A bűnözök is felfedezték maguknak a QR kódot, nemrég írtam arról, hogy parkolóórák, elektromos autótöltők és hasonló helyeken átragasztják az eredeti kódot és egy adatlopó csaló oldalra irányítják azokat, akik jóhiszeműen beszkennelik az oszlopon található, ám felülragasztott kódot.
Múlt heti rendőrségi hír, hogy már a Facebookon is módszert váltottak a csalók, nem elkérik a banki adataidat, ami gyanús, hanem a szállítás kifizetéséhez egy QR kódot raknak az oldalra. Mióta van fizetési kérelem, ha beszkennelsz egy ilyen QR kódot és leokézod, annyi pénzzel ürítik le a számládat, amennyit a kód tartalmazott. (Jelen esetben félmillió forintja bánta az áldozatnak a figyelmetlen szkennelés.)
Facebookon és egyéb hirdetési oldalakon aki azzal kezdi, hogy szállítással kéri, az az esetek 98%-ában csaló, főleg akkor, ha igazából nem is érdeklődik a termék után részletesen. Ha nem csaló, akkor is egyetlen adatra van szüksége, a háromszor nyolc számjegyből álló bankszámlaszámodra, oda utalja el a vételárat plusz a szállítási költséget. Neked ehhez sehová nem kell bejelentkezni, nem kell sehol megadni a banki adataidat, nem kell semmit szkennelni és a többi. Majd ha megérkezett a pénz, te majd intézed az utalást Foxpost vagy GLS saját weboldalán.
Háromszor nyolc számjegy, semmi más. Ha mást akar, biztos, hogy csaló.
Ha nem csaló és nem akar előre fizetni, akkor is legalább az utánvét (és a visszaküldés) költségét fizesse ki előre. Rengetegen rendelnek utánvéttel dolgokat, amit aztán nem vesz át, mert meggondolta magát. Ha még a szállítási költséget sem akarja előre elutalni, engedd el, majd jön a következő. S még egyszer: csak a számlaszámod kell neki, te sehová nem kattintasz. S vigyázol a QR kódokra, mert milliókkal megkopaszthatnak, ha egy QR kódra kattintva leokézod a fizetési kérelmet, mert ezek azok. Valaki fizetnivalót kér tőled, te pedig jóváhagyod. Nem hagyod, kivéve, ha tényleg fizetni akarsz, de akkor figyelmesen elolvasod, milyen összegről szól.
De van még átverés rengeteg. Ha már Facebook, kaphatsz olyan üzenetet, hogy megsértetted a Marketplace üzletpolitikáját és teljesen letiltják az accountodat, ezért gyorsan kattints ide és töltsd ki ezt a formot. A form linkjének a címe facebook-marketplace.werty.com, ami első ránézésre jónak tűnik, mert facebook meg marketplace, de valójában egy teljesen gagyi werty.com a weboldal címe, a többi aldomain, amit bárki kreálhat olyat, amilyet csak akar.
SMS-ben is kaphatsz újszerű átveréseket. Ez nemrég jött:
A fizetési PIN kódomat megváltoztatták, ha nem én voltam, haladéktalanul hívjam ezt a számot: +442076655157 Ilyet szoktak küldeni a bankok, ebből az SMS-ből csak egyvalami hiányzik: melyik bank vagy egyéb szolgáltató? Ugyanis azt nem tudják a csalók. (De mivel egymillió magyarnak van Revolut számlája, akár azt is beleírhatták volna.)
Ráadásul egy megbízhatónak tűnő magyar SMS küldő szolgáltatótól jött, nem valami nigériai telefonszámról. Sajnos ez semmit nem jelent, simán beengedik ezek a tömeges SMS küldő vállalkozások a csalókat is. (S az okostelefonodban lévő spamszűrő sem segít mindig, mert az csak akkor aktív, ha előtted már több százan vagy ezren bejelentették az adott számot.)
