A feleségem tagja egy zárt Facebook csoportnak, ahol telefonon elkövetett bankos átveréseket tárgyalnak ki. Ott volt nemrég egy férfi, aki fel volt háborodva, hogy úgy hívták fel, hogy mindent tudtak róla. Nem kérdezték az adatait, hanem mondták: neve, születési ideje, stb.
Megmondták a kártyája lejáratát és így tovább. A hívószám is stimmelt, az volt a bankkártya hátulján is.
(A mostani magyar banki protokoll szerint a banki ügyintéző nem megad adatokat, hanem kérdezi azokat. Ezt szeretné megváltoztatni az MNB, hogy mindkét fél mondjon adatot az ügyfélről, hogy az ügyfél is lássa, hogy a hívó nem vaktában próbálkozik csak. Mint látható, ettől nem feltétlen lesz biztonságosabb a rendszer.)
Biztos feltörték a banki rendszert vagy van a csalóknak egy belsős emberük a bankban, aki kiadja ezeket az adatokat, szólt a vélekedés a hozzászólásokban.
Az elsőre reagálni is kár, aki fel tud törni egy banki rendszert, az nem fog telefonálgatni, anélkül is kisöpörné az összes számlát.
A második sem valószínű, mert aki dolgozott bankban, az tudja, hogy hónapokra, ha nem évekre visszamenőleg le lehet kérdezni, hogy ki, mikor, honnan lépett be egy számlába. Állandó probléma, hogy az ügyintézők be akarnak lépni egymás számláiba, hogy lássák például, ki mennyi bónuszt kapott. Azonban ennek könnyen lekérdezhető nyoma van és minimum fegyelmi jár érte. Egy banki ügyintéző tudja, hogy azonnal lebukna, ha ő adná ki ezeket az adatokat.
De akkor hogyan tudtak róla mindent a csalók?
Gondoltam, írok egy cikket, hogyan tudod kicsit biztonságosabbá tenni a Wise számládat, ekkor futottam bele a Wise blogoldalán egy nagyon jó írásba a témával kapcsolatban.
A titok a kétlépcsős lopásban van.
Mindenki találkozott már adathalász SMS-ekkel, Facebook reklámokkal, e-mailekkel. A kínai csomagod elakadt a postán, vámot/ügyintézési díjat kell rá fizetni 420 forintot, kattints a linkre. Az első ötszáz jelentkező 800 forintért vehet egy Samsonite bőröndöt. A telefonszámlád 817 forint hiányt mutat, fizesd be most, vagy kikapcsolják az előfizetésed. És így tovább, végtelen lehetőség van, ami egy kamu oldalra visz, ami megtévesztésig hasonló az igazi oldalhoz.
S rálépsz az oldalra, félálomban, egy telefon kicsi kijelzőjén, egyébként is vársz egy csomagot Kínából, ami késik és kitöltöd az adatokat, ami kell ahhoz, hogy megkapd a csomagot, el legyen intézve a vámolás: megadod a neved, születési dátumod, kártyaszámot, lejáratot, telefonszámot és mindent, amit kérdeznek. Az összeg jelentéktelen, azzal nem törődsz, nem is sokat gondolkodsz rajta.
A tranzakció sikeres volt, írja az oldal, mindenki boldog. (Igazából nem volt semmilyen tranzakció, ha ellenőrzöd a számládat utána. Kivéve, ha éppen a bankkártya adataidat akarták ellopni, de akkor sem ez a tranzakció lesz rajta, hanem sok másik ezután...)
Innentől kezdve már mindenki tudja, hogy működnek ezek a dolgok. Napokkal, hetekkel, akár hónapokkal később felhívnak és bemondják azokat az adatokat, amiket megadtál a kamu weboldalon. A telefonszámot hamisítani pofonegyszerű, ha már telefonáltál VOIP telefonnal interneten, akkor tudod, hogy bár nem a saját számodról hívsz valakit, mégis a hívó a te rendes telefonszámodat látja, mintha a rendes előfizetésedről hívnád. Eddig tart egy bank telefonszámát is leutánozni. A megadott bankkártyád számából lehet tudni, hogy melyik bank bocsátotta azt ki.
(Használhatnak még a csalók feltört webáruházak adatait is, Európában nem, de az USA-ban gyakran a bankkártyák adataihoz is hozzáférnek. Persze ekkor sok adatot nem tudnak rólad, de esetleg annyit igen, hogy elhidd, hogy tényleg a bankból hívnak.)
Innentől rávesznek, hogy változtasd meg a jelszavadat erre, vagy helyezd biztonságba a pénzed, ebben segítenek, csak add meg a kódot, amit SMS-ben kaptál. Azt is kérhetik, hogy a biztonság kedvéért töröld le az appot, ez csak azért kell, hogy időt nyerjenek, te nem tudj utána belépni.
