"Épp Brüsszelben voltam, amikor pittyegett a pesti telefonom. SMS jött, készpénzfelvétel, ötvenezer forint. A kártyám nálam volt, nem értettem. Aztán röviddel egymás után száz-, majd hetvenezer forintot is leemeltek. Azonnal tárcsáztam a bankomat, ahol a kártyát letiltották, jegyzőkönyvet vettek fel, és azt mondták, valószínűleg lemásolták a kártyámat, és valahogy hozzájutottak a PIN kódomhoz is. Később kiderült, Ukrajnában vettek fel vele pénzt. A bank akkor már azt is tudta, hol és hogyan szerezték meg az adataimat, de ebbe nem avattak be. Még a vizsgálat befejezése előtt jóváírták az összeget, így engem nem ért kár" - mesélte Zsófi. Egy kör-e-mail után kiderült, hogy vannak még ketten az ismerősi körben, akik hasonlóan jártak: kisebb gyomorideg után happy end, mivel a számlavezetőjük helytállt a kárért.
A nyugat-európai trend azt mutatja, hogy a csalások nagy része ma már nem követeli meg a bankkártya fizikai megszerzését, sokkal inkább a digitális mágnescsíkon tárolt kártyaadatok a lényegesek. Ezek felhasználásával aztán
a szakavatott kezek
hamisított (klónozott) kártyát tudnak készíteni, de az információk alkalmasakká tehetők nagy tömegű internetes vásárlás, az ún. "kártya nincs jelen" (card not present) tranzakciók lebonyolítására is. Ez már az új generációs visszaélések köre, amit bizonyos technikai feltételek (kisméretű, digitális adathordozók és adatmásolók megjelenése, internetes vásárlás) tettek lehetővé. A hamisításnak csak egyik válfaja, amikor valós kártyaadatokból dolgoznak. Megfelelő szoftverrel lehet generálni olyan számsorozatokat is, amiket az elfogadóhelyek adott esetben úgy kezelnek, mintha kiadott kártyák tartoznának hozzájuk.
"A nemzetközi bűnszövetkezetek példái azt mutatják, hogy valós bankkártyaadatot sokféleképpen lehet szerezni - válaszolta megkeresésünkre Almádi János, a Nemzeti Nyomozó Iroda Szervezett Bűnözés Elleni Főosztály Bűnszervezetek Elleni Osztály pénz- és bankkártya-hamisítás elleni alosztályának nyomozója. Bevett módszer az ATM- és POS-termináloknál a nehezen kiszúrható mágnesfejes olvasók és kamerák alkalmazása, az internetes adathalászat (data fishing: amikor e-mailben a kibocsátó bank nevében kéri a bankkártya-azonosítókat), de az ATM-ek megrongálását, elrablását is részben ez motiválja. Léteznek olyan orosz nyelvű illegális kártyafórumok, ahol tízezrével árulják a kártyaadatokat: ezek úgy néznek ki, mint egy chatszoba, melyben az alkalmi partnerek nagy tételben történő vásárlás esetén akár fél dollárért vehetnek egyes bankkártyaadatokat. Megszüntetni nehéz egy ilyen portált, mert az adatbázis szét van dobva több szerverre, és ha egyik nap felfüggesztik, másnap újraindul. Ha már a kártyaadatokat megszerezték, a jól kiokosított bűnözőknek nem esik nehezükre a klónozott kártyák előállítása: az interneten keresztül lehet rendelni digitális kártyaírót és olcsón, nagy mennyiségben fehér plasztikkártyát. Ezekre ráírják a mágnescsíkról megszerzett adatokat, filctollal a PIN kódot, és már mennek is a bankautomatákhoz. A személyes találkozással járó kártyás vásárlás szintén előfordul: ehhez megfelelő minőségben valamelyik kártyatársaság azonosítóit is rá kell másolni a fehér plasztikra, ami macerásabb és kockázatosabb is. Napjainkban egyre gyakoribb az internetes vásárláshoz kapcsolódó csalás. Nemrég egy másfél milliárdos ügyet sikerült például lelepleznünk." (Lásd Csúcsfogás című keretes írásunkat.)
