A sok megismert és már bemutatott revolutos lopás után ez egy Wise számlával való visszaélés. Minden eddiginél nagyobb csalásról, és minden eddiginél krimiszerűbb esetről van szó.

Amióta hónapokkal ezelőtt Tóth Attila ügyével elindult, majd sok hasonló visszaéléssel dagadni kezdett a Revolut-dosszié, többször leírtam az egyik legfontosabb tanulságot. Banki csalások bárhol és bárkivel megtörténhetnek, de a Revolut, a Wise és a hozzájuk hasonló neobankok különösen kitettek. Nem azért, mert fizikai fiókhálózat nélkül, a virtuális térben működő fintech szolgáltatók, hanem mert globális nagyjátékosok, sokmilliós nemzetközi ügyfélkörrel. A Wise-nak 16 millió ügyfele van világszerte, a Revolutnak 30 millió, ebből nagyjából 1 millió Magyarországon. Remek célpontjaik tehát a szintén globálisan és szervezetten működő kiberbűnözőknek.

Így aztán nem meglepő, hogy az elmúlt hónapokban felbukkant számtalan revolutos csalás mellett Wise-károsultak ügyét is megismerhettem. A „800 ezer forintos” Attila, a „2 milliós” Melinda és a „1,5 milliós” Bonny esetét már részletesen bemutattuk.

Mindegyiküktől euróban és dollárban nagyjából ilyen összegeket loptak el néhány perc leforgása alatt, tudtuk nélkül és tőlük térben távol, a Revolut-számlájukról.Mindhármukat Apple Pay-jel lopták meg, vagyis a csalók az elvileg kifejezetten biztonságos mobiltárcás fizetésekhez szükséges kétfaktoros azonosítást is kijátszották.Egyikük kárát sem térítették még meg. Hiába tettek rendőrségi feljelentést, mentek pénzügyi ombudsmanhoz, litván bankfelügyelethez és persze azonnal panaszt tettek a Revolut megfelelő csatornáin is.Rengeteg idejük és energiájuk ment már rá erre a sztorira, és szándékosan adják nevüket és arcukat is a küzdelemhez, hátha másoknak is segítenek ezzel. Pénz Forbes 1 perc olvasás

A Revolut-dosszié | Eltűnt milliók nyomában

Pénz Zsiborás Gergő 1 perc olvasás

A Revolut csalásmegelőzésre indít kurzust

17 milliós kár

A mostani epizód egy minden eddiginél nagyobb csalásról szól, és minden eddiginél krimiszerűbb jelenetekkel tarkított. Nem Revolut-ügy, hanem Wise-os történet, de mint a bevezetőből kiderül, ez a lényeget tekintve mindegy is.

A különbség az előzőekhez képest annyi, hogy az áldozat most inkognitóban marad. Túl nagy pénzt szippantottak le a számlájáról ahhoz, hogy anyagi helyzetét ország-világ elé tárja. És

nagy különbség az is, hogy neki sikerült visszaszereznie az ellopott pénzt.

Esete álnéven is valós és tanulságos, íme a részletek.

Augusztus 9. 11.30 és 12.00 között

Eszter (használjuk most ezt az álnevet) délelőtt 11.30-kor repülőjegyeket készült vásárolni. Egy nagyobb utazást tervezett, és mivel a K&H netbankja folyton lefagyott, és az ott vezetett bankszámlájához tartozó kártyáját egy technikai gubanc miatt éppen nem tudta használni, elővette a Wise-kártyáját.

Közvetlenül belépett két különböző légitársaság felületére (tehát nem közvetítő oldalakra), és megvette a jegyeket a normál Wise kártyájával (nem virtuális kártyával). E-mailben meg is kapta azokat. A sikeres tranzakciók után kíváncsi volt, hogy milyen pénznemből és milyen árfolyamon vásárolt. Wise-számláján ugyanis forint nem volt, csak dollár és euró, ezért a számítógépéről belépett a Wise fiókjába.

