A Forbes oldalán megjelent egy cikk egy Revoluttal és ApplePay-jel kapcsolatos csalásról, amiről írtam is néhány hete.

Most megjelent a cikk folytatása, amiből az is kiderül, hogyan történhetett a csalás.

Röviden a lényeg, ahogy valószínűleg történt. Nem a telefonodat, hanem a számítógépedet fertőzik meg, ha mással nem, egy e-mail csatolmánnyal, árajánlatkérés pdf-ben vagy excelben, stb. De jöhet a link Skype-on, Viberen, bárhogy. Aztán hetekig semmi nem történik. Ha be van kapcsolva az üzenetek tükrözése a telefonról a számítógépre, akkor nyert ügy, de ha nincs, az se baj, majd a vírus bekapcsolja. Ez azért kell, hogy az érvényesítő SMS-hez ők is hozzáférjenek. (Amit aztán törölnek is, hogy neked ne tűnjön fel.) Sajnos ilyen funkció (számítógép-telefon összehangolása) a Windowson is van, így nem csak az almások veszélyeztettek. Szerencsére mondjuk Windows alatt komplikláltabb az összekapcsolás. Valószínűleg ezért gyakoribb a történet Iphone-nal és Apple Pay-jel.

Figyelik a géped, hogy megadod-e valahol a bankkártya adataidat egy vásárlásnál. Ekkor megvan a bankkártyád minden adata. (Ezért jó egyszer használatos bankkártyát használni a vásárláshoz még egy megbízható oldalon is.)

Szintén figyelik, mikor vagy inaktív, például mikor alszol.

Egy másik telefonra felrakják a kártyádat az ApplePay vagy Google Pay alá, amikor vélhetően alszol, a Revolut vagy Wise SMS-ében lévő kódot kiolvassák, hála az üzenetszinkronizálásnak és már ürítik is le a kártyádat. Azért ApplePay, mert abban megbíznak a bankok, nem kell külön azonosítás minden egyes alkalommal. Azért Revolut és Wise, mert két ismert nemzetközi cég, sok ügyféllel és gyakran pocsék ügyfélszolgálattal. (A napokban vissza akartam hívni egy Wise utalást délután. Na, a Wise-nál senki nem volt elérhető, sem a chat, sem a telefon nem élt, mert naponta csak néhány órát van ügyfélszolgálat. Ezt így mégis hogyan? Nem voltam annyira ideges, mint a múltkor, de ha csaló lennék, örülnék az ilyen késlekedéseknek.)

A Revolut lerázza a károsult ügyfeleket, mondván, ő mindent jól csinált. Persze, teljesen életszerű utalások miatt zárolja a kártyát, de nem találja gyanúsnak, hogy az éjszaka közepén ötször háromszáz eurót terhel egy kétes hírű kereskedő a kártyára úgy, hogy nincs is annyi a kártyán, igénybe kell venni az automatikus feltöltést is többször.

Mit tudsz tenni ellene?

Miután az elmúlt hetekben több ilyen sztori is eljutott hozzám, töröltem az összes kártyát a Google Payből. Egyszerűen semmi szükségem nincs rá az igazság szerint. Nagyon trendi és nagyon frenki órával meg telefonnal fizetni, de bőven lehet élni nélküle. Most a telefon tokjába beleteszem a fizikai bankkártyát, mint régen, azaz öt-hat éve (plusz egy húszezres bankjegyet) és mindig kéznél van. Tudok "telefonnal" is fizetni, csak éppen a tokban lévő fizikai kártyával. (A jelen helyzetben a Google Payról a kártyák letörlése nem segített volna, hiszen a csalás lényege az volt, hogy másik alá feltelepítették a lopott kártyaadatokat, de mivel felesleges és felesleges sérülékenység az Apple Paybe és a Google Paybe felhalmozott kártyák, ezért töröltem őket.)

Nem azt mondom, hogy soha ne regisztráld egyetlen bankkártyádat se a telefonodba, de érdemes elgondolkodni, hogy miért regisztrálod az összeset, azt is, amelyik ahhoz a számlához van csatolva, amin komoly pénzt tartasz? Regisztrálj egy Wise vagy Revolut kártyát, amin soha nincs több pénz, mint szükséges.

Leszedtem a banki appokat is, mert azok sem kellenek. A példa kedvéért az Államkincstárhoz minek app, ráadásul elég gagyi védelemmel? Ha néhány havonta kell valamit intézni az Államkincstárnál online, akkor weboldal, belépés, SMS. Semmit nem ad az életemhez a mobilapp, csak egy felesleges és egyre nagyobb veszélyforrás. Ideje elgondolkodni, miért is telepítjük fel az összes banki alkalmazást a telefonunkra, amivel aztán egész nap a neten lógunk és egész nap fizikailag is visszük mindenhová.

