Ne hagyja magát kifosztani az ATM-nél!

– Igaz a hír, hogy ha pénzfelvételre kényszerítenek, és fordítva ütöm be a PIN kódomat, mondjuk 2341 helyett 1432-t, akkor a pénz kiadja, és ezzel leszerelhetem a rablót, de az eseménnyel egy időben a rendszer riasztja a rendőrséget is?

– A hír – ahogy hasonló esetekben mindig – igaz is, meg nem is. Ez a funkció benne van a szoftverben, de Magyarországon nincs élesítve, ahogy tudomásom szerint egyik európai országban sem. A sok egyéb biztonsági eljárás mellett nem is lenne igazi létjogosultsága, nyugodtan állíthatom, hogy nincs rá szükség.

– Sikerült meglepnie. Miért nincs szükség egy ilyen online funkcióra?

– Nézzük végig, milyen ATM-ek vannak, és amikor ezzel végzünk, a kérdését is megválaszoltam. A legismertebbek, amelyeket általában ATM-nek hívnak az emberek, azok a bankok előterében elhelyezett olyan falba épített eszközök, amelyek a belső banktérbe nyílnak, és onnan is töltik fel őket. A második fajta, ami tulajdonképpen ugyan ezt a típust képviseli, csak nem pénzintézetben van, hanem valamilyen épület külső falába építették be, de utcára nyíló felülettel működik. A harmadik típus az úgynevezett „sziget ATM.”, amely teljesen magányosan, valahová lecsavarozva helyezkedik el, ilyenekkel általában üzletközpontokban találkozhatunk. Ezeket szokták annak idején kitépni és elvonszolni a bűnöző urak. Az ATM-ek védelmét tekintve két módozatról beszélhetünk, mindkettő online, természetesen. Az egyik fizikai támadást jelző berendezés, rendszer, ami akkor lép működésbe, amikor a berendezést megpróbálják szétszedni, rugdosni, támadni. A másik a belső szoftvervédelem, ami a gép programján belül figyeli a tranzakció valódiságát. Ez azért lényeges, mert ha illegális, vagy nem azonosított pénzfelvételt, esetleg többszöri próbálkozást észlel, azonnal bevonja a bankkártyát, hogy megakadályozza a tranzakciót.

– Térjünk vissza a legendára!

– Megoldható lenne, hogy az utolsó kód elütésével, vagy a fordított pin kód beütésével jelezze a támadást, de igazándiból tudni kell, hogy minden ATM-be kamera van rendszeresítve, amely alkalmas arra, hogy a pénzfelvevő személyét rögzítse. Ez a felvétel online követhető, tehát, ha bármi probléma történik az automatánál, az azonnal látható. Telefon is van a pénzkiadók mellett, probléma esetén rögtön lehet a bankot, illetve a rendőrséget hívni. Többféle automatakifosztási kísérlettel próbálkoztak az elmúlt időben: a legdurvább fizikaitól – amikor kitépték a falból a gépet, vagy robbantottak – a legelterjedtebbig, amikor az adatok, kártyakódok ellopásával kísérleteztek. Különféle módszereket dolgoztak ki erre a bűnözők, amelyekkel lépést tartva a banki biztonsági szakemberek folyamatosan védekező mechanizmusokat hoznak létre.

– Konkrét módszerek?

A legelső az volt, amikor egy csőrt helyeztek a gép bemeneti nyílására, ezen keresztül lehetett a bankkártyát becsúsztatni és a kis szerkentyű leolvasta a mágnes kódot. Ugyanezt a módszert használták a bejárati ajtóknál. A kártya lehúzása során itt is leolvasták a kódot, viszont az ajtó nem nyílt ki, hanem kérte, hogy üsse be az ügyfél a pin kódját, így a kártyát hozzárendelhették a kódhoz. Ezt a módszert nagyon hamar sikerült kiiktatni. Utána következett a speciális megfigyelő kamerával ellátott eszközök kora, amit szintén az ATM-re szereltek fel vékony csík formájában. Mivel az őrszolgálat naponta átvizsgálja az automatákat, ezeket a próbálkozásokat is hamar meghiúsítottuk, mert észleltük, hogy idegen dolog van a gépen. Ezt a módszert nagyon elmés szerkezettel sikerült ellehetetleníteni: az ATM bemeneti olvasóját rezgető eljárással látták el, ami a leolvasás ütemében rezgeti a kártyát. Tehát, ha nem abban a rendszerben van az olvasófej, amit ez a rezgető vezérel, nem tudja leolvasni, mert adott frekvenciával oda-vissza mozog a bankkártya.