Jobbik esetben az átverés lényege, hogy egy emeltdíjas számot hívatnak fel veled, ahol eljátsszák, hogy csak kicseng, de közben már régen felvette az automata, csak kicsengés hangot játszik le. Rosszabbik esetben egy csaló ül a vonal másik végén és a már ismert módon a telefonos csalók módszerével akar kifosztani.
Bármi ilyet kapsz, nem kattintasz semmire és nem hívsz fel semmilyen telefonszámot, hanem kikeresed magad a bankod számát vagy weboldalát és ott érdeklődsz, hogy ők küldtek-e neked ilyen üzenetet.
Kapkodva, a villamoson utazva vagy közben ebédet főzve nem reagálsz egyetlen ilyen sürgető üzentre sem, hanem rendesen nekiülve, utánajárva látsz neki. S ha gyanús, inkább hagyd az egészet.
Továbbá aggodalmasoknak: mobilról nem bankolunk (ha mégis mindenképpen: azon a mobilon semmi sincs, se fészbúk és társai, se mail, se megerősítő sms, se semmi, csakis a bank appja. De inkább mobilról nem bankolunk (Androidon, iOS-ről nincs véleményem).
Csak technikai kérdés: hogy lépi át a QR kód a fizetési kérelem megerősítését? QR leolvasás után -> elsőször banki app indításához kell kattintani, szerintem ott még 1szer fel kellene jönnie, hogy ez egy fizetési kérelem (nincs banki app-om)
Továbbra is mobilról lehet a legbiztonságosabban bankolni, ez tény.
Akkor honnan bankolunk? A windowsos gépről? Docker containerben futtatott parancssoros linuxról?
Jelen állás szerint a mobilról bankolás, push üzenetekkel a leginkább biztonságosnak és még mindig (átlag számára is) használhatónak nevezhető módszer.
Ebben az esetben elegendő elolvasni, meg kicsit figyelni. A csalásokat szinte kivétel nélkül a user beavatkozásával követik el. Az ellen, hogy jóváhagy egy rossz összeget vagy tranzakciót csak nagyon korlátozottan lehet védekezni.
Amúgy, akinek sok fél millió forint, az ne is tartson ennyit egy gombnyomással elérhető módon, csak amikor akar ilyet használni, akkor tegye elérhetővé.
Köszi a figyelmeztetést!
Az 555-ös telefonszámon jót mosolyogtam!
pedig létezik az 555-ös mező, nekem is volt olyan (mármint ott, ahol dolgoztam, nem magánban).
Ezt csak a hülyék eszik meg. Ezt a blogot magasan kvalifikált emberek olvassák, akik milliókat keresnek havonta; azzal a tudással, ami ahhoz kell, nem dőlnek be ezeknek.
Miklós, mióta lősz a buta prolikra? Ők sose fognak tanácsadásra menni hozzád.
Nem akarjátok kipróbálni a fizetési kérelmet az egyesületi tagdíjak beszedéséhez?
Egyesületnek nem ingyenes a fogadása.
Marketplace helyett a Vintedet használjuk. 21 országban elérhető (sajnos felhasználó számára logikátlanul és szűken csoportosított halmazokban, de legalább országon belül biztosan), a termékek intelligensen vannak rendezve (nincsenek posztok), integrálva van mind a fizetés, mind a postázás -> egy eBaynél vagy Amazonnál is többet tud (azokba csak a kártyaelfogadás tartozik bele, postázást az eladó oldja meg). Nincs sem előre, sem utólag átutalás, hogy az egyik félnek meg kellene bízni a másikban. A Vinted foglalásban tartja a vevő által kártyával kifizetett pénzt, és csak akkor juttatja el, amikor a címzett átvette a csomagot.
(A Vinted sem tudná eltenni a pénzt, mint mondjuk a Quaestor, hisz kb. ugyanannyi kifizetést kell teljesíteniük szinte percről percre, mint beszedést, a vevő-eladó pénzforgalomnak egyszerre csak jelentéktelen része ül náluk és csak rövid időre.)