Ígértük, hogy követjük Tóth Attila Revolut-károsult ügyét. Az elmúlt hetekben több meglopott banki ügyféllel és egy kibervédelmi szakértővel is beszéltünk, kicsit tisztábban látunk. De Attila még mindig fut a pénze után. Revolut-ügy, 2. felvonás.
Három hete részletesen végigvettünk egy csalássorozatot. Arra kerestük a választ, hogy hogy tűnhet el 800 ezer forint hat perc alatt a Revolutról, miközben a számla- és kártyatulajdonos éppen jógaórán van Budapesten a telefonjával és minden eszközével együtt, Apple-tárcájában tárolt kártyájával pedig egy állítólagos belgiumi trafikban garázdálkodnak.
A Revolut-ügy előzményei
Néhány kérdésre akkor még nem tudtuk a választ. Nem tudtuk pontosan feltárni, hogy technikailag hogyan történtek a visszaélések, és hová is került a Tóth Attilától ellopott – kamukereskedőknél látszólag elköltött – 2000 eurónyi összeg.
Attila előzőleg nem kattintott semmilyen adathalász levélre. Nem adta meg a kártyaadatait, jelszavait, másodlagos azonosítóját senkinek. Számítógépén és telefonján nincs nyoma előzetes behatolásnak, és fizikailag is távol volt az eseményektől. Amikor észlelte a csalást, azonnal jelezte az esetet a Revolutnak. Kérte a még függőben lévő tranzakciók törlését (hiába), majd kimerítő levelezésbe kezdett a neobankkal.
Jellemzően udvarias, de egyértelműen hárító válaszokat kapott a bank ügyfélszolgálatától. A Revolut nem segített neki feltárni az ügy részleteit. (Mi is hiába küldtünk hivatalos interjúkérést a Revolut magyarországi vezetésének, a konkrét ügyet nem kommentálják, általánosabb kérdésekre talán később reagálnak). Sőt, arra jutottak, hogy szerintük nincs nyoma csalásnak. Csak azt tudják elképzelni, hogy Attila maga kezdeményezte a sorozatos tranzakciókat, amelyek belső információik alapján Apple Payjel történtek. Erre hivatkozva pedig azzal zárták az ügyet, hogy kártérítés sem jár neki.
Azóta eltelt három hét, a Revolut oldaláról nincs fejlemény, és eddig a magyar rendőrségen tett feljelentése sem hozott eredményt.
Attila fut a pénze után. És továbbra is az a célja, hogy a Revolut ne csak azért lehessen szerethető, mert gyors, olcsó és kényelmes. Hanem mert a biztonságosságával is kiérdemli a felhasználók bizalmát.
Attila nincs egyedül
A történtekkel párhuzamosan sok hasonló ügyet ismertünk meg, és ma már okosabbak vagyunk, hogy hogyan is eshetünk áldozatul. Egyrészt az angolszász sajtóban is visszatérő téma a Revolut-károsultak ügye, másrészt több hazai károsult is megosztotta velünk tapasztalatait. Olyanok is, akik nem a Revolutnál, hanem a hozzá legjobban hasonlító másik nagy globális neobank, a Wise (korábbi nevén Transferwise) felhasználói.
Ez azt a korábbi megállapításunkat erősíti, hogy minden rendszer meghekkelhető, de a globális fintech bankok különösen kedvelt célpontok. Épp azért, mert a világ bármely csücskéből és sokmillióan használják őket, és mert a kiberbűnözők is nemzetközi hálózatokban igazán hatékonyak.
Első cikkünk megjelenésével nagyjából egy időben épp egy Wise-csalás is történt, amiről tudunk. Abban az esetben – a tranzakciós lista szerint – valahol Dél-Franciaországban, egy marseilles-i benzinkúton követték el a lehúzásokat. Sok 250 eurós tételből összesen 3000 eurót loptak el néhány perc leforgása alatt egy magyar ügyféltől (minden pénzét, ami akkor a számlán volt), aki közben mit sem sejtve aludt.