A feleségem az elmúlt két hétben három ilyen adathalász hirdetést jelentett a Facebooknak (Iphone, bőrönd, serpenyőkészlet, akármi szinte ingyen, gazda nélküli csomagok eladása 500 forintért a Magyar Postától), egyre még nem válaszoltak, kettőt teljesen rendben talált a Facebook, szerinte ezek teljesen tisztességes hirdetések.
Én a jófogásnak jeleztem egy csaló hirdetését néhány hete, aki egy telefont árult gyanúsan olcsón Budapesten. Mondom, hol lehet megnézni. Ő most Balassagyarmaton van négy napig, utána tudja megmutatni, addig csak posta. Semmi gond, van egy haverom ott, átmegy, megnézi. Jó, de ő sokat dolgozik, leghamarabb jövő hét hétfőn tudja megmutatni, ha addig el nem viszik. Az account természetesen frissen kreált, volt egy másik hasonló átverős hirdetése még. (Meg gondolom száz másik más néven.)
A jófogás kilenc nap múlva(!!!!!) reagált az e-mailemre, mondván, még semmit nem csináltak, csak átadták a másik osztálynak az észrevételemet. De azért köszönik, hogy szóltam nekik.
Szóval ennyire reménykedj, hogy egyszer vége lesz ezeknek a csalásoknak. A Facebook szerint semmi baj ezekkel a hirdetésekkel, a jófogásnak kilenc nap nem volt elég, hogy bármit csináljon egy csaló hirdetésével, a bankoknak nem fáj a csalás, ezért senki nem csinál semmit.
De akkor visszatérve az eredeti témához, amiről cikket akartam írni, hogyan tudod némileg biztonságosabbá tenni a Wise számládat.
Az első, hogy a weben kapcsold ki a kényelmi beállítást, hogy ne kérjen másodlagos azonosítást, amikor belépsz. (A böngésződben tárolt adatokat ellopva el lehet hitetni az oldallal, hogy a csalók böngészője az a böngésző, amit te eddig használtál.)
Ezt itt tudod megtenni: Jobb felső sarok, a nevedre kattintva Beállítások gomb.
Ezután Automatikus ellenőrzésnél kapcsold ki a csúszkát. (A képen a bekapcsolt állapotot látod, ez az alapértelmezett, ezt változtasd meg.)
Ezután beállíthatsz egy kódot, amit a Wise minden e-mailben közölni fog, innen tudod, hogy nem adathalász e-maillel van dolgod. Ez lehet a macskád neve, az autód rendszáma, bármi, igazából csak arra való, hogy a Wise azonosítsa magát az e-mailekben.
Ha akarod, letölthetsz egy hitelesítő appot a telefonodra, például a Google Autentikátort. (De több app is elérhető, tudsz választani.) Ez annyit tud, hogy néhány másodpercenként egy hatszámjegyű kódot generál, internetkapcsolat nélkül is. Ezt a kódot kell beírni a belépéshez, nagyjából ugyanaz, mint az SMS-ben kapott kód, ami egy percig érvényes csak. Ha ezt használod, se internet, se SMS nem kell a belépéshez.
A Wise oldalán, ha be akarod állítani az autentikátort, megjelenik egy QR-kód, ezt a telefonoddal beolvasod az autentikátor appnak, innentől kezdve ismerni fogják egymást. Ennyi az egész, nem egy komplikált dolog.
Amit én még megcsináltam, hogy a banki telefonszámokat a saját, használatban lévő telefonszámom helyett átírtam egy feltöltős kártyára, amit mindig kikapcsolva tartok. Először butatelefonban volt a kártya, aztán átraktam a normál mobilom második SIM kártyájára, de tettem rá PIN kódot, így nem lehet távolról bekapcsolni. Ezt a kártyát mindig kikapcsolva tartom, mert egyébként sem használom hívásokra. Ha nagy ritkán kell a belépéshez a mobilra kapott SMS, akkor kézzel bekapcsolom, beütöm a PIN-t, miután megkaptam az SMS-t, kikapcsolom.
Ne felejtsd el az éves adategyeztetést a második SIM kártyádra és a legtöbb cég el is várja, hogy legalább évente egyszer tölts rá pénzt. (A Vodafone már nem várja el ezt sem, ott elég az adategyeztetés.) A feltöltött pénzt aztán autópálya matricára, parkolásra vagy akármire el tudod költeni.
(Amíg a cikket írtam, a háttérben nyitva volt a Wise böngészőablaka. Azt vettem észre, hogy félóránként ha megnéztem valamit a számlámon, de nem léptetett ki közben. Más bank öt perc inaktivítás után kiléptet. Ez sem tetszik annyira. De ezt már csak így zárójelben.)
S ha nem olvastad volna az előző cikket, ami miatt ez megszületett, akkor azt itt tudod elolvasni:
