13 °C Budapest

Súlyos rés a mobilbanki appokban? Reagáltak a pénzintézetek

Pénzcentrum
2017. február 16. 05:41

Jó néhány kivetnivalót találni a magyar mobilbanki alkalmazásokban, legalábbis ha a biztonságról van szó - állítja a lapunkhoz eljutatott tanulmányára hivatkozva egy biztonságtechnikai cég. A bankok szerint az alkalmazásaik azonban teljesen biztonságosak.

Fénysebességgel fejlődik a technológia, hazánkban már százezrek intézhetik a pénzügyeiket az okostelefonjukon keresztül. Persze az okoseszközök elterjedésével együtt a csalók száma is megnövekedett. A kibertámadások egyre nagyobb veszélyt jelentenek, hiszen ma akár egyetlen pillanat alatt a telefonunkról is ellophatnak bármilyen adatot, vagyis akár a bankszámlánkhoz is hozzáférhetnek a bűnözők.

KATTINTS! Teszt: melyik a legjobb mobilbank Magyarországon?

Valóban veszélyes lenne a mobilbankolás?

Az App-Ray biztonságtechnikai cég lapunkhoz eljuttatott elemzése szerint bizony jó néhány kivetnivalót hagynak maguk után a magyar mobilbanki alkalmazások. A cég az android operációs rendszeren futó mobilalkalmazásokat vette górcső alá egy automata rendszer segítségével.

8 nagy pénzintézet mobilbankját vizsgáltuk meg, és elég nagy hiányosságokat találtunk. Az általános tapasztalatunk az, hogy a fejlesztők nem mindig tesznek meg mindent annak érdekében, hogy az adataink és ez által a pénzünk megfelelő biztonságban legyen

- tudta meg a Pénzcentrum az App-Ray Mobile Security munkatársától.

A vizsgált alkalmazásoknál többek között az alábbi hiányosságokat tárták fel:

  • Egyes mobilbanki applikációk kommunikációjuk egy részét nem biztonságos, lehallgatható csatornákon folytatják, ezek pedig aggályokat vethetnek fel saját adataink és pénzünk biztonsága szempontjából
  • Ráadásul több mobilbank nem biztonságos kapcsolódási pontokat biztosít más appok, telefonos szolgáltatások számára. Ez pedig azért probléma, mert ha kívülről el lehet indítani a mobilbankok bizonyos funkcióit, és nincs ez kellően levédve, a bankszámlaszámunk, a belépő kódunk vagy más személyes adatunk is könnyen kiszivároghat
  • De van olyan mobilbank, ami a mikrofonunkhoz is hozzáférést kér, hogy hangutasításra is működni tudjon. Ez hasznos lehet, de mobilbankoknál meglehetősen szokatlan; egyúttal lehetőség nyílik visszaélésekre is: mivel a legtöbb Androidon ezt nem lehet felügyelni, így bármikor, akár a hálószobánk magányában is magától rögzíthet hangfelvételeket, tetszőleges módon

Egy gép mondja meg mi biztonságos és mi nem?

A számítógéppel történő elemzések pontosságáról már évek óta vitatkoznak a szakemberek. Az App-Ray álláspontja szerint valóban előfordulnak speciális estek, amelyek kézzel jobban elemezhetőek, viszont az általános tapasztaltuk az, hogy nagyobb mélységben és nagyobb részletességgel tudnak elemzéseket készíteni egy automata szoftver segítségével. Véleményük szerint a manuális tesztelésbe könnyen belecsúszhatnak emberi hibák, amelyeknek nagy részét egyébként szoftverek repetitív, monoton használatával végeznek.

Az elemzéssel kapcsolatban természetesen bankokat is megkerestük. Az egyik bank válaszában például vitathatónak nevezte számítógéppel történő elemzéseket, ugyanis elmondásuk szerint az automata eszközök gyakran adnak hamis eredményeket is, az eszköz minőségétől függően többet vagy kevesebbet. Egy alapos vizsgálathoz szerintük az eredményeket kiértékeléséhez szakértők is szükségesek, akik ismerik a konkrét alkalmazás egyedi tulajdonságait.