Még egy Revolut-eset
Ahhoz, hogy jobban megértsük, mi miért történik, egy harmadik eset részleteit érdemes még jobban ismerni.
Kardos Melinda szintén a Revoluttal küzd hónapok óta. Őt még nagyobb kár érte: dollár- és eurószámláiról összesen 5 500 eurót loptak el február közepén. Egy nagyobb tengerentúli utazás miatt a szokottnál jóval több pénzt tartott a revolutos számláin, de a csalás már épp hazatérte után érte. Február 16-án magyar idő szerint éjjel 3 óra 17 és 3 óra 33 között nagyjából 25 perc alatt kamuvásároltak a kártyájával a Christian Dior luxusdivatház egy párizsi üzletében, valamint egy Back Market nevű, használt elektronikai cikkeket forgalmazó boltban. Ezt mutatják legalábbis az elérhető tranzakciós listák. Melinda eközben Budapesten aludt, vagy épp a jetlagjével küzdött.
Miután észrevette a lopást, azonnal befagyasztotta a kártyáit (egy hagyományos és egy virtuális kártyája volt), és ő is beleállt a dologba. Attilánál még kitartóbban, még hosszabban, és ha lehet, még határozottabban próbálta visszakövetelni pénzét. Egyelőre nem sokkal jár előrébb, mint ő. Sokszor megismételt kérése ellenére nem kapott semmi bizonyítékot arról, hogy – mint a Revolut állítja – valóban ő maga a saját telefonján igazolta volna a terhelések jóváhagyását.
Nem foglalkoztak azzal az érvelésével sem, hogy a percenként azonos összegű és a fizetési szokásaitól idegen kereskedőktől érkező terheléseket gyanúsnak kellene tekinteniük. Sőt, az EU pénzmosás és terrorizmusfinanszírozás elleni törvénye értelmében a pénzintézetek részéről azonnali intézkedést igényelnének. A Revolut nála is arra hivatkozik, hogy ezek Apple Pay-es tranzakciók voltak. Ezekért nem tud felelősséget vállalni, és nem jár utánuk kártérítés.
Mit mond a litván bankfelügyelet?
Melinda is tett feljelentést a rendőrségen. Két héten át mindennap nyomasztotta a Revolutot, minden létező hivatalos beadványt megtett. Nem hagyta magát lerázni akkor sem, amikor formai követelményekre hivatkozva vissza-visszadobták a reklamációit. Közben írt a litván bankfelügyeletnek és az ottani fogyasztóvédelmi hatóságnak is. Itt is belefutott formai hibákba, de itt sem adta fel. Végül befogadták a kérelmét.
A litván felügyelettől azt a választ kapta, hogy 90 napon belül kivizsgálják a beadványát – ebből 45 nap telt el. Azt is megtudta tőlük, hogy a 90 napos határidő végén nem határozatra, hanem valamilyen javaslatra számíthat majd, kizárólag litván nyelven írva. Egy globális szolgáltatót felügyelő szervtől ez kissé komikus, de nem ez a legnehezebb feladat, nyilván le fogja tudni fordíttatni a válaszukat.
Kevésbé biztató, hogy arról tájékoztatták: ez is arra lesz csak jó, hogy ezzel a papírral mehessen aztán mondjuk a bíróságra.
Melinda mindeközben az Apple-t is megkereste, ha már a Revolut folyton az Apple Payre hivatkozva hárít. Itt annyit tudott meg, hogy a csalók minden bizonnyal valamilyen módon áttették a kártyáját egy másik Apple-eszközre, és sikerült is magukat azonosítaniuk a kétfaktoros azonosítás ellenére. Ezen a ponton egy hetekkel korábban érkezett sms-nek is nagy jelentősége lehet, de a tisztánlátás végett előbb próbáljuk megérteni, hogy is dolgoznak a csalók.
