HALLASSUK A HANGUNK!

Írd alá Te is a GEVA (Global EV Alliance) nyilatkozatát!

Így (nem) loptak el fejenként 1 millió forintot a villanyautósoktól

Szombat reggel rengeteg magyar villanyautós ébredt kellemetlen meglepetésre. A Carge applikáció ügyfelei sorra számoltak be 100, 200, 1000 és 2000 dolláros terhelésről az applikációban megadott bankkártyájukon. A sikeres terhelésekről e-mailben számla is jött, obszcén szöveggel, amely szerint ellopták a pénzünket.

Mi történt?

Az első sokk hatására csak reménykedtünk abban, hogy a Carge hackerek áldozata lett, és nem maga a szolgáltató tért rossz útra. Alaposan átnézve az elérhető információkat már a Carge rendszerének feltörése tűnt valószínűnek, ugyanis a számlákat a Carge rendszere küldte és a terhelések is a Carge-től érkeztek. Ez arra utalt, hogy a bankkártya adatok nem kerültek rossz kezekbe. Ettől függetlenül persze mindenki nagyon aggódott a pénzéért. A villanyautósok szerkesztőségében néhányan azért is kellemetlenül éreztük magunkat, mert az applikációt mi magunk is ajánlottuk az olvasóknak és a közösség tagjainak.

Pozitív üzenet volt, hogy a szolgáltató ügyfélszolgálata folyamatosan, rövid válaszidővel kommunikált. A Carge igyekezett mindenkit megnyugtatni, hogy a pénzünk biztonságban van, rövidesen intézkednek a terhelések törléséről. Ezt követően a cég pénzügyi szolgáltatója, a Stripe visszavonja a terheléseket, és az ügyfelek banktól függően néhány munkanap alatt visszakapják a pénzüket.  Ekkor sokakban még kongott a vészharang. Mi mást mondana az ügyfélszolgálat mint azt, amit az ügyfelek hallani szeretnének. Mi van, ha kizárólag azért nyugtatják az ügyfeleket, hogy azok elhalasszák a rendőrségi feljelentést? Ma reggel, az első munkanapon végre egyre több ügyfél számol be arról, hogy már elérhető a bankszámláján a levont összeg. Minden esély megvan rá, hogy a történet happy enddel záruljon.

Fontos kiemelni, hogy a Carge közvetlenül is folyamatosan, gyorsan reagált a megkeresésekre, ezen kívül körlevelekben is tájékoztatták az ügyfeleket. Nyilván ilyenkor az ember kissé szkeptikus, de utólag elmondható, hogy a cég profin kezelte a szerencsétlen helyzetet. A kellemetlenül, bankkártya és átmeneti pénzhiányba kerülő ügyfelek mellett a legnagyobb kárt valószínűleg a Carge szenvedte el. Nem lesz könnyű visszaszerezniük az ügyfelek még alighogy megszerzett bizalmát, hiszen egy nagyon fiatal, Magyarországon csupán néhány hónapja jelen lévő startup cégről van szó.

Hogyan lehetett volna megelőzni?

A legjobb megoldás nyilván az lett volna, ha nem tudnak betörni a Carge rendszerébe. Sajnos ez kissé utópisztikus elvárás, mióta számítógépek vannak, azóta hackerek is, így ezzel a kockázattal együtt kell élnünk. Ezúttal egy elektromobilitás szolgáltató volt a célpont, de lehetett volna bármely egyéb cég, akitől interneten vásároltunk és a felületükön megadtuk a bankkártyák adatait. Szerencsére manapság már nem jellemző, hogy a cégek maguk tárolják a bankkártyánk adatait. A Carge rendszerében csak ún. tokenek voltak, amivel a hackerek bár tudtak fizetést kezdeményezni, a pénzünket ellopni nem tudták és nem is tudják.

A támadásra a különböző bankok eltérő módon reagáltak. Egyes bankok rendszere gyanúsnak ítélte a gyors egymásutánban érkező terheléseket, így legalább a nagyobb összegeket nem engedték át. Előfordult sajnos olyan is, akinél mind a négy terhelés sikeres volt, így közel egymillió forintja került zárolásra. Szerencsésnek mondhatták magukat azok az ügyfelek, akiknek viszonylag alacsony volt a bankkártyájukra beállított vásárlási limit, vagy eleve nem tartanak túl nagy összeget az applikációban megadott bankkártyán. Egyes bankok önállóan, mások az ügyfélpanaszt követően letiltották a bankkártyákat, amely helyett néhány nap alatt újakat gyártanak és küldenek. A legnagyobb nehézséget talán azok szenvedték (és szenvedik el jelenleg is), akik az egyetlen bankkártyájukat adták meg az alkalmazásban.

A pénzügyekben és az online életben az átlagnál talán kicsivel jártasabb emberként mindenkinek ajánlom (és eddig is ajánlottam), hogy ne a család egyetlen bankkártyájával vásároljunk az interneten. Akár azt is megtehetjük, hogy két (több) banknál vezetünk számlát, és az egyik számlán minimális összeget tartunk, csak akkor utalunk át pénzt, ha nagyobb összegű vásárlást tervezünk. Az azonnali utalások korában ez időveszteséget nem, némi macerát persze jelent. A legtöbb bank kínál olyan online vásárlásra használható második kártyát, hozzá tartozó bankszámlával, amivel bankon és számlacsomagon belül tudjuk megoldani ezt a funkciót. Ilyenkor a fő bankkártyánkkal továbbra is hozzáférünk a pénzünkhöz, ha adatlopás/szivárgás esetén letiltják az online vásárlásokhoz használt bankkártyánkat. Kényelmes és modern megoldást jelentenek az ún. fintech cégek. A legnagyobbak talán a Revolut és a Wise (korábban Transferwise).

Ezektől az egyes európai országokban banki engedélyekkel is rendelkező cégektől ingyenesen vagy kedvező áron kapunk bankkártyát. A mobiltelefonos applikációjuk a legtöbb nagy bank alkalmazásánál fejlettebb. Lehetőség van például egyszer használatos bankkártyák igénylésére, melyeket fizikailag természetesen ki sem küldenek, csak egy kártyaszámot (lejárati adatokkal és ellenőrző kóddal) kapunk az alkalmazásban, amely egyetlen internetes fizetést követően megszűnik. Virtuális kártyákat is igényelhetünk, többnyire ingyenesen, melyek a valódi kártyához hasonlóan működnek az online fizetésnél, de érvényességi idejük rövidebb. Az ilyen kártya fő előnye, hogy ha nem érezzük biztonságban az adatainkat egy kattintással letilthatjuk és másodpercek alatt kaphatunk helyette új kártyát, míg egy banknál az egyetlen fizikai kártya cseréjére napokat, akár heteket is várni kell, és ha mi kérjük, akár sokba is kerülhet.

A fintech cégek applikációi mellett szerencsére egyre több bank alkalmazásában is pillanatok alatt tudunk limiteket módosítani vagy akár a kártyákat befagyasztani és kiolvasztani. Egy ideiglenesen befagyasztott kártya nem használható, így nem érkezhet rá a szombat hajnalihoz hasonló terhelés. A rendszer hátránya, hogy amikor mi szeretnénk vásárolni, előtte fel kell oldani a zárolást az applikációban, ami kellemetlenséget okozhat, ha egy olyan helyen jut eszünkbe, ahol épp nem férünk hozzá az internethez.

Mit tegyünk, hogy a jövőben ne járjunk így?

A hétvégi esetből úgy gondolom nem a Carge és nem az elektromobilitás a lényeg. Arra láttunk egy példát, hogy mindig elővigyázatosnak kell lennünk, a támadás bármikor, bárhonnan érkezhet. Különös figyelmet kell fordítani, hogy hol és kinek adjuk meg a banki adatainkat. Ismerjük meg, és ahol lehet, használjuk a fent bemutatott, bankunk vagy a fintech cégek által nyújtott lehetőségeket!

Egy hasonló támadás esetén a felhasználói nevek és jelszavak is illetéktelenek kezébe kerülhetnek, ezért nem ajánlott több felületen ugyanazt a jelszót használni. Persze két tucat jelszót senki sem tud megjegyezni, erre viszont elérhetők remek jelszókezelő megoldások, melyek titkosítva tárolják a jelszavainkat. Adatszivárgás vagy annak gyanúja esetén ha mégis azonos jelszót használtunk más rendszerben is, azt haladéktalanul cseréljük le.

Frissítés: 2021. augusztus 23. 14:45

Cikkünk megjelenése után néhány perccel érkezett a Carge harmadik hírlevele, amelyből megtudhattuk, hogy a hackerek a cég éles környezetébe szerettek volna bejutni, ami nem sikerült, viszont a teszt környezetbe sikeresen betörtek. A teszt környezetben nem voltak felhasználói adatok, azonban a hackerek találtak egy lehetőséget fizetés indítására. A levont pénz a Carge Stripe fiókjába került, ahonnan valós szolgáltatás hiányában nem is tudták volna tovább utalni.

A biztonsági rést azóta befoltozták. A Carge megtéríti a felhasználók esetlegesen felmerülő költségeit (pl. tranzakciós díjak, új bankkártya gyártásának költsége). Akinek ilyen költsége merült fel, keresse a Carge ügyfélszolgálatát. Ezen kívül fájdalomdíjként augusztus végéig jóváírnak 20 eurót az ügyfelek számláin, ami töltésre használható fel.

Címlapkép: pxfuel

Nincs időd naponta 8-10 hírt elolvasni? Iratkozz fel a heti hírlevelünkre, és mi minden szombat reggel megküldjük azt a 10-12-t, ami az adott héten a legfontosabb, legérdekesebb volt. Feliratkozás »

Elektromos autót használsz?

Szűcs Gábor

2017 óta aktív villanyautós, a Villanyautósok Közösségének oszlopos tagja, a miskolci találkozók szervezője. Környezettudatos családapaként nem csak az autó üzemanyagát, de a háztartás fogyasztását is igyekszik otthon, a háztetőn (áram) és a kertben (zöldség, gyümölcs) megtermelni. Mert nem mindegy, hogy mit eszünk meg és milyen levegőt szívunk be.