A napokban az E.ON energiaszolgáltató nevével visszaélve gyűjtenek bankkártya adatokat illetéktelenek. A csalók megtévesztő módon lemásolták a számlaértesítő levelet, az E.ON webes felületét és a bankkártya adatokat bekérő oldalt. Annyira hihetőre sikerültek az előbbiek, ha óvatlanok, vagy figyelmetlenek vagyunk, könnyen „kiadhatjuk” a bankkártya adatainkat. Mire figyeljünk oda? Mit tudnak kezdeni az így megszerzett bankkártya adatokkal az illetéktelenek? Hogyan segíti majd az erős ügyfél-hitelesítés, a két-faktoros azonosítás az internetes fizetéseket? Összegyűjtöttük a lefontosabbakat.

Így gyűjtik a bankkártya adatokat a csalók az E.ON nevében

Alább bemutatjuk, milyen felületeket készítettek a csalók és mikre érdemes odafigyelni.

Az „E.ON Ugyfelszolgalat” feladótól „Új E.ON áramszámla készült.” tárgyú elektronikus számlaértesítő levelet küldtek ki illetéktelenek az „info@aramszamla.hu” e-mail címről. A számlaértesítő levél szerint a fizetendő összeg „2.866 HUF”, ami a „2020.01.02.-2020.02.20.” közötti elszámolási időszakra vonatkozik.

A csalók azt kérik, hogy „Fizesse be számláját egyszerűen, a számlaszám linkjére kattintva”.

Mire figyeljünk oda? Ha a levél elolvasásakor pontatlan, helytelen megfogalmazást tapasztalunk, ha a hosszú ékezetes betűkről hiányoznak az ékezetek, vagy a számlaértesítő levél tartalma, felépítése eltér a korábban kapott számlaértesítő levelek tartalmához, felépítéséhez képest, akkor érdemes ellenőriznünk az alábbiakat:

  • Ellenőrizzük, hogy milyen e-mail címről érkezett a levél! Ha ez eltér a korábbiaktól, akkor az figyelmeztető jel lehet. Jelen esetben: „info@aramszamla.hu”.
  • Ellenőrizzük, hogy az elektronikus levélben feltüntetett folyószámla száma megegyezik-e a korábbi számlaértesítő levelekben található folyószámla számmal!

Ha felületesen olvassuk el az e-mail-t és rákattintunk a csalók által megadott linkre, akkor a felugró böngészőben az átirányítás során megjelenő gyanús url címek is figyelmeztetők lehetnek.

Miután betöltődik az E.ON-nak tűnő oldal, érdemes vetni egy pillantást a böngészőben az url címre. Ha az gyanúsan eltér a szolgáltató url címétől, akkor biztosak lehetünk abban, rossz helyen járunk. Jelen esetben a https://www.aramszamla.com/ jelenik meg a böngésző felső sorában.

Ez a felület is rendkívül megtévesztőre sikerült, itt a hosszú ékezetes betűk is helyesen jelennek meg és helyesírási hibát is alig találni. A felületen szereplő logók miatt valóban úgy tűnhet, hogy az E.ON oldalán vagyunk.

Ne felejtsük el ellenőrizni, milyen url szerepel a böngésző felső sorában! Bár jelen esetben a csalók nagyon furfangosak voltak, mert az „aramszamla.com” címzést használták, ami könnyen becsaphatja az óvatlan felhasználókat. Mindenesetre ilyen url címet az E.ON és a többi hazai energiaszolgáltató nem használ.

Ha rákattintunk a „Fizetés” gombra, akkor a betöltődő oldal hasonlít a legnagyobb hazai elektronikus fizetési szolgáltató, a SimplePay felületére. Itt már csak a rutinos felhasználók képesek kiszűrni, hogy a SimplePay felülete nem pontosan így néz ki, ám a többség számára az oldal tökéletesen alkalmas a megtévesztésre. A legfontosabb, hogy ezen a megtévesztő oldalon ne adjuk meg a bankkártya adatainkat!

Ha a bankkártya adatainkat mégis megadtuk volna a csalók által összerakott megtévesztő felületen keresztül, akkor azonnal vegyük fel a kapcsolatot a bankunkkal. A kártyakibocsátó bankunk kezdeményezni fogja a bankkártyánk letiltását és új kártya előállítását, illetve ellenőrizhetjük, történt-e visszaélés a bankkártya adatainkkal és kezdeményeztek-e azzal fizetést az interneten keresztül.

