Biztosan többek számára ismert, hogy vannak olyan mobilalkalmazások, amiknek a letöltése és használata ingyenes ugyan, viszont ún. in-app purchase-re van lehetőség, azaz az alkalmazáson belül lehet megvásárolni az extra funkciókat. Az illedelmes alkalmazás persze megkérdezi a fizetés módját, majd ha a bankkártyás fizetést választjuk, elkéri a bankkártyaszámot. A pofátlan alkalmazás megpróbálja megszerezni, aminek a sikeréhez néha elengedhetetlen a bank suttyósága is.
Történt ugyanis, hogy ma este láttam egy általam régen használt mobilalkalmazásban, hogy egy hónapig ingyenesen lehet használni az alkalmazás extra funkcióit. Gondoltam, ki is próbálom, elvégre azok a helyek, amik a kipróbálási lehetőségnél nem kérnek bankkártyaszámot, nem is tudnák honnan levonni az összeget. Elvileg. Ha pedig valahonnan a bankkártyaszámot mégis tudja valahonnan az app és rá is tudja terhelni az összeget, az ingyenességet úgy oldják meg, hogy a kártyán zárolják az összeget ugyan, ha 30 napig a bankkártya-elfogadó nem jelentkezik a zárolt, de még nem könyvelt összegért, mivel lemondja a kipróbált szolgáltatást a vásárló, az összeg visszakerül a vásárlóhoz.
Az én esetemben nem vagyok benne biztos, hogy honnan tudta az alkalmazás a bankkártyaszámom, az alkalmazásboltból aligha nyúlhatta le, alighanem korábban megadtam az alkalmazásban a régit hitelesítés miatt, ők pedig szépen elmentették. Később láttam ugyan, hogy itt nem kérdezett semmit az alkalmazás, gondoltam, nem is volt honnan levonnia, mivel - és most jön a lényeg - a korábban megadott bankkártyám lejárt nemrég, így a réginek az adatai érvénytelenek és nem használhatók fel. Mondom elméletileg!
Ugyanis, ha a bankkártya kibocsátó van akkora ergya-gyökér-suttyó paraszt, hogy a 3 vagy éppen 5 év érvényesség lejárta után a bankkártyát olyan módon újítja meg, hogy maga a bankkártyaszám nem változik és feltételezzük, hogy a bankkártya tulajdonosát /*card holder*/ sem keresztelik át idő közben, az egész megújításnak semmi értelme sincs. Ugyanis a lejárt, ergo már érvénytelen bankkártyának, aminek tehát a lejárati idején kívül más nem változott, nem túl bonyolult módon megjósolhatók próbálgatással az aktuális, helyes adatai: a korábban tárolt lejárati időhöz években szépen hozzáadnak egyet, kettőt, hármat, négyet, ötöt, azaz öt évre kibocsátott bankkártya esetén legfeljebb öt próbálkozásra van szükség és az összeget már rá is terhelhetik. Jelen esetben is ez történt. Remek kérdés, hogy ez bankkártyacsalás-e.
Egyébként egy tipikus, Magyarországon használt 16 számjegyű bankkártya száma ilyen módon épül fel:
- a bankkártya első hat számjegye a kártyakibocsátó-hálózatot azonosítja, amiből az első számjegy azt jelzi, hogy melyik szektorhoz tartozik a kártya, így például a 3-mal kezdődnek bizonyos hitelkártyák, mint például az American Express, 4-gyel illetve 5-tel az általános banki tranzakcióknál és vásárlásoknál használt kártyák, mint a Visa vagy a Mastercard
- az első hat számjegy 2-6 számjegyei a kártyakibocsátó-hálózat használható azonosítóit tartalmazzák, így például a szintén elterjedt Maestro /*az első számjegyet is belefoglalva*/ a 500000-509999 és 560000-699999 tartományokat használhatja
- ezt követi a 7-15. pozícióban a véletlenszerűen generált azonosítószám - és ez a lényeg - amivel kapcsolatban a pénzintézet kérheti a kibocsátó-hálózatot, hogy a bankkártya megújításánál maradjon a régi vagy változzon meg az adott ügyfél esetén
- a 16. pozícióban egy ún. Luhn-algoritmus által kiszámolt ellenőrzőösszeg áll
Egyszerűsítve tehát a bank a kibocsátó-hálózattól veszi a kártyákat. De ha kérhető, hogy változzon meg az azonosító, ami ugyebár gyakorlatilag az egyetlen variábilis elem a kártya megújításánál, akkor az ügyfél számára megrendelő bank miért nem kéri a kibocsátó-hálózatot, hogy úgy nyomják újra a kártyát? Ja, hogy az drágább lenne? Hát legyen ez a bank magánügye, azért fizetem az éves kártyadíjat, hogy a lehető legbiztonságosabban lehessen használni, csókolom!
