Mindennapossá és elterjedtté vált az internetes vásárlás, s vele együtt az online fizetés, amelynek során a kiszemelt termék vagy szolgáltatás ellenértékét hitel- vagy bankkártyával egyenlítjük ki. Az internetes pénzügyi csalásokról és adatlopásokról szóló hírek miatt azonban sokan még mindig ódzkodnak attól, hogy bankkártyájukkal fizessenek a világhálón. Míg személyes fizetéskor fizikailag is prezentálni kell a kártyát, meg kell adni a hozzá tartozó PIN-kódot és esetenként a személyazonosságot is igazolni kell, addig online vásárláskor elegendő a kártyaadatok bepötyögése egy webes űrlapon. Ráadásul mióta a bankkártyákat chippel látták el, tovább nőtt a kiskereskedelmi fizető (POS-) terminálokkal lebonyolított vásárlások biztonsága. A brit EMV Connection adatai szerint az Egyesült Királyságban a kiskereskedők kártyacsalásokból származó veszteségei 67 százalékkal csökkentek 2004 óta, míg az elveszett és ellopott kártyákkal elkövetett csalások száma a chippel ellátott kártyák bevezetése után öt évvel 58 százalékkal esett vissza.
Így nem csoda, hogy a kiberbűnözők egyre inkább jogosulatlan card-not-present (CNP) online tranzakciók útján igyekeznek megcsapolni a kártyatulajdonosok bankszámláját. A Javelin Strategy & Research piackutató cég előrejelzése szerint 2018-ban a CNP-csalások száma a négyszerese lesz a POS-terminálok meghackelésével elkövetett incidensekének.
Védekezés a szolgáltatási oldalon
Több lehetőségük is van az online kereskedőknek a lopott bankkártya-adatokkal próbálkozó csalók, a gyanús fizetések kiszűrésére. Így például a vásárlók regisztrációjakor a kártyaadatokon (kártyaszám, lejárati dátum, biztonsági kód) kívül kérhetik az ügyfél nevét, címét, telefonszámát, valamint email-címét, amelyre levelet küldenek, benne a regisztráció befejezéséhez szükséges megerősítő kóddal vagy hivatkozással. Mindez a vásárlók érdekében is történik, azonban a hosszadalmas procedúra sokakat elriaszt, mivel úgy vélik, hogy az egész művelet célja nem más, mint minél több róluk szóló adat begyűjtése. Nyilván részben erről is szó van, ugyanakkor egy űrlap hosszadalmas kitöltése, az e-mailes megerősítés a bűnözőket is elriaszthatja, akik inkább az ilyesmit nem kérő online kereskedők weboldalain próbálkoznak a feketepiacon olcsón beszerezhető bankkártya-adatokkal.
Az online kereskedők a cím birtokában adategyeztetést is végezhetnek, melynek során összevetik a vásárló által az űrlapon megadott címet a bankkártyát kiadó szervezet által nyilvántartott címmel. Ez még nem jelent különösen hatékony védelmet, mivel nem igazán nehéz megszerezni valakinek a címét, és az adatlopási incidensek során sok esetben a kártyaadatok mellett a vásárlók további személyes információihoz - így a címéhez is - hozzájutnak a hackerek éppen a kereskedőcégek gondosan kialakított ügyfél-adatbázisaiból. Mondanunk sem kell tehát, hogy a csalások megelőzése érdekében mennyire fontos minden érintett szervezet számára az ügyféladatok biztonságos, titkosított tárolása és a kibertámadásoktól való megvédése.
Egy további óvintézkedés a bankkártyákra ráírt CVV- (card verification value) szám kérése a pénzügyi tranzakcióknál, amely a Visa és MasterCard rendszerű bankkártyáknál három-, az American Express rendszerű plasztiklapoknál pedig négyjegyű. A CSC (card security code) és CVV2 néven is emlegetett szám ismerete annak a bizonyítéka, hogy valóban rendelkezünk a kártyával, amikor az online fizetést kezdeményezzük. A CVV nem tévesztendő össze a PIN-kóddal. Csakhogy sok esetben ehhez az azonosítóhoz is hozzá lehet jutni az interneten.
Itt jegyzendő meg, hogy a nagy online kereskedők (például az Amazon és az eBay) a lehető leghatékonyabb védelemmel rendelkeznek az online vásárlási csalásokkal szemben, és tudják ezt a mindig a könnyebb ellenállás irányában nyomuló kiberbűnözők is. Ezért a lopott kártya- és ügyféladatokkal főként a kisebb vállalkozásoknál próbálkoznak, amelyek nagy valószínűséggel sokkal sebezhetőbbek az online fizetéseknél. Igaz, számukra kiváló megoldást jelent egy fejlett csalásmegelőzési rendszerrel rendelkező fizetési szolgáltató, például a PayPal igénybevétele némi tranzakciós díj fejében.
