bardóczi ákos @post.r

A bankkártyák gyártóitól ugyanazt várják el a bankok, amit az ügyfelek is: legyenek biztonságosak, amennyire csak lehet, ugyanakkor ne kerüljenek túlságosan sokba sem. Az érvényesség feltétele minden esetben az aláírás, amiről szeretnénk feltételezni, hogy nem módosíthatóak károsodás nélkül vagy legalább sufni módszerekkel nem.

Egy korábbi posztban már foglalkoztam vele, hogy mekkora suttyóság egy bank részéről, ha a bankkártya lejárta után úgy adják ki az ügyfélnek az új kártyát, hogy annak bankkártyaszáma marad ugyanaz. Persze, persze, lehet hivatkozni rá, hogy ott van még a CVC2/CVV2 kód, csak éppenséggel ezt az elfogadóhelyek egy része egyszerűen nem ellenőrzi.

A bankkártyáknál aláírás már csak azért is fontos, mert ha például Paypass-technológián alapuló vásárlás esetén felmerül a gyanú, hogy valaki nem a saját bankkártyáját használja, az elfogadóhely aláírást kérhet, aminek jó esetben hasonlítania kellene arra az aláírásra, ami a bankkártya hátoldalán van. Megint más esetben, ha nem bankkártyáról van szó, az egyetlen dolog, ami a kártyát érvényesíti, az aláírás.

Ha korábban nem is merengtünk el eddig rajta, a bankkártyák ún. aláíráspanelje olyan filmréteg, ami megköti a tintát, azzal kapcsolatban viszont nincs határozott elvárás, hogy milyen tollal kellene kézjeggyel ellátni a kártyát. Ha a festék belekötött ebbe a filmrétegbe, azt már ideális esetben nem lehet lesuvickolni vagy leáztatni róla, legalábbis úgy biztosan nem, hogy annak ne maradjon nyoma. Egyszerűnek tűnik, de elég belegondolni, hogy ha olyan rétegre van szükség, ami megfelelő erősséggel köt a bankkártya anyagához úgy, hogy ne kopjon le, a festék pedig álljon ellent az oldószereknek, kopásnak, hőhatásoknak, már jóval bonyolultabb a helyzet. Az ilyen filmrétegeket olyan szabadalmak védik, amikből elvben világosan kiderül, hogy hogyan is működik mindez, az más kérdés, hogy a leírás olyan magas röptű, hogy behatóan nem könnyű értelmezni csak úgy. Ami azt illeti, elsőre még azt sem könnyű megállapítani, hogy csak az elsőként USA-ban jegyzett szabadalmak közül melyik vonatkozik az aláírást megkötő filmekre.

Azt meg aztán pláne nem tudni, hogy adott plasztikkártya esetén melyikről is van szó. De még ha konkrétan tudnánk is, hogy a film melyik technológiával készült, lévén, hogy az aláírásokhoz használt Edding tollak olyan tintával működnek, aminek az összetétele nem igazán nyilvános, még mindig nem lennénk közelebb ahhoz, hogy tökéletesen megértsük a kémiai részleteket.

Ami biztos, hogy ha valaki az aláíráspanelt elkezdi súrolni valamivel, az aláírás tintájával együtt vagy jön maga a filmréteg is vagy a filmrétegbe impregnált minta, VISA kártyák esetén ez egyszerű csíkozás, míg MC esetén a MasterCard felirat piros, sárga és kék színnel. Az acetonos lemosás pedig eleve hülye ötlet, mivel nem csak az alkoholbázisú tintát oldja, hanem magát a műanyagot is.

Otthon amolyan nosztalgikus jelleggel elővettem pár lejárt vagy fölösleges kártyát és legalább ennyire nosztalgikusan vegyészkedtem egy kicsit. Több kártya együttes eredménye: gyenge közepes.

