CVC kód: mi ez és miért jó, ha tudsz erről?

Habár mindkettő a bankkártyádhoz tartozik és mindkettőt azért találták ki, hogy nagyobb biztonságban legyél, máshogy kell őket használni. A PIN kódod mindig négy számból áll és soha nincs felírva a bankkártyára, míg a CVC kód a legtöbb bankkártyára rá van nyomtatva.

A PIN kód bolti vásárlásnál kell – általában 15 000 forintos vásárlás felett, ha érintéssel fizetsz – és készpénzfelvételnél. A CVC kódra viszont csak internetes vásárlásnál lesz szükséged.

Ha bármilyen online felületen, például webshopban történő fizetésnél kérik a PIN kódodat, akkor azonnal hagyd el az oldalt, és a legjobb, ha ezt jelzed is a bankodnak vagy a kártyatársaságnak, mert ilyet nem kérhetnek. Ilyenkor biztosan csalók állnak a weboldal mögött vagy feltörték az oldalt.

A CVC kód lényege, hogy biztonságosabbá tegye az online vásárlást. A legtöbb esetben a bankkártyád hátoldalán található, rendszerint az aláíráscsíkon. Esetleg megismételve az előlapi kártyaszámmal vagy annak egy részével.

Ennek a kódnak a segítségével tudsz biztonságosan vásárolni: a csalók ugyanis a kártyára írt többi bankkártyaszámot sokkal könnyebben meg tudják szerezni, a CVC kódot viszont rendszerint csak az tudja, akinek a kezében van a kártya, hiszen az a kártya hátoldalán van.

A bolti vásárlásnál vagy az ATM-nél le tudják olvasni a kártya mágnescsíkját, vagy a chipjét. Vagy régebben akár aláírást is kérhettek tőled, az online térben ez nem lehetséges.

A webshopok terjedésével párhuzamosan egyre több helyen lehet már online, kártyával is fizetni (sőt például repülőjegy vásárlásánál nem is találsz más megoldást, vagy ha igen, az bonyolult), ehhez szükség volt egy olyan intézkedésre, ami megnöveli a biztonságot.

A kód teljes neve Card Verification Code, vagyis kártyamegerősítő kód. A Mastercard CVC2-nek, az American Express CID-nek és a Visa CVV2-nek, míg más társaságok CSV-nek hívják, azonban minden esetben ugyanarról a számsorról van szó. A legtöbb kártyán három számjegyet kell keress, azonban az American Express által kibocsátottak jellemzően négyjegyűek.

Amíg a legtöbb kártyaadat (például kártyaszám, kártyabirtokos neve, lejárati dátum) automatikusan elmenthető az internetes felhőben, addig ezt az egy adatot minden esetben meg kell adnod internetes vásárlásnál azoknál a kereskedőknél, akik úgy állították be a fizetési oldalukat, hogy kérje ezt az adatot is.

Emiatt a hackerek nehezebben tudják azt megszerezni, és ez a CVC kód sok esetben kulcsfontosságú ahhoz, hogy online vásárolni tudj.

Most, hogy már tudod mi ez, nézzük meg, hogy online vásárlásnál mit kell vele tenned.

Amikor online vásárlásod során a fizetés gombra kattintasz, kétféle folyamat következhet:

Ilyenkor közvetlen nekik kell megadnod a bankkártyádon található információkat (számokat, nevedet). Ehhez kell, hogy rendelkezzenek biztonsági tanúsítvánnyal. Ha nincs ilyenjük, akkor nem megbízható a felület, semmiképpen se folytasd ott a vásárlást.

A webáruházi fizetési adatkezelés egyébként a ritkábbik eset.

A webáruház a fizetésnél átirányít egy külső oldalra és ott kell megadnod a fizetési adatokat. Ez a leggyakoribb eset.

Ez lehet egy bank speciális oldala is és egy úgynevezett payment gateway oldal is, ahol a kártyás fizetés mellett még más fizetési módok közül is lehet választani (például PayPal, QR kódos fizetés, Simple stb).

