Az online kártyabiznisz tekintetében várható volt, hogy egyszer magyar kártyaadatokkal is kereskedni fognak. Ez megtörtént, az egyik eladó a sötét weben található reklámja szerint 10 esetben bizonyíthatóan. Ám más sötét webes fórumokon és online áruházakban is kereskednek magyar kártyaadatokkal. A PestiSrácok.hu több esetet dokumentált, ezek a cikk képein jól láthatóak – az online feketepiacon és további hirdetéseket talált. Az online feketepiac egyik fő iparága a digitális és elektronikus kártyák előretörésével az úgynevezett „carder” vagy „cc” biznisz, amely a kártyaadatok ellopására és értékesítésére szakosodott. Egy modern hitelkártya több biztonsági elemből áll, azonban az internetes fizetéshez gyakran elég a kártyaszám, a cvv kód, a lejárat és a felhasználó neve.
Hogyan lopnak meg bennünket?
Mint arról korábbi összeállításunkban már írtunk, az erre specializált online bűnözők, akik „carderek”-nek hívják magukat „skimming” keretében sérülékeny honlapok, például webáruházak honlapjait törik fel, és ezzel gyakran érvényes hitelkártya adatokhoz jutnak. Nem tudjuk, csak valószínűnek tartjuk, hogy ilyen módon juthattak magyar kártyaadatokhoz jelen esetben is.
Másik módozat, ha úgynevezett „botnetet” használ a bűnöző – vagyis több ezer megfertőzött gép közül véletlenül került magyar éles hitelkártya adat a birtokukba.
Elképzelhető, hogy „phishing” (halászat) – áldozatai lehettek a kártyabirtokosok, ezt úgy képzelhetjük el, hogy kapunk például egy hitelesnek tűnő banki emailt, vagy felszólítást, hogy valamiért letiltották a kártyánkat, amelyet ugyanerre az emailre válaszolva újra aktiválhatunk, csak adjuk meg az adatainkat. Másik régi „phising” trükk amikor egy ismert és megbízható honlapot duplikálnak – majdnem úgy tűnik mintha az volna – csak ez itt egyedül arra jó, hogy megadjuk a kártyaadatainkat.
A szóban forgó kártyaadatokat a másodlagos kártyapiacon értékesítette – vélhetően a hacker
A másodlagos kártyaadat-piacon a lopott, de ellenőrizetlen hitelkártya adatcsomagokat (dump) kártyánként 10-30 $-os áron adják-veszik online. Jelen esetben a magyar áldozatok adatait 6$-ért vásárolták meg, nem tudjuk, hogy érvényesek voltak-e még. Az egyik esetben 2015 augusztus 27-én 10 óra 19-kor történt tranzakció, azt a vevő pozitívan értékelte, tehát használhatta:
A második dokumentált esetben augusztus 28-án, 18. óra 59-kor történt meg lopott kártyaadatok megvétele, ezt a vevő szintén pozitívan értékelte.
Másik sötét web fórumon is nyíltan hirdetik magyar kártyaadatok adásvételét, e hirdetés például egészen friss, és 10 dolláros áron eladó a magyar kártyaadat:
A kártyaadatokat tartalmazó dump (guba) fájlok mindig tartalmazzák a kártyaszámot, a lejárati időt, a három jegyű cvv kódot, és a tulajdonos nevét, amellyel különböző eszközökkel már vissza lehet élni, ám gyakran további adatokat is mellékelnek, mint itt látjuk a leírásban, jelen esetben az email jelszó, teljes név, számlázáskor megadott telefonszám, anyja neve, a kártya BIN kódja,stb. is benn van a dump file-ban.
A helyzet az, hogy a Kaspersky Lab többek által idézett tanulmánya arra világított rá, hogy a pénzintézetek nem igazán veszik komolyan a veszélyt.
A felmérésben a banki szférát kérdezték meg, a pénzintézetek 53 százaléka vezetett be kétfaktoros azonosítást, és csak 50 százalékuk alkalmaz speciális, valós idejű csalás elleni megoldást. A pénzintézetek 67 százaléka alkalmazza az úgynevezett biztonságos kapcsolatot az online fizetési tranzakció esetében. 48 százalékuk azt is beismerte, hogy csak mérséklik a kockázatokat, ahelyett, hogy teljesebb védelmet húznának fel.
Különösen igaz ez olyan nem pénzintézeti tevékenységgel foglalkozó cégekre, webshopokra, internetes utazási irodás szolgáltatókra, ahol gyakorlatilag bárki használhatja a szolgáltatást egy mailcímes regisztrációval.
Mit ír a magyar Büntető Törvénykönyv?
A büntető törvénykönyv két évig terjedő szabadságvesztéssel, illetőleg minősített esetekben három évig terjedő szabadságvesztéssel bünteti ezt a cselekményt, a Btk 392. és 393.§-aiban meghatározottak szerint.
A jogszabály úgy fogalmaz, hogy aki felhasználás céljából készpénz-helyettesítő fizetési eszközt meghamisít, hamis készpénz-helyettesítő fizetési eszközt készít, vagy az elektronikus készpénzhelyesítő fizetési eszközön tárolt adatokat vagy az ahhoz kapcsolódó biztonsági elemeket technikai eszközzel rögzíti, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. Amennyiben üzletszerűen, vagy bűnszövetségben történik a visszaélés (itt igen valószínűen mindkét minősítő körülmény fennáll), akkor három évig terjedő szabadságvesztést is ki lehet szabni, ráadásul a külföldi kártyaadatokkal való visszaélés azonos elbírálás alá esik a hazaiakkal.
Facebook
Twitter
YouTube
RSS