gazdaságinformatika

Gyenge a Szép-kártyák védelmi rendszere

Szerző: 2012. március 28.április 2nd, 2012No Comments

Ellophatják a pénzünket az év elején kiadott Szép-kártyákról az informatikai biztonsággal foglalkozó Balabit IT Security szerint. A magyar tulajdonú cég arra figyelt fel, hogy a kártya használatakor kiadott bizonylaton minden olyan adat szerepel, ami az online vásárláshoz szükséges. A K&H, az MKB és az OTP közös nyilatkozatban reagált a felvetésre.

Az év elején kiadott Szép-kártyák használatakor sokkal óvatosabbnak kell lennünk, mint egy átlagos bankkártyás fizetésnél, mert a gyengébb védelmi rendszer könnyen kijátszható, és illetéktelenek költhetik el a kártyán tárolt pénzünket. A hibát felfedező Balabit Security tanácsokat is ad azzal kapcsolatban, hogy mire kell odafigyelni.

Hagyományos bankkártyák használatakor meg kell adnunk egy PIN-kódot, de a mágnescsíkkal ellátott Szép-kártyák esetében hiányzik ez a magasabb szintű védelem. Az eladók ellenőrizhetik a személyazonosságunkat, de a gyakorlati tapasztalatunk az, hogy az eladók, a pincérek nem kérnek semmilyen okmányt kártyás fizetés esetén. A felhasználó azonosítását segíti még a kártya hátoldalán lévő aláírás, ami nélkül a kártya érvénytelen, de az aláírás ellenőrzése is rendszeresen elmarad, ha bankkártyával fizetünk, és nem túl életszerű, hogy pont a Szép-kártya esetében lesznek figyelmesebbek az eladók.

Visszaélésekre ad lehetőséget, hogy személyes fizetés esetén két bizonylatot kapunk, és az egyiket aláírva vissza kell adni. A Balabit azt fedezte fel, hogy mindkét példányon rajta van a teljes 16 jegyű kártyaszám, ami elég meglepő, ugyanis hagyományos bankkártyás fizetésnél csak az utolsó négy számjegy látható, a többi ki van csillagozva. Emellett rajta van a papíron az aktuális egyenlegünk, a kibocsátó neve és a kártya lejárati dátuma.

A fenti adatok ismeretében online elkölthetik a pénzünket, például pizzát vagy bármi mást rendelhetnek a kontónkra. A Balabit tesztjében kiderül, hogy online vásárlás esetén a fenti négy adatot kérik el: a kártyaszámot, a kártyabirtokos nevét, a kibocsátó nevét és a lejárat dátumát. “A gyakorlat sajnos azt mutatja, hogy ha a kártyaszámot és a lejáratot sikerül helyesen beírni, a további mezők üresen hagyhatók vagy elgépelhetők, a tranzakció ettől még sikeres lesz, az összeget azonnal levonják a kártyáról” – áll a Balabit elemzésében.

Értékes papírfecnik
Az emberek általában nem foglalkoznak a blokkal, tapasztalatunk, hogy azt általában a kasszánál hagyják, tehát az illetéktelenek rendkívül egyszerűen megszerzik a fizetéshez szükséges információkat. Ha ismert a kártyaszám, akkor blokk nélkül is könnyen kitalálható a többi adat, mert csak három kártyakibocsátó van, az OTP, a K&H és az MKB. Egyelőre – mivel a kártyák kibocsátása sem régen kezdődött, és a kártyák öt évig érvényesek – a lejárati dátum is könnyen, néhány próbálkozással kitalálható.

Az egyik banknál elmondták, hogy nyolc éve hasonló biztonsági rendszerrel működnek az egészségpénztári kártyák, és eddig nem történt visszaélés. A kártyaszám kitakarása egy gyors beállítással megoldható lenne, ám ezzel jelentősen megnehezítenék a kereskedők elszámolási nyilvántartását.

Egy banki szakértő elismerte, hogy az online tranzakcióknál van probléma, de a kockázatelemzés alapján arra számítanak, hogy egymillió tranzakcióra talán száz csalás jut. A bankoknak a veszélyek mellett azt is számításba kellett venniük, hogy PIN-kódot használó infrastruktúra felépítése pedig elég drága, és körülményesebb is a használata, emellett úgy gondolják, a Szép-kártyát jellemzően alacsony keresetűek használják, akik hamar elköltik majd a rajta lévő összeget. A bankoknak egyébként van eszközük arra, hogy a személyazonosság ellenőrzésére vegyék rá az elfogadóhelyeket: a vásárlások összegét csak 10-15 nappal később utalják át, és ha visszaélésről érkezik bejelentés, akkor nem fizetnek a kereskedőnek. Persze ugyanezt a módszert alkalmazzák a bankkártyák esetében is, a boltok mégsem kérnek tőlünk személyit.

“Minden esetben igaz, hogy a valódi kártyabirtokos az online lekérdező, telefonos lekérdező, és a vásárláskor kapott bizonylat információi alapján azonnal tudomást szerez egyenlege alakulásáról, és jogos reklamáció esetén biztonságban van elektronikus egyenlege.” – írja a három bank közösen kiadott közleménye. A bankok arra figyelmeztetik a Szép-kártya birtokosait, hogy “bankkártyájukhoz hasonlóan fokozottan vigyázzanak Szép-kártyáikra is, azt ne adják ki a kezükből, és ha elvesztették, vagy ellopták tőlük, azonnal tiltassák le. Ugyanezt tegyék, ha megvan, de visszaélést tapasztalnak.”

A kártyát először az OTP bocsátotta ki, azóta a K&H és az MKB csatlakozott a rendszerhez. Március eleji adatok szerint a bankok eddig nagyjából kilencezer céggel és tizenötezer elfogadóhellyel kötöttek szerződést (egymással viszont nehezen állapodnak meg a kölcsönös elfogadásról, noha ez kötelező lenne). Az NGM néhány napja azt közölte, hogy több mint 350 000 dolgozó kapott ilyen kártyát.

Igaz, a kártyákat még korántsem töltötték fel teljesen. Ha ugyanis mind a 350 000 Szép-kártyás megkapná a maximális, 450 ezres összeget, az éves szinten 157,5 milliárd forintot jelentene. Az első negyedévben azonban ennek csak töredékét, 10,5 milliárd forintot utaltak a pihenőkártyákra – vagyis egy kártyára körülbelül 30 000 forintot –, ez időarányosan is csak alig több mint negyede a lehetséges teljes összegnek.”

Forrás:
Gyenge a Szép-kártyák védelmi rendszere, Tóth Balázs, Index.hu, 2012. március 28.
A SZÉP Kártya tulajdonosoknak fokozottan oda kell figyelniük kártyaadataik védelmére, Balabit, 2012. március 28.