Akár még ha bármilyen fizetési oldal el is kéri a CVC kódodat, akkor sem tárolhatják azt a szervereiken.

Tehát ha még fel is törik a rendszerüket, akkor sem férnek hozzá a CVC kódodhoz, így sokkal kevesebbet érnek az ellopott kártyaadatok és megnehezedik a hackerek dolga, hogy vásárolhassanak az ilyen kártyaadatokkal.

Amikor sikeresen lezajlott a fizetés, megkapod annak részleteit. Magyarországon ez a jellemzőbb, legnagyobb valószínűség szerint ezzel fogsz találkozni, ha online vásárolsz.

Talán azon gondolkodsz, hogy biztos vásároltál már online és nem kellett megadni a kódodat és ilyen oldalakon a tolvajoknak is könnyebb dolga lehet. A következő részben megnézzük közelebbről.

Előfordulhat, hogy nem kérik tőled a CVC kódot: habár biztonsági funkciói vannak, mégis a webáruházak döntenek arról, hogy fizetéskor meg kell-e adnod a CVC kódot, vagy nem.

Ilyen például szállásfoglalás során a Booking.com: nem kér CVC kódot arra hivatkozva, hogy csak regisztrálva lehet náluk foglalni, így aki bejelentkezett, már gyakorlatilag azonosította magát, és tudatosan foglal.

Ha esetleg ezt a magyarázatot nem érzed megnyugtatónak, van itt is lehetőséged a biztonságérzet fokozására: a kettős azonosítás egy védelmi intézkedés, melyet kérhetsz, ha úgy nagyobb biztonságban tudnád a foglalásaidat, különösképpen, ha kártyaadataidat is elmentetted.

Ilyenkor a megadott telefonszámodra kapsz egy kódot, amelyet beírva tudsz belépni egyes felületekre, így például a foglalásokat csak úgy tudod onnantól elérni, hogy megadtál egy másodlagos elérhetőséget. Ezzel lényegesen megnehezíted a hackerek dolgát.

A MÁV applikációja szintén nem kér semmilyen megerősítő kódot a jegyvásárlás során: elég jóváhagyni, hogy a korábban elmentett kártyaszámot szeretnéd használni és regisztrálnod a kártyádat egyszer megadva a CVC kódot.

Ennek oka lehet például az, hogy jelentősen meghosszabbítaná a vásárlást, ha minden jegyvásárlásnál elő kellene keresned a bankkártyádat (így már nem is feltétlenül érné meg az automatával szemben a telefont használni erre a célra).

Ha egy weboldal nem kéri a vásárlás során a CVC kódot, neked kell mérlegelned, megéri-e a kockázatot.

Egyes weboldalak ennek ellenére is lehetnek megbízhatóak, például, ha egy nagyobb áruházban vagy más felületen eddig is kód nélkül tudtál vásárolni, valószínűleg az a weboldal a jövőben is megbízható marad.

A MÁV applikációja szintén nem azért hagyja ki a CVC kódot a vásárlás folyamatából, mert megbízhatatlan lenne, mint ahogy a Booking is adott magyarázatot a döntésre (és még alternatív lehetőséget is kínál).

Azonban, ha ezt egy új webáruháznál tapasztalod, amelyről kevés információ kering a világhálón, tiéd a döntés, ilyenkor mérlegelj akár a fentebbi szempontokkal együtt, vagy inkább fizess utánvéttel.

A CVC kód nem minden esetben elég: egyes weboldalak például nem is kérik egyáltalán, illetve, ha valaki megszerzi a bankkártyádat, a rajta lévő kód segítségével azt csinál, amit csak akar. Így egyéb lépésekre is szükség van, hogy ne csak egy háromjegyű kód védjen.

Vannak dolgok, amelyek lehet, hogy logikusnak, vagy magától értetődőnek tűnnek, ám épp ezért kell a megszokottnál jobban ügyelni rájuk. Például figyelj arra, hogy böngésződben a weboldal URL linkje zöld legyen (https-sel kezdődjön), vagy egy kis lakat ikon jelenjen meg mellette. Ebben az esetben a kártyaadatok biztonságosan beírhatóak.

Semmiképp se bízd senkire, egy percig sem („Majd én fizetek helyetted”), ez az időtartam bőven elég arra, hogy lefotózza a kártyád mindkét oldalát, és így nem kizárt, hogy a jövőben több esetben is a tudtod nélkül fog vele vásárolni (bár ez az interneten a kétfaktoros ügyfélhitelesítés bevezetése óta jelentősen megnehezedett).

Hasonlóképpen az interneten se add meg soha, senkinek az adataidat, bárkinek is adja ki magát az illető. Ha ilyen e-mailt vagy üzenetet kapsz, mindig gyanakodj, elég valószínű, hogy csaló az illető.

Gyakori, hogy valamilyen nyeremény átvételéhez kis összegű számla befizetéséhez vagy postacsomag átvételéhez éppen csak adataid megadása szükséges, és elméletben (természetesen a gyakorlatban sohasem) már "tiéd is lehet" az új iPhone, vagy egy álomnyaralás.

A kártyaadataidat csak vásárláshoz add meg! Mivel a CVC kód rövid, az sem rossz ötlet, ha fejből megtanulod, így amikor esetleg úgy vásárolnál, hogy más is a közeledben van, már csak arra kell ügyelned, hogy azt ne lássa, amit gépelsz. A kártyára így egyáltalán nem lesz szükséged.

Ez szuper. Van még más amire érdemes odafigyelnem?

Ha egy webáruháznál azt érzed, hogy kockázatos ott vásárolni, akkor az valószínűleg úgy is van. Árulkodó jel lehet, ha jelez a vírusirtó, ha a böngészősáv figyelmeztet, hogy nem biztonságos ott vásárolni, illetve, ha a weboldalról kevés a visszajelzés akár helyben (mert mondjuk nem is hoztak létre erre felületet), akár máshol.

Már az URL is árulkodó lehet: gyakran nagyobb, legálisan működő áruházakat utánoznak, csak épp valamelyik karakter kettőzve lett, vagy az O betű helyett egy 0 (nulla) fogad a böngészősávban.

Ilyen oldalaknál az sem ritka, hogy nincs megadva semmilyen elérhetőség (e-mail cím, telefonszám, Facebook oldal). Sok apróság, amelyeket, ha nem figyelsz kellően oda, megvezethetnek téged is. Fontos lehet még a hanyag weboldal design és a rossz magyarság.

Ezek a weboldalak domainje mindig idegen, vagy megtévesztő és nem az, amit vársz. A domaint mindig kiemeli a böngésző a címsorban.

Azonkívül, hogy természetesen nem osztod meg senkivel a kártyaadataidat, használhatsz akár egy külön kártyát is vásárlásaidra.

Ezeket hívják virtuális kártyának, de web- vagy internetkártya néven is találkozhattál vele. Habár minden olyan adattal rendelkezik, mint egy hagyományos bankkártya (vagyis például itt is van lejárati dátum, illetve CVC kód), mégsem egyenértékű azzal.

Igazából a legtöbb esetben a kezedben sem tudod megfogni, mert ahogy a neve is mondja csak virtuális, vagyis a képernyőn látod a kártyaadatokat (PIN kódja sincs). Nincsen továbbá például aláírásnak szánt hely, vagy éppen mágnescsík, nevéhez hűen csak a virtuális térben tudod használni.

A boltban, hagyományos vásárlásra vagy készpénzfelvételre nem lehet használni.

Erre a külön számlára csak közvetlenül azelőtt és csak annyi pénzt érdemes átvezetned, amennyiért éppen vásárolni szeretnél, illetve a limitemelésre is ez vonatkozik.

Ezenkívül nem érdemes rajta pénzt tartanod. Így ha meg is szereznék ennek a kártyának az adatait, akkor sem tudnak leemelni róla pénzt, mivel egy külön számla tartozik hozzá, ami nem a normál bankszámlád.

Vannak olyan bankok vagy fintech cégek, mint például a Revolut, ahol pár kattintással létre tudsz hozni egyszer használatos virtuális kártyát is. Ez még egyszerűbb, mert nem kell a külön alszámlára pénzt átraknod.

