Gondolatok a bankkártyák “biztonságáról”

Ezt a pár gondolatot az ihlette meg, hogy a látókörömben már többször is előfordult (más-más emberrel), hogy a bankkártyájukon lévő adatokat felhasználva valaki idegen emelt le a számlájukról pénzt. Előre bocsátom, hogy eddig minden esetben a bankjuk tájékoztatta őket erről és a bank volt, amelyik intézkedett, így végül a komoly kellemetlenségektől eltekintve kár nem érte őket. A szövegben rendszerint a bankkártya szóhasználattal fogok élni, de természetesen amit leírok, igaz az egyéb pénzügyi kártyás termékekre is, vagyis a hitelkártyára is. Ez az elkövetkező írásom arról fog szólni, hogy milyen egyszerű is visszaélni valakinek a bankkártya adataival, s hogy vajon mit is lehet tenni annak érdekében, hogy elkerüljük a hasonló eseteket.

Egyik esetben a kártyán lévő mágnescsíkon szereplő dolgokat lopták el, majd a kártyát klónozva Oroszországban vettek fel róla pénzt. Ez az eset úgy fordulhatott elő, hogy olyan félreeső helyen lévő automatából vettek fel róla pénzt idehaza, ahol el tudtak helyezni az adattolvajok egy kis másoló készüléket. Régebben az automaták kezdőképén volt egy figyelmeztetés, hogy ha nem a képen látható módon néz ki a kártyanyílás, akkor hívjuk fel a kiírt számot. Mostanában valahogy ez kiment a divatból, pedig ez a fajta csalás még nem kopott ki sajnos. Ezt elkerülendő igyekezzünk forgalmas helyeken lévő automatánál pénzt felvenni, sajnos sokkal jobb tanácsot nem lehet adni.

A másik, s szerintem nagyobbik gond, ami ellen viszont tehetünk is, hogy az Internetes vásárlások megkönnyítése érdekében a bankkártyák túlnyomó részben alkalmasak lettek az Interneten való fizetésre is. Ha a bankunknál ez a szolgáltatás engedélyezve van, akkor bizony oda kell figyelnünk, ugyanis a vásárláshoz szükséges összes adatot ráírják magára a kártyára! Nekem nehezen fér bele a fejembe, hogy míg a PIN kódot külön egy lezárt borítékban kapjuk meg, amivel amúgy is személyes vásárláskor kell azonosítani magunkat, tehát látnak minket, rögzítenek a boltok biztonsági kamerái, stb., addig az amúgy teljesen anonim módon, Interneten szükséges vásárláshoz való kódot ráírják. Ez majdnem olyan, mintha eleve a PIN kódot is ráírnák és egy nagy kartondobozba öltözve tudnánk vele vásárolni a boltban. Persze mondhatjuk, hogy bizonyos összeg alatt nem kell a PIN kód se, de ez irreleváns a mondanivaló szempontjából.

Az alábbi ábrák néhány online fizetőfelületet mutatnak, ahol láthatjuk mely adatokra van szükség a vásárlás befejezéséhez.

Itt kedvesen még képes segítséget is nyújt a felület, hogy hol keressük a kártya biztonsági kódját.

Ez a felület már rákérdez a bankunk nevére is, de sajnos az is olyan adat, ami egyértelműen szerepel a kártyán.

E legutóbbi pedig egy androidos alkalmazás fizetőfelülete, ahol "véletlenül" alapértelmezés szerint a kártya mentése opció is be van kapcsolva.

Mint a fenti ábrákon láthattuk, fizetéshez elegendőek az alábbi adatok:

1. Kártya típusa (VISA, MasterCard, ...)
2. Kártya száma
3. Vezetéknév, Keresztnév
4. Lejárat dátuma (év, hónap)
5. Érvényesítési kód (s ha a kártyán ilyen nincs, akkor elhagyható)
6. A kibocsátó bank neve (ezt se mind kéri)

Ezek közül vajon melyik az, amelyik nem szerepel a kártyánkon? Elárulom, mindegyik rajta van, szép nyomtatott (sőt esetleg dombornyomott) betűkkel. A dombornyomott kártyák esetében különösen vicces, hogy egyetlen jól sikerült fénykép a hátoldaláról elég hozzá, hogy minden kérdéses adatot megkapjunk róla. De persze nem tart semeddig mindkét oldalról elkészíteni azt a képet és akkor annyit se kell vesződni vele...

A szemléltetés kedvéért következzen két kép, amit egy egyszerű webkamerával félsötét körülmények között külön világítás nélkül, mindenféle extra rákészülést mellőzve készítettem egy agyonhasznált, kopott telefonkártyáról. Az ilyen típusú kártyákat én könyvjelzőnek, és persze műanyag alkatrészek szétpattintásához is használom, így idővel elkopnak, ez a példány azonban a kornak és a korabeli normál használatnak köszönheti, hogy a dombornyomott számairól már lekopott az eredetileg fekete festék, s csak nyomokban látszik milyen is volt annak idején.


Az igazán ijesztő, hogy ez a két felvétel negyed perc előkészület után (egy fehér papírlapot kellett választanom hozzájuk) készült, mindössze 640*480-as felbontásban és semmi utómunkát nem végeztem rajtuk! Minden kedves olvasóm fantáziájára bízom, hogy vajon a pénztárcában/kártyatartóban őrzött, két évente cserélt, szinte kopásmentes, kontrasztosan olvasható bankkártyánk vajon mennyire nehezen leolvasható egy-egy hasonlóan készített fotóról?

Mit tehetünk tehát ez ellen, ha már a bankok ennyire felelőtlenül minden fontos adatunkat kikiabálják ország-világ számára? Szerencsére van védekezési módunk, általában több irányban is.

• Ha lehetőség van rá, akkor kérjünk több lépcsős azonosítást (sajnos ez a legtöbbször feláras szolgáltatás nem is mindig elérhető, ámde ilyenkor a tranzakciókat mindig jóvá kell hagyni, tehát ez a védelem addig kiváló, míg a telefonunk a mi birtokunkban van)
• Ha elérhető, kapcsoltassuk be az SMS értesítési szolgáltatást (ez ugyan nem véd meg az illetéktelen használattól, ámde tájékoztat minket a használatról, így hamarabb tudjuk elindítani a kártyatiltás folyamatát, nem kell megvárnunk, míg a bankunk veszi észre az adatlopást)
• Kaparjuk le a biztonsági kódot a kártyáról!

Lehet, hogy meglepő a kapirgálás gondolata, s az a hátránya is adott, hogy meg kellene jegyeznünk a kódot, ha mi szeretnénk használni a kártyát, ámde ezzel a módszerrel nem elég csak lefényképezni a kártyánkat, így nehezebb vele visszaélni.

Remélem az írásom felnyitja a jóhiszemű felhasználók szemét és mind többen kezdik el a kártyájukat biztonságosabban használni, ezzel is megnehezítve az adattolvajok dolgát. Akit viszont pont arra késztetne, hogy ezen ismeret birtokában vadul nekiálljon bankkártyákat fényképezgetni, az jobb, ha elgondolkozik rajta, hogy a hazug embert könnyebb utol érni, ha sánta - ne adjon több munkát a rendőrségnek, úgy is elkapják idővel.