Mit szólnak ehhez a bankok?

Bár az érintett pénzintézetek nem ismerik a teljes tanulmányt, de elmondásuk szerint a mobilbanki alkalmazásaik teljes biztonsággal használhatóak. Ráadásul az általunk megkérdezett bankok válaszai szerint

egy esetben sem fordult még elő, hogy az ügyfeleiket valamilyen kár érte volna esetleg egy nem megfelelően biztosított mobilbanki alkalmazás miatt.

Bár a hazai piacon még nem elterjedtek az ilyen kibertámadások, de nemzetközileg már bőven van rá példa. Egy újonnan felfedezett vírus például 94 különböző pénzügyi mobilapp belépési adatait volt képes ellopni. További részletekért KATTINS IDE.

Kik és hogyan ellenőrzik, hogy a mobilbankok valóban biztonságosak?

A bankok az interneten keresztül nyújtott fizetési megoldások -így a mobilbanki alkalmazások- biztonságát az MNB 15/2015. sz. ajánlásának megfelelően kötelesek végezni. Az ajánlásban foglalt vizsgálatok, tesztelések elvégzése a bankok érdeke is. A sérülékenység vizsgálatok, a betörési tesztek -amelyeket etikus hackerek végeznek- felfedik azokat a biztonsági hibákat, hiányosságokat amelyeket a kiberbűnözők kihasználhatnának saját illegális céljaikra. A vizsgálat által feltárt hibákat természetesen javítani kell - ez nem is lehet kérdéses. A biztonsági vizsgálatokat legalább évente el kell végezni, és természetesen az alkalmazás változtatásakor is. Az ügyfelek biztonsági tesztelésen átesett mobilalkalmazást kapnak a bankoktól - tudtuk meg a Magyar Bankszövetségtől.

Persze kíváncsiak voltunk, a bankok pontosan milyen módszerekkel, eszközökkel garantálják a mobilalkalmazásaik biztonságát. Mutatjuk a válaszokat.

CIB Bank

Bankunk elektronikus rendszerei - köztük a CIB Bank mobilalkalmazás is - maximálisan biztonságosak. Informatikai rendszereinek biztonságára és védelmére kiemelt figyelmet fordítunk, ennek megfelelően folyamatosan külső szakértőket bízunk meg elektronikus csatornáink biztonságának tesztelésére és védelmi szintjének megfelelő szinten tartására

- válaszolta a Pénzcentrum megkeresésére a CIB Bank.

Egy mobilalkalmazás kifejlesztése hatalmas csapatmunka, egyszerre dolgozik rajta a bank, amennyiben van, az anyabank és a társbankok, az alkalmazásfejlesztő cég, a digitális product designer (UX/UI) cég, etikus hackerek és külső tesztelők is. Csak az alkalmazáson legalább 100-an dolgoznak. Ehhez jön még hozzá a sales, a marketingkommunikáció, a termékes, a jogi és a kockázatkezelési csapat, így pedig már 100-nál is több emberről beszélhetünk.

A bank a mobilalkalmazás megfelelő biztonságához rendszeres vizsgálatokkal és tanácsadással járul hozzá. Vizsgálják az alkalmazás forráskódját, és penetrációs - vagyis feltörhetőségi teszteket is végeznek.

Erste Bank

A fejlesztési folyamatok úgy lettek kialakítva, hogy a Bank biztonsági követelményei maradéktalanul beépítésre kerüljenek az alkalmazásba. Valamennyi alkalmazás éles üzembe állítása előtt részletesen megvizsgáljuk a lehetséges sérülékenységeket, és amennyiben bármilyen szintű hibát találunk, azok éles üzembe állítás előtt maradéktalanul kijavításra is kerülnek. Mindezek mellett rendszeres sérülékenység vizsgálatot is végzünk az alkalmazásainkon

- mondta el a Pénzcentrumnak az Erste Bank.