Mit tudnak kezdeni a csalók a megszerzett bankkártya adatokkal?

Ha a bankkártyánkhoz 3D biztonsági kód kapcsolódik (ami kártyatársasági előírás szerint Magyarországon minden kártyakibocsátó banknál kötelező) és a kereskedő fizetési folyamatába is beépítették azt, akkor a bankkártyás fizetést – a fizetési folyamat során – meg kell erősíteni külön webes felületen a mobiltelefonunkra érkezett 3D biztonsági kód megadásával.

Ha a kereskedő oldalán a fizetési folyamat során nem kéri be a szolgáltató a 3D biztonsági kódot (pl. ha a kereskedő elfogadó bankja, vagy fizetési szolgáltatója nem SecureCode-képes) és illetéktelen fizet az ellopott bankkártya adatokkal, akkor a bankkártya tulajdonos kárát a kereskedő köteles megtéríteni.

Ha az internetes fizetés során bekérik a 3D biztonsági kódot, akkor a csalóknak nincs esélye az ellopott bankkártya adatokkal visszaélni, mivel a fizetés jóváhagyásához szükséges biztonsági kód a kártyabirtokos mobiltelefonjára érkezik.

A fenti biztonsági folyamatot az Európai Unióban a Módosított Pénzforgalmi Irányelv (PSD2) keretében egységesítették annak érdekében, hogy a felhasználó védve legyen a csalókkal szemben. Ez röviden annyit jelent, hogy az EU-ban működő kártyakibocsátó banknak, fizetési kártyát nyújtó társaságnak kötelező ügyfeleit az online fizetés során két-faktoros eljárás keretében azonosítania. Ezt a folyamatot hívják erős ügyfél-hitelesítésnek.

Hogyan segít az erős ügyfél-hitelesítés, a két-faktoros azonosítás?

Az Európai Unió az elektronikus fizetések biztonságának növelése érdekében előírta az erős ügyfél-hitelesítés (SCA = Strong Customer Authentication) bevezetését 2019. szeptember 14-től.

Ez röviden annyit jelent, hogy amikor például az interneten keresztül szeretnénk fizetni, akkor a bankkártya adatok megadását követően további biztonsági „kódot” kell megadnunk. Ezt hívják két-faktoros azonosításnak, amelynek során a két faktor lehet pl. jelszó, biometrikus ujjlenyomat, okostelefon tanúsítvány stb.

„Ez az új biztonsági eljárás teszi lehetővé, hogy a csalók ne tudjanak visszaélni az ellopott bankkártya adatokkal.„

Ugyanakkor az érintett piaci szereplőkkel történt egyeztetéseket követően a Magyar Nemzeti Bank (MNB) meghosszabbította az átállási időszakot a hazai szereplők számára, így az erős ügyfél-hitelesítés a kártyával indított online fizetés esetében 2020. december 31-től lesz kötelezően alkalmazandó Magyarországon. Viszont azok a bankok, kártyakibocsátók, amelyek időben felkészültek, már jelenleg is alkalmazzák a két-faktoros ügyfélhitelesítést, így itthon is egyre többen szoknak majd hozzá a következő hónapokban annak alkalmazásához.

Az online fizetések biztonságát növelhetik a felhasználók, ha digitális pénztárcát alkalmaznak a fizetések során. Ennek a szükséges feltétele, hogy a webshopok, elektronikus kereskedők is bevezessék a digitális pénztárcával való fizetési lehetőséget (pl. Simple fiókos fizetés, amire közel 7.000 webshopnál van lehetőség Magyarországon).

Ebben az esetben nincs szükség a bankkártya adatok megadására a webshop, a közmű szolgáltató felületén és a fizetési tranzakció jóváhagyása a mobiltelefonon, a digitális pénztárca alkalmazásban történik meg.

Webshopok, elektronikus kereskedők és szolgáltatók számára további információk a bankkártyás fizetésekkel kapcsolatos új lehetőségekről „Az elektronikus fizetési stratégia – Fizetési megoldások a digitális korban” c. SimplePay White Paperben olvashatók.

Címlapfotó forrás: pixabay.com – Free for commercial use