Így lopják el a bankkártyádat és használják fel

Rengeteg csalás létezik, temérdek módszer arra, hogy a csalók ellopják a pénzünket, de hogyan dolgoznak?

Utánajártunk, hogy hogyan lopják el az adatainkat, hogyan értékesítik és végül, hogyan használják fel kártya adatainkat úgy, hogy ne bukjanak le. Jó pár napot foglalkoztam vele, bejártam az internet fekete bugyrait, ahol tízezresével lehet venni kártyaadatokat, természetesen a Dark webet is meglátogattuk, ahol nemcsak adatokat árulnak, hanem konkrét könyveket, amikben le vannak írva részletesen a módszerek. Mindezek után azt kell mondjam nem csodálom, hogy ennyi embert vernek át és utána tehetetlenek, néhány módszer annyira összetett, hogy szinte lehetetlen kideríteni pontosan ki rabolt ki.

Próbálom a cikket úgy írni, hogy konkrét szoftvert, weboldalt, szolgáltatást ne említsek, hogy azért ötletet ne adjunk újonc bűnözőknek, de azért lássuk, hogy mivel állunk szemben. A millió csalások közül mi most csak a bank és hitelkártyákra fogunk fókuszálni. Az első lépés az adatok megszerzésével kezdődik. Mielőtt végig megyünk a folyamaton tudni kell, hogy legtöbbször más-más személy végzi a munkafolyamatokat. Tehát van egy ember aki ellopja az adatokat, majd ezt eladja, van aki megveszi, felhasználja és vannak csoportok, akik egybe viszik az egészet, de ez a ritkább. Az adattolvajoknak sokkal biztonságosabb eladni valahol a megszerzett adatokat, mint utána még azzal vásárolgatni. Nem egyszerű ugyanis a megszerzett kártyákat úgy felhasználni, hogy ne tiltsa le azonnal a bank vagy kártyakibocsátó, illetve ne bukjanak le. A bankok nagyon komoly intézkedéseket tesznek a csalók ellen, de gyakorlatilag teljesen hatástalan, a bűnözők mindig két lépéssel előrébb járnak.

Adatok beszerzése

Mint említettem többféle módja van az adatok megszerzésének, természetesen a legfontosabb a kártya adatok, ami a kártyaszám, lejárati dátum és a CVV (háromjegyű biztonsági szám a kártya hátoldalán), no meg persze a kártyán szereplő név. 

A vásárlók viszont jobban szeretik ha sokkal több információ áll a rendelkezésükre, mint például pontos cím, telefonszám ,email cím, életkor és így tovább. Ezek a "csomagok" többet is érnek, de úgy általánosan elmondható, hogy 5 és 15 dollár között mozog egy kártya. 

Térjünk vissza akkor az adatlopásra. A legfőbb három módszer az adatbázisok feltörése, adathalászat és a fizikai lopás az ATM-ből.

Adatbázisok feltörése

Sokszor kerülnek ki úgy kártyaadatok, hogy mi nem tehetünk semmit és nem is vagyunk hibásak, vásároltunk egy webáruházban, ami bénán, titkosítás nélkül tárolták a kártyaadatainkat és persze minden személyes adatunkat is. Jön egy hacker (vagy nem hacker) valahogy bejut az adatbázisba, lementi az adatokat meglátja, hogy vannak közte kártyaadatok és eladja egy az egyben a feketepiacon. Ebben az esetben a webáruházat üzemeltető cég a hibás, mert ha titkosítva tárolta volna az adatokat akkor nem nagyon tudott volna a hacker barátunk mit kezdeni az adatokkal. 

Adathalászat

Az adathalászat az a módszer, amit mindenki ismer és biztos vagyok benne, hogy mindenki bele is futott már egy-kétszer. Ennek rengeteg fajtája van, mostanában az Eon meg a Telekom nevében küldözgetnek egész szép leveleket, hogy az illetőnek tartozása van szíveskedjen kifizetni. A jó polgár megnézi látja, hogy ja tartozik majd kifizet, megadja minden adatát beleértve a kártyaadatait is, ezután a támadó fogja és szintén eladja áldozatai adatait. 