Mindenféle tinta felületről való eltüntetésénél az oldószer típusa és mennyisége, valamint a súrolással járó behatás arányát eltalálva a legnagyobb az esélye annak, hogy csak az aláírás jön le, míg a felület nem sérül látványosan. Az egyik tesztben 70 térfogatszázalékos etanolt használtam, viszont lévén, hogy az EDT pacsulik alkoholtartalma is hasonló, a benne lévő aromák pedig az oldási képességre nincsenek számottevő hatással, azzal is csinálhattam volna. A felületnek aztán nekiestem közepes súrolást kiváltó papírzsebkendővel, olyan műanyag polimer törlőkendővel, ami egyáltalán nem súrolt, illetve szarvasbőr kendővel is. Az eredmények eltérőek, ami viszont világos, hogy szembetűnő különbség van filmréteg és filmréteg közt olyan szempontból, hogy milyen kártyánál használták. Az egyszerű vásárlói hűségkártyánál gyakorlatilag mindig törölhető a tinta. Viszont még azonos bankkártyakibocsátó esetén is míg az egyik kártyánál a tinta lazán törlődik, megint másiknál nem vagy csak úgy, hogy azzal jön le az előzetesen ráimpregnált festék is.  Ezen kívül természetesen tapasztaltam olyat, hogy ugyanolyan súrolás hatására maga a filmréteg is jól látható módon karcolódott.

Egy másik tesztben szintén 70 v%-os alkoholt használtam, a kártyák gyakorlatilag egy alkoholos fürdőbe kerültek, amit ebben az esetben egy tartóval oldottam meg. A műanyag zacskó jelentősége az, hogy alapesetben az alkohol a gyorsabb párolgás miatt veszítene az oldóképességéből, míg ha le van zárva, ez kevésbé jelentkezik. Némi idő elteltével a tinta persze itt is megadta magát, egyetlen eset kivételével teljesen eltűnt néhány óra alatt! Ilyet tapasztaltam az egyik legkomolyabb bankkártyakibocsátó kártyájánál is úgy, hogy a benne lévő mint nem oldódott le.

A tanulság ismét az, hogy lehet ugyan spórolni azzal, hogy olcsóbb technológiát választva viszik fel a gyártók a film anyagát, nem meglepő módon, kevésbé lesz biztonságos. A lúgokat viszont mind jól bírja, tehát nincs para, ha valaki valakinek a zsebébe maradt, aztán kimosta a ruhaneművel együtt, ugyan alighanem más a helyzet, ha mindez főzőmosáson történt. Megjegyzem, senki ne próbálja ki otthon, a használt bankkártya formálisan eleve a bank tulajdona.

Biztosan többek számára ismert, hogy vannak olyan mobilalkalmazások, amiknek a letöltése és használata ingyenes ugyan, viszont ún. in-app purchase-re van lehetőség, azaz az alkalmazáson belül lehet megvásárolni az extra funkciókat. Az illedelmes alkalmazás persze megkérdezi a fizetés módját, majd ha a bankkártyás fizetést választjuk, elkéri a bankkártyaszámot. A pofátlan alkalmazás megpróbálja megszerezni, aminek a sikeréhez néha elengedhetetlen a bank suttyósága is.

Történt ugyanis, hogy ma este láttam egy általam régen használt mobilalkalmazásban, hogy egy hónapig ingyenesen lehet használni az alkalmazás extra funkcióit. Gondoltam, ki is próbálom, elvégre azok a helyek, amik a kipróbálási lehetőségnél nem kérnek bankkártyaszámot, nem is tudnák honnan levonni az összeget. Elvileg. Ha pedig valahonnan a bankkártyaszámot mégis tudja valahonnan az app és rá is tudja terhelni az összeget, az ingyenességet úgy oldják meg, hogy a kártyán zárolják az összeget ugyan, ha 30 napig a bankkártya-elfogadó nem jelentkezik a zárolt, de még nem könyvelt összegért, mivel lemondja a kipróbált szolgáltatást a vásárló, az összeg visszakerül a vásárlóhoz.

