Revolutos csalás
A Forbesen jelent meg egy cikk egy pénzügyi csalásról, amit Revolut kártyán és talán Apple Payen keresztül követtek el.
Mivel tanulságos, érdemes elolvasni. Hogy hogyan csinálták, nem egyértelmű, a cikkből sem derül ki, de érdemes résen lenni. (update: Valaki most írta a hozzászólásokban, hogy ő is így járt ma, csak ő wise kártyával.)
Ezért kapcsoltam ki már egy jó ideje a Revoluton az automata feltöltés funkciót és érdemes használni a persely/széf funkciót is, hogy ne tudják ellopni az összes pénzed. Tedd át széfbe a pénzed nagy részét és hónap közben folyamatosan tedd vissza az egyenlegedre.
Bankszámlákhoz és megtakarítási számlákhoz soha nem használj olyan jelszót, amit máshol is használsz, mert feltört adatbázisokból származó e-mail cím/jelszó párossal próbálgathatják feltörni a fiókod. Legyen legalább egy gagyi jelszó, amit mindenhol megadsz és egy másik komolyabb, amit csak pénzes helyeken. Ezt is lehet cifrázni, hogy ne minden bankhoz ugyanazt a jelszót használd.
Illetve várom a készpénzhuszárok kommentjeit, bár itt talán alul vannak reprezentálva, mindenesetre bekészítettem a popcornt. 😀
Esküszöm, nem csak a napomat, de az egész hetemet feldobta ez a cikk!
Aki ekkora ökör, azt lopják is meg rendesen, hogy fájjon neki!
Legfőképp az nem, hogy hol hibázott Attila vagy bárki más.
Kár.
Miklós kommentjeivel egyetértek, Revolut-on annyi pénzt tartunk, ami nem fáj, ha többet, akkor azt csak a tranzakció idejére.
Én váltani szoktam de az 1 percet sem tartózkodik a számlán.
Ha meg cserélt, akkor az eszköz, amin cserélt, az kompromitálódott.
De sehogy se kerek a történet.
Nekem az tűnik ki a cikkből, hogya Revolut szerint ezt nem Revolutos csalás volt, hanem applepay-es. (amit én is sokkal inkább el tudok képzelni)
Azt mondjuk sajnálom, hogy végül nem derült ki, mi is történt pontosan, és hogyan lehetséges ez, az meg nem túl megnyugtató végkifejlet, hogy a Revolut a nyilvánvaló jelek ellenére is széttárta a karját. Nem értek hozzá kicsit sem, de mi az, hogy ami még könyvelés alatt van, azt a Revolut nem tudja stornózni? Ez más bankoknál is így működik?
Amikor meg a végén írta, hogy nem tudja elképzelni automatikus rátöltés nélkül az életét, hangosan felkacagtam.
Csak nekem kellett szelfit csinálni, amikor telefoncsere után újra beléptem a Revolutba? Amúgy meg egy normális banknál sem elég a jelszót megszerezni, mindenhol van hardver token, soft token, vagy legalább egy szerencsétlen SMS kód. A Revolutnál nincs?
Hozzaadta kartyajat az apple payhez, ha azt utana keptelen megvedeni akkor miert nem az apple payen probalja behajtani hogy megis hogy kerultek ki az adatai? Annyi helyen buzlik ez a cikk hogy az mar fenomenalis.
Nem az látszik, mert akkor a Revolut nem az Applepayjel takarózna, hanem azzal, hogy valaki betört a fiókba, biztos kiadtad a jelszót. Meg hát ugye új böngészőnél van SMS azonosítás is.
Plusz azért nem olyan egyszerű feltörni az Applepayt, főleg telefon nélkül.
pandasecurity.com/en/mediacenter/security/robbed-using-apple-pay/
Ezek szerint érdemes az Express Travel Card-ot kikapcsolni a Walletben, illetve, szerintem érdemes az “Allow payments on Mac” opciót is kikapcsolni.
Félig off, de az OTP is csinál olyat sokszor, hogy nem kér megerősítést egy utalás vagy egy kártyás vásárlás előtt. Nem tudtam még rájönni, hogy milyen tranzakció vagy összeghatár alapján. Lehet, hogy az OTP-nek is van egy ilyen listája, és azért? Vagy ha valaki tudja ennek az okát, megköszönöm, ha megosztja 🙂
eleg zagyva a cikk, semmi hasznalhato nem derul ki belole
lehet az volt a default kartya, nem tudom az apple pay hogy nez ki, de ha azon keresztul hasznaltak, akkor semmi kepp sem a kartya kibocsatoja a felelos. Ha feltorik a revolut fiokjat, akkor hogy vasarolgatnak aztan az apple payen keresztul a kartyajaval? Nagyon sok felol “buzlik ez nekem” vagy valami nem stimmel ezzel a cikkel.
Eseleg feltorik a revolutjat, es a kartyajat felveszi valaki a sajat apple pay-e ala? olyat lehet egyaltalan? onnan meg aztan fokepp az apple tud igazi lepeseket tenni
Könnyen lehet, hogy az Apple Pay a ludas.