Az alkalmazás lehetséges hibáinak kiszűrésén etikus hackerek dolgoznak, vagyis olyan szakértők, akik a bank megbízásából vizsgálják az alkalmazásokat, ugyanolyan, vagy hasonló technológiákkal, mint a rosszindulatú támadók. A különbség azonban annyi, hogy az eredményeket és a problémák megoldási lehetőségét a hackerek ebben az esetben a pénzintézetnek adják át.

LAKÁST, HÁZAT VENNÉL, DE NINCS ELÉG PÉNZED? VAN OLCSÓ MEGOLDÁS!

A Pénzcentrum lakáshitel-kalkulátora szerint ma 10 millió forintot, 15 éves futamidőre, már 7,21 százalékos THM-el,  havi 89 803 forintos törlesztővel fel lehet venni a CIB Banknál. De nem sokkal marad el ettől a többi hazai nagybank ajánlata sem: az Erste Banknál 8,04% a THM, a Raiffeisen Banknál 8,09%; az UniCredit Banknál 8,12%,  a K&H Banknál 8,31%, akárcsak az OTP Banknál. Érdemes még megnézni magyar hitelintézetetek további konstrukcióit is, és egyedi kalkulációt végezni, saját preferenciáink alapján különböző hitelösszegekre és futamidőkre. Ehhez keresd fel a Pénzcentrum kalkulátorát. (x)

A mobilbanki alkalmazásoknak mindemellett meg kell felelnie a hitelintézeti törvény végrehajtási rendeleteinek, a Magyar Nemzeti Bank ajánlásainak és persze a mindenkori legjobb szakmai gyakorlatoknak is - tették hozzá.

OTP Bank

A SmartBank mobilalkalmazás használata a technikai feltételeket teljesítő készülékek esetében biztonságos. Ugyanakkor a feltört (rooted, jailbreaked) készüléken történő használatból eredő esetleges károkért az OTP Bank nem vállal felelősséget

- tudta meg a Pénzcentrum.

A pénzintézet a mobilbank biztonságát számos módszerrel garantálja, ilyen például:

  • Regisztrálásnál a kétfaktoros authentikáció, vagyis hitelesítés használata
  • A jelszó komplexitásának vizsgálta - a bank nem engedi, hogy triviális jelszavakat használjunk, ráadásul 30 naponként jelszócsere figyelmeztetést is küldenek
  • Egy adott számú belépési kísérlet után pedig törlik regisztrációnkat
  • SSL/TLS-alapú, titkosított kommunikációt használnak
  • és védik az alkalmazás által a készüléken tárolt lokális fájlokat, adatokat is

A biztonsági intézkedések sorát még sokáig sorolhatnánk. Az alkalmazás megbízhatóságát azonban az bizonyítja a legjobban, hogy már több, mint 260 ezer ügyfél rendelkezik érvényes SmartBank regisztrációval, ráadásul ez a szám havonta 5-10 ezerrel növekszik.

MKB Bank

Természetesen az MKB Bank is megfelel az MNB ajánlásainak, ráadásul idén februártól mobilbanki alkalmazásukban már ujjlenyomatos azonosításra is lehetőséget biztosítnak. Ez a biztonsági megoldás hazánkban még nem annyira elterjedt, de már néhány másik pénzintézet is használja.

A több évre visszanyúló gyakorlati tapasztalatok szerint ez egy kellően biztonságos azonosítási metódus. Ezt az is alátámasztja, hogy a google és az apple is operációs rendszer szinten integrálta és támogatja ezt a módszert.

Az ujjlenyomatról vett mintában felismerhető egyedi jellemzőket leíró adatokat tárolja a telefon biztonságos módon (ezekből maga az ujjlenyomat nem reprodukálható), és az egyes alkalmazások számára csak annyi információt ad vissza, hogy a felhasználó ujjlenyomata egyezik