Ezzel a trükkel fosztják ki csalók a bankszámládat: így védekezz ellene

- mondta el a Pénzcentrumnak Krasznay Csaba információ-biztonsági szakértő, a Nemzeti Közszolgálati Egyetem adjunktusa.

A jelszavakkal kapcsolatban a szakember kétfajta problémahalmazt vázolt a Pénzcentrumnak. Az egyik, a felhasználói hanyagság, például, hogy sokan túl egyszerű jelszavakat használnak, melyeket nagyon könnyű feltörni. Ugyanebbe a problémakörbe tartozik, ha valaki sok rendszerhez ugyanazt a jelszót használja. Ez azért problémás, mert ha feltörnek egy rendszert, és így illetéktelen kezekbe kerül a felhasználó titkos kódja, akkor a jelszó birtokában más rendszerekben tárolt adatai is kompromittálódnak.

Jelszó nélkül olvassák az e-maileinket?

A másik problémakör ahhoz kapcsolódik, hogy a számítógépes rendszerek egy része rosszul van megírva, így a hitelesítés folyamatát lehet kicselezni. Ezt úgy lehet a legkönnyebben elképzelni, hogy nem magát a jelszót szerzik meg azok, akik hozzá akarnak férni az adatainkhoz, hanem abba a folyamatba illesztenek be egy hamis jelet, mely a rendszerben tárolt jelszót összehasonlítja a begépelt jelszóval. 

Ha valaki sikeresen feltöri a hitelesítés folyamatát, akkor hiába nem egyezik a begépelt jelszó a rendszerben tárolttal, a hitelesítés folyamata mégis sikeres lesz. Anélkül férnek hozzá tehát adatainkhoz illetéktelenek, hogy a jelszavunkat megismerték volna.

A második problémás helyzetre, tehát amikor a hitelesítési folyamatot törik fel, arra a biometrikus-hitelesítés sem nyújt gyógyírt, hisz az ilyen hitelesítési módot használó rendszereket is meg lehet rosszul írni. Krasznay Csaba azt is elmondta, hogy hitelesítési folyamattól függetlenül, egy rendszer akkor is gyanakodhat arra, hogy épp illetéktelen belépés zajlik, ha egyébként a hitelesítés folyamat sikeresen lezajlik. 

Ilyen eset lehet például, hogyha rövid időn belül két távoli földrajzi helyről próbálnak ugyanabba az email fiókba belépni. Ilyenkor sok rendszer gyanút fog, és szigorúbb hitelesítési eljárást léptet életbe. Ennek keretein belül nemcsak a kódunkat kell beütnünk, hanem olyan kérdésekre is válaszolnunk kell, amelyekre máskor nem. Ilyen további kérdés lehet például, hogy kik a leggyakoribb levelezőpartnereink, vagy egész egyszerűen honnan szoktunk általában belépni. Ha ezekre a kérdésekre is tudjuk a választ, az csökkenti annak az esélyét, hogy illetéktelenek próbálnak épp belépni a fiókunkba.

Egyszerre kettő, az a tuti

Visszatérve magához a hitelesítés folyamatához, nem úgy lehet biztonsági szintet lépni, ha a kódot mondjuk ujjlenyomatra cseréljük, hanem úgy, hogy a különböző elvre épülő metódusokat párhuzamosan használjuk.

- közölte a Pénzcentrummal Krasznay Csaba. Ennek köszönhető az, hogy több banki mobilapplikáció esetében is van olyan műveletek, mely végrehajtásához nemcsak a kódunkra (tehát a tudásunk egy részére) vagy az ujjlenyomatunkra (tehát egy tulajdonságunkra) van szükség, de be kell írnunk egy egyszeri kódot is, melyet a telefonunkra küldenek el SMS-ben. Ezzel ugyanis tulajdonalapú hitelesítést is használ a bank, tehát csak akkor tudjuk a kért műveletet végrehajtani, ha azt is bizonyítjuk, hogy hozzáférünk egy olyan telefonszámhoz, mely a bank rendszerei szerint hozzánk tartozik.

A mobilbanki applikációk esetében persze fölöslegesnek is tűnhet egy ilyen lépcső, hisz a telefon, amire egy utalás előtt az egyszeri kódot tartalmazó SMS-t kapjuk, ott van a kezünkben, de ha teszem azt egy idegen telefonról törték fel a banki hozzáférésünket, akkor egy ilyen hitelesítési lépcső megakadályozhatja azt, hogy pénzt utaljanak el a számlánkról.