Nagyjából senki nem tud semmit.
A cikk nem arról szól, hogy biztos a Revolut a hibás.
Az aggasztóbb, hogy nem lehet tudni, hogy csinálták.
Nem törtek be a Revolut fiókjába, nem törték fel a telefonját.
De akkor mi történt?
Én most kipróbáltam céges gépről, amiről eddig sose jelentkeztem be Revora. Igen, kéri,h erőtsítsem meg az appban, de alternatív opcióként felkínálja az emailes hitelesítést is.
Ebből én arra tippelnék,h az email jelszava is kikerült (talán még ugyanaz is, mint a Revo…).
Ha meg az e-mail megvan, akkor örülhet, hogy csak ennyiben károsították meg.
Én tuti megnézném, hogy az e-mail accountjába honnan jelentkeztek be mostanában (google secuban csekkolható és kijelentkeztethető, ami gyanús), illetve sürgősen új jelszót csinálnék mindenhez IS.
De a lényeg,h a történet abszolút nem kerek, és hiányzik a “megfejtés”.
Reszvetem a karosultnak, egy elmeny lehetett egesz ejjel tiszta idegben chat-elni a revolut vilaghiresen hitvany ugyfelszolgalataval.
Dehat magaban a cikkben is azt irjak, hogy beleptek a fiokjaba.
“Február 23-án is azt észlelte, hogy alig két nappal a csalásssorozatot követően, február 2-án ismeretlenek Ausztriában beléptek a Revolut fiókjába. Akkor is Budapesten volt, miközben valaki egy számítógépes felületről Bruck an der Leithából próbálkozott. Ezt onnan tudja, hogy a Revolut számítógépes alkalmazásának eszköz historyjából (hol, mikor, milyen gépről jelentkeztek be a fiókjába) látta ezt a vadidegen gépet.”
Ettol fuggetlenul szanalmas, ahogy a revolut kezelte az esetet.
Azért volt Attila kiakadva, mert látszólag semmi Anti-Fraud tevékenység nem volt a Revolut részéről, jóváhagyás nélkül egymás utáni gyors kerek összegű tranzakciókat engedett egy non-white-list kereskedő felé.
Lehet, hogy az Apple wallet “becsapja” a Revolut Anti-fraud rendszerét? Átadja a felelősséget maga a báziskód is, nem csak a Support? Azért az elég kellemetlen.
Sajnos tipikus magyar újságírás cikk: se a lényeget nem emelik ki, se megoldást nem ír, se konklúziót.
Bár a végén a kimondatlan Revolut reklám megerősíti hogy a tudatos választás még mindig a Revolut csak tudni kell használni és ne legyél lusta.
Ugyanakkor IOS-ben több kritikus, és az Apple szerint élesben kihasznált biztonsági hibát foltoztak be az utóbbi időben, szóval akár egy trójai is lehet a telefonján.
Legutóbbi frissítés ápr. 7-én volt:
support.apple.com/hu-hu/HT213720
Szóval azért zavarbaejtő a történet, mert – ahogy mások is rámutattak – ha ilyen súlyosan kompromittálták, akkor nem világos, miért nem mindenét vitték. (Persze erre még sor kerülhet, nálam egy ilyen eset után minden érintett eszköz reset-et kapna.)
Nagyjából mennyi idő alatt tud “spórolni” annyi pénzt ez az idióta, amennyit most elvettek tőle? Pedig ő aztán használja rendesen, de még így is kellene egy élet. Vagy több….
El lehet gondolkodni az összes fillérhuszárnak ezen az eseten (is).
Ja, amúgy pedig…. L.O.L. !!!!
Attilla nagyon ugyes es okos, latszik hogy profi opsec-et tol. Siman elkepzelheto hogy valahol szepen apple payyel fizetett a smartwatchjaval vagy a telefonaval. Akar a neten akar fizikalis fizetesnel volt egy rendszer ami ellopta az adatait. ( Youtube credit card skimming, meg bank automatara is van hogy rateszik a lopot szoval barhol elofordulhat… Persze ilyenkor tudjak a kartya orszagat is… ) Ha netes vasarlas volt akkor remelhetoleg metaadatot is loptak azt illetoen hogy melyik weboldalon vasarolt vele stb… Szoval elloptak az adatokat, darkneten tobb attilahoz hasonlo ember adatat pld 100-assaval fillerekert eladtak. Aki megvette az tobb modszert vegigprobalva kipucolta a penzt a kartyakrol. Attilla legnagyobb rabaszasa az volt hogy a netes vasarlasi limitje nem volt 0. Revoluton semmi de semmi ertelme ennel nagyobb limitnek, ott a virtualis kartya.
Mondjuk én extra bizalmatlan és paranoiás vagyok, minden ilyen f***ságot kikapcsolok, mint az arcfelismerő meg az ujjlenyomat, automatikus bejelentkezések, automatikus feltöltések, jelszómentegetés stb.