Hiába lopná el bárki ezt az egyszer használatos számot, mert ahogy a neve is mondja, az első vásárlás után már nem érvényes, minden vásárláshoz új kártyaszámot kell kérned.

Hasznos lehet ezt igényelned, hiszen így, ha esetleg egy hacker megszerzi az adataidat, az nem az igazi, normál bankszámládhoz kapcsolódó kártyád adatait szerzi meg, hanem csak a virtuális „tartalékkártyádét”. Ha rossz kezekbe kerülne, itt is ugyanúgy lehetőség van a kártya letiltására, mint a hagyományos esetekben.

Egy jó éve már a mobilomon is jóvá kell hagyni a netes vásárlásokat. Ez nem éppen a biztonság miatt lett bevezetve?

A CVC kódon kívül a kétlépcsős azonosítás bevezetése óta egyszerre két azonosítást is el kell végezned, leggyakrabban SMS-t és állandó kódot, vagy mobilalkalmazás használatát és biometrikus azonosítást.

Ilyen azonosítás az internetbank esetén is működik, amikor belépsz a netbankodba (pl. ehhez SMS-t küld a bankod, vagy mobilalkalmazásban kell jóváhagyni a belépést biometrikus azonosítással).

Ezt hívják tehát kétlépcsős vagy kettős azonosításnak, még másképp erős ügyfélhitelesítésnek.

Biometrikus azonosítás lehet jelszó, vagy az ujjlenyomatod vagy az arcod, ha olyan telefonod van, ami ezeket azonosítani tudja. Tehát a 3 dologból (tudsz valamit, van valamid és vagy valami) legalább kettő azonosításnak egyszerre teljesülnie kell a nagyobb biztonság érdekében.

A fenti példánál maradva jellemzően egy több számból és betűből álló kód érkezik SMS-ben az általad megadott telefonszámra, majd ezzel meghatározott időn (jellemzően 5-10 percen) belül tudsz belépni a netbankodba vagy ezt kell megadnod az internetes vásárlás során.

Ezután a kód érvényét veszti, így ha valaki esetleg meg is szerezné, nem tudna vele mihez kezdeni, az érvényességi időn belül pedig gyakorlatilag csak az juthat hozzá, akinél a mobiltelefon van.

Több kártyakibocsátó van: Visa, Mastercard, vagy az American Express. Az interneten ma már jellemzően bármelyikkel fizethetsz, de az American Expressnél előfordulhat, hogy egyes áruházak nem fogadják azt el.

Ugyanez vonatkozhat egyes webáruházakban a Visa Electron kártyák elfogadására, amely a kártyát kibocsátó banktól is függ.

Korábban a Maestro kártyáival is voltak problémák: mivel többön közülük nem volt CVC kód, annak hiányában előfordult, hogy a webáruházakban nem használhattad azokat. Mára azonban már ők is kiküszöbölték ezt a problémát, és általában nem származik hátrányod abból, ha ilyen típusú elektronikus bankkártyát kaptál a bankodtól.

Mint láthatod, a CVC kód rendkívül hasznos ahhoz, hogy néhány helyzetben biztonságban tudhasd a kártyádat és az ahhoz kapcsolódó számlán lévő pénzt. Online vásárlás esetén lényegesen nehezebb megszerezniük a hackereknek, mint a további adataidat, és mivel a legtöbb vásárlási felületen meg kell adni, enélkül nem lesz könnyű dolguk.

A jövőben ugyan további fejlesztések várhatóak e téren, de ettől függetlenül így is nagyon jó a rendszer.

Sok esetben éppen ezek miatt ajánlatos extra lépéseket tenned, például a megfelelő vírusirtó kiválasztása, az adott webáruház ellenőrzése, a kártya biztonságos helyen tárolása is ilyen, de a fentebb említett virtuális kártya is egy praktikus megoldás lehet.

A leggyengébb biztonsági láncszem a folyamatban sajnos mindmáig a felhasználó.