2017. szeptember 26. kedd Jusztina

Ezzel a trükkel fosztják ki csalók a bankszámládat: így védekezz ellene

Egy angol lap újságírója laboratóriumi körülmények között feltörette a mobiltelefonját, a labor szakemberei ujjlenyomata lemásolásával utaltak el pénzt a bankszámlájáról. Ennyivel veszélyesebb lenne jelszavak helyett ujjlenyomatot használni? Információ-biztonsági szakértő segítségével jártuk körbe a témát, és a magyar mobilbanki-appokat is górcső alá vettük.

Ahhoz, hogy hozzáférjünk rendszerekhez, évtizedek óta jelszavakat használunk, melyekkel sok probléma van

- mondta el a Pénzcentrumnak Krasznay Csaba információ-biztonsági szakértő, a Nemzeti Közszolgálati Egyetem adjunktusa.

A jelszavakkal kapcsolatban a szakember kétfajta problémahalmazt vázolt a Pénzcentrumnak. Az egyik, a felhasználói hanyagság, például, hogy sokan túl egyszerű jelszavakat használnak, melyeket nagyon könnyű feltörni. Ugyanebbe a problémakörbe tartozik, ha valaki sok rendszerhez ugyanazt a jelszót használja. Ez azért problémás, mert ha feltörnek egy rendszert, és így illetéktelen kezekbe kerül a felhasználó titkos kódja, akkor a jelszó birtokában más rendszerekben tárolt adatai is kompromittálódnak.

Jelszó nélkül olvassák az e-maileinket?

A másik problémakör ahhoz kapcsolódik, hogy a számítógépes rendszerek egy része rosszul van megírva, így a hitelesítés folyamatát lehet kicselezni. Ezt úgy lehet a legkönnyebben elképzelni, hogy nem magát a jelszót szerzik meg azok, akik hozzá akarnak férni az adatainkhoz, hanem abba a folyamatba illesztenek be egy hamis jelet, mely a rendszerben tárolt jelszót összehasonlítja a begépelt jelszóval. 

Ha valaki sikeresen feltöri a hitelesítés folyamatát, akkor hiába nem egyezik a begépelt jelszó a rendszerben tárolttal, a hitelesítés folyamata mégis sikeres lesz. Anélkül férnek hozzá tehát adatainkhoz illetéktelenek, hogy a jelszavunkat megismerték volna.

A biometrikus-hitelesítés az első problémát nagyjából kiküszöböli, hisz a kód nem egy általunk ismert adatra, tehát tudásra épül, hanem egy tulajdonságunkra, mint a retinánk, az ujjlenyomatunk vagy az ereink elhelyezkedése.

A második problémás helyzetre, tehát amikor a hitelesítési folyamatot törik fel, arra a biometrikus-hitelesítés sem nyújt gyógyírt, hisz az ilyen hitelesítési módot használó rendszereket is meg lehet rosszul írni. Krasznay Csaba azt is elmondta, hogy hitelesítési folyamattól függetlenül, egy rendszer akkor is gyanakodhat arra, hogy épp illetéktelen belépés zajlik, ha egyébként a hitelesítés folyamat sikeresen lezajlik. 

Ilyen eset lehet például, hogyha rövid időn belül két távoli földrajzi helyről próbálnak ugyanabba az email fiókba belépni. Ilyenkor sok rendszer gyanút fog, és szigorúbb hitelesítési eljárást léptet életbe. Ennek keretein belül nemcsak a kódunkat kell beütnünk, hanem olyan kérdésekre is válaszolnunk kell, amelyekre máskor nem. Ilyen további kérdés lehet például, hogy kik a leggyakoribb levelezőpartnereink, vagy egész egyszerűen honnan szoktunk általában belépni. Ha ezekre a kérdésekre is tudjuk a választ, az csökkenti annak az esélyét, hogy illetéktelenek próbálnak épp belépni a fiókunkba.