Magyarországon a bankkártya-hamisításból eredő veszteségek 2006-2007-ben a korábbi évekhez képest jelentősen megugrottak. De míg a magyarországi kibocsátású bankkártyákhoz kapcsolódó kárérték 2005-höz képest "csak" megduplázódott, a főként külföldi bankok által kibocsátott bankkártyák klónjaival végrehajtott, elfogadóhelyekhez (ATM, POS) kötődő visszaélésekből származó veszteség több mint hétszeresére nőtt. Ez számokra lefordítva azt jelenti, hogy tavaly az elfogadói hálózatban bankkártya-hamisításból kb. 260 millió forint veszteség keletkezett, ami a forgalomhoz viszonyítva még mindig jóval alatta marad az európai átlagnak. (Forrás: Magyar Nemzeti Bank: Visszaélések a bankkártya üzletágban, 2007.) A növekedés hátterében valószínűleg az áll, hogy Nyugat-Európában szinte már száz százalékig átálltak a bankok és elfogadóhelyek a mágnescsíkról az EMV csip használatára, ami nagyban növeli a kártyák biztonságát. A migráció átmeneti időszakában ugyanakkor a kártyákon van még mágnescsík is, épp amiatt, hogy a nem csipes elfogadóhelyeken is lehessen őket használni. A klónozott kártyák használata ezért értelemszerűen egyre nagyobb arányban terelődik át olyan országokba, ahol a csipes elfogadóhelyekből még kevesebb van. A térségünk ilyen, bár Magyarország azzal, hogy 2007-ben az ATM-eknek a 39 (OTP Bank, Allianz, UniCredit, Inter-Európa, Takarékbank), a POS-termináloknak pedig a 80 százaléka (OTP Bank, Allianz, Budapest Bank, UniCredit, Inter-Európa, K&H, OTP) fogad el csipkártyát a mágnescsíkos kártyák mellett, nem teljesít rosszul. A rendőrségi tapasztalatok egyébként szintén a migrációs hatást igazolják: az országot érintő bankkártya-hamisításban főként orosz, ukrán és délkelet-európai (román, albán) bűnözők vesznek részt, és hamisított kártyáikkal elsősorban a vastag pénztárcájú nyugat-európaiak és amerikaiak bankszámláit apasztják. Ugyanakkor a magyar ATM-eknél is lopnak adatokat, a klónozott kártyákat pedig itthon és javarészt külföldön (tőlünk keletebbre, akár Európán kívül) használják fel.
A szakszerű adatlopás
lényege, hogy az ügyfél ne ismerje fel, hogy adatmásoló eszközzel áll szemben. "Próbálkoztak már a zárt (vestible) ATM-eknél ajtóbeléptetőbe szerelt mágneses kártyaolvasóval is, amely akkor vette le az adatot, amikor az ügyfél a munkaidőn kívüli belépéskor lehúzta a kártyát. De a gyakoribb, hogy a kártyaleolvasó elé tesznek egy adatszerző készüléket tartalmazó pár centis lapot vagy maszkot, amely ugyanazzal a lendülettel olvassa le és tárolja el a kártyaadatokat, ahogy valaki megpróbál pénzfelvételt kezdeményezni. A PIN kódot kétféleképpen próbálják megszerezni: vagy egy rendkívül nehezen észrevehető helyen felfüggesztett mikrokamera segítségével, vagy pedig egy álbillentyűzetet illesztenek rá az eredeti tasztatúrára, ami engedi lebonyolítani a tranzakciót, de közben a PIN-t is elmenti. A professzionalizmusra jellemző, hogy egy nemrég lefülelt orosz banda az adatokat minden egyes pénzfelvétel után SMS-ben továbbíttatta magának. De láttunk már Törökországban készült, szervezett bűnözői csoportok által gyártott magyar nyelvű álbillentyűzetet is, mely tökéletesen illeszkedett egy bizonyos típusú ATM-készülékhez. Ezenkívül tudunk olyan esetről is, amikor egy egész előlapot helyeztek fel az adatok megszerzéséhez" - mondta Almádi.
A büntető törvénykönyv a készpénz-helyettesítő fizetési eszközzel kapcsolatos bűncselekmények között nevesíti a fizetőeszköz-hamisítást, a fizetőeszközzel való visszaélést, valamint a fizetésieszköz-hamisítás elősegítését (313. § B-D). Az ezzel kapcsolatos ügyekben a rendőrség helyi szervei nyomoznak, a nemzetközi szállal bíró szervezett bűnözői csoportok által elkövetett bűncselekmények esetében pedig a már említett alosztály nyomoz. Az ügyek számának szaporodását jelzi, hogy míg - a szerkesztőségünkhöz eljuttatott ORFK-adatok szerint - korábban bankkártya-hamisítás miatt évente 18-60 esetben kezdeményeztek eljárást a rendőrségnél, tavaly már 232 esetben. És ami még jellemzőbb: míg korábban elenyésző számban vált ismertté olyan bűncselekmény, ami a hamisítás elősegítését célozta (hamisításhoz szükséges anyagok, eszközök beszerzése, számítógépes program írása), addig idén az első hét hónapban már 136 ilyen esetben kezdeményeztek nyomozást.