Az én esetemben nem vagyok benne biztos, hogy honnan tudta az alkalmazás a bankkártyaszámom, az alkalmazásboltból aligha nyúlhatta le, alighanem korábban megadtam az alkalmazásban a régit hitelesítés miatt, ők pedig szépen elmentették. Később láttam ugyan, hogy itt nem kérdezett semmit az alkalmazás, gondoltam, nem is volt honnan levonnia, mivel - és most jön a lényeg - a korábban megadott bankkártyám lejárt nemrég, így a réginek az adatai érvénytelenek és nem használhatók fel. Mondom elméletileg!

Ugyanis, ha a bankkártya kibocsátó van akkora ergya-gyökér-suttyó paraszt, hogy a 3 vagy éppen 5 év érvényesség lejárta után a bankkártyát olyan módon újítja meg, hogy maga a bankkártyaszám nem változik és feltételezzük, hogy a bankkártya tulajdonosát /*card holder*/ sem keresztelik át idő közben, az egész megújításnak semmi értelme sincs. Ugyanis a lejárt, ergo már érvénytelen bankkártyának, aminek tehát a lejárati idején kívül más nem változott, nem túl bonyolult módon megjósolhatók próbálgatással az aktuális,  helyes adatai: a korábban tárolt lejárati időhöz években szépen hozzáadnak egyet, kettőt, hármat, négyet, ötöt, azaz öt évre kibocsátott bankkártya esetén legfeljebb öt próbálkozásra van szükség és az összeget már rá is terhelhetik. Jelen esetben is ez történt. Remek kérdés, hogy ez bankkártyacsalás-e.  

Egyébként egy tipikus, Magyarországon használt 16 számjegyű bankkártya száma ilyen módon épül fel:
- a bankkártya első hat számjegye a kártyakibocsátó-hálózatot azonosítja, amiből az első számjegy azt jelzi, hogy melyik szektorhoz tartozik a kártya, így például a 3-mal kezdődnek bizonyos hitelkártyák, mint például az American Express, 4-gyel illetve 5-tel az általános banki tranzakcióknál és vásárlásoknál használt kártyák, mint a Visa vagy a Mastercard
- az első hat számjegy 2-6 számjegyei a kártyakibocsátó-hálózat használható azonosítóit tartalmazzák, így például a szintén elterjedt Maestro /*az első számjegyet is belefoglalva*/ a 500000-509999 és 560000-699999 tartományokat használhatja
- ezt követi a 7-15. pozícióban a véletlenszerűen generált azonosítószám - és ez a lényeg - amivel kapcsolatban a pénzintézet kérheti a kibocsátó-hálózatot, hogy a bankkártya megújításánál maradjon a régi vagy változzon meg az adott ügyfél esetén
- a 16. pozícióban egy ún. Luhn-algoritmus által kiszámolt ellenőrzőösszeg áll

Egyszerűsítve tehát a bank a kibocsátó-hálózattól veszi a kártyákat. De ha kérhető, hogy változzon meg az azonosító, ami ugyebár gyakorlatilag az egyetlen variábilis elem a kártya megújításánál, akkor az ügyfél számára megrendelő bank miért nem kéri a kibocsátó-hálózatot, hogy úgy nyomják újra a kártyát? Ja, hogy az drágább lenne? Hát legyen ez a bank magánügye, azért fizetem az éves kártyadíjat, hogy a lehető legbiztonságosabban lehessen használni, csókolom!

Olyan részletekbe most nem mentem bele, hogy például a bankkártya hátoldalán lévő CVV, CVV2 kódok sok esetben lényegtelenek, ahogy abba sem, hogy más kártyaszám-generálási forgatókönyvek is lehetségesek, külföldön. Amit leírtam persze csak a kártyaszám generálás lényege, a teljes forgatókönyv bonyolultabb, viszont ez alapján is megállapítható, hogy még egy óriási bank esetén sem fordulhat elő, hogy a bankkártyaszám és lejárati dátuma megegyezzen véletlenül, ráadásul a tulaj neve is azonos legyen.