Hogy dolgoznak a csalók? És mi az a RAT?
Az online térben állandó versenyfutás van a jó és rossz oldal között – kezdi kicsit távolabbról Mayer Gellért Levente kibervédelmi szakértő. A pénzügyi szektor szereplői próbálják megelőzni a csalásokat, míg a hekkerek vagy carderek (utóbbiak a kártyás csalásokra specializálódott csalók) újabb és újabb módszereket alkalmaznak.
Mint Levente mondja, mostanában nagyon elterjedtek az úgynevezett Financial RAT (Remote Access Trojan) szoftverek. Ezekkel számítógépeket megfertőzve, már előre konfigurált lépéssorozatokat automatikusan hajtanak végre a csalók.
Nagyon egyszerű levezetéssel a következő lépéssorozat történik:
- Megfertőződik a számítógép.
- A Financial RAT tétlen, figyeli a felhasználót, várva arra, hogy bankkártyaadatokat adjon meg egy webhelyen.
- Figyeli, hogy a számítógépen be van-e kapcsolva az üzenetek tükrözése, ha nincs, csendben bekapcsolja azt (a kétfaktoros hitelesítés kijátszása érdekében).
- Naplózza, hogy mely időpontokban inaktív a felhasználó.
- A megfelelő pillanatban alkalmazza az így szerzett adatokat, és egy előre definiált „kereskedőnél” végrehajt annyi tranzakciót, amennyit az így megszerzett információkkal csak tud.
A darkweben hemzsegnek a RaS (Rat as a Service) szolgáltatások, amelyekkel potom pénzért hozzáférést lehet vásárolni egy ilyen RAT-hoz. Az árak körülbelül 40–70 dolláros havidíjon mozognak.
„Innentől kezdve a csalónak nincs más dolga, mint áldozatokat gyűjteni”
– mondja Levente.
Hogyan szedik az áldozatokat?
Az áldozatok gyűjtését többféle módon tehetik meg:
- kalóz szoftverekbe ágyazva, torrent oldalakon keresztül,
- pdf, xlsx. fájlokba ágyazva, és mellékletként elküldve e-mailben (akár árajánlatkérés, számla stb. formájában).
Vagyis programozási tudás nélkül akár profi rendszerrel rendelkezhet szinte bárki.
Kik a kamukereskedők?
Amire még szükség van, az egy beépített kereskedő, aki ezeket a tranzakciókat lebonyolítja. A darkweb fórumai erre is jók. A nagyobb RAT-hálózattal rendelkező csalók folyamatosan keresik a bankkártyás terminállal rendelkező embereket és vállalkozókat, könnyen lehet csatlakozni.
„Az üzleti modell egyszerű: mi (RAT-hálózattal rendelkező csalók) biztosítjuk az Apple Pay/Google Pay fiókokat, te (kereskedő) azokat felhasználod, és a pénzt felezzük.”
„Persze az ő részüket mindig bitcoinban vagy más kriptovalutában kérik – teszi hozzá Levente. – Így a kereskedő/termináltulajdonos bukhat, ám a csaló nem.”
És hogy miért jó és újszerű ez a fajta csalás? Azért, mert a legtöbb banknál az Apple Pay-es és Google Pay-es tranzakciók nem esnek át plusz biztonsági ellenőrzésen. Ezt azzal magyarázzák, hogy ezek használatához eleve plusz megerősítés (biometrikus vagy jelkódos azonosítás) szükséges.
Akkor tehát hogy lopták el Attila és a többiek pénzét?
Attila (és feltehetően Melinda meg még sok más károsult) esetében a következők történhettek.
- Attila gépe valamilyen módon megfertőződött egy Financial RAT-tel (a korábban felvetett módszerek egyikével, vagy akár offline, például egy fertőzött pendrive-val).
- A RAT megszerezte a virtuális kártyájának kártyaszámát, lejárati dátumát és CVV kódját.