Abban, hogy a bankkártyákkal való visszaélések kárértéke mintegy tizede az európai átlagnak, komoly szerepük van a pénzintézeteknek. Közülük is súlyánál fogva az OTP Bank emelkedik ki, mely saját gerinchálózatában a hazai kibocsátott kártyák és az ATM-ek 45 százalékát, a POS-terminálok közel 80 százalékát üzemelteti. Rajta kívül még a független bankkártya-elszámoló házként működő Giro Bankkártya Zrt. (GBC) a másik nagy szereplő, mely teljes körű bankkártya-kibocsátó és -elfogadó szolgáltatásokat nyújt bankoknak (például Erste, K&H, UniCredit, Volksbank) és takarékszövetkezeteknek.
"A visszaélések ellen a megfelelő biztonságtechnikai eszközök, megoldások alkalmazásával, a bankkártyaforgalom napi 24 órás monitorozásával, a gyanús tranzakciók szűrésével és a kártyahasználók biztonsági tudatosságának fejlesztésével lehet hatékonyan védekezni. A bankkártyaadatok megszerzését gátolják az ATM-ek újfajta kártyaolvasói (rezegtető funkciós vagy speciális kialakítású, átlátszó műanyagból készült és villogó olvasók), amelyek megakadályozzák a mágnescsík adatainak másolását, illetve a másolóeszközök észrevétlen felhelyezését - mondta Vörös Gábor, az OTP Bank bankbiztonsági főosztályvezetője. - Korábban előfordult, hogy a mágnescsík adatát a bankfiókok 24 órás zónájába bejutást biztosító kártyaolvasók manipulálásával szerezték meg, ezért minden kártyaolvasót elektronikai szabotázsvédelemmel láttunk el. Hatékony megoldás a csipmigráció és az elektronikus bankkártya-elfogadás széles körű alkalmazása. Az esetleges visszaélések gyors felismerését szolgálja az is, ha az ügyfelek a kártyatranzakciókról SMS-t kérnek a banktól. A technikai védelmen kívül azonban rendkívül fontos a folyamatos kontroll nemcsak a bank által kibocsátott kártyák körében, hanem a bank elfogadóhálózatában is."
Az OTP Bank és a GBC is az elektronikus megfigyelőrendszerén keresztül megállás nélkül szűri a csalásgyanús tranzakciókat. "A monitoring rendszer az elfogadóhelyek, a kártyahasználat és a visszaélők szokásaiból kiindulva különböző kockázati elemeket súlyoz. Kártyahasználat helye, gyakorisága, összege, többszöri PIN kód-elutasítás és még számos dolognak van egy szorzója: a rendszer jelez, ha valami eltérést észlel" - mondta Tímár György, a GBC igazgatója.
"Az OTP Banknál volt olyan eset, hogy bankbiztonsági munkatársaink már a negyedik jogosulatlan kártyahasználat után felismerték, hogy az elkövetők klónozott kártyákat kezdtek használni, amihez a kártyaadatokat korábban az egyik ATM-től szerezték: blokkolták az adatszerzésben érintett összes kártyát, majd a közreműködésükkel a rendőrség a másolási helytől pár száz kilométerre a tetteseket is elfogta. Sokszor az elkövetőkről készült digitális videofelvételek gyors átadásával, a bűnözők kártyahasználatának online követésével és az információk telefonos átadásával segítjük az elfogást. 2007-ben 45 tetten éréses elfogásunk volt, idén eddig 33. Ezek eredményeként a rendőröknek több esetben komoly bűnbandákat és bankkártyamásoló "üzemeket" is sikerült felszámolniuk. Olyan is megtörtént, hogy valaki hamis kártyaadatokkal próbált internetes kereskedőnél online vásárolni: mi ezt észleltük, és az árut már a rendőrség szállította ki - mesélte Farkasvölgyi Nóra, az OTP Bank bankkártya-biztonsági osztályának vezetője.
Bár az ügyfeleket a hamisított kártyák használatából nem érheti kár, jobb, ha gyanút fognak, amikor a kedvenc automatájukon változást észlelnek, és inkább tűnjenek bizalmatlannak, de takarják el a kezüket, amikor beütik a PIN kódot.
Lopott kártyák
A hazai kibocsátású bankkártyákkal kapcsolatos visszaélések között az MNB adatai szerint még mindig a lopott vagy elvesztett kártyával történt tranzakciók okozzák a legtöbb kárt. Legtöbbször zsebesek, lakásbetörők, autófeltörők járulékos zsákmánya a kártya, de arra is akad számtalan példa, amikor a családon belüli vásárlási preferenciákat kívánja így átírni az egyik családtag. A magyarok a szakemberek szerint semmiből nem tanulnak: sokan a bankkártyára írják fel még ma is a PIN kódjukat, esetleg a noteszükbe, mobiltelefonjukba, jó esetben "PINtér" fedőnév alatt. Az, hogy a nyugati trendekkel szemben nálunk még mindig a lopott kártyás bűncselekményekből származik a legnagyobb veszteség, azzal is magyarázható, hogy a hazai kibocsátó bankok az elektronikus vásárlásoknál jellemzően nem követelik meg a kereskedőktől a PIN használatát, hanem megelégszenek az aláírással. (Ezt egyedül a MasterCard írta elő a Cirrus/Maestro védjegyű kártyáinál, ami a forgalomban lévő kártyáknak a 30 százaléka.) A jogszabályi előírás szerint a lopott vagy elvesztett kártya bejelentését megelőzően maximum 45 ezer forint lehet a kártyabirtokos vesztesége, hacsak a bank nem tudja bizonyítani a kártyabirtokos szándékos vagy súlyosan gondatlan magatartását - a statisztika szerint az esetek négyötöd részében tudja.
