Az üzleti és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítója, az ESET közleménye szerint a mobilfizetéshez használt NFC-technológia (Near Field Communication – rövid hatótávolságú, érintésmentes vezeték nélküli technológia elsősorban mobilfizetésre) is egyre nagyobb figyelmet kap a támadók részéről: az ESET kutatásai szerint 2025 második felében majdnem megduplázódott az NFC-t kihasználó androidos kártevők észlelése az első félévhez képest.

Az adatok szerint Magyarországon is rohamosan nő a digitális és mobilfizetések száma: a statisztikai adatok alapján 2025 harmadik negyedévében közel 480 millió bankkártyás fizetés történt, mintegy 4500 milliárd forint értékben. A mobiltárcákba regisztrált bankkártyák száma eközben 2,4 millió fölé emelkedett, ami jól mutatja, hogy az Apple Payhez, a Google Payhez és más digitális pénztárcákhoz hasonló megoldások gyorsan terjednek a magyar felhasználók körében.

A közlemény idézi Csizmazia-Darab Istvánt, , az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértőjét, aki példaként elmondta: az egyik leggyakoribb módszer az adathalászat (phishing), amikor a csalók SMS-ben, e-mailben vagy telefonon keresik meg az áldozatot. Azt állítják például, hogy ellenőrizni kell az adatokat, visszatérítés jár, vagy probléma merült fel a fiókkal.

A mellékelt link egy hamis oldalra vezet, ahol bankkártyaadatokat vagy belépési adatokat kérnek. Gyakori, hogy a csalók a bank által küldött egyszeri megerősítő kódot is megszerzik, így saját digitális pénztárcájukhoz tudják hozzáadni az áldozat kártyáját.

Egy másik módszer a túlfizetéses csalás, amikor a csaló többet utal, mint amennyiben megállapodtak, majd visszakéri a különbözetet egy másik fizetési alkalmazáson keresztül. Később kiderül, hogy az eredeti fizetés lopott kártyával történt - így az eladó a terméket, a termék elutalt díját és a visszautalt pénzt is elveszíti.

Kéretlen fizetéses csaláskor az áldozat váratlanul pénzt kap, majd a küldő arra kéri, hogy utalja vissza más módon, például ajándékkártyával vagy más alkalmazáson keresztül. Később a bank visszavonja az eredeti tranzakciót, így az áldozat mínuszban marad.

Csizmazia-Darab István

a nyilvános Wi-Fin történő támadásról elmondta, ilyenkor hamis – úgynevezett „evil twin” – hálózatot hoznak létre például kávézókban vagy repülőtereken. A felhasználó forgalmát megfigyelik, és hamis bejelentkezési oldalra irányítják, hogy megszerezzék a személyes adatokat.

Az ESET szakértője szerint, bár a mobilcégek ökoszisztémája erős biztonsági megoldásokat használ, például biometrikus azonosítást (Face ID) és tokenizációt, a csalók gyakran nem a technológiát támadják, hanem magukat a felhasználókat próbálják megtéveszteni. Közölte, nagyon sok jel utalhat csalásra: így például a sürgető üzenetek, amelyek gyors döntésre próbálják rávenni a felhasználót; az egyszer használatos hitelesítési kód (2FA) megadására való felszólítás; az arra vonatkozó kérés, hogy küldje vissza címzett a frissen kapott pénz egy részét vagy egészét; felszólítás, hogy az eladó küldje el a terméket még a fizetés jóváírása előtt, illetve ha ismeretlen személy mobilcéges vagy banki alkalmazottnak adja ki magát.

A védekezésről a Sicontact Kft. kiberbiztonsági szakértője elmondta, a felhasználók mindig kapcsolják be az ellopott eszköz védelme funkciót és engedélyezzék a fizetési értesítéseket a kártyákhoz, online vásárlásnál használjanak olyan bankkártyát, amely támogatja a chargeback (visszaterhelés) lehetőséget; nyilvános Wi-Fi használatakor alkalmazzanak VPN-kapcsolatot és használjanak megbízható kiberbiztonsági megoldást, amely további védelmet nyújthat.

Ha valaki mégis gyanús tranzakciót észlel, azonnal lépjen kapcsolatba a bankjával, mert egyes fizetések még visszafordíthatók lehetnek - mondta, hozzátéve: ha belépési adatokat vagy bankkártyaadatokat adott meg valaki, azonnal változtassa meg jelszavait, és kérje a kártya letiltását vagy cseréjét. A csalást pedig érdemes bejelenteni a megfelelő hatóságoknak is, mivel ez segíthet mások megvédésében.