Mivel nagyobb utazásainál Eszter részletesebb költségvetést vezet, 12.03-kor egy képernyőfotót is készített a repjegy vásárlásokról. Gondolta, elteszi, amikor majd nekiül a nagy Excel-táblának, ahol ez lesz közelgő útiköltségeinek első sora. Úgy alakult, hogy a fotó később fontos pillanatképpé merevedett: a lopássorozat előtti utolsó állapotot mutatja.

Augusztus 9. 12.36 és 12.51 között

Eszter telefonján furcsa dolgok kezdtek megjelenni. Mintha push üzenetek jöttek volna – olyasmi jelenség, mint amikor sms-kódok villannak fel például a kétfaktoros azonosításhoz. Több ilyen villanásra lett figyelmes, de mire feloldotta a készülékét, ezek már eltűntek a képernyőről.

Aztán e-mailek kezdtek érkezni gyors egymásutánban arról, hogy a Wise szerint Eszter egy percen belül belépett a fiókjába Spanyolországból, Bulgáriából és kétszer Angliából. Mivel közben Budapesten volt, és nyilvánvalóan nem cikázott másodpercek alatt a kontinens egyik csücskéből a másikba, egyre gyanúsabbnak találta a történteket.

Megint elővette a gépét. Újra belépett a Wise fiókjába, és még éppen látta, hogy suhannak el valahová tízezer eurói (millió forintjai). Ami egy krimiben izgalmas jelenet, az itt elég ijesztő volt. A szeme láttára négy nagyobb adagban összesen 44 700 euró (nagyjából 17 millió forint) tűnt el hirtelen a számlájáról.

Ez volt a négy ellopott tétel – összesen 44 700 euró

Gyorsan kapcsolt, és megpróbálta megváltoztatni a fiókjához tartozó jelszavát. Csakhogy közben a csalók is résen voltak. Addigra kicserélték a fiókhoz tartozó e-mailcímet is, vagyis

Esztert kizárták a saját Wise accountjából.

Ez 12.51-kor történt, amikor is villámgyorsan sikerült felhívnia a Wise ügyfélszolgálatát is, és szinte még a csalással egy időben kérte őket, hogy azonnal állítsák le az összes utalást. Nem tették. Az ügyfélszolgálatos azt mondta, nem tudja megállítani az utalásokat. Nem tud utánamenni a pénznek, nem tudja visszahívni a már elutalt összegeket.

Fiókjához legközelebb augusztus 18-án fért újra hozzá. A tranzakciós listában már nem látta a vitatott tételeket (ezeket a csalók addigra eltüntették). A bankkivonatot lekérve viszont ott volt a négy utalás. Mindegyik esetben – feltehetően hamis – Wise számlákra ment a pénze, majd onnan minden bizonnyal azonnal tovább is utalhatták.

Miért tart valaki 17 milliót a Wise-on?

Adja magát a kérdés, hogy miért tart valaki ekkora összeget egy fintech bank számláján. Mert ez is egy bank – vághatnánk rá. Országa válogatja, hogy elfogadják-e banknak a szabályozók, vagy még küzdenie kell érte, de tény, hogy a Revolut és a Wise is a pénzügyi intézményrendszer szerves részei. Globálisan elfogadott neobankok betétbiztosítással, felügyeleti szervvel, fogyasztóvédelmi és versenyhivatali kötelezettségekkel. Milliók bíznak abban, amit egyébként állítanak, hogy pont ugyanolyan biztonságosak, mint a klasszikus nagybankok.

Mégis jogos a kérdés, hiszen egyre több revolutos és Wise-csalásról hallani világszerte, így nagy pénzeket náluk parkoltatni nem biztos, hogy jó ötlet. Általában Eszter sem tart 17 millió forintot a Wise-on.

Most volt két hét, amikor ennyi pénze feküdt ott, miután lejárt egy eurós állampapír-befektetése, amit a webkincstárból a Wise-ra utalt. Azért oda, hogy aztán azt ott forintra váltsa, egy közelgő ingatlanfelújítást tervezett belőle finanszírozni.

Vagyis semmi rosszat nem csinált: ki akarta használni azt, hogy több bankszámlája van, és az egyikben sokkal jobb árfolyamon, olcsóbban tudja átváltani megtakarítását, mint a másikban. Rajta kívül percenként milliók csinálják ugyanezt a világon, mert a nagybankok teszetoszasága, az ügyetlen felületeik, sok-sok idegesítő körülmény nehezítik és drágítják a hagyományos bankolást.

Csakhogy úgy tűnik, a fintech szolgáltatók csalásmegelőző rendszerein lenne még mit fejleszteni, az ügyfélszolgálatuk pedig minősíthetetlen.

Amíg nincs baj, addig nagyon szerethetők, mihelyst probléma merül fel, használhatatlanok.

A Wise-nál, ha élő embert szeretnénk elérni, a telefonszámot csak munkaidőben lehet hívni, akkor is sokszor húsz percnél hosszabb várakoztatás után veszik fel. E-mailben egy legördülő menüből kiválasztott témában, a belső rendszerből írva lehet csak segítséget kérni, annak, akinek van accountja. Mivel Esztert kizárták a fiókjából, hosszasan nyomozva talált csak címet a help centerhez és a panaszosztályhoz. Ő egyébként a leggyorsabban a Wise Facebook-oldalán, messengeren írt üzeneteire kapott választ. A tipikus eset viszont a robotkommunikáció, a hárítás és a reakció: csakis az ügyfél lehet a hibás.

Kristo Kaarmann, a Wise alapító-vezérigazgatója. Fotó: Orbital Strangers

Mi történhetett?

Eszter arra gyanakszik, hogy amikor közvetlenül a repülőjegyvásárlása után belépett a Wise-fiókjába, akkor egy függönyoldalra, egy kamuoldalra tévedt. Ezek az oldalak ránézésre pont úgy néznek ki, mint a valódi webhely, általában az URL-címükben van minimális, például egyetlen betű eltérés. Viszonylag könnyű beléjük futni légitársaságok, szálláskeresők, utazási irodák, banki oldalak, futárcégek és hasonlók Google-keresésével.

Sokszor például úgy lehet csapdába esni, ha a böngészőbe beírva az oldal tetején sorakozó fizetett hirdetésekre, szponzorált oldalakra kattint valaki, ahelyett, hogy a nem hirdetett, kicsit lejjebb megjelenő weboldalra menne rá. (Ez nem azt jelenti, hogy az adott szolgáltató szponzorált weboldala feltétlenül kamuoldal, de a csalók olykor így álcázzák a függönyoldalt, így pozícionálják még jobb helyre, és teszik még csábítóbbá.)

Elképzelhető tehát, hogy Eszter egy ilyen hamisított Wise oldalra lépve nézte meg az aktuális egyenlegét, a csalók pedig hozzáfértek az elsődleges adataihoz (név, számlaszám stb.).

A repülőjegyvásárlás és a csalássorozat között ilyenformán valószínűleg semmilyen összefüggés nincs. Az egyik egy kártyás vásárlás volt, rendben teljesült is, Eszter indította, és meg is kapta a repülőjegyeit. A másik egy online csalás: valakik meghekkelték a Wise-fiókját, és kamu online utalásokkal gyakorlatilag leürítették a bankszámláját. E szerint a két esemény között csupán időbeli egybeesés van.

Egy másik teória szerint – ezt valószínűsíti inkább Mayer Gellért Levente, kibervédelmi szakértő – Eszter gépe már korábban megfertőződött. A Revolut-dosszié korábbi epizódjaiban előjött már a trójai – financial RAT, azaz financial remote access trojan – szoftverek szerepe. Fertőzött csatolmányok vagy klasszikus adathalász megoldások révén a gépre telepednek, majd türelmesen várnak a legmegfelelőbb pillanatra. Itt például arra, hogy észleljék, amikor a Wise-kártyájával Eszter repülőjegyet vásárolt.

