciósorozat sokkal rizikósabbnak tűnik, és hamarabb fennakad egy hagyományos lokális bank csalásmegelőző rendszerében, mint egy nemzetközi, kimondottan utazásokhoz használt neobank esetében.
2. Miért mindig Apple Payjel történnek a csalások? Az kevésbé biztonságos?
A mobiltárcás fizetések (Apple és Google Pay) elvileg kifejezetten biztonságosak a kétfaktoros azonosításuk révén. Csakhogy a csalók is ismerik a Revolut általános szerződési feltételeit (ÁSZF). Tudják, hogy ha Apple Pay-es tranzakciókkal éltek vissza, akkor a Revolut erre hivatkozva nem térít, sőt nem is ismeri el, hogy csalás történt.
És nem csupán a Revolut ÁSZF-je miatt nehezebb a reklamáció, hanem mert a Mastercard és/vagy a Visa csalás-visszatérítési szabályzata sem tartalmaz Apple Pay-es csalási visszatérítési folyamatokat. A Revolut előszeretettel takarózik tehát azzal, hogy a kártyatársaságok szabályzata értelmében nincs lehetősége Apple Pay-es ügyben csalási visszatérítést indítania. Sőt, nem is tudja csalásként értékelni az esetet.
Ilyenkor a meglopott revolutos azt érzékeli, hogy elkezdődik az egymásra mutogatás és az áldozathibáztatás. A csalók is tisztában vannak mindezzel. Azzal élnek vissza, hogy az ilyen csalásokat sokkal nehezebb megreklamálni, ezért hekkelik meg tipikusan a mobiltárcás fizetéseket.
3. Mit érnek a biztonsági beállítások?
Ha szimplán csak a kártyaadatokat szerezték meg, akkor a Revolut appjában elérhető biztonsági beállítások jelenthetnek valamekkora védelmet. Ezekről már részletesen írtunk (itt) – végigvettük a korlátait és hátulütőit is. Most csak egész röviden: kártya befagyasztása (és feloldása használat előtt), geolokációs védelem bekapcsolása, széf használata azon összegekre, amiket épp nem tervezünk elkölteni, online tranzakciók letiltása, mágnescsíkos fizetés letiltása, havi limit beállítása, virtuális kártyák használata.
Többször írtuk már, de nem lehet elégszer hangsúlyozni, mert teljesen érthetetlen: napi vagy tranzakciós limitet nem lehet a Revolutnál beállítani. Technikailag képes lenne rá az app, céges ügyfelek meg is tehetik, de magánszemélyeknek ez a védelem nem elérhető.
Az is igaz persze, hogy ha teljes körű hozzáférést szereztek a csalók, akkor bármilyen beállítás látszatintézkedés és látszatbiztonsági megoldás. Van az a helyzet, amikor nem gondatlan vagy, hanem tehetetlen. És van az a csalás, ami nem azért került el, mert átlagon felül óvatos vagy, legfeljebb csak szerencsés.
Kiemelt képünkön a Revolut-dossziék egyik főszereplője, Tóth Attila a Forbes.hu-nak adott háttérinterjúja során májusban.