- A RAT kifigyelte, hogy Attila mely időszakokban inaktív (például az esti jógái során).
- Egy ilyen időszakban a RAT akcióba lendült. Párosította egy, a csalóhoz tartozó iPhone-hoz a kártyát. Majd a fertőzött számítógép üzenetszinkronizálását kihasználva megszerezte hozzá a szükséges sms-kódot, amit elküldött a Revolut.
- A csalóval „szerződött” kereskedő használta a kártyát egészen addig, amíg azt nem utasították el (mert elfogyott a számláról a pénz).
- A RAT megsemmisítette magát. A biztonsági kutatóknak így nehezebb a nyomára bukkanniuk, ezáltal tovább futhat másoknál is, jelentősebb crypter (titkosítás) módosítás nélkül. (Az ilyesfajta szoftvereket ugyanis titkosítják, hogy a vírusirtó alkalmazások ne ismerjék fel.)
Miért gyakoribb ez a Revolutnál, mint más bankoknál?
Mayer Gellért Levente szerint csupán azért, mert
- a Revolut (és például a Wise) nemzetközi, könnyebben elérhető más országokból – a csalók általában külföldiek, és világszerte tevékenykednek.
- Általában az ilyen Financial RAT-ek a legnagyobb, legszélesebb körben elterjedt pénzügyi szolgáltatókra vannak konfigurálva.
- Náluk ugyanis pontosan ismerik például a revolutos Apple Pay megerősítő sms formátumát, így az automatizáció is egyszerűbb.
A veszélyt jelző sms
Ami a revolutos Apple Pay megerősítő sms-t illeti, Melinda hetekkel a csalás után lett figyelmes egy gyanús üzenetre. Február 14-én este tízkor érkezett a 36-70-700-9827 számról. Erről a számról a Revolut, a Booking, az Airbnb, a DuoMobile, az Expedia és hasonló jóváhagyó kód szokott érkezni – és néha csaló Netflix sms is.
A konkrét üzenetben egy kód volt. Ahhoz küldte a Revolut – bár Melinda nem kérte –, hogy a bankkártyáját betehessék egy másik Apple-eszközbe. A bank figyelmeztette, hogy senkivel ne ossza meg a kódot. Ne is pötyögje be sehová, hacsak nem akarja a kártyáját egy új iPhone-on használni.
Egy revolutos sms, ami láttán fogj gyanút.Február 21-én délelőtt is jött egy hasonló azonosító üzenet, az is csak magától esett be, nem Melinda kérte. Ő akkor éppen az ellopott 5 500 euró miatt tett személyesen feljelentést a rendőrségen, nem használta a Revolut appját.
A február 14-i sms-t aznap nem látta, nem olvasta el (este 10 óra megint olyan időpont, amikor sokan már lehalkítják, kikapcsolják a telefonjukat, vagy akár alszanak), de valószínűleg akkor sem foglalkozott volna vele, ha látja. (Természetesen utólag sem kattintott a linkre, és nem használta a kódot.) Ahogy más kósza üzenetekre, e-mailekre sem szokott reagálni, ami általában jó stratégia. Az adathalász, kamuszámla, kamufutárküldő és hasonló, általában valamilyen linket tartalmazó leveleket ignorálni kell, és semmiképpen nem kattintani a benne lévő linkre.
Azonnal lépj!
Ez a fenti sms azonban utólag nézve intő jel lehetett volna. A korábban Levente által vázolt forgatókönyvet erősíti, miszerint a csalók hozzáférnek valamelyik szinkronizált eszközhöz, és így szerzik meg a visszaigazoló kódot.
„Ha ilyen sms-t kapsz, azonnal válts Revolut-jelszót mobilon, minden kártyát fagyassz be, és vedd fel a kapcsolatot a Revoluttal az összes kártya cseréjéről”
– tanácsolja a kibervédelmi szakértő.