Az információ-biztonsági szakember által elmondottak alapján összeállítottunk egy kérdőívet, melyet a nyolc legnagyobb magyar banknak küldtük el. Ebben azt vizsgáltuk, hogy a mobilbank-alkalmazásaikban, a különböző műveletek végrehajtásához milyen hitelesítési metódusokra van szükség, továbbá arra is kitért a kérdőív, hogy ezeket az hitelesítési lépéseket önállóan, vagy egymással párhuzamosan kell-e használni.

Kódok, ujjlenyomatok, SMS-ek: ez a hazai helyzet

A CIB Banknál regisztráció kell a mobilbanki alkalmazűs használatához, ezután az egyszeri lépés után minden vizsgált funkióhoz elegendő vagy az előre egyeztetett mobilbanki PIN kódot, vagy az ujjlenyomatunkat megadni. A számlaegyenleg megtekintéshez a widgeten keresztül nem szükséges hitelesítés.
Sajtóválaszukban leírták azt is, hogy különböző csalás- és visszaélés-megelőzési folyamatokat is használnak, valamint folyamatosan fejlesztik biztonsági megoldásaikat. 

- írták a Pénzcentrum megkeresésére.

A Budapest Banknál alapvetően az előre megadott kóddal lehet hitelesíteni magunkat, ám ahhoz, hogy olyan kedvezményezett részére tudjunk utalni, aki nincs elmentve a partnereink között, szükségünk van ezen felül a netbank jelszavunkra is. Ez jól példázza a különböző típusú azonosítási metódusok párhuzamos használatát. 

A Budapest Banknál hamarosan elérhető lesz biometrikus hitelesítési mód is, így az előre megadott kódunk helyett elég lesz az ujjlenyomatunkat használni a különböző funkciók eléréséhez, ám új partnernek való utaláshoz illetve új partner rögzítéséhez továbbra is szükség lesz a netbanki jelszavunkra is.

Az Unicredit Bank mobilbanki applikációjának első használatakor a hitelesítési folyamat része, hogy kapunk egy egyszeri kódot, ezt követően pedig előre megadott kódunkkal vagy az ujjlenyomatunkkal használhatjuk a különböző funkciókat. Ez alól kivételt jelent az utalás illetve az új kedvezményezett rögzítése. Ezekben az esetekben mind az előre megadott kódunkra, mind pedig az ujjlenyomatunkra szükség van, mely újabb példája annak, hogy egy érzékenyebb funkció, mint az utalás, magasabb szintű azonosítási folyamatot von maga után.

Az Unicredit sajtóválaszában megjegyezte, hogy alkalmazásuk Magyar Nemzeti Bank elvárásának megfelelően, legalább évente egyszer biztonsági tesztelésen esik át.

A K&H Banknál a hitelesítés folyamata megegyezik az összes funkció esetében. A Pénzcentrum kérdésére azt írták, hogy az előre megadott kód vagy ujjlenyomat a beépített szoftverees tokent indítja csak el, a tényleges belépés a token által, az eszköz adatait és egyéb tényezőket is tartalmazó egyedi, egyszeri kóddal történik a háttérben.

A Raiffeisen Banknál a belépéshez, a számlaadatok megtekintéséhez illetve az utalási történet előhívásához elegendő korábban megadott kódunkat használni, amennyiben utalni szeretnénk, ahhoz kapunk egy egyszeri kódot, melyet be kell ütnünk, hogy a rendszer végrehajtsa utasításunkat.

Az MKB Banknál az applikációjukba történő regisztráció során egyszeri kóddal hitelesíti az ügyfelet, melyet a bank rendszereiben rögzített telefonszámra küld el, továbbá meghatározott időközönként, a netes felületre való belépést más csatornán is jóvá kell hagynia az ügyfélnek.  Az MKB-s mobilbanki applikációban a belépéshez, a számlaadatok megtekintéséhez valamint az utalási történetünk ellenőrzéséhez az előre egyeztetett kódunkra vagy az ujjlenyomatunkra van szükség, utalni pedig az előre egyeztetett kódunk segítségével tudunk.

A megkeresett nyolc hazai nagybank közül az OTP Banknál nem válaszoltak konkrét kérdéseinkre (a weblapjuk mobilbiztonsággal foglalkozó részét ajánlották figyelmünkbe), az Erste Banktól pedig nem érkezett reakció cikkünk megjelenéséig.

A cikk elején hivatkozott írás az angol újságíró mobilbanki biztonsági tesztjéről ide kattintva érhető el.