Olyan részletekbe most nem mentem bele, hogy például a bankkártya hátoldalán lévő CVV, CVV2 kódok sok esetben lényegtelenek, ahogy abba sem, hogy más kártyaszám-generálási forgatókönyvek is lehetségesek, külföldön. Amit leírtam persze csak a kártyaszám generálás lényege, a teljes forgatókönyv bonyolultabb, viszont ez alapján is megállapítható, hogy még egy óriási bank esetén sem fordulhat elő, hogy a bankkártyaszám és lejárati dátuma megegyezzen véletlenül, ráadásul a tulaj neve is azonos legyen.
Ezen kívül vegyük észre, hogy a bankkártya adatok önmagukban csak akkor használhatóak fel, ha annak minden adata érvényes. így például a bolti kártyás vásárláskor hiába van rajta a blokkon az utolsó négy számjegy és a lejárati idő, ezek teljesen ártalmatlan adatok, viszont pont az előző bekezdésben leírtakból adódóan kitűnően alkalmasak lehetnek azonosításra. Például annak a valószínűsége, hogy ugyanazzal a négyszámjegy-lejárati dátum-kombóval ugyanazon a napon, ugyanabban a boltban vásároljon több azonos vevő, gyakorlatilag nulla.
És persze ha egy internetes elfogadóhely kéri, hogy küldjünk nekik scannelt vagy fotózott képet a bankkártyánkról azonosítás végett, nyugodtan küldjük el őket melegebb éghajlatra, esetleg mutatva, hogy mennyire vesszük a kérésüket komolyan, küldjük nekik sok szeretettel az alábbi képet, bárminemű egyezés a valósággal a véletlen műve xD
A szokásos bankkártya-tematikájú közhely és bullshitelés helyett a következőt tudom javasolni az olvasónak egyben eloszlatva néhány tévhitet:
- a bankkártya lejárta és megújítása előtt érdeklődjön a bankjánál, hogy az azonosító megváltozik-e egyáltalán, abban az esetben ha nem, egyszerűen ne kérje a megújítást, ilyenkor nem kell fizetni a letiltásért, mivel ez nem is letiltás, a kártya egyszerűen lejár. Új kártyát igényelni pedig jobb családokban nem drágább, mint az éves díj.
- full hülyeség azt mondani, hogy a neten nem adom meg a bankkártyaadataim, mivel
I. a bankkártyaadatokat nem is tárolja normális, komoly elfogadóhely, ha nem feltétlenül szükséges, csak kap egy visszajelzést, hogy a kártyával minden stimmel és megtörténik a vásárlás
II. a kártyaadatok megadását egy ellenőrzéshez még akkor is érdemes megcsinálni, ha nem tervezünk semmit vásárolni az adott webhelyen. Többször cikkeztem már arról, hogy ellopni egy Facebook-fiókot mennyire egyszerű. Nos, ha a felhasználó megadta a bankkártyaadatait a Settings/Payment methods alatt, a Facebook megpróbál zárolni egy dollárt, ha sikerül, elmenti és az 1 dollár visszakerül 30 nap után az egyenlegre és kétes helyzetekben, a Facebook előtt a korábbi bankkártyával történő azonosítás mutatja, hogy a felhasználó tényleg az, aki, hiába jelenti fel egy trollhadsereg az illetőt azzal a feljelentés-áradattal, töröltetés céljából, hogy kamuprofilról van szó, a Facebook jó eséllyel nem kér semmilyen további azonosítást a felhasználótól, akinek az accountja biztonságban marad
III. elemi, hogy kinézetre is komolytalan webhelyen ne boltoljunk bankkáryával
Annak a valószínűsége, hogy egy, a neten kártyával rendszeresen fizető ügyfélnek egy éven belül a sarki zöldségesnél vagy cigivásárlás közben lopják el a bankkártya adatait, jóval nagyobb, mint annak, hogy a neten, ugyanis aki rendszeresen fizet a neten a kártyájával, "pofára" meg tudja saccolni a webhelyről, hogy mennyire vehető komolyan /*l. fentebb*/, míg a sima bolti vásárlás már bonyolultabb ügy.