Ahogy azt is javasolja, hogy ilyenkor minden eszközt vizsgáljon át szakember. „Ha erre nincs lehetőség azonnal, akkor addig ne használd a számítógéped (nem mobileszközt), az legyen offline, és kapcsold ki a szinkronizálást. És inkább ajánlom a 2FA alkalmazások használatát, ahol lehetséges (Revolutnál sajnos nem), ez sokkal biztonságosabb, mint az sms.”
A trükk az, hogy sajnos az sem garancia semmire, ha nem kapsz ilyen sms-t. Attila például semmilyen értesítést (sms-t, e-mail-t, pláne telefonhívást) nem kapott, ami arra utalna, hogy a fiókjához tartozó virtuális kártyát egy új eszközben helyezték volna üzembe. Ezért ő azt valószínűsíti, hogy nála nem egy másik eszközbe (walletbe, készülékbe helyezve és Apple ID-hez rendelve) éltek vissza a kártyaadatokkal, hanem az ő eszközét/mobiltárcáját klónozták le, és azzal fizettek – tőle földrajzilag távol.
Ezt Levente annyiban árnyalja, hogy biztosan nem tudhatjuk, hogy nem kapott ilyen smst-t. „Az én teóriám szerint kapott ő is, csak azt törölték a szinkronizált eszközön, így az eltűnt mindenhonnan, ezért nem látja utólag.”
Az biztos, hogy a Revolut és minden más pénzügyi szolgáltató többet tehetne a nagyobb biztonságért. „Csak figyelemmel kellene kísérnie, hogy milyen készülékekben, walletekben, Apple ID-khoz és főleg milyen földrajzi helyen léteznek ezek az eszközök, és/vagy milyen földrajzi pontokon használják ezeket a kártyákat, eszközöket” – mondja Attila, és megint egy saját példát hoz.
„Mert az nincs rendben, hogy miközben a Revolut azt kommunikálja, hogy mi nagyon vigyázunk a fiókod biztonságára, a valóság nem ezt mutatja.
Gyanúsnak jelez teljesen természetes eseményeket, mint egy online múzeumjegy-vásárlás 38 euróért, de simán elsiklik egy atomrobbanás méretű, 2000–5000 eurós csalárd tranzakciósorozat felett, ami életszerűtlen időpontokban és helyszíneken történik.”
Mit tehetsz még?
Mayer Levente szerint tökéletes védelem nincs. Legutóbbi cikkünkben adtunk már egy csomó tippet arra, hogy felhasználói oldalról hogyan lehet növelni a biztonságot a limitektől a geolokációs beállításon át a kártya rendszeres befagyasztásáig vagy a pénz revolutos széfbe helyezéséig – néhány tanácsra most ő is ráerősít.
Azzal, ha mindig az egyszer használatos kártyát használjuk online vásárlásainkhoz, jóval meg tudjuk nehezíteni a csalók dolgát, mondja. Azzal szemben viszont védtelenek vagyunk, ha nem érintéses fizetéseknél lopják el a kártyánk adatait. Ezt sajnos elméletileg bármelyik terminálon és bankautomatán megtehetik.
Szerinte talán a legjobb védelem, ha valamilyen pénzügyi korlátot állítunk be, amit túllépve a bank elutasítja a tranzakciókat.
Csakhogy jelen állás szerint a Revolut magánszemély felhasználói érthetetlen módon csak havi limitet tudnak beállítani. Napi és tranzakciós limitet nem. Nem azért, mert a Revolut rendszere erre ne lenne képes, céges számláknál ugyanis minden további nélkül megtehető. Attila céges számlát is vezet a Revolutnál, ott alkalmazza is a tranzakciós limitet. Ha a magánszámláknál is volna erre lehetőség, akkor ma nem 2000 euró visszaszerzésért küzdene, hanem legfeljebb 100 euróért.
Ha a visszaélések hatására legalább ezen változtatnának, már előrébb járnánk.
Borítókép: Tóth Attila / Fotó: Sebestyén László