Az adathalászat ma már olyan profin megy, hogy megkülönböztethetetlen az eredeti oldal és a csaló weboldal. Így lopják el egyébként a legtöbb kártyát. Tehát az emberek önszántukból adják át őket a bűnözőknek. Vannak jelek, melyekből persze észre lehet venni, hogy egy adathalász oldallal van dolgunk, de legtöbbször így is 20-30 százalékos sikerrátával működnek, ami elég magas.

Fizikai lopás

Itt természetesen nem arra gondolok, hogy jön valaki és kikapja a kezedből a bankkártyádat, kicsit feltűnő lenne és hasztalan. Biztos hallottál vagy láttál már skimmerekről, ezek olyan eszközök, amiket felszerelnek az ATM automatákra és észrevétlenül ellopják az adatokat. 

Magyarországon is volt nem egy ilyen eset. Ezeket az eszközöket nehéz észrevenni, főleg azért mert nem feltűnőek, úgy néznek ki , mint az automata eredeti elemei, másrészt pedig az emberek nem szokták alaposabban átvizsgálni ezeket a gépeket mielőtt beleteszik a kártyájukat. A PIN kódot is simán ellopják, felszerelnek az eredeti számlap felé egy másodikat, így visznek mindent.

Mielőtt azt hinnéd, hogy ilyen eszközöket nehéz beszerezni nem, nem nehéz még csak  sötét webig sem kell elmenni, simán a Google-ben rákeresve ezer ilyet találni. 

Több ilyen eszköz is létezik, sőt ha ez nem lett volna elég van POS terminál is.

Végtelen kombinációja létezik tehát ezeknek a szerkezeteknek, azonban még itt is tudunk kétféle típusba sorolni. Vannak az offline készülékek, amik nem tudják azonnal elküldeni a leolvasott adatokat, hanem le kell szerelni majd utána lehet lementeni, illetve vannak azok a modellek, amik hálózaton keresztül azonnal küldik az adatokat.

Tehát ha ellopták a bankkártyád akkor valószínűleg a fent említett módszerek egyikét használták és ebből kétszer igazából te voltál a hibás. Ja és ne feledjük most, hogy mindenhol mindenki maszkot hord, senkinek sem lesz feltűnő egy maszkos személy, aki az ATM-nél matat. Az egyik ezzel foglalkozó blogon volt is egy bejegyzés, hogy ez a helyzet a bűnözőknek maga a paradicsom. 

Amikor adatbázisból lopnak el több száz, ezer, tízezer vagy akár millió kártyaadatot akkor előfordulhat, hogy ebbe az egész üzleti folyamatba beékelődik még egy személy, ugyanis a hacker szeretne gyorsan megszabadulni egyben az egész pakktól, ezért olcsóbban eladja egy értékesítőnek. Ez az értékesítő pedig vagy kisebb csomagokban árulja tovább vagy egyesével adja el. 

Nézzük  akkor a következő részt az adatok eladását.

Kártyaadatok eladása és vásárlása

Bődületesen nagy piaca van a kártya és hitelkártya adatoknak, éppen ezért szarásig van az internet ezzel foglalkozó weboldalakkal. Teszem hozzá, hogy aki bankkártyát akar vásárolni szintén nem kell a sötét webre mennie a "normál" neten is van bőven hely. 

Ezekre az oldalakra fórumokra vagy piacterekre általában ingyenes a regisztráció, ahol csak egy felhasználónevet és egy jelszót kérnek. Fizetni csakis kriptovalutával tudunk, legtöbbször Bitcoin-nal, Ethereum-mal vagy Moneroval-val. A normális helyek amúgy korrektek, tehát ha nem működik egy kártya vagy bármi gáz van vele akkor visszaadják a pénzt vagy kapsz egy másikat. A keresőben tudunk szűrni BIN számsorra, városra, megyére, irányítószámra, országra, no meg persze kártyatípusra. 

