27 °C Budapest
Ezzel a trükkel fosztják ki csalók a bankszámládat: így védekezz ellene

Ezzel a trükkel fosztják ki csalók a bankszámládat: így védekezz ellene

2017. szeptember 4. 05:30

Egy angol lap újságírója laboratóriumi körülmények között feltörette a mobiltelefonját, a labor szakemberei ujjlenyomata lemásolásával utaltak el pénzt a bankszámlájáról. Ennyivel veszélyesebb lenne jelszavak helyett ujjlenyomatot használni? Információ-biztonsági szakértő segítségével jártuk körbe a témát, és a magyar mobilbanki-appokat is górcső alá vettük.

Ahhoz, hogy hozzáférjünk rendszerekhez, évtizedek óta jelszavakat használunk, melyekkel sok probléma van

- mondta el a Pénzcentrumnak Krasznay Csaba információ-biztonsági szakértő, a Nemzeti Közszolgálati Egyetem adjunktusa.

A jelszavakkal kapcsolatban a szakember kétfajta problémahalmazt vázolt a Pénzcentrumnak. Az egyik, a felhasználói hanyagság, például, hogy sokan túl egyszerű jelszavakat használnak, melyeket nagyon könnyű feltörni. Ugyanebbe a problémakörbe tartozik, ha valaki sok rendszerhez ugyanazt a jelszót használja. Ez azért problémás, mert ha feltörnek egy rendszert, és így illetéktelen kezekbe kerül a felhasználó titkos kódja, akkor a jelszó birtokában más rendszerekben tárolt adatai is kompromittálódnak.

Jelszó nélkül olvassák az e-maileinket?

A másik problémakör ahhoz kapcsolódik, hogy a számítógépes rendszerek egy része rosszul van megírva, így a hitelesítés folyamatát lehet kicselezni. Ezt úgy lehet a legkönnyebben elképzelni, hogy nem magát a jelszót szerzik meg azok, akik hozzá akarnak férni az adatainkhoz, hanem abba a folyamatba illesztenek be egy hamis jelet, mely a rendszerben tárolt jelszót összehasonlítja a begépelt jelszóval. 

Ha valaki sikeresen feltöri a hitelesítés folyamatát, akkor hiába nem egyezik a begépelt jelszó a rendszerben tárolttal, a hitelesítés folyamata mégis sikeres lesz. Anélkül férnek hozzá tehát adatainkhoz illetéktelenek, hogy a jelszavunkat megismerték volna.

A biometrikus-hitelesítés az első problémát nagyjából kiküszöböli, hisz a kód nem egy általunk ismert adatra, tehát tudásra épül, hanem egy tulajdonságunkra, mint a retinánk, az ujjlenyomatunk vagy az ereink elhelyezkedése.

A második problémás helyzetre, tehát amikor a hitelesítési folyamatot törik fel, arra a biometrikus-hitelesítés sem nyújt gyógyírt, hisz az ilyen hitelesítési módot használó rendszereket is meg lehet rosszul írni. Krasznay Csaba azt is elmondta, hogy hitelesítési folyamattól függetlenül, egy rendszer akkor is gyanakodhat arra, hogy épp illetéktelen belépés zajlik, ha egyébként a hitelesítés folyamat sikeresen lezajlik. 

Ilyen eset lehet például, hogyha rövid időn belül két távoli földrajzi helyről próbálnak ugyanabba az email fiókba belépni. Ilyenkor sok rendszer gyanút fog, és szigorúbb hitelesítési eljárást léptet életbe. Ennek keretein belül nemcsak a kódunkat kell beütnünk, hanem olyan kérdésekre is válaszolnunk kell, amelyekre máskor nem. Ilyen további kérdés lehet például, hogy kik a leggyakoribb levelezőpartnereink, vagy egész egyszerűen honnan szoktunk általában belépni. Ha ezekre a kérdésekre is tudjuk a választ, az csökkenti annak az esélyét, hogy illetéktelenek próbálnak épp belépni a fiókunkba.

Egyszerre kettő, az a tuti

Visszatérve magához a hitelesítés folyamatához, nem úgy lehet biztonsági szintet lépni, ha a kódot mondjuk ujjlenyomatra cseréljük, hanem úgy, hogy a különböző elvre épülő metódusokat párhuzamosan használjuk.