– Gondolom, a bűnözők tovább finomították a módszerüket.

– Valóban: egy albánokból, románokból, bolgárokból, és magyarokból álló csoport kezdett alkalmazni egy új eljárást. Annak megértéséhez tudni kell, hogy minden ATM két részre oszlik. Az egyik fele a páncélszekrény, ami nagyon megerősített, a másik fele a számítógép rész, ami gyakorlatilag egy lemezkeretben van, és ez a lényeg, hiszen a keret megfúrható. Amikor ezt felfedezték, akkor már tudták, hogy hol kell úgy befúrni, hogy egy optikai mágneses olvasót behelyezve a leolvasó részhez, ők is megkapják ugyan azt a kódot, amit az automata. Ehhez már csak a pin kódot kellett lelesni egy kamera segítségével, és minden adat birtokában voltak. Jelentem, már ezt a módszert is sikerült hatástalanítanunk.

– Mi volt erre a biztonságtechnikai válasz?

– Gyorsan bevezették a chipekkel ellátott bankkártyákat. Azóta Európában nem elég a mágnes kódot és a pin kódot megszerezni a hozzáféréshez, ma már szükséges a chipkártya is. Ennek hiányában nem reagál a gép, egyszerűen bevonja a bedugott kártyát. Nem maradt más hátra az ezzel visszaélni kívánóknak, mint, hogy a már megszerzett adatokat elektronikusan elküldték Dél-Amerikába, Mexikóba, Peruba az ottani bűnözőtársaiknak, akik kinyomtatták, és mivel ott még nem terjedt el a chip kártya, tudtak vele pénzt lopni. Ennek hatására bevezettük a viselkedésfigyelő rendszerünket.

– Azt figyelik, hogy valaki nem viselkedik-e az átlagosnál idegesebben az ATM előtt?

– Ugyan már! Nem vagyunk mi pszichológusok, csak informatikusok. ez a rendszer azt követi, hogy ha valaki egy kártyával mondjuk itt Pesten vett fel pénz, akkor valószínűtlen, hogy ezt az akciót mondjuk egy óra múlva Peruban is megismételje. Ha ilyesmit észlelünk, azonnal értesítjük az ügyfelet, és lecseréljük a kártyáját, hogy ne ismétlődhessen meg az eset. A fentiek alapján szerintem jól állunk a védekezés területén, de folyamatosan figyelünk, és reagálunk az esetleges újabb megoldásokra.

– Mi, ügyfelek mit tegyünk, hogy minél biztonságosabb módon jussunk a pénzünkhöz, az automatákból?

– Úgy tartjuk, hogy a nappali pénzfelvétel aránylag biztonságos. Figyeljünk rá: ha valaki már van benn a felvevőhelységben, akkor ne menjünk be! Várjuk meg, míg kijön! A huszonnégy órás felvételi pontok úgy vannak kialakítva, hogy ne is tudjunk bemenni, ha már tartózkodik ott valaki. Ha észleljük, hogy valaki követ vagy figyel, akkor ne is kísérletezzünk a pénzfelvétellel. Nagyon fontos, hogy amennyiben mégis megtörténik az erőszakkal kizsarolt pénzfelvétel, akkor azonnal jelezzük a bank felé, és a rendőrségnek is. Lehetőség szerint kerüljük az éjjeli pénzfelvételt kivétel, ha több barát kíséretében van módunk azt megtenni. Olaszországban találkoztam az alábbi „elmés” trükkel: két rabló megfigyelt egy embert, aki pénzt akart felvenni. Miután az úr beütötte a kódját és a kívánt pénz mennyiségét, az egyik rabló ledobott a földre egy papírpénzt, és megbökte az úr vállát, mondván, hogy elveszített valamit. Amíg ő lehajolt, addig a másik fickó kikapta az ATM-ből a kiadott összeget, és már el is szeleltek. Az ügyfél pedig, aki semmit vett észre az egészből, csak állt és várta, hogy mikor adja ki az automata a pénzét.