Hagyományos módszerek
A hőskorban számos fineszes módszer született a bankkártyák megszerzésére. (Azt most ne számítsuk ide, amikor rugós késsel kényszerítenek valakit a pénze, a kártyája és a PIN kód átadására.) Az egyik a "libanoni hurok" volt, aminek a lényege, hogy a kártyaelfogadó nyílás elé egy fekete előlapot helyeztek, aminek - általában videoszalagból - a hátoldalára hurkot erősítettek, amit felgyömöszöltek a kártyaolvasó szájába. A becsúsztatott bankkártyát a gép se lenyelni, se kiköpni nem tudta. Az ijedt ügyfélhez ekkor lépett oda a "segítő", aki elmondta, hogy vele is történt már ilyen, és a PIN megadása után a kártyát visszakapta. Innentől kezdve a kód lelesése már nem volt nagy művészet, csak az ügyféllel kellett elhitetni, hogy akkor majd a bank másnap visszaadja a kártyát. A cselnek volt egy B verziója is, amikor az elkövetők egy hamis segélykérő telefonszámot ragasztottak fel az automatára, a palimadarak pedig telefonon diktálták be a kódjukat. A "libanoni hurok" ma már inkább a bankkártyafolklór része, és olyan nagy kárt feltalálása idején sem okozhatott. Nagyobb bosszúságot jelent viszont a ragasztásos módszer, ami még ma is dívik, és nem a kártya, hanem közvetlenül a pénz megszerzését célozza. "Volt, hogy egy éjszaka a Westendtől az Octogonig az összes ATM bankjegykiadó nyílása elé egy semleges szinű plasztiklapot ragasztottak. Ez az ügyfélnek kifelé nem engedi elvenni a pénzt, viszont a belső felén erős ragasztó van. Amikor a pénzfelvétel végigfut, az automata csak annyit érzékel, hogy nem vették el az összeget, ezért pár másodperc múlva visszahúzza. Az ügyfél visszakapja a kártyáját, dühöng, de elmegy. Ekkor jön az elkövető, lepattintja az előlapot, és minden pénz, ami beleragadt a ragasztóba, az aznapi nyereségét gyarapítja. Általában nem nagy összegekről van szó, de folyamatosan találkozni vele, a ragasztónyomokat pedig szinte az összes automatán látni" - mondta az egyik ATM-es szervizcégnél dolgozó munkatárs, aki szerint érdemes gyanút fognunk, ha a nyílás nyomásra meg se mozdul, mert normális esetben mindig van egy pár milliméteres holtjáték.
Csúcsfogás
Az internetes csalás ismert módszere, hogy a bűnözők közvetítőkön keresztül weboldalt hoznak létre, amely valamilyen szolgáltatást értékesít, és a fizetés lebonyolításához egy bankkal köt szerződést. Ezzel párhuzamosan alaposan feltöltekeznek valódi kártyaadatokból, és a honlapon elkezdenek őrült módjára vásárolni. Ha a bank nem ismeri fel időben, hogy "hamiskártyásokról" van szó, a cég egyik napról a másikra leáll, felszívódik, a háttérben maradó tulajok pedig eltűnnek az átutalt pénzekkel. Hasonlót próbált az a román állampolgárságú "üzletember", aki egy hajdúszoboszlói bejegyzésű cégen keresztül működtetett honlapján olcsó internetes telefonálási lehetőséget kínált alacsony percdíjas tíz-, húsz- és ötveneurós csomagban. Október első hétvégéjén, amikor a bank zárva volt, a csomagokat ötszáz és ötezer euró közötti öszszegekre módosítva elkezdett bevásárolni lopott amerikai bankkártyaadatok segítségével. Ahogy a Magyar Hírlap is beszámolt róla, 3181 vásárlási kísérletet hajtott végre két nap alatt, 5,3 millió euró értékben. A technikai számlán már ott volt a másfél milliárd forint, amikor a pénzintézet biztonsági osztálya közbeavatkozott, és az átutalás előtt befagyasztotta a számlát.