Az számít erős hitelesítési folyamatnak, mely a tudás-, tulajdonság- és tulajdonalapú hitelesítésből egyszerre, egymástól függetlenül legalább kettőt használ

- közölte a Pénzcentrummal Krasznay Csaba. Ennek köszönhető az, hogy több banki mobilapplikáció esetében is van olyan műveletek, mely végrehajtásához nemcsak a kódunkra (tehát a tudásunk egy részére) vagy az ujjlenyomatunkra (tehát egy tulajdonságunkra) van szükség, de be kell írnunk egy egyszeri kódot is, melyet a telefonunkra küldenek el SMS-ben. Ezzel ugyanis tulajdonalapú hitelesítést is használ a bank, tehát csak akkor tudjuk a kért műveletet végrehajtani, ha azt is bizonyítjuk, hogy hozzáférünk egy olyan telefonszámhoz, mely a bank rendszerei szerint hozzánk tartozik.

A mobilbanki applikációk esetében persze fölöslegesnek is tűnhet egy ilyen lépcső, hisz a telefon, amire egy utalás előtt az egyszeri kódot tartalmazó SMS-t kapjuk, ott van a kezünkben, de ha teszem azt egy idegen telefonról törték fel a banki hozzáférésünket, akkor egy ilyen hitelesítési lépcső megakadályozhatja azt, hogy pénzt utaljanak el a számlánkról.

Az információ-biztonsági szakember által elmondottak alapján összeállítottunk egy kérdőívet, melyet a nyolc legnagyobb magyar banknak küldtük el. Ebben azt vizsgáltuk, hogy a mobilbank-alkalmazásaikban, a különböző műveletek végrehajtásához milyen hitelesítési metódusokra van szükség, továbbá arra is kitért a kérdőív, hogy ezeket az hitelesítési lépéseket önállóan, vagy egymással párhuzamosan kell-e használni.

Kódok, ujjlenyomatok, SMS-ek: ez a hazai helyzet

A CIB Banknál regisztráció kell a mobilbanki alkalmazűs használatához, ezután az egyszeri lépés után minden vizsgált funkióhoz elegendő vagy az előre egyeztetett mobilbanki PIN kódot, vagy az ujjlenyomatunkat megadni. A számlaegyenleg megtekintéshez a widgeten keresztül nem szükséges hitelesítés.
Sajtóválaszukban leírták azt is, hogy különböző csalás- és visszaélés-megelőzési folyamatokat is használnak, valamint folyamatosan fejlesztik biztonsági megoldásaikat. 

Bankunk többek között külső szakértőket is alkalmaz az elektronikus csatornák tesztelésére és az esetleges gyenge pontok kiszűrésére. A mobilalkalmazásban elérhető a két lépcsős azonosítást lehetővé tevő O-key token, amely az internetbank biztonsági szintjét is emeli

- írták a Pénzcentrum megkeresésére.

JÓL JÖNNE 2 MILLIÓ FORINT?

Amennyiben 2 millió forintot igényelnél, 60 hónapos futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót, havi 42 034 forintos törlesztővel az UniCredit Bank nyújtja (THM 9,96%), de nem sokkal marad el ettől a CIB Bank 42 083 forintos törlesztőt (THM 10,01%) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)

A Budapest Banknál alapvetően az előre megadott kóddal lehet hitelesíteni magunkat, ám ahhoz, hogy olyan kedvezményezett részére tudjunk utalni, aki nincs elmentve a partnereink között, szükségünk van ezen felül a netbank jelszavunkra is. Ez jól példázza a különböző típusú azonosítási metódusok párhuzamos használatát. 

A Budapest Banknál hamarosan elérhető lesz biometrikus hitelesítési mód is, így az előre megadott kódunk helyett elég lesz az ujjlenyomatunkat használni a különböző funkciók eléréséhez, ám új partnernek való utaláshoz illetve új partner rögzítéséhez továbbra is szükség lesz a netbanki jelszavunkra is.

Az Unicredit Bank mobilbanki applikációjának első használatakor a hitelesítési folyamat része, hogy kapunk egy egyszeri kódot, ezt követően pedig előre megadott kódunkkal vagy az ujjlenyomatunkkal használhatjuk a különböző funkciókat. Ez alól kivételt jelent az utalás illetve az új kedvezményezett rögzítése. Ezekben az esetekben mind az előre megadott kódunkra, mind pedig az ujjlenyomatunkra szükség van, mely újabb példája annak, hogy egy érzékenyebb funkció, mint az utalás, magasabb szintű azonosítási folyamatot von maga után.