Ezen kívül vegyük észre, hogy a bankkártya adatok önmagukban csak akkor használhatóak fel, ha annak minden adata érvényes. így például a bolti kártyás vásárláskor hiába van rajta a blokkon az utolsó négy számjegy és a lejárati idő, ezek teljesen ártalmatlan adatok, viszont pont az előző bekezdésben leírtakból adódóan kitűnően alkalmasak lehetnek azonosításra. Például annak a valószínűsége, hogy ugyanazzal a négyszámjegy-lejárati dátum-kombóval ugyanazon a napon, ugyanabban a boltban vásároljon több azonos vevő, gyakorlatilag nulla.

És persze ha egy internetes elfogadóhely kéri, hogy küldjünk nekik scannelt vagy fotózott képet a bankkártyánkról azonosítás végett, nyugodtan küldjük el őket melegebb éghajlatra, esetleg mutatva, hogy mennyire vesszük a kérésüket komolyan, küldjük nekik sok szeretettel az alábbi képet, bárminemű egyezés a valósággal a véletlen műve xD



A szokásos bankkártya-tematikájú közhely és bullshitelés helyett a következőt tudom javasolni az olvasónak egyben eloszlatva néhány tévhitet:

- a bankkártya lejárta és megújítása előtt érdeklődjön a bankjánál, hogy az azonosító megváltozik-e egyáltalán, abban az esetben ha nem, egyszerűen ne kérje a megújítást, ilyenkor nem kell fizetni a letiltásért, mivel ez nem is letiltás, a kártya egyszerűen lejár. Új kártyát igényelni pedig jobb családokban nem drágább, mint az éves díj.
- full hülyeség azt mondani, hogy a neten nem adom meg a bankkártyaadataim, mivel
 I. a bankkártyaadatokat nem is tárolja normális, komoly elfogadóhely, ha nem feltétlenül szükséges, csak kap egy visszajelzést, hogy a kártyával minden stimmel és megtörténik a vásárlás
 II. a kártyaadatok megadását egy ellenőrzéshez még akkor is érdemes megcsinálni, ha nem tervezünk semmit vásárolni az adott webhelyen. Többször cikkeztem már arról, hogy ellopni egy Facebook-fiókot mennyire egyszerű. Nos, ha a felhasználó megadta a bankkártyaadatait a Settings/Payment methods alatt, a Facebook megpróbál zárolni egy dollárt, ha sikerül, elmenti és az 1 dollár visszakerül 30 nap után az egyenlegre és kétes helyzetekben, a Facebook előtt a korábbi bankkártyával történő azonosítás mutatja, hogy a felhasználó tényleg az, aki, hiába jelenti fel egy trollhadsereg az illetőt azzal a feljelentés-áradattal, töröltetés céljából, hogy kamuprofilról van szó, a Facebook jó eséllyel nem kér semmilyen további azonosítást a felhasználótól, akinek az accountja biztonságban marad
 III. elemi, hogy kinézetre is komolytalan webhelyen ne boltoljunk bankkáryával

Annak a valószínűsége, hogy egy, a neten kártyával rendszeresen fizető ügyfélnek egy éven belül a sarki zöldségesnél vagy cigivásárlás közben lopják el a bankkártya adatait, jóval nagyobb, mint annak, hogy a neten, ugyanis aki rendszeresen fizet a neten a kártyájával, "pofára" meg tudja saccolni a webhelyről, hogy mennyire vehető komolyan /*l. fentebb*/, míg a sima bolti vásárlás már bonyolultabb ügy.
Tisztelet a kivételnek, de az eladó sokszor nem olyan agytröszt, hogy észlelje, ha a vásárlói bankkártyadatai veszélybe kerülnek.