A sokkal fejlettebb biztonsági intézkedések közé tartozik az ügyfél viselkedésének monitorozása. Normál esetben a tipikus vásárló hosszasan nézegeti a webáruház kínálatát, kiválasztja a neki tetsző terméket, majd kezdeményezi a fizetést. Gyanús tevékenységre, esetleg automatizált rendszer használatára utal, ha az ügyfél gyorsan választ terméket, majd azonnal a fizetési oldalra megy.
A nagyobb e-kereskedők figyelik, mely IP-címről érkeznek a látogatók és hol tartózkodnak. Gyanússá tehet egy vásárlást, ha valaki egy Argentínában kiadott hitelkártyával egy ukrajnai IP-címről kezdeményez fizetést. Hasonlóan furcsának találhatja a védelmi rendszer, ha a vásárló egy, a korábbitól eltérő IP-címről kísérel meg fizetni (ami adatainak az ellopására utalhat), avagy egy másik országba kéri kiszállítani a megrendelt és kifizetett terméket. Nem éppen bizalomgerjesztő az sem, ha a vásárlást egy, az anonimitást biztosító VPN szolgáltatáson vagy a Tor-hálózaton keresztül bonyolítják le, hiszen miért titkolná valaki a valódi tartózkodási helyét, amikor online fizetést kezdeményez.
Így védekezhetnek a vásárlók
Természetesen a vevők is sokat tehetnek az online fizetési csalások számának csökkentése érdekében. Alapszabályként érdemes elfogadni, hogy csak olyan helyen fizessünk bankkártyával, ahol ezt korábban már problémamentesen megtettük. Minthogy azonban mindenhol van egy első alkalom, ezért az új helyek esetében mindenekelőtt azt kell megállapítanunk, megbízható-e a webáruház vagy szolgáltató, amelynél vásárolni szeretnénk. Ezért érdemes gondosan megvizsgálnunk a kereskedő cég weboldalán, hogy az áruház mennyi ideje működik, milyen színvonalúak a szöveges tartalmak és a dizájn, a termékekhez tartozik-e részletes ismertető, feltüntetik-e a cég székhelyét és email-címét, van-e vonalas telefonszámuk, megtalálhatók-e az oldalon a szerződési, fizetési és szállítási feltételek. A gyenge kialakítás, valamint a felsoroltak hiánya gyanúra adhatnak okot.
Közismert, nagy kereskedőcégek esetében a vizsgálatnak arra kell kiterjednie, valóban az illető cég weboldalát látogattuk-e meg, nem pedig egy kiberbűnözők által készített, az eredetire a megszólalásig hasonlító utánzatot.
Következik annak ellenőrzése, hogy a webhellyel - különösen a fizetési oldallal - való kommunikáció titkosított-e. A titkosításra utal, hogy a webcím a https előtaggal kezdődik, a cím mezőben egy kis lakat ikon látható (erre kattintva megtekinthető a weboldal biztonsági tanúsítványa), továbbá a böngésző címmezője vagy a webhely neve zöld színűvé válik.
Fizetéskor győződjünk meg arról, hogy a kereskedő által elfogadott bankkártyák logóját feltüntetik-e az oldalon, és az itt látható logó pontosan ugyanúgy néz-e ki, mint a saját kártyánkon lévő. Megerősítés előtt alaposan ellenőrizzük a fizetés összes adatát, a művelet után pedig mindig jelentkezzünk ki a weboldalról. Mentsük el elektronikus formában, majd nyomtassuk ki a megrendelést, annak visszaigazolását, valamint a fizetéskor megadott adatokat, és gondosan őrizzük meg a dokumentumokat.
A fizetés után ellenőrizzük bankszámlánk egyenlegét online vagy a bank által küldött elszámolási értesítőn. Az ellenőrzést egyébként is rendszeresen tegyük meg, hogy fény derüljön a nem általunk kezdeményezett tranzakciókra. Ha magánszemélytől vásárolunk, mindig használjunk biztonságos fizetési szolgáltatót, ne utaljunk pénzt közvetlenül az illető bankszámlájára.
Feltétlenül megemlítendő még, hogy online pénzügyi tranzakciónk védelme érdekében használjunk megbízható fejlesztőtől származó internetes biztonsági megoldást, amely többek között megakadályozza, hogy megfertőzze számítógépünket egy pénzügyi adatok ellopására készített rosszindulatú program.
A fokozott védelemre vágyóknak érdemes a kifejezetten az internetes fizetések biztonságossá tételére és az online tranzakciók kiegyenlítésére kifejlesztett úgynevezett virtuális bankkártyát igényelniük pénzintézetüktől.