Tisztelet a kivételnek, de az eladó sokszor nem olyan agytröszt, hogy észlelje, ha a vásárlói bankkártyadatai veszélybe kerülnek.
Tételezzük fel, hogy egy bankkártyacsaló banki alkalmazottnak kiadva magát elhelyez egy olyan eszközt az üzletben a terminál közelében, ami a tessék-lássék módon titkosított kártyaadatokat lehallgatja és továbbítja, akár vezetékes, akár vezeték nélküli a POS-terminálról van szó. De még az sem tűnne fel az eladónak, ha a "bankoscsávó", aki "hozott egy új terminált", valójában olyan POS-terminált adott, ami működik ugyan, de közben lopja a vevők kártyaadatait, hasonlóan az automaták kártyanyílására buherált eszközökhöz. Nem, még akkor sem tűnne fel semmi, ha egyébként más protokoll szerint üzemelné be a csaló az új terminált az üzemeltető nevében, de talán még akkor sem, ha a pofa úgy nézne ki, mint az egyik Beagle boy a Kacsamesékből.
Meg egyébként is? A boltosnak miért kellene tudnia a bankkátyaadatok biztonságáról, nem? Ha meg lopják, a vevőét lopják, "akkor meg kit érdekel, rohadthekkerek, sünökdóga, nem?" Tisztelet a kivételnek, de az általános mentalitás ez.
- a lejárt kártya se kerüljön a szemétbe, sem szétvágva, sem pedig egészben, de a legjobb, ha még a bankfiókban sem hagyjuk ott, lévén, hogy ők is a kommunális hulladékba tennék, hasonlóan ahhoz, ahogy a fenemód okos mobilszolgáltatók alkalmazottai sokszor a minden személyes adatot tartalmazó, de már szükségtelen dokumentumokat csak simán a kukába dobják, ilyen módon minden ilyen üzlet szemetese valóságos aranybánya az adathalászoknak. Nem arról van szó, hogy egy komplett identitáslopásra alkalmas adatmennyiséget gyűjtenének össze /*ugyan ez sem zárható ki */, a személyes adatok kikerülése súlyos visszaélésekre adhat lehetőséget, elég csak arra gondolni, hogy a telefonszolgáltatónk, netszolgáltatónk, telefonos ügyfélszolgálata személyes adatok alapján azonosít be minket, ha nem tudjuk az ügyfélazonosítónkat, így ha egy csaló elég trükkös valaki ahhoz, hogy kiadja magát a nevünkben /*szakargóban impersonation*/, az adataink birtokában például lemondhatja a telefonszolgáltatásunkat vagy lekérheti a hívásrészletezőt 1-2 évre visszamenőleg papíralapon egy általa megadott címre, esetleg a netes felületen új jelszót állíttathat be és úgy fér hozzá a híváslistához.
Ezen kívül cca. végtelen azoknak a lehetséges scenarioknak a száma, amik előfordulhatnak a social engineeringben és az alapját a bizalmasnak hitt, személyes adatok képzik, ami valami miatt még mindig nem jutott el például még a telekom szolgáltatók tudatáig sem, hogy egyik-másik közintézmény és iskola adatkezelési gyakorlatát ne is emlegessem, arról úgyis csak szuperlatívuszokban lehetne írni.
Visszatérve a bankkártyás témára, az emberi hülyeséget mi sem mutatja jobban, mint, hogy két és fél évvel ezelőtt indult egy Twitter-csatorna, amin első ránézésre roppant mód jópofa dolognak tűnt feltolni a saját bankkártya fotóját. Viszont a csatorna oldala a fejlécben hívta fel a figyelmet, hogy senki ne posztoljon képet a bankkártyájáról. Na mi történt? Igen, az Internetország egyszerű gyermekei halomra tolták fel a fotókat a csatornára. Oké, persze, a többség nem ennyire hülye, de a bankkártyaadatokkal kapcsolatos biztonságtudatosság ugyanúgy egyfajta kontinuumon helyezkedik el /*a teljesen hülyétől a több bankkártyát is használó formákig*/, mint sokminden más, de ezen a téren az átlag is hajmeresztő lemaradást mutat.
Bankkártyaadatokkal kezdtem, személy adatokkal folytattam, zárásként ide embeddelem az Személyiségtolvaj trailerjét, ami szerintem a legrealisztikusabb hekkerfilm ever, annak ellenére, hogy nem hekkerfilmnek szánták.