Egyszerre kettő, az a tuti

Visszatérve magához a hitelesítés folyamatához, nem úgy lehet biztonsági szintet lépni, ha a kódot mondjuk ujjlenyomatra cseréljük, hanem úgy, hogy a különböző elvre épülő metódusokat párhuzamosan használjuk.

Az számít erős hitelesítési folyamatnak, mely a tudás-, tulajdonság- és tulajdonalapú hitelesítésből egyszerre, egymástól függetlenül legalább kettőt használ

- közölte a Pénzcentrummal Krasznay Csaba. Ennek köszönhető az, hogy több banki mobilapplikáció esetében is van olyan műveletek, mely végrehajtásához nemcsak a kódunkra (tehát a tudásunk egy részére) vagy az ujjlenyomatunkra (tehát egy tulajdonságunkra) van szükség, de be kell írnunk egy egyszeri kódot is, melyet a telefonunkra küldenek el SMS-ben. Ezzel ugyanis tulajdonalapú hitelesítést is használ a bank, tehát csak akkor tudjuk a kért műveletet végrehajtani, ha azt is bizonyítjuk, hogy hozzáférünk egy olyan telefonszámhoz, mely a bank rendszerei szerint hozzánk tartozik.

A mobilbanki applikációk esetében persze fölöslegesnek is tűnhet egy ilyen lépcső, hisz a telefon, amire egy utalás előtt az egyszeri kódot tartalmazó SMS-t kapjuk, ott van a kezünkben, de ha teszem azt egy idegen telefonról törték fel a banki hozzáférésünket, akkor egy ilyen hitelesítési lépcső megakadályozhatja azt, hogy pénzt utaljanak el a számlánkról.

Az információ-biztonsági szakember által elmondottak alapján összeállítottunk egy kérdőívet, melyet a nyolc legnagyobb magyar banknak küldtük el. Ebben azt vizsgáltuk, hogy a mobilbank-alkalmazásaikban, a különböző műveletek végrehajtásához milyen hitelesítési metódusokra van szükség, továbbá arra is kitért a kérdőív, hogy ezeket az hitelesítési lépéseket önállóan, vagy egymással párhuzamosan kell-e használni.

Kódok, ujjlenyomatok, SMS-ek: ez a hazai helyzet

A CIB Banknál regisztráció kell a mobilbanki alkalmazűs használatához, ezután az egyszeri lépés után minden vizsgált funkióhoz elegendő vagy az előre egyeztetett mobilbanki PIN kódot, vagy az ujjlenyomatunkat megadni. A számlaegyenleg megtekintéshez a widgeten keresztül nem szükséges hitelesítés.
Sajtóválaszukban leírták azt is, hogy különböző csalás- és visszaélés-megelőzési folyamatokat is használnak, valamint folyamatosan fejlesztik biztonsági megoldásaikat. 

Bankunk többek között külső szakértőket is alkalmaz az elektronikus csatornák tesztelésére és az esetleges gyenge pontok kiszűrésére. A mobilalkalmazásban elérhető a két lépcsős azonosítást lehetővé tevő O-key token, amely az internetbank biztonsági szintjét is emeli

- írták a Pénzcentrum megkeresésére.

A Budapest Banknál alapvetően az előre megadott kóddal lehet hitelesíteni magunkat, ám ahhoz, hogy olyan kedvezményezett részére tudjunk utalni, aki nincs elmentve a partnereink között, szükségünk van ezen felül a netbank jelszavunkra is. Ez jól példázza a különböző típusú azonosítási metódusok párhuzamos használatát. 

A Budapest Banknál hamarosan elérhető lesz biometrikus hitelesítési mód is, így az előre megadott kódunk helyett elég lesz az ujjlenyomatunkat használni a különböző funkciók eléréséhez, ám új partnernek való utaláshoz illetve új partner rögzítéséhez továbbra is szükség lesz a netbanki jelszavunkra is.