Tételezzük fel, hogy egy bankkártyacsaló banki alkalmazottnak kiadva magát elhelyez egy olyan eszközt az üzletben a terminál közelében, ami a tessék-lássék módon titkosított kártyaadatokat lehallgatja és továbbítja, akár vezetékes, akár vezeték nélküli a POS-terminálról van szó. De még az sem tűnne fel az eladónak, ha a "bankoscsávó", aki "hozott egy új terminált", valójában olyan POS-terminált adott, ami működik ugyan, de közben lopja a vevők kártyaadatait, hasonlóan az automaták kártyanyílására buherált eszközökhöz. Nem, még akkor sem tűnne fel semmi, ha egyébként más protokoll szerint üzemelné be a csaló az új terminált az üzemeltető nevében, de talán még akkor sem, ha a pofa úgy nézne ki, mint az egyik Beagle boy a Kacsamesékből.

Meg egyébként is? A boltosnak miért kellene tudnia a bankkátyaadatok biztonságáról, nem? Ha meg lopják, a vevőét lopják, "akkor meg kit érdekel, rohadthekkerek, sünökdóga, nem?" Tisztelet a kivételnek, de az általános mentalitás ez.
- a lejárt kártya se kerüljön a szemétbe, sem szétvágva, sem pedig egészben, de a legjobb, ha még a bankfiókban sem hagyjuk ott, lévén, hogy ők is a kommunális hulladékba tennék, hasonlóan ahhoz, ahogy a fenemód okos mobilszolgáltatók alkalmazottai sokszor a minden személyes adatot tartalmazó, de már szükségtelen dokumentumokat csak simán a kukába dobják, ilyen módon minden ilyen üzlet szemetese valóságos aranybánya az adathalászoknak. Nem arról van szó, hogy egy komplett identitáslopásra alkalmas adatmennyiséget gyűjtenének össze /*ugyan ez sem zárható ki */, a személyes adatok kikerülése súlyos visszaélésekre adhat lehetőséget, elég csak arra gondolni, hogy a telefonszolgáltatónk, netszolgáltatónk, telefonos ügyfélszolgálata személyes adatok alapján azonosít be minket, ha nem tudjuk az ügyfélazonosítónkat, így ha egy csaló elég trükkös valaki ahhoz, hogy kiadja magát a nevünkben /*szakargóban impersonation*/, az adataink birtokában például lemondhatja a telefonszolgáltatásunkat vagy lekérheti a hívásrészletezőt 1-2 évre visszamenőleg papíralapon egy általa megadott címre, esetleg a netes felületen új jelszót állíttathat be és úgy fér hozzá a híváslistához.

Ezen kívül cca. végtelen azoknak a lehetséges scenarioknak a száma, amik előfordulhatnak a social engineeringben  és az alapját a bizalmasnak hitt, személyes adatok képzik, ami valami miatt még mindig nem jutott el például még a telekom szolgáltatók tudatáig sem, hogy egyik-másik közintézmény és iskola adatkezelési gyakorlatát ne is emlegessem, arról úgyis csak szuperlatívuszokban lehetne írni.

Visszatérve a bankkártyás témára, az emberi hülyeséget mi sem mutatja jobban, mint, hogy két és fél évvel ezelőtt indult egy Twitter-csatorna, amin első ránézésre roppant mód jópofa dolognak tűnt feltolni a saját bankkártya fotóját. Viszont a csatorna oldala a fejlécben hívta fel a figyelmet, hogy senki ne posztoljon képet a bankkártyájáról. Na mi történt? Igen, az Internetország egyszerű gyermekei halomra tolták fel a fotókat a csatornára. Oké, persze, a többség nem ennyire hülye, de a bankkártyaadatokkal kapcsolatos biztonságtudatosság ugyanúgy egyfajta kontinuumon helyezkedik el /*a teljesen hülyétől a több bankkártyát is használó formákig*/, mint sokminden más, de ezen a téren az átlag is hajmeresztő lemaradást mutat.

Bankkártyaadatokkal kezdtem, személy adatokkal folytattam, zárásként ide embeddelem az Személyiségtolvaj trailerjét, ami szerintem  a legrealisztikusabb hekkerfilm ever, annak ellenére, hogy nem hekkerfilmnek szánták.