Az ESET kiberbiztonsági szakértői szerint a mobilfizetési szolgáltatásokra épülő csalások alapvetően a pszichológiai manipulációra építenek, hogy így vegyék rá a felhasználókat érzékeny adatok megadására vagy pénz küldésére.
Az üzleti és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítója, az ESET közleménye szerint a mobilfizetéshez használt NFC-technológia (Near Field Communication – rövid hatótávolságú, érintésmentes vezeték nélküli technológia elsősorban mobilfizetésre) is egyre nagyobb figyelmet kap a támadók részéről: az ESET kutatásai szerint 2025 második felében majdnem megduplázódott az NFC-t kihasználó androidos kártevők észlelése az első félévhez képest.
Az adatok szerint Magyarországon is rohamosan nő a digitális és mobilfizetések száma: a statisztikai adatok alapján 2025 harmadik negyedévében közel 480 millió bankkártyás fizetés történt, mintegy 4500 milliárd forint értékben. A mobiltárcákba regisztrált bankkártyák száma eközben 2,4 millió fölé emelkedett, ami jól mutatja, hogy az Apple Payhez, a Google Payhez és más digitális pénztárcákhoz hasonló megoldások gyorsan terjednek a magyar felhasználók körében.
A közlemény idézi Csizmazia-Darab Istvánt, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértőjét, aki példaként elmondta: az egyik leggyakoribb módszer az adathalászat (phishing), amikor a csalók SMS-ben, e-mailben vagy telefonon keresik meg az áldozatot. Azt állítják például, hogy ellenőrizni kell az adatokat, visszatérítés jár, vagy probléma merült fel a fiókkal. A mellékelt link egy hamis oldalra vezet, ahol bankkártyaadatokat vagy belépési adatokat kérnek. Gyakori, hogy a csalók a bank által küldött egyszeri megerősítő kódot is megszerzik, így saját digitális pénztárcájukhoz tudják hozzáadni az áldozat kártyáját. Egy másik módszer a túlfizetéses csalás, amikor a csaló többet utal, mint amennyiben megállapodtak, majd visszakéri a különbözetet egy másik fizetési alkalmazáson keresztül. Később kiderül, hogy az eredeti fizetés lopott kártyával történt – így az eladó a terméket, a termék elutalt díját és a visszautalt pénzt is elveszíti.
Kéretlen fizetéses csaláskor az áldozat váratlanul pénzt kap, majd a küldő arra kéri, hogy utalja vissza más módon, például ajándékkártyával vagy más alkalmazáson keresztül. Később a bank visszavonja az eredeti tranzakciót, így az áldozat mínuszban marad.
Csizmazia-Darab István a nyilvános Wi-Fin történő támadásról elmondta, ilyenkor hamis – úgynevezett “evil twin” – hálózatot hoznak létre például kávézókban vagy repülőtereken. A felhasználó forgalmát megfigyelik, és hamis bejelentkezési oldalra irányítják, hogy megszerezzék a személyes adatokat.
Az ESET szakértője szerint, bár a mobilcégek ökoszisztémája erős biztonsági megoldásokat használ, például biometrikus azonosítást (Face ID) és tokenizációt, a csalók gyakran nem a technológiát támadják, hanem magukat a felhasználókat próbálják megtéveszteni. Közölte, nagyon sok jel utalhat csalásra: így például a sürgető üzenetek, amelyek gyors döntésre próbálják rávenni a felhasználót; az egyszer használatos hitelesítési kód (2FA) megadására való felszólítás; az arra vonatkozó kérés, hogy küldje vissza címzett a frissen kapott pénz egy részét vagy egészét; felszólítás, hogy az eladó küldje el a terméket még a fizetés jóváírása előtt, illetve ha ismeretlen személy mobilcéges vagy banki alkalmazottnak adja ki magát.
A védekezésről a Sicontact Kft. kiberbiztonsági szakértője elmondta, a felhasználók mindig kapcsolják be az ellopott eszköz védelme funkciót és engedélyezzék a fizetési értesítéseket a kártyákhoz, online vásárlásnál használjanak olyan bankkártyát, amely támogatja a chargeback (visszaterhelés) lehetőséget; nyilvános Wi-Fi használatakor alkalmazzanak VPN-kapcsolatot és használjanak megbízható kiberbiztonsági megoldást, amely további védelmet nyújthat.
Ha valaki mégis gyanús tranzakciót észlel, azonnal lépjen kapcsolatba a bankjával, mert egyes fizetések még visszafordíthatók lehetnek – mondta, hozzátéve: ha belépési adatokat vagy bankkártyaadatokat adott meg valaki, azonnal változtassa meg jelszavait, és kérje a kártya letiltását vagy cseréjét. A csalást pedig érdemes bejelenteni a megfelelő hatóságoknak is, mivel ez segíthet mások megvédésében.