Éppen a sífelvonón ültem Ausztriában, amikor kollégáim telefonáltak: Mexikóban 17 ezer tranzakciót indítottak el a mi kártyáinkkal. Mennyit? Akkoriban ez kéthavi forgalmunknak felelt meg, s ott hirtelen néhány óra alatt összejött ennyi?! Mi történhetett?
A folytatásból kiderült. A 17 ezer művelet 95 százalékát blokkolta a csalásfigyelő rendszerünk, ami mesterséges intelligenciával felszerelve hamarabb átlátott a csalókon, mint az elfogadó üzletek jó része. Volt, ahol a csalók gyorsabbak voltak, így elfogadták a kártyákat, de később megállapították, hogy ezeknél nem tartották be az alapvető biztonsági előírásokat, ezért a kereskedőknek kellett állniuk a kárt. Én az osztrák sípályán, kollégáim itthon, Mexikóhoz képest 7 óra idő eltolódással próbáltuk gyorsan sorra venni, mit tehetünk még kármentésként. Nem sokat, hiszen az első roham blokkolva lett. Vártuk, lesz-e még próbálkozás, amikor személyesen is be kell avatkoznunk.
Nem lett több. A biztonsági rendszerünk jól vizsgázott. De azért szerettük volna tudni, mi történt. Ez volt a legnehezebb, s ma sem állítom, hogy valóban így zajlott ez a kíbertámadás. Ekkor jöttünk rá, hogy nincs egy olyan IT-rendszer, amely az adatok alapján rekonstruálná a valós történetet. Mi mozaikokból próbáltuk összerakni. Azon nem lepődtünk meg, hogy Mexikóban is használják a mi prepaid kártyáinkat, hiszen 88 országban vannak jelen, az amerikai kontinensen többen is. Amerikában lazább az ilyen kártyák biztonsági ellenőrzése. Nincs PIN kód, elég, ha csak a mágnescsíkot végighúzzák a helyi terminálon, s ha az befogadja a kártyát, már mehet is a tranzakció.
A kapott információ-morzsákból, a 17 ezer tranzakciós adatból a következő történetet raktuk össze: Mexikóban nyaralt egyik honfitársunk, aki elvesztette az általunk kibocsátott prepaid kártyáját. Csalók találták meg, akik kipróbálták, mit tudnak e helyzetből kihozni: a számot kicsit alakítva, „klónozták” a kártyát. Talán egy Excel táblát használtak új bankkártya számok képzéséhez, nem bajlódtak komplikált algoritmusokkal. A lopott kártya számát léptették tovább, azokat vitték fel új alapkártyákra és beindult a nagy shoping-próba. Nyilván azt akarták tesztelni, elfogadják-e. Ha igen, mert eltalálták valamelyik valódi számot, akkor még az is érdekes lehetett, mennyi pénz volt az adott kártyán. Ha kellően vonzó tétel, akkor azt még levették volna…
Szerencsére, a nagy kártya-klónozási akció dugába dőlt. De megijesztett minket. Már menő fintech cégnek könyveltek el minket – mi is így gondoltunk vállalkozásunkra – és akkor jön egy csaló… Ha jobban átgondolják a helyzetet, nagy kárt okozhattak volna. Egy pillanat alatt rádöbbentünk, milyen fontos az IT-biztonság. Egy digitális banknál különösen az.