2020.02.22.

Figyelmeztetés: így lopnak bankkártya adatokat az E.ON nevében. Mire figyeljünk?

Szerző: Fintechzone

Kategóriák:

Digitális pénzügyek | Összes hír

A napokban az E.ON energiaszolgáltató nevével visszaélve gyűjtenek bankkártya adatokat illetéktelenek. A csalók megtévesztő módon lemásolták a számlaértesítő levelet, az E.ON webes felületét és a bankkártya adatokat bekérő oldalt. Annyira hihetőre sikerültek az előbbiek, ha óvatlanok, vagy figyelmetlenek vagyunk, könnyen „kiadhatjuk” a bankkártya adatainkat. Mire figyeljünk oda? Mit tudnak kezdeni az így megszerzett bankkártya adatokkal az illetéktelenek? Hogyan segíti majd az erős ügyfél-hitelesítés, a két-faktoros azonosítás az internetes fizetéseket? Összegyűjtöttük a lefontosabbakat.

Így gyűjtik a bankkártya adatokat a csalók az E.ON nevében

Alább bemutatjuk, milyen felületeket készítettek a csalók és mikre érdemes odafigyelni.

Az „E.ON Ugyfelszolgalat” feladótól „Új E.ON áramszámla készült.” tárgyú elektronikus számlaértesítő levelet küldtek ki illetéktelenek az „info@aramszamla.hu” e-mail címről. A számlaértesítő levél szerint a fizetendő összeg „2.866 HUF”, ami a „2020.01.02.-2020.02.20.” közötti elszámolási időszakra vonatkozik.

A csalók azt kérik, hogy „Fizesse be számláját egyszerűen, a számlaszám linkjére kattintva”.

Mire figyeljünk oda? Ha a levél elolvasásakor pontatlan, helytelen megfogalmazást tapasztalunk, ha a hosszú ékezetes betűkről hiányoznak az ékezetek, vagy a számlaértesítő levél tartalma, felépítése eltér a korábban kapott számlaértesítő levelek tartalmához, felépítéséhez képest, akkor érdemes ellenőriznünk az alábbiakat:

Ellenőrizzük, hogy milyen e-mail címről érkezett a levél! Ha ez eltér a korábbiaktól, akkor az figyelmeztető jel lehet. Jelen esetben: „info@aramszamla.hu”.
Ellenőrizzük, hogy az elektronikus levélben feltüntetett folyószámla száma megegyezik-e a korábbi számlaértesítő levelekben található folyószámla számmal!

Ha felületesen olvassuk el az e-mail-t és rákattintunk a csalók által megadott linkre, akkor a felugró böngészőben az átirányítás során megjelenő gyanús url címek is figyelmeztetők lehetnek.

Miután betöltődik az E.ON-nak tűnő oldal, érdemes vetni egy pillantást a böngészőben az url címre. Ha az gyanúsan eltér a szolgáltató url címétől, akkor biztosak lehetünk abban, rossz helyen járunk. Jelen esetben a https://www.aramszamla.com/ jelenik meg a böngésző felső sorában.

Ez a felület is rendkívül megtévesztőre sikerült, itt a hosszú ékezetes betűk is helyesen jelennek meg és helyesírási hibát is alig találni. A felületen szereplő logók miatt valóban úgy tűnhet, hogy az E.ON oldalán vagyunk.

Ne felejtsük el ellenőrizni, milyen url szerepel a böngésző felső sorában! Bár jelen esetben a csalók nagyon furfangosak voltak, mert az „aramszamla.com” címzést használták, ami könnyen becsaphatja az óvatlan felhasználókat. Mindenesetre ilyen url címet az E.ON és a többi hazai energiaszolgáltató nem használ.

Ha rákattintunk a „Fizetés” gombra, akkor a betöltődő oldal hasonlít a legnagyobb hazai elektronikus fizetési szolgáltató, a SimplePay felületére. Itt már csak a rutinos felhasználók képesek kiszűrni, hogy a SimplePay felülete nem pontosan így néz ki, ám a többség számára az oldal tökéletesen alkalmas a megtévesztésre. A legfontosabb, hogy ezen a megtévesztő oldalon ne adjuk meg a bankkártya adatainkat!

