A mobilfizetés robbanásszerű terjedésével a kiberbűnözők fókusza is átalakult: jó ideje már nem pusztán rendszereket próbálnak feltörni, hanem közvetlen pénzügyi hasznot keresnek. Ennek kapcsán az Apple Pay körüli visszaélések számának növekedésére figyelmeztet az ESET, az Erste Bank pedig új, valós idejű hívásazonosító védelmet vezetett be az ennél szélesebb körű pénzügyi csalások visszaszorítására.
Ahol pénz van, ott megjelennek a csalók is
A digitális fizetések térnyerése világszerte igen látványos: a mobilpénztárcák, köztük az Apple Pay, ma már a három legnépszerűbb pénzügyi alkalmazás közé tartoznak. A növekedéssel azonban együtt jár a kockázat is, ami a magyar felhasználókat is érintheti.
Az ESET szakértői szerint a támadások jelentős része már nem technológiai sebezhetőségekre épít, hanem az embereket célozza. A pszichológiai manipuláció – azaz a social engineering – lett a fő fegyver.
A trend egyértelmű: a kiberbűnözők egyre inkább közvetlen pénzszerzésre hajtanak, nem pusztán látványos támadásokkal demonstrálják képességeiket.
Ezek most a leggyakoribb Apple Pay-csalások
Az Apple Pay elleni visszaélések többféle formában jelennek meg, de a cél minden esetben ugyanaz: pénz vagy érzékeny adatok megszerzése.
A leggyakoribb módszerek:
Adathalászat(phishing)
A csalók SMS-ben, e-mailben vagy telefonon keresik meg az áldozatot. Azt állítják például, hogy ellenőrizni kell az adatokat, visszatérítés jár, vagy probléma merült fel az Apple Pay-fiókkal. A mellékelt link egy hamis oldalra vezet, ahol bankkártya-adatokat vagy belépési adatokat kérnek. Gyakori, hogy a csalók a bank által küldött egyszeri megerősítő kódot is megszerzik, így saját digitális pénztárcájukba tudják hozzáadni az áldozat kártyáját.
Online piacteres csalás
A csaló egy online piactéren vásárolna egy nagy értékű terméket, és Apple Pay-jel fizet – csakhogy lopott bankkártyával. Amikor a valódi kártyatulajdonos vitatja a tranzakciót, az eladó kénytelen visszafizetni az összeget, miközben a termék már a csalónál van.
Túlfizetéses csalás
A csaló többet utal, mint amennyiben megállapodtak, majd visszakéri a különbözetet egy másik fizetési alkalmazáson keresztül. Később kiderül, hogy az eredeti fizetés lopott kártyával történt – így az eladó a terméket, a termék elutalt díját és a visszautalt pénzt is elveszíti.
Kéretlen fizetés
Az áldozat váratlanul pénzt kap Apple Pay-en keresztül, majd a küldő arra kéri, hogy utalja vissza egy másik módon, például ajándékkártyával vagy más alkalmazáson keresztül. Később a bank visszavonja az eredeti tranzakciót, így az áldozat mínuszban marad.
Hamis fizetési bizonylat
A csaló egy képernyőfotót küld arról, hogy Apple Pay-jel fizetett, és azt állítja, hogy az összeg „függőben van”, vagy csak a csomag feladását követően kerül jóváírásra. Valójában az Apple Pay nem használ ilyen letéti rendszert, így a fizetés valójában meg sem történt.
Nyilvános Wi-Fi-n végrehajtott támadás
Egyes támadók hamis – ikerhálózati, úgynevezett „evil twin” – Wi-Fi hálózatot hoznak létre például kávézókban vagy repülőtereken. A felhasználó forgalmát megfigyelhetik, és akár hamis Apple-bejelentkezési oldalra is átirányíthatják, hogy megszerezzék az Apple ID-adatait.
A támadások közös pontja: sürgetés, zavarba ejtő helyzetek és az áldozat gyors döntésre kényszerítése.