„Lehet, hogy addig nem is tudták, hogy van Wise számlája, de ezek után úgy voltak, hogy hopp, nézzük meg. És mivel látták, hogy épp elég sok pénz is volt rajta, megtámadták”

– feltételezi Levente.

Hogy kerülték ki a kétfaktoros azonosítást?

Csakhogy az elsődleges azonosítók (számlaszámok, cvc kód) megszerzése még kevés ahhoz, hogy átvegyék egy Wise-fiók felett az uralmat. El kell lopni a másodlagos azonosítókat is: sms-kódot, appon belül küldött azonosítást, kijátszani ujjlenyomat- vagy arcfelismerést. Eszter nem sms-azonosítást szokott használni, hanem a Wise applikáción belüli másodlagos azonosítást (maga a Wise egyébként ezt javasolja mint legbiztonságosabb megoldást).

„Az a baj, hogy ezek mindegyike cookieval kijátszható – mondja Mayer Gellért Levente. – Ezért jobb egy független autentikátort, például Google-autentikátort használni a másodlagos azonosításhoz, ha az adott bank ezt megengedi.”

A cookiek, magyarul sütik rajta vannak mindenki számítógépén. Minden alkalommal, ha megnyitunk egy oldalt, beleegyezünk, hogy elfogadjuk a süti beállításokat. A süti egyfelől gyorsítja, egyszerűsíti az életünket, mert megjegyez bizonyos szükséges azonosítókat, amikor egy oldalt visszatérően látogatunk, de kulcselem a virtuális banki csalásoknál is. Ezekkel lehet ugyanis átverni a csalásmegelőző rendszereket, és elhitetni a bankkal, hogy az, aki éppen utalásokat indít, vagy vásárol a neten a kártyával, az nem csaló, hanem a valós számla- és kártyatulajdonos.

Nagyon leegyszerűsítve: amikor először használod például a Wise-t a gépedről, akkor elfogadod a sütibeállításokat, és bepipálod, hogy megbízható számítógép. Amikor a rossz indulatú kémprogram rátelepül a gépedre, az mindent lement, és ellopja a sütiket is, amikhez a gép egyedi azonosítója hozzácsatlakozott. Ezeket a sütiket tudja aztán áttenni egy másik böngészőbe, vagyis mindent fel tud telepíteni úgy egy másik gépre, hogy elhitesse a Wise-zal (vagy Revoluttal), hogy te dolgozol azon a gépen is. Innentől a dupla azonosítás okafogyottá válik, a számítógépet minden extra nélkül megbízhatónak fogja érzékelni.

Nem foglalkozik a geolokációs védelemmel sem, hiába van bekapcsolva.

Ilyenkor hiába mondod az ügyeletes robotnak – jobb esetben az ügyfélszolgálat hús-vér emberének –, hogy hahó, ez nem én voltam, és nem lehettem egyszerre Bulgáriában, Angliában és Spanyolországban, nem hisz a fülének. Legfeljebb azt mondja, majd kivizsgálják. Ahogy Eszter esetében is tették: 10 napon belüli vizsgálatot ígértek.

Hivatalos Wise-üzenetek, amik egy csalás után kifejezetten bosszantóak

Indul a nyomozás

Eszter maga is nyomozásba kezdett. Meglepődött, milyen egyszerűen bukkant például olyan Facebook oldalakra, ahol nagy csomagokban árultak Wise-fiókokat.

„Autentikált, hitelesített adatokat, ahol a szelfis azonosítás is megvolt”

– mondja.