Ha a bankkártya adatainkat mégis megadtuk volna a csalók által összerakott megtévesztő felületen keresztül, akkor azonnal vegyük fel a kapcsolatot a bankunkkal. A kártyakibocsátó bankunk kezdeményezni fogja a bankkártyánk letiltását és új kártya előállítását, illetve ellenőrizhetjük, történt-e visszaélés a bankkártya adatainkkal és kezdeményeztek-e azzal fizetést az interneten keresztül.

Mit tudnak kezdeni a csalók a megszerzett bankkártya adatokkal?

Ha a bankkártyánkhoz 3D biztonsági kód kapcsolódik (ami kártyatársasági előírás szerint Magyarországon minden kártyakibocsátó banknál kötelező) és a kereskedő fizetési folyamatába is beépítették azt, akkor a bankkártyás fizetést – a fizetési folyamat során – meg kell erősíteni külön webes felületen a mobiltelefonunkra érkezett 3D biztonsági kód megadásával.

Ha a kereskedő oldalán a fizetési folyamat során nem kéri be a szolgáltató a 3D biztonsági kódot (pl. ha a kereskedő elfogadó bankja, vagy fizetési szolgáltatója nem SecureCode-képes) és illetéktelen fizet az ellopott bankkártya adatokkal, akkor a bankkártya tulajdonos kárát a kereskedő köteles megtéríteni.

Ha az internetes fizetés során bekérik a 3D biztonsági kódot, akkor a csalóknak nincs esélye az ellopott bankkártya adatokkal visszaélni, mivel a fizetés jóváhagyásához szükséges biztonsági kód a kártyabirtokos mobiltelefonjára érkezik.

A fenti biztonsági folyamatot az Európai Unióban a Módosított Pénzforgalmi Irányelv (PSD2) keretében egységesítették annak érdekében, hogy a felhasználó védve legyen a csalókkal szemben. Ez röviden annyit jelent, hogy az EU-ban működő kártyakibocsátó banknak, fizetési kártyát nyújtó társaságnak kötelező ügyfeleit az online fizetés során két-faktoros eljárás keretében azonosítania. Ezt a folyamatot hívják erős ügyfél-hitelesítésnek.

Hogyan segít az erős ügyfél-hitelesítés, a két-faktoros azonosítás?

Az Európai Unió az elektronikus fizetések biztonságának növelése érdekében előírta az erős ügyfél-hitelesítés (SCA = Strong Customer Authentication) bevezetését 2019. szeptember 14-től.

Ez röviden annyit jelent, hogy amikor például az interneten keresztül szeretnénk fizetni, akkor a bankkártya adatok megadását követően további biztonsági „kódot” kell megadnunk. Ezt hívják két-faktoros azonosításnak, amelynek során a két faktor lehet pl. jelszó, biometrikus ujjlenyomat, okostelefon tanúsítvány stb.

„Ez az új biztonsági eljárás teszi lehetővé, hogy a csalók ne tudjanak visszaélni az ellopott bankkártya adatokkal.„

Ugyanakkor az érintett piaci szereplőkkel történt egyeztetéseket követően a Magyar Nemzeti Bank (MNB) meghosszabbította az átállási időszakot a hazai szereplők számára, így az erős ügyfél-hitelesítés a kártyával indított online fizetés esetében 2020. december 31-től lesz kötelezően alkalmazandó Magyarországon. Viszont azok a bankok, kártyakibocsátók, amelyek időben felkészültek, már jelenleg is alkalmazzák a két-faktoros ügyfélhitelesítést, így itthon is egyre többen szoknak majd hozzá a következő hónapokban annak alkalmazásához.

Az online fizetések biztonságát növelhetik a felhasználók, ha digitális pénztárcát alkalmaznak a fizetések során. Ennek a szükséges feltétele, hogy a webshopok, elektronikus kereskedők is bevezessék a digitális pénztárcával való fizetési lehetőséget (pl. Simple fiókos fizetés, amire közel 7.000 webshopnál van lehetőség Magyarországon).

Ebben az esetben nincs szükség a bankkártya adatok megadására a webshop, a közmű szolgáltató felületén és a fizetési tranzakció jóváhagyása a mobiltelefonon, a digitális pénztárca alkalmazásban történik meg.

Kapcsolódó cikkek:

Webshopok, elektronikus kereskedők és szolgáltatók számára további információk a bankkártyás fizetésekkel kapcsolatos új lehetőségekről „Az elektronikus fizetési stratégia – Fizetési megoldások a digitális korban” c. SimplePay White Paperben olvashatók.

Címlapfotó forrás: pixabay.com – Free for commercial use

Címkék:

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description