A gyenge pont nem a technológia
Fontos kiemelni, hogy az Apple Pay mögötti technológia – tokenizáció, biometrikus azonosítás – kifejezetten erős. A támadók ezért inkább a felhasználókat célozzák.
Ez a változás jól mutatja, hogy a kiberbiztonság ma már nemcsak technológiai, hanem viselkedési kérdés is.
Újabb banki védelmi eszköz: a valós idejű hívásazonosítás
A növekvő fenyegetésekre reagálva a hazai bankok is fejlesztik védelmi rendszereiket. Az Erste új megoldása például a telefonos csalások ellen lép fel.
A George applikáció mostantól push üzenetben azonosítja a banki hívásokat:
• ha a bank hívja az ügyfelet, azonnali értesítés érkezik
• a visszaigazolás titkosított, belső csatornán történik
• nem másolható SMS-ben vagy e-mailben
Ez különösen fontos, mert a csalók gyakran banki ügyintézőnek adják ki magukat.
„Az idei terveink között szerepel még a felhasználói élmény további finomítása, újabb fizetési megoldások integrálása, valamint a mesterséges intelligencia alapú tanácsadás bővítése is. Mindezt azért, hogy a digitális platform egyre inkább betölthesse a személyes pénzügyi asszisztens szerepét” – mondta Bek-Balla László.
Egyre sürgetőbb a felhasználói tudatosság növelése
A tendencia világos: a mobilfizetés terjed, a csalások kifinomultabbak, és a a bankok fejlesztik a védelmet, de a lánc legfontosabb eleme továbbra is a felhasználó.
Az alapvető szabályok nem változtak:
• ne adjunk meg kódokat vagy adatokat kérésre
• ne dőljünk be sürgető üzeneteknek
• ellenőrizzük a tranzakciókat
• gyanús esetben azonnal jelezzük a banknak
A kiberbiztonság ma már nem csak IT-kérdés, hanem pénzügyi önvédelem is.
Hogyan védekezzünk?
• Kapcsoljuk be a kétlépcsős azonosítást
• Használjunk értesítéseket minden tranzakcióhoz
• Kerüljük a nyilvános Wi-Fi-t pénzügyeknél
• Ellenőrizzük a hívások hitelességét (George értesítés)
• Gyanú esetén azonnal tiltsuk le a kártyát
Már dollármilliárdokban mérik a károkat
A pénzügyi és online csalások globális szinten is meredeken nőnek – és egyre nagyobb összegekről van szó.
Az FBI adatai szerint 2024-ben több mint 16 milliárd dollár kárt jelentettek internetes bűncselekmények miatt, ami 33%-os növekedés egy év alatt.
Egy másik globális jelentés szerint a csalásokból származó pénzügyi veszteségek éves szinten már meghaladhatják az ezer milliárd dollárt. A kiberbűnözés teljes gazdasági hatása pedig akár évi 10,5 ezer milliárd dollárra nőhet.
Magyarországon is nő a pénzügyi csalások kockázata
A Magyar Nemzeti Bank adatai szerint a hazai pénzforgalom digitalizációjával párhuzamosan a visszaélések volumene is emelkedik. Nálunk évente több tízmilliárd forintnyi kárt okoznak a pénzügyi csalások.
A visszaélések jelentős része elektronikus fizetésekhez és online csatornákhoz kapcsolódik. Az úgynevezett „social engineering” típusú csalások – amikor a felhasználót veszik rá az utalásra – különösen gyorsan terjednek.
Az azonnali fizetési rendszer megjelenése tovább gyorsította a tranzakciókat – és ezzel együtt a visszaélések lefolyását is.
A számok alapján a pénzügyi csalások már nem elszigetelt esetek, hanem a digitális gazdaság egyik leggyorsabban növekvő kockázati területét jelentik. A technológia fejlődésével a támadások is alkalmazkodnak – és egyre inkább azokra építenek, akik a rendszer végén állnak: vagyis a felhasználókra.