Sokszor egyáltalán nem a dark weben, hanem az úgynevezett clearneten – a mindenki által hozzáférhető oldalakon – működnek a bűnözők, erősíti meg Levente is. Olykor egy ingyenes regisztráció is elég, hogy olyan felületre jusson valaki, ahol aztán lopott bankkártyákat is nagy tételben vásárolhat. Hogy mit kezd velük, az már a következő lépés, de körülbelül ezer euróból a know howt is meg tudja venni hozzá.

A rácsodálkozáson túl Eszter nyilván nem ment tovább ezen a vonalon. Minden hivatalos utat ugyanakkor kimerített annak érdekében, hogy a Wise tényleg kivizsgálja, hogy mi történt, és ő visszakapja a pénzét. Írt levelet a Wise help centerének, a megadott complaint (panaszügyekre fenntartott) címekre, az Action fraud UK-nek, a belga pénzügyi ombudsmannak, a brit pénzügyi ombudsmannak, a brit pénzügyi felügyeletnek (FCA), az európai fogyasztóvédelmi felügyeletnek, és tett feljelentést a magyar rendőrségen. Majd ezeket mind elküldte a Wise-nak is, a nyomásgyakorlás kedvéért.

Adja magát a kérdés, hogy miért nem lehet lenyomozni az ellopott pénzt?

Elvileg le lehetne, látszólag úgy tűnik, ez senkinek nem igazán érdeke, és mindenkinek túl nagy macera.

A meglopott ügyfél hiába tesz rendőrségi feljelentést, az alapján aligha indul minden egyes ügyben egy komplett nemzetközi nyomozás.

A Wise és a Revolut a nála vezetett számlákra rálát, de a csalók pillanatok alatt tovább és még tovább utalják a pénzt, ennek felderítésére megint csak nagy elszántság kell, és hogy a bank is tegyen feljelentést. Minden – számára apró – ügyben nem fog, inkább hárít, mást okol. Vagy ha valaki túl hangosan veri az asztalt, akkor legfeljebb őt kifizeti. Még mindig olcsóbb kárpótolni néhány károsultat, mint minden ügyben eljárni, és főképp még több pénzt ölni a biztonsági fejlesztésekbe.

Vissza is tették, meg nem is

Miközben várta a fejleményeket, Eszter továbbra is levelekkel bombázta az összes létező csatornát. Az ügyfélszolgálatnak négyszer írt (augusztus 9-én, 12-én, 18-án és 23-án). Az adathalász és csalás elleni csoportnak kétszer (augusztus 18-án és 23-án). A panaszirodának szintén kétszer (augusztus 18-án és 23-án). És négyszer háborodott fel a Wise közösségi médiafelületein (augusztus 9-én, 12-én, 18-án és 23-án).

Mindeközben a jogszabályokat is átnyálazta. Abba kapaszkodott, hogy ha valakit meglopnak, és ő ebben vétlen, ráadásul azonnal jelezte is, hogy mi történt, akkor egy uniós jogszabály szerint a banknak egy napon belül kárpótolnia kell az ügyfelet. Erről az EU Payment Services Directive 2 (PSD2) IV. fejezetének 2. bekezdése, és annak 73. pontja rendelkezik. E szerint a jóvá nem hagyott fizetési művelet által keletkezett kárt a banknak a következő munkanap végéig meg kellene térítenie. Ez alól csak akkor mentesül, ha bizonyítja, hogy a jóvá nem hagyott fizetési művelettel összefüggésben keletkezett kárt csalárd módon eljárva, illetve szándékos vagy súlyosan gondatlan magatartásával okozta a károsult.

Nem tudni, hogy a jogszabály, vagy más miatt, de a visszaélés után pár nappal Eszter számláján népmesei fordulat következett be. A Wise mintha visszatette volna a 44 700 eurót, de „manual adjustment” címen azonnal be is fagyasztotta. Minden magyarázat nélkül blokkolta a hozzáférést, a számla egyenlegében sem látszott ez az összeg.