Androidos vagyok, de 25 éve egy alternatív emailszolgáltatót használok. Sajnos ma minden második ember a Gmailt használja. Nekem csak akkor lett kamu névvel és kamu születési dátummal, mikor a Google felvásárolta és integrálta a youtube-ot. A Gmail is a Google összes sz**ságával össze van kapcsolva, ez megint csak sebezhető.
Sok helyen a mai napig a születési dátum kell hitelesítésekhez. Bankoknál is. Ha ezt megtudják rólad, plusz tényleg a „klónok támadása” volt, mint írjátok, az már min. fél siker.
Érteni persze én se értek hozzá, de ismét tanulság: nesze neked felhőtechnológia.
Vagy ennek valami verzióját tudom elképzelni.
“Furcsa helyzet, főleg abból a szemszögből, hogy amikor én vásároltam egy külföldi webshopban és minden terméket más forgalmazónak kellett kifizetni,”
Nekem február elején a booking.com-on egy lengyel szállás kifizetésénél tiltotta automatikusan a tranzakciót. Pedig előtte még zloty-t is váltottam, ami már “lehetett volna ráutaló magatartás”. Szóval a védelmi funkciók működnek.
Ami meg az automata utántöltést illeti, én sem használom. Ugyanakkor minden bankkártyánál viszonylag alacsonyan tartom a limitet. 100-200 e Ft. Van amit oda vissza kell állítani, de van ahol ideiglenesen pl. 24 órára megnövelhető a limit, pl. egy nagyobb vásárlás előtt.
A Revolutban is lehet megadni költési limiteket.
Szerintem is ApplePay lehet a ludas, tobben is irtak, hogy a Revolutnak van es mukodik a csalasmegelozo megoldasa. De ezek a megoldasok tipikusan nem futnak amikor valaki tokenizal (Apple/Google). Egyebkent Apple fiokban nem lehet latni az ApplePay-en keresztul fizetett tranzakciokat? Meg soha nem hasznaltam, de Google eseten latom az osszes rajtuk keresztulmeno fizetest.
Egyebkent nekem nemreg volt paypal-os csalasom ahol levontak sok*9 eurot majd toroltek a paypal fiokot (igy itt nem tudtam egybol panaszt tenni). Hivtam egybol a Raiffeisent, ok se allitottak le a tranzakciokat. Paypal indiai munkatarsaval sikerult visszafordittatnom (facebook messengeren) jopar nap utan.
Én is csak annyit tartok az internet-, ilyen-olyan mellék fizetős kártyáimon, amennyit az adott rövid időszakban használok.
És ez nálam lehet ~100 – pár ~100 ezer Ft, ha nem akarom minden kaja-, és apró-cseprő rendelés után töltögetni a számlámat. Nincs energiám naponta szórakozni és gyönyörködni a másodlagos egyenlegeimen.
Attillánál ez a mindennapi keret lehet 800 e Ft, főleg külföldi utazás előtt. Nem úgy tűnik, hogy az összeg annyira fájna neki, vagy rugózna rajta, csak nem érti a rendszert.
Az ApplePay, a Visa, a “nem juthatott hozzá senki a hozzáférési adatokhoz”, ezek is csak ilyen valakik által bedobott, “vagy igaz vagy nem, vagy van köze hozzá, vagy nincs” infók. Nyilván nem lehet elvárás, hogy ezek közül szó nélkül állja valaki a kárt (ideértve a usert is) (meg a Revolutot is).
Az azért elgondolkodtató, hogy (osztrák IP címet használva) beléptek a Revolut accountjába böngészőből. Ha ez ilyen egyszerű lenne, akkor miért nem kopasztották még meg az összes usert a zseni hekkerek?
Beszéltek sokat de alig mondtak valamit, és furcsa az egész.
De főszereplőnk se egy pénzügyi / informatikai zseni az irományból.
A tobbi nagyreszt vak veletlen. Bar az a resze ertheto, hogy valoszinuleg azzal fog ilyen tortenni, aki 10 bankkartyat hasznal napi szinten, illetve minden zsemlet masik apple eszkozzel fizeti ki…
A sok balfék szidja a Revolutot mert az a sóhereknek való, vígan fizeti az extra sarcot Csányi bácsinak meg a Lölönek (így mulat egy magyar úr) és nem lát ki a saját kis világából.” (csak tükröztem a te szövegedet, ne vedd nagyon magadra.)
Csak azt nem értem miért ilyen beteg lelkű ez az ország, hogy a legtöbben először az áldozatba rúgnak bele és NAGYON okosak, mert persze velük ilyen sosem fordulhat elő.
Ahelyett, hogy azon lenne minden érintett, hogy megosszák a tudást, amivel védekezni lehet…
Na pont ugyanez volt az érzésem ezt a cikket olvasva, hogy itt valami nagyon bűzlik. Most azon kívül hogy felszopkodják benne a nagyon okos és pénzügyileg tájékozott áldozatot (aki alapvető rookie hibákat követett el, mert annyit vásárolgat hogy előtte két kattintásra már nincs ideje), pont semmit nem tudtunk meg az egészből.