A BIN számsor nagyon fontos adat a tolvajok számára, ugyanis rengeteg információt rejt. A BIN azaz Bank Identification Number ez a kártyaszám első 4-6 számjegye. Ez a számkészlet azonosítja a kártyát kibocsátó intézményt, és kulcsfontosságú a tranzakciók és a kártya kibocsátója közötti párosítás folyamatában. Természetesen rákerestem a magyar kártyákra, az adott piactéren , több mint 3000 magyar bank/hitelkártyát árultak.

Mint látható a képen, szinte minden adat megvan, amire a továbbiakban szüksége lehet a csalóknak. Vannak fórumok is, ahol szintén adják/veszik az adatokat, de emellett hasznos tanácsokat és leírásokat adnak egymásnak vagy árulnak, arról hogyan lehet ellopni a kártyákat, vagy éppen a megvásárolt adatokkal hogyan lehet vásárolni.


Ha megnézzük a dátumokat, elég frissek, folyamatos a kommunikáció. A képet nézve több ismeretlen fogalom is lehet, ezeket most nem tárgyaljuk meg ha lesz rá igény mélyebben is belemegyünk.

Nem csak konkrét kártya adatokat árulnak, hanem banki belépéseket, Paypal fiókokat és egyéb finomságokat is. Térjünk rá a következő fejezetre, hogy a lopott adatokból hogyan lesz haszon. 

Kártyák felhasználása

Tegyük fel, hogy veszek egy kártyát 10 dollárért, mit tudok vele csinálni? Több akadály is van, amit a bűnözőknek le kell küzdeniük ott vannak a bankok és a kártyakibocsátok rendszerei,  melyek folyamatosan monitorozzák és ellenőrzik a kártyahasználatokat és ha nem jól csináljuk a dolgokat akkor hamar beriaszt a csalás elleni védelem. Amennyiben ezen túljutunk ott van a másik probléma, hogyha vásárolunk az adott kártyával akkor 50-50 az esély rá, hogy az illető kap a vásárlásról valamilyen értesítést (SMS vagy App). Majd ezután fennáll még egy utolsó gond a névtelenség. Elég nehéz úgy névtelennek maradni, hogy meg kell adni a lakcímünket, ahova a csomagok szállítják. Na de ne ugorjunk ennyire előre.

Mint említettem a bankok és kártyakibocsátók folyamatosan ellenőrzik a kártyahasználatot, így először ezt kell megkerülni. Itt jön képbe és itt van szerepe nagyon a kártyához tartozó egyéb adatoknak, tehát, hogy az áldozat hol lakik, milyen szoftvereket használ és így tovább. 

Nézzünk meg egy esetet, itt vagyunk Magyarországon, veszünk egy Londonban ellopott kártyát majd ezt felhasználjuk. Minden kártyahasználat kap egy úgynevezett Fraud Score-t azaz csalási pontszámot. Ez általában 0-1000 között mozog, amennyiben tegnap Londonban használták a kártyát ma pedig te Budapestről megpróbálod használni valószínűleg gyanús lesz, ahogy az is gyanús lehet, hogy hirtelen valami nagy összegű terméket vásárolsz ettől rögtön kiakad a Fraud score. Pont ezért a bűnözők megnézik, hogy melyik városban volt ellopva  a kártya majd keresnek egy közeli proxy-t vagy RDP-s gépet rájelentkeznek, mintha ugyanabban a városban lennének majd vásárolnak valamit , ami nem túl nagy összegű. 

Azt tudni kell, hogy az Amazon, Ebay, Walmart és társai rendelkeznek a leggyengébb védelemmel, legtöbbször innen szoktak rendelni a bűnözők.