Az Unicredit sajtóválaszában megjegyezte, hogy alkalmazásuk Magyar Nemzeti Bank elvárásának megfelelően, legalább évente egyszer biztonsági tesztelésen esik át.

A K&H Banknál a hitelesítés folyamata megegyezik az összes funkció esetében. A Pénzcentrum kérdésére azt írták, hogy az előre megadott kód vagy ujjlenyomat a beépített szoftverees tokent indítja csak el, a tényleges belépés a token által, az eszköz adatait és egyéb tényezőket is tartalmazó egyedi, egyszeri kóddal történik a háttérben.

A Raiffeisen Banknál a belépéshez, a számlaadatok megtekintéséhez illetve az utalási történet előhívásához elegendő korábban megadott kódunkat használni, amennyiben utalni szeretnénk, ahhoz kapunk egy egyszeri kódot, melyet be kell ütnünk, hogy a rendszer végrehajtsa utasításunkat.

Az MKB Banknál az applikációjukba történő regisztráció során egyszeri kóddal hitelesíti az ügyfelet, melyet a bank rendszereiben rögzített telefonszámra küld el, továbbá meghatározott időközönként, a netes felületre való belépést más csatornán is jóvá kell hagynia az ügyfélnek.  Az MKB-s mobilbanki applikációban a belépéshez, a számlaadatok megtekintéséhez valamint az utalási történetünk ellenőrzéséhez az előre egyeztetett kódunkra vagy az ujjlenyomatunkra van szükség, utalni pedig az előre egyeztetett kódunk segítségével tudunk.

A megkeresett nyolc hazai nagybank közül az OTP Banknál nem válaszoltak konkrét kérdéseinkre (a weblapjuk mobilbiztonsággal foglalkozó részét ajánlották figyelmünkbe), az Erste Banktól pedig nem érkezett reakció cikkünk megjelenéséig.

A cikk elején hivatkozott írás az angol újságíró mobilbanki biztonsági tesztjéről ide kattintva érhető el.

NEKED AJÁNLJUK
PC BLOGGER & PODCASTER
Holdblog  |  2022. augusztus 20. 06:30
Egy szokatlan hatása az energiapiaci felfordulásnak az, amit a devizapiacokon látunk. A forint gyeng...
MEDIA1  |  2022. augusztus 19. 18:24
Az állami tévécsatorna januárban megújult msora az ünnepi hétvégén folytatódik.
Buxelliott  |  2022. augusztus 19. 07:59
 Szépen megindult az árfolyam a célzóna irányába, lehet a tervezettnél korábban éri el a jelzet...
MNB Intézet  |  2022. augusztus 17. 09:31
Kicsi az esélye, hogy jelents pénzügyi felfordulás indul el Kínában a mostani jelzáloghitelpiaci pro...
Nagy siker a közösségépítő agrárprogram: így fogadhatsz Te is örökbe egy birsalmafát

Hatalmas siker a birsalmafa-örökbefogadó program, az a cél pedig, hogy közösséget építsenek, egyre inkább beérni látszik.

Semmit nem ér csak az ötlet: sok magyar így rontja el az esélyeit arra, hogy a saját főnöke lehessen

Sokakat vonz az, hogy a saját főnöke legyen, ráadásul többen éreztük már úgy, hogy olyan ötlettel rukkoltunk elő, ami tényleg felpörgetné a piacot.

Alapvető hibákon úszik el a magyarok pénze: erre figyelj, ha nem akarsz legatyásodni

A mostani gazdasági helyzetbe szinte bármit megtennénk, hogy spóroljunk, azonban sokan tapasztalhatják azt, hogy hiába igyekeznek, még így is elfolyik a pénz a bankszámlájukról.

Ilyet még nem láttál: így adnák ki a magyar gyerekek kedvenc könyvét újra

Közösségi finanszírozással adnák ki újra a 2012-es év gyerekkönyvét, a Dobozvárost.

Erről ne maradj le!
NAPTÁR
Tovább
2022. augusztus 20. szombat
István
33. hét
KONFERENCIA
Tovább
Portfolio Future of Finance 2022
Októberben jön a magyar pénzügyi szakma nagy találkozója.
Energy Investment Forum 2022 - A MEKH szakmai támogatásával
Válság kontra klímacélok? Lesz miről beszélni az Energy Investment Forum-on!
Private Health Forum 2022
A hazai magánegészségügy legkiemelkedőbb konferenciája.
EZT OLVASTAD MÁR?