Ha véletlenül utalnom kellene utazás közben, de azonnal, (egyébként mióta és miért lett nekünk ennyire sürgős utalni, de azonnal és mindig?) belépek a netes felületen a bankomba, mint régen, a hőskorban, ezelőtt 5-6 évvel. Kér jelszót és ha azt megadtam, csak utána küld SMS-t. Az olyan banki appok, amik kellenek, mert anélkül nem működnek (pl. Wise), az pedig egy tableten van, amin se üzenetküldő alkalmazás, se levelezés és senki nem tölt rá semmilyen programot. Utalnom kellene valamit? Felírom a Google naptárba és este számítógépről elutalom. Ennyi az egész.

S újfent: nem azt mondom, hogy egyetlen banki appot se tegyél fel a telefonodra, de fel kell-e tenni az összeset? Azt is, ami olyan számlához tartozik, amelyiken milliókat tartasz vagy olyan céges számlához, amin akár tízmilliók is lehetnek? Legyen egy app a telefonodon, olyan számlához, amin nincs sok pénz.

Sokszor mondtam már, online cégeknél szabad szemmel is látható összeget nem tartunk. Olvasd el a cikket, a Revolut károsult írhatott a litván felügyeletnek, amelyik formai (!!!) okok miatt többször visszadobta a megkeresést, majd végül csak kénytelen volt befogadni, 90 nap múlva litván nyelven állást foglal majd, ami csak arra lesz jó, hogy azzal már mehetsz pereskedni, valószínűleg Litvániában. Sok sikert hozzá.

Online vásárlás kizárólag Revolut kártyával, amin soha nincs több néhány tízezer forintnál. (Maximum vásárlás előtt töltesz rá pénzt, ha nem elég az egyenleg.) Automatikus feltöltés szigorúan kikapcsolva. Ha a Netflix nem tudta levonni a pénzt kevés egyenleg miatt, fog kiabálni, hidd el.

Ha van lehetőséged, használj geolockingot, hogy csak idehaza lehessen használni a kártyádat. Esetleg kapcsold ki az online vásárlás lehetőségét, ha erre van mód, ha  egyébként is egy másik kártyával vásárolsz online, amin mindig kevés pénz van.

Néha segít, ha az aktuálisan nem szükséges pénzt perselyben/széfben tartod, amihez nem férnek hozzá bankkártyával. A jelen esetben nem segített volna, mert a sztori szerint a Revolut számlába is beléptek (hiszen a Revolut app telepítését is SMS-ben kapott kóddal kell visszaigazolni és az elfelejtett jelszóhoz a link e-mailben jött (vagy az is SMS-ben jön? Aki tudja, leírhatná), amit szintén láthattak), de gyakran elég az is, ha félrerakod egy megtakarítási számlára az aktuálisan felesleges pénzt.

Esetleg egy külön SIM kártya egy butatelefonban sem elvetendő ötlet, amit csak banki SMS-ekre használsz. Évente háromezer forinttal kell feltölteni és azt is elköltheted autópályamatricára vagy bármi másra. Tartsd otthon a számítógép mellett, ahonnan utalni szoktál. (Az éves feltöltőkártyás azonosítási agyhalált ne felejtsd el azért.) Mivel a csalók nem tudják, milyen számra kapod az SMS-t, nem is férnek hozzá, ha az nem az okostelefonodban van. Az összes ilyen csalást kivéded pusztán azzal, hogy nem arra az okostelefonodra érkezik a megerősítő SMS, amit használsz és amihez hozzáférnek.

Ne vedd félvállról a jelszavakat sem, használj hosszú jelszavakat és a banki jelszavaidat ne használd máshol és legyen minden bankban másik jelszavad.

Sajnos egyre nagyobb veszélyben van a pénzed és nem csak akkor, ha átlagos felhasználó vagy, aki szó nélkül rákattint egy SMS linkre vagy letölt a telefonjára egy apk appot, esetleg minden e-mail csatolmányt szó nélkül megnyit.

Amíg a bankok nem csinálnak semmit, nagyon észnél kell lenned és úgy tűnik, egyre jobban. Gondold át, kell-e neked ennyi banki (és egyébként minden egyéb) app a telefonodra, kell-e neked mindig azonnal utalni.