Adatlopás bankkártyáról EU-szabvány a biztonságért

Adatlopás bankkártyáról EU-szabvány a biztonságért

Gyanítom, hogy a legtöbb tisztelt olvasónak legalább egy bankkártyája már van és érzi, hogy a mindennapjaiban rengeteg dolog kapcsolódik hozzá. A minap SMS értesítést kaptam a számlavezető bankomtól, és ebben jelezték, hogy a saját érdekemben letiltották a bankkártyámat. Azt vették észre, hogy valahol lemásolták a kártyám mágnescsíkjának az adatait, és veszélybe került a bankszámlám. Mi van ennek a hátterében, illetve általában mit kell tudnunk a bankkártyáról? Martin-Kovács Miklós beszélgetése Homa Péterrel, a bankkartya.hu felelős szerkesztőjével.

 

Ha egy ilyen sms-t kap az ember, akkor azonkívül, hogy megijed, mit sejthet a háttérben?

Mindenképpen az a leghelyesebb, ha az ember felhívja a bankját, és konzultál vele. Ezek mögött az sms-ek mögött komoly biztonsági háló működik, nem emberek küldik az üzeneteket, hanem gép, amint észleli a veszélyt. Külön a kártyatársaságoknak és külön a bankoknak is van úgynevezett csalásfigyelő rendszere, amely azt figyeli, hogy az ügyfél szokásainak megfelel-e a tranzakció, amit éppen végrehajtott. Ma már nagyon gyanúsnak számít egy mágnescsík alapú tranzakció, hacsak azt nem Ázsiában vagy Dél-Amerikában, vagy olyan helyeken teszik, ahol még nincs chipesítés. A chipkártya, az, hogy chip van a bankkártyánkon, egy európai szabvány része, és ma már valamennyi európai országban ez csaknem 100%-os kibocsátású, tehát a mágnescsíkot nem is használják. Vannak olyan bankok, pl Ausztriában is, amelyek pontosan az ilyen chipes vagy nem chipes tranzakciók alapján, úgynevezett geolokációval szűrik az ügyfelek tranzakcióit, és ha az ügyfél nem jelzi, hogy olyan zónába megy, amelyben nincsen chipes környezet, akkor ezeket a tranzakciókat blokkolják is. Mindez azért történik, mert a chip nem másolható, a mai napig nem sikerült feltörni. Volt olyan információ a piacon, hogy − bizonyos értelemben − tudtak chipet manipulálni úgy, hogy közbeékeltek egy informatikai szerkezetet, de magát a chipet tényleg nem sikerült még leolvasni, és ezért a bűnözők, akik vissza szeretnének élni a kártyákkal, mágnescsík alapon teszik ezt. Például föltesznek az ATM-re egy olyan előtétet, amiről senki meg nem mondja, hogy nem a gyártó tette oda, azon keresztül a gép beszippantja a kártyát, hiszen ez csak egy előtét, viszont az előtétben elhelyeznek egy olyan olvasót, ami a mágnescsíkról leolvassa az adatokat. Ekkor már megvan a kártyának a lényegi része, amit a nem chipes környezetben lehet használni, és akkor ezt követi a pin kódnak a megszerzése, ami általában egy kamerával működik, amit föltesznek az ATM tetejére, amit esetleg nem is látunk, vagy pedig olyan is előfordulhat, hogy a billentyűzetre tesznek egy fóliát, amit szintén nem könnyen veszünk észre, de a fólia érzékeli azt, hogy milyen gombokat nyomtunk meg. Esetleg hőkamerával megnézik utólag, hogy milyen gombokat használunk A hőkamerában még az is látszik, hogy milyen sorrendben jöttek a számok, mert azok a legerősebbek, amelyek a végén voltak. Ezeket az adatokat megszerzik és továbbadják Keletre, ahol még föl lehet használni őket. Európában tehát már nem lehet mágnescsíkkal tranzakciót végrehajtani, ezért gyakorlatilag az ATM-ek és a POS terminálok mindegyike chipet vár és nem tud mit kezdeni a mágnescsíkkal.
Ez egy elég izgalmas terület. Ilyen szempontból tehát aránylag biztonságban érezhetjük magunkat Európában?
Így van, abszolút biztonságban, és mondok még egy jó hírt, Magyarországon belül különösen biztonságban érezhetjük magunkat, mert Európában itt a legkevesebb a kártyacsalás.
Hány bankkártya van Magyarországon?
10 millió körüli kártya van, és telített a piac. A bankok már nem az új ügyfelekért, az új bankkártyák kibocsátásáért versenyeznek, hanem azért, hogy ugyanannak az ügyfélnek minél jobb terméket tudjanak kínálni, hogy ne menjenek át a konkurenciához. Míg Nyugat-Európában akár több kártya is lapulhat az ügyfél pénztárcájában, addig Magyarországon a legtöbb embernek csak egy kártyája van.