Vissza is tették, meg nem is: manual adjustment, azaz zárolás

Külön cikket is megérhetne a zárolások problémája. Elvileg bármelyik bank indoklás nélkül megteheti, hogy terrorizmus és pénzmosás elleni védekezés címén zárolja bárki számláját, de a Revolut és Wise károsultak Facebook-csoportjában ennek a jelenségnek különösen nagy az irodalma. Ezeket ismerve Eszter kicsit sem nyugodott meg: a zárolást nem tekintette jó jelnek. Nagyon sokan hónapokig küzdenek az egyszer csak szó nélkül zárolt összegek feloldásáért, és vannak, akik hiába.

Panaszlaveleiben tehát ezt is rendre szóvá tette. A válaszok pedig jellemzően abban merültek ki, hogy „folyik a vizsgálat”, „belső vizsgálat van”, „dolgozunk rajta”.

Mitől lett happy end?

Szeptember 21-én reggel Eszter levelet kapott a Wise-tól, amiben az állt, megtérítik az ellopott 44 700 euróját. Egy fordítóprogrammal magyarra áttett levélről van szó, aminek persze örült, de érdemi magyarázatot nem kapott a kérdéseire. A rémesen bugyuta – a nigériai kamu örökösök által írt kamu levelek stílusát idéző – szövegből (lásd a keretes írásban a levél érdemi részét) nem derül ki, hogy valójában mi is történt. Mit vizsgált ki pontosan a Wise, mire jutott, miért adta végül vissza, és miért csak szeptember 21-én adta vissza az ellopott pénzt.

„Kemény menet volt. Nem tudom, hogy aki nem tud angolul, nem jártas a jogban kicsit sem, és nem elég kitartó, az ezt hogy ugorja meg”

– mondja Eszter.

Ő agilis ember. Sok évig volt multis vezető, magas beosztásban, nem riad meg, ha ki kell állni az igazáért. „A kitartás meghálálja magát” – ezt mindenképpen levonta mint következtetést, mint ahogy azt is, hogy a közösségi médiára érzékenyebben reagál a Wise (és jó eséllyel a Revolut is).

Mihelyst nemcsak a hivatalos csatornákon, csendes levelekben panaszkodik az ember, hanem kiveri a balhét a Twitteren (ma már X-en), LinkedInen, Facebookon vagy direkt messenger üzenetekkel nyomasztja a bank különböző vezetőit, akkor valószínűleg előbb célt ér.

A hivatalos válasz

„Kedves X.Y.,

Köszönjük kedves együttműködését és türelmét, amikor befejeztük nyomozásunkat ebben a aggasztó ügyben.

Örömmel erősítem meg, hogy elhatároztuk, hogy megtérítjük az Ön egyenlegén lévő pénzeszközöket az incidens előtt – 44 700 EUR -, mivel látjuk, hogy a kimenő tevékenység nem az Ön cselekedete és szándéka volt. Annak érdekében, hogy visszakaphassuk Önnek a pénzt, visszahelyezzük a Wise számlájára, és hamarosan jóváírjuk.

Ami azt illeti, hogy ez hogyan történt, adataink azt sugallják, hogy a fiókjához való jogosulatlan hozzáférés legvalószínűbb oka az adathalászat volt: valószínűleg egy hamis Wise webhelyre irányították, ahonnan a felhasználónevét, jelszavát és a 2. tényezős hitelesítési kódot vagy az alkalmazás push adathalászatot kapott….

…Sajnáljuk, hogy ez történt.

Az Ön biztonsága a legfontosabb prioritás, és elnézést kérünk az esetleges kellemetlenségekért, amelyeket ez a helyzet okozott. Ha bármilyen kérdése van, vagy további segítségre van szüksége, ne habozzon kapcsolatba lépni ügyfélszolgálatunkkal.”

The post Hogy lophatnak el valakitől 17 millió forintot a Wise számlájáról? És hogy tudja visszaszerezni? Egy eset, ahol végre happy end van appeared first on Forbes.hu.