Az Unicredit Bank mobilbanki applikációjának első használatakor a hitelesítési folyamat része, hogy kapunk egy egyszeri kódot, ezt követően pedig előre megadott kódunkkal vagy az ujjlenyomatunkkal használhatjuk a különböző funkciókat. Ez alól kivételt jelent az utalás illetve az új kedvezményezett rögzítése. Ezekben az esetekben mind az előre megadott kódunkra, mind pedig az ujjlenyomatunkra szükség van, mely újabb példája annak, hogy egy érzékenyebb funkció, mint az utalás, magasabb szintű azonosítási folyamatot von maga után.

Az Unicredit sajtóválaszában megjegyezte, hogy alkalmazásuk Magyar Nemzeti Bank elvárásának megfelelően, legalább évente egyszer biztonsági tesztelésen esik át.

A K&H Banknál a hitelesítés folyamata megegyezik az összes funkció esetében. A Pénzcentrum kérdésére azt írták, hogy az előre megadott kód vagy ujjlenyomat a beépített szoftverees tokent indítja csak el, a tényleges belépés a token által, az eszköz adatait és egyéb tényezőket is tartalmazó egyedi, egyszeri kóddal történik a háttérben.

A Raiffeisen Banknál a belépéshez, a számlaadatok megtekintéséhez illetve az utalási történet előhívásához elegendő korábban megadott kódunkat használni, amennyiben utalni szeretnénk, ahhoz kapunk egy egyszeri kódot, melyet be kell ütnünk, hogy a rendszer végrehajtsa utasításunkat.

Az MKB Banknál az applikációjukba történő regisztráció során egyszeri kóddal hitelesíti az ügyfelet, melyet a bank rendszereiben rögzített telefonszámra küld el, továbbá meghatározott időközönként, a netes felületre való belépést más csatornán is jóvá kell hagynia az ügyfélnek.  Az MKB-s mobilbanki applikációban a belépéshez, a számlaadatok megtekintéséhez valamint az utalási történetünk ellenőrzéséhez az előre egyeztetett kódunkra vagy az ujjlenyomatunkra van szükség, utalni pedig az előre egyeztetett kódunk segítségével tudunk.

A megkeresett nyolc hazai nagybank közül az OTP Banknál nem válaszoltak konkrét kérdéseinkre (a weblapjuk mobilbiztonsággal foglalkozó részét ajánlották figyelmünkbe), az Erste Banktól pedig nem érkezett reakció cikkünk megjelenéséig.

A cikk elején hivatkozott írás az angol újságíró mobilbanki biztonsági tesztjéről ide kattintva érhető el.

Még nincs hozzászólás - Legyél te az első!
Ezt olvastad már?
11
22
33
 Kedvelem az oldalt

A címlapról ajánljuk

Kőgazdaggá válhatsz te is, ha pontosan követed ezt a 6 lépéses tervet
Nem a lottóról van szó, ez tényleg megvalósítható.


Feliratkozom a hírlevélre!

 

Itt a nagy népvándorlási körkép: közel 30 év tragédiái számokban

1990 óta sok olyan esemény történt, ami megrengette a világot. Ezek között pedig jócskán voltak olyanok, melyek hatására emberek tömegeinek kellett elhagyniuk otthonaikat. A lenti infografika az elmúlt...
 

Filléres csodaszer, amitől többet nem lesz herpeszed

Sok bölcsességet lehet tanulni a nagyszülőktől, tőlük lehet megszerezni a legfinomabb sütirecepteket is, és olyan házi praktikákat is el lehet tőlük lesni, ami nagyban megkönnyítheti a hétköznapjainkat....
NÉPSZERŰ
FRISS

Interspar

09.21-09.27
Országos

Spar

09.21-09.27
Országos

Lidl

09.21-09.27
Országos

Auchan

09.21-09.27
Országos

Aldi

09.21-09.27
Országos

Tesco

09.21-09.27
Országos

Spar, Interspar

Borkatalógus
09.06-09.27
Országos

Diego

09.01-09.30
Országos