Az utolsó probléma, amit említettem az az, hogy hova rendeljék a csomagokat, erre is rengeteg megoldásuk van,  viszont ezt nem részletezném, ugyanis ezt itthon Jófogásos csalásra is tökéletesen lehetne alkalmazni. 

Persze a vásárlás csak az egyik módszer, hogy valahogyan kézzel fogható hasznot hajtsanak maguknak, több száz módszer van arra, hogy teremtsenek pénzt az ellopott adatokból. Még egy példát megnézünk a felhasználásra, aztán rátérünk arra, hogy milyen eszközöket használnak.

Előszeretettel használják a a pénz tisztára mosására a kaszinókat, fogják befizetik a pénzt, aztán amit nyernek azt kiveszik. Ez a ritkább eset mert, nem azért dolgoztak, hogy egy kaszinóban eljátszák a pénzüket. Vannak póker oldalak, ahova beülhetünk majd pénzért játszhatunk és a nyertes viszi a lóvét. A módszer lényege, hogy a bűnöző barátunk ugyanannál a pókerezőnél készít egy valid fiókot a saját adataival befizet valamennyi pénzt, ami kell a játékhoz, majd ezután regisztrál egy teljesen anonim lenyomozhatatlan fiókot és erre fizet be a lopott kártyával. Ezután szerintem sejthető mi fog történni, játszik maga ellen majd veszít, így gyanú nélkül viheti ki a pénzt.

Ahhoz, hogy ezek a műveletek végrehajthatóak legyenek szükség van bizonyos eszközökre, szolgáltatásokra szoftverekre és nem árt ha jártasak vagyunk valamennyire az informatikában. A támadások során csomó fiókot regisztrálnak maguknak a csalók, legyen az online pénztárca, tárhely szolgáltató vagy egy email cím. Sehol sem adhatnak meg valódi adatokat, illetve folyamatosan el kell rejteniük magukat a hálózaton. Ehhez VPN-t, proxy-kat, RDP-ket és a TOR hálózatot használják. Eldobható email címekkel és ideiglenes telefonszámokkal dolgoznak, azonban vannak helyek, ahol megkövetelik, hogy valamilyen okmánnyal igazold magad, tehát fel kell tölteni valamelyik okmányos elülső és hátsó felét. 

Egy átlag ember azt gondolhatná, hogy ez komoly akadály, de nagyjából 2 perc alatt ás 10 dollár elköltésével vehetünk ilyen képet, amit lazán fel lehet tölteni és meg is van az ellenőrzés. Ezt amúgy felismerték ezek a cégek is ezért elkezdtek alkalmazni egy új módszert, ami arról szól, hogy webkamera vagy az okostelefonunk segítségével pár másodpercig egy körben forgatnunk kell a fejünket, több irányban megmutatni, így tudja ellenőrizni a szoftver, hogy tényleg mi szereplünk  a feltöltött okmányon. Mondanom se kell, hogy erre is volt leírás, hogy hogyan lehet egyszerűen kijátszani. 




A legfőbb forrásom egy 95 oldalas PDF könyv volt, ami pontosan leírta, hogy hogyan kell ellopni majd felhasználni kártyaadatokat. A könyv végén egy rakat link volt megtalálható, amiben szerepeltek információszerzésre használható weboldalak, webáruházak listája, ahol biztonságosan lehet vásárolni, RDP szolgáltatók, proxy listák, ezzel foglalkozó piacterek, áruházak és fórumok, BIN checker, CVV/CC checker, VPN szolgáltatók és biztonságos kommunikációs platformok. 


A cikk lényege elsősorban az lett volna, hogy bemutassam, hogy mekkora piaca van a bank és hitelkártya adatoknak és hogy ténylegesen hogyan dolgoznak ezek a bűnözők, ugyanis rengeteg embernek fogalma sincs róla, hogy mi zajlik körülötte. Érdemes tehát ennek tekintetében körültekintőnek lenni és odafigyelni a részletekre.

(***) Több, mint 2000 kriptovaluta árfolyam élőben (***)