A bankkártya-felhasználási adatok alapján 10 éves távlatban milyen változások történtek nálunk a piacon?
Nyugodtan mondhatom, hogy drámai változások történtek. Kb. 15 éve kezdődött, hogy a fizetetéseket egyre többen utalták bankszámlára, és így ugrásszerűen növekedett a bankkártyák fontossága is. A kereskedelem, ha lassan is, de alkalmazkodott, és van már egy olyan infrastruktúra, amelyben nagyságrendileg 60-70 ezer elfogadóhely, illetve majdnem 100 ezer terminál van. Ez ma már meglátszik az adatokban is. Minél kisebb átlagos költést látunk a kártyákkal, annál inkább azt jelenti, hogy az ügyfelek egyre kisebb összegekre is a kártyát veszik elő. Az érintéses kártyaelfogadás gyakoribbá, a készpénzes fizetés a korábbihoz képest ritkábbá vált.
Jó üzlet a kártyagyártás
Gyakran elgondolkodtam azon, hogy ezek a kártyák – legalábbis, ami a rájuk nyomtatott feliratokat, mintákat, időnként művészi alkotásokat illeti – nagyon különbözőek, ám alapjában véve ugyanarról a típusú kártyáról van szó. Hol gyártják ezeket?
Többféle kártyagyártó van Magyarországon is, ez egy új üzleti lehetőség. Azok a cégek, amelyek korábban a technológiai fejlődés miatt kiszorultak a korábbi profiljukból, elkezdtek kártyát gyártani, de egyébként léteznek neves külföldi cégek is, amelyek ilyen kártyákat gyártanak. Valóban az, hogy a kártyára rá lehet tenni egy grafikát, teljesen egyedivé teszi a terméket. Sőt voltak olyan népszerű kártyák, amelyek gyártását a kibocsátó bank leállította, de az ügyfelek visszakövetelték, mert annyira tetszett nekik. Azon túlmenően ma már néhány banknál bizonyos feltételekkel saját kártyagrafikát is lehet választani.
Azt hittem, hogy ez egy központosított, nagyon biztonságos szisztéma, olyasmi, mint a pénzverde, de ezek szerint nem így van?
A kártyán vannak olyan biztonsági elemek − ilyen a hologram és gyakran a kártya mágnescsíkján lévő apró betűk −, amelyek a biztonságot erősítik. Azt, hogy a kártyán milyen grafika van, semmilyen szabvány nem írja elő, úgyhogy ebben lehetett teret engedni a képzeletnek. Már olyan kártya is van, amit meg lehet dörzsölni és kávé illatot áraszt! A jövő viszont pont nem arról szól, hogy egy plasztiklappal fogunk fizetni, hanem arról, hogy a mobiltelefonunkkal, ott pedig ezek az előnyök eltűnnek majd. Egyébként tréfálkozva azt szoktam mondani, hogy a kártya az egyetlen olyan banki termék, ami megfogható.
Ha több olyan cég is van, amely bankkártyákat gyárt, hogyan lehet garantálni a biztonságot?
A gyártók szabványokat tartanak be. Ők akkor kapják meg a jogot a gyártásra, ha megfelelnek a kártyatársaság szabványainak, és ezt nem lehet egy egyszerű gyártósorral kivívni, hanem meg kell teremteni a feltételeit, hiszen itt bankbiztonságról van szó. Arról nem is szólva, hogy a kártyákra a gyártóknál kerülnek rá a személyes adatok. A kártya nem kerül be a bankba, a bank nem csinál semmit vele. A kártyát gyakorlatilag vagy egyből a gyártó küldi ki, vagy lehet, hogy a bank átveszi kiküldésre, de nem nyúl már hozzá, és köztudott, hogy a kártyának a pin kódját sem tudja a bank. Nem kell aggódni, ezek a kártyák biztonságosak és jó kezekben vannak. Nem jelenhet meg úgy kártya, hogy ne teljesítse ezeket a feltételeket és EU-szabványokat, és természetesen ezeket folyamatosan ellenőrzik.
Kártya után – mobilfizetés
Könnyen elképzelhető, hogy sok minden más technikai platformhoz képest ez a kártyauniverzum is szép lassan átadja a helyét egy újabbnak, a mobilfizetési eszközöknek, és a kártya úgy kimegy a divatból, mint mondjuk a magnószalag?
Előfordulhat, de ezt tudják a kártyaüzlet szereplői is, tehát alighanem készülnek a váltásra. A már ma is működő mobil alkalmazásokban úgy lehet majd regisztrálni, hogy a kártyaadatok nem kerülnek megosztásra a tranzakciók során, hanem egy úgynevezett token képződik, ami azonosítója a kártyának, de nem követhető vissza belőle a kártyaszám. Gyakorlatilag, ha valaki ellopja ezeket a tokeneket, semmit nem tud velük kezdeni, viszont tokent csak olyan kártyával lehet kibocsátani, amelynek a kártyakibocsátó bankja felkészült erre. Ez az átállás most van folyamatban az első magyar bank készen is áll. Amennyiben ez megtörténik, akkor attól kezdve egy teljesen másfajta biztonság fogja körülvenni a kártyánkat a mobiltelefonunkban, és mivel a „tokenizáció” egy harmadik fél által elvégezhető művelet, a kártyagyártók elkezdtek átállni rá. Biztosítanak ehhez megfelelő szervert, megfelelő szoftverkörnyezetet, azért, hogy a bankoknak ne kelljen ezzel foglalkozniuk.
Az hogy lehet, hogy egy cég bankok mobilfizetési rendszereit szolgáltatja, de a neve háttérben marad?
Ez egy nagyon izgalmas piac és én úgy érzem, hogy most van átalakulóban, tehát az, aki most meg tudja vetni a lábát, az később is sikeres lehet. Van egy ilyen magyar vállalkozás, Cellumnak hívják. Nem csak Magyarországon, hanem olyan piaci régióban is próbálnak terjeszkedni külföldön, ahol üzletet látnak erre. Az tudott, hogy az amerikai piacra borzasztóan nehéz belépni, nagyon komoly tőke kell hozzá és nagyon sok a versenyző. Viszont ők az ázsiai piacot választották ki, ami egy fejlődésben levő és hatalmas piac, ahol sokkal bővebbek a lehetőségek, hiszen sok embernek még kártyája sincsen, viszont a mobiltelefon már mindenkinek a kezében ott van. Ebben a piaci helyzetben úgy lehet ugrani egy lépcsőfokot, mint ahogy mi tettük annak idején azzal, hogy kihagytuk az úgynevezett offline kártyákat, amikor ugye föl kellett írogatni az adatokat, meg le kellett húzni a kártyát. Ugyanígy kihagyhatnak egy lépcsőt az ázsiaiak is. Ez a magyar cég nagyon dinamikusan terjeszkedik arra, és próbálja megvetni a lábát, hiszen a magyar piac túl kicsi. Viszont a fejlesztéseik teljesen innovatívak, erre a tokenizálási megoldásra, amiről beszéltem, ők is készen állnak, nemrég jelentették be egy sajtóközleményben.
Gyanítom, hogy csak okostelefonokkal érhető el ez a típusú szolgáltatás, igaz?
Így van, okostelefonokkal és olyan okostelefonokkal, amelyek NFC (Near-Field Communication − a szerk.) képesek. Ez az NFC ugyanaz a megoldás, mint amit a kártyán is alkalmaznak az érintős fizetéshez. A lényeg, hogy egy olyan hardver van beépítve a telefonba, ami képes arra, hogy a POS terminálhoz érintve kommunikációba lépjen vele és elvégezze a tranzakciót. A különbség a kettő között az, hogy a telefonnál ki tudom kapcsolni ezt a funkciót, úgy, mint mondjuk bluetooth-t, vagy a WIFI-t. Bankkártyán viszont nem tudom kikapcsolni, és vannak olyan félelmek, hogy a kártyánkat le tudják olvasni. Erre azonban nagyon kicsi az esély, mert 4 centiméternél közelebbnek kell lennie a leolvasónak ahhoz, hogy a kártyából el tudjon vinni adatokat. Amúgy elvileg valóban kiolvasható a kártyából például a kártya száma, a lejárata, sőt a legutolsó 10 tranzakció is, de nehéz visszaélni velük, hiszen a háromjegyű kód, ami az internetes vásárlásokhoz kell, az nem olvasható ki a kártyából, tehát az maximum úgy szerezhető meg, hogy az ügyfélnek a kártyáját el is veszik. Az viszont tény, hogy nem zörög a haraszt, ha nem fújja a szél, ha valami elvileg lehetséges, valamiképpen gyakorlatilag is megeshet egy kártyával, azonban a telefon sokkal biztonságosabb, mert pl. ki tudom kapcsolni az NFC-t, és attól kezdve úgy működik a telefon, mintha nem is lenne benne ilyen képesség. Egyébként még annyit, hogy az NFC-s képességgel ma már a közép kategóriájú telefonok is egyre inkább rendelkeznek, és lassan a belépő szintű telefonok is tudni fogják ezt.
A másik, tehát a kereskedői oldalon ez jó vagy rossz, hiszen, a kártyás fizetések még a mai napon is sokak számára azért nem túl vonzóak kereskedői szemmel, mert valamilyen használati díjat, szervízdíjat a kereskedőknek fizetniük kell, és ezt nehéz rögtön ráterhelni a vásárlókra.
Így van, mindig kell fizetni a bankok infrastruktúrájának használatáért, illetve azért, hogy a kapcsolódó pénzügyi elszámolásokat elvégzik a kereskedő helyett. Ezzel együtt, ezen a területen is van piaci verseny, és a feltételek a megoldás elterjedéséhez igazítva valószínűleg változnak majd. A mobilfizetés elterjedése tehát elindult, de tény, hogy nem könnyű megváltoztatni a vásárlói szokásokat, tehát a bankkártyák még jó ideig jelen lesznek a piacon.

 

Kapcsolódó cikkek