Adathalászat multi módra
2018. noveberében egy multi online áruházában rendeltem egy karton tejet, és bankkártyával fizettem. Ahogy kell, átirányított egy szép nagy bank online fizetési felületére, ahogy beírtam a bankkártyaadatokat, visszaküldött az online áruházba, ott megdícsértek, milyen ügyesen fizettem, és vártam a szállítást.
Háromszereplős fizetés
A háromszereplős fizetés esetén a kártya adatok megadása a bank által biztosított internetes (böngészős) felületen megy végbe, azaz a webáruház és a vevő által megadott adatokból együttesen állnak elő a tranzakció adatai. Ezen fizetési mód alkalmazásakor a bankkártya adatok biztonságos továbbításáért (a fizetőfelület vevő oldala és a bank között) a bank felel.
- A vásárló kiválasztja a kifizetendő árut, szolgáltatást a webáruház felületén, összeállítja a vásárlói kosarát és kiválasztja a bankkártyás fizetési módot.
- A webáruház alkalmazás az OTP Bank fizetőfelületével áll kapcsolatban. Biztonságos csatornán azonosítja magát a Bank felé és átküldi a tranzakció azonosítóját és összegét.
- Ezzel egy időben a webáruház alkalmazás átirányítja a vásárlót a fizetőfelület banki oldalára. A banki oldal megjeleníti a webáruház nevét és a tranzakció összegét.
- A vásárló a bank felületén, biztonságos környezetben megadja a tranzakció kiegyenlítéséhez szükséges bankkártya adatokat.
- A banki oldalon így már minden adat a rendelkezésére áll a fizetéshez. Végrehajtatja a fizetési tranzakciót, amelynek eredményét közli a webáruház felé.
- A vásárló visszairányításra kerül a webáruház alkalmazás valamely, a webáruház által megadott lapjára.
(Forrás: https://www.otpbank.hu/portal/hu/v7/Kartyaelfogadas/Webshop)
Olyan 5-6 nap múlva (hamarabbra nem lehetett időpontot kiválasztani) hajnalban csipogott a telefonom, a multi ismét leemelt egy szabad szemmel is jól látható összeget a bankkártyámról, így a tej ára hirtelen a másfélszeresére emelkedett.
Néztem az áruház felületén a rendelésösszesítőt: hát, azon is a drágább tej szerepelt, mintha eleve azt rendeltem volna. Azért ez nem kis köcsögség, írják oda, hogy módosítottak. De ez még nem is probléma, ha nem veszem át az árut, potom 30-60 nap alatt jóvá is írják a teljes összeget a bankszámlámon (vagyis megvárják, amíg a foglalás lejár, és jóváíródik).
De azért mocorgott bennem a kérdés: hogy a tökömbe tudták leemelni jó pár nappal később azt az összeget? A zárolt összeget csak lehívni és felszabadítani lehet, módosítani tudtommal nem.
Néztem az adataimat, ott szerepel a bankkártyám az általam megadott megnevezéssel, és tartozik hozzá egy USER 99999T999999999999 alakú azonosító is (ahol a 9 különböző számokat jelent). Vajon ez mi lehet? Nézzük az ÁSZF-et.
A kártyás fizetésről
Az OTP Bank által nyújtott biztonságos bankkártyás fizetését alkalmazó webáruházakban ún. háromszereplős (webáruház-vásárló-bank) eljárással történik a tranzakció. A biztonságot a vásárlótól bekérendő adatok szétválasztása alapozza meg. Ennek jellemzője, hogy a tranzakciót minden esetben a vásárló kezdeményezi a webáruház oldaláról, melyen a megrendeléssel kapcsolatos információkat adja meg, a fizetéshez szükséges kártyaadatokat pedig kizárólag a bank tanúsítvánnyal ellátott, titkosítással rendelkező biztonságos fizetőoldalán adja meg. Az OTP bank fizetőoldal adattartalmáról a kereskedő nem szerez tudomást, mivel az tőle független és védett internetes oldal. A fizetés befejeztével a vásárló visszatér a kereskedő honlapjára, ahol a kereskedő a vásárlás eredményét jeleníti meg. Háromszereplős eljárással történő fizetés során a vásárló minden egyes alkalommal átkerül a bank fizetőoldalára. Abban az esetben, ha a webáruház üzemeltetője a rendelés összekészítése során a vásárló eredeti rendeléséhez „Helyettesítő terméket” tesz és a kosár értéke meghaladja az eredeti rendelés vásárlási értékét, a különbözet automatikusan zárolásra kerül. Ennek feloldása a rendelés átvételekor történik abban az esetben, ha a vásárló „Helyettesítő terméket” visszautasítja.
Fizetés lépései
- Ön a webáruház oldalán választja ki az árut/szolgáltatás, melynek összegét bankkártyás fizetéssel kívánja teljesíteni.
- Ezt követően Ön átkerül az OTP Bank biztonságos fizetést garantáló oldalára, ahol a fizetés megkezdéséhez kártyaadatait szükséges kitöltenie.
- A kártyaadatok megadását követően a Fizetés gombra kattintva indíthatja el a tranzakciót.
- A fizetést követően Ön visszatér a webáruház oldalára, ahol a tranzakció eredményéről kap visszaigazolást
A sikeres tranzakciót követően – ez a bankkártya érvényessége és a fedezet ellenőrzése utáni engedélyezést jelenti –, az OTP Bank elindítja a vásárló kártyájának megterhelését az áru vagy szolgáltatás ellenértékével.
(Forrás: https://online.auchan.hu/faq#a-kartyas-fizetesrol-37)
Azaz hivatalosan semmi, átküld a banki oldalra, ott bepötyögöm a kártya adatait, és csókolom. Nézzük csak tovább a bank oldalát...
Fizetés banki regisztrációval
A „klasszikus” háromszereplős fizetéshez képest a fizetés banki regisztrációval új szolgáltatás, melynek első lépésében a fizetés a szokott, háromszereplős módon történik, de a vásárló kártya adatai regisztrálásra kerülnek a banki rendszerben, valamint összerendelésre kerül egy egyedi azonosítóval. A további fizetéseket a vásárló a kártya adatok megadása nélkül, csak az ügyfél azonosítóra hivatkozva tudja kezdeményezni.
A vásárlónak lehetősége van megváltoztatni a bankkártya adatait (pl. ha lecseréli a kártyáját és új bankkártya számot kap), ennek érdekében egy külön böngészős felület áll rendelkezésére a banki rendszerben. A felület biztonságos kommunikációs csatornát használ. A bankkártya-adatokat a vásárló jelszavas hozzáférés védelmen keresztül tudja lekérdezni, módosítani.
(Forrás: https://www.otpbank.hu/portal/hu/v7/Kartyaelfogadas/Webshop)
Azaz, a bank oldalán regisztrálni tudom a kártyámat, és legközelebb már nem kell bepötyögni a kártya adatait, hanem bejelentkezek, és máris ott vannak. Attól most tekintsünk el, hogy a bankkártya adatai fel vannak írva a kártyán, a user/pass meg nem, és nem is nagyon illik felírni. :)
Tehát ott tartunk, hogy a bank oldalán tudom regisztrálni a kártyámat, és attól kezdve elég a regisztrációs adat, nem kell a kártya a fizetéshez.
Ennek fényében nézzük csak meg, hogy mi is az a USER 99999T999999999999 az adataim között? Amihez fizetéskor még a kártyám utolsó négy számjegyét is bekérték? Amivel az áruház le tud tőlem venni pénzt?
A webáruház ÁSZF-ében úgy hirtelen találtam azért ellentmondásokat:
A fizetés során beírt adatokat az Auchan Magyarország Kft. nem tárolja, azokat az adott fizetéskezelő cég kezeli és a pénzügyi szolgáltatók adatvédelmi rendelkezései vonatkoznak ezekre az adatokra.
Amennyiben a Fogyasztó módosítja a rendelést, úgy a korábbi és a módosított rendelés összegének különbözete szintén zárolásra kerül kártyaszámláján. Erről ismét e-mail értesítést kap.
(Forrás: https://online.auchan.hu/cms/altalanos-szerzodesi-feltetelek.t.4?m=8)
A nem tárolja és a szintén zárolásra kerül között feszül némi ellentmondás, hiszen ha nem tárolja,a kártyaadatokat, akkor hogyan zárolja a különbözetet? A szálloda- és bérautófoglalásnál nagyobb összeget zárol, és annyit vagy kevesebbet von le, ebben az esetben két külön tranzakciószámmal, két különböző összeg foglalása és leemelése történt meg, különböző időpontokban.
Azonnal felmerül a gyanú, hogy a webáruház oldalán látható USER kezdetű azonosító a bank oldalán történő regisztráció azonosítója lehet, és a webáruház azért kéri be a kártya utolsó négy számjegyét, mert ehhez szüksége lehet rá. Ebben az esetben az áruház a nevemben regisztrálta a kártyámat, a regisztrációs adat neki megvan, így a kártyaadatokkal egyenértékű információja van, amellyel bármikor bármilyen összeget le tud emelni. Mindezt úgy, hogy jogilag nem ismeri a kártyám számát és egyéb adatait sem.
De ne feltételezzünk rosszindulatot. Mi van, ha feltörik a rendszerüket, és több tízezer kártyaazonosítóhoz jutnak hozzá, amellyel kisebb technikai varázslással (olyan webáruházat kell csinálni, amelyik ugyanazzal a bankkal van szerződésben) jelentős összeget lehet leemelni, percek alatt?
Vagy mi van, ha valaki csinál egy webáruházat, szintén ezzel a bankkal szerződve kártyás fizetésre, mondjuk elkezd kínai elektronikai cuccokat árulni beszerzési áron (ami a magyarországi ár fele-harmada), pillanatok alatt lesz 20-30 ezer valid, használható, ellenőrzött kártyahozzáférése, csupán egy éjszaka el kell kezdeni kirámolni őket, reggelre el is lehet tűnni, pár száz millióval a zsebben.
Kíváncsi vagyok, mint szól a bank biztonsági apparátusa (már tudnak róla). Az áruház ugyanis egy hónap alatt nem volt képes válaszolni a kérdésemre. Majd esetleg a NAIH is feltesz kérdéseket, vagy talán a rendőrség is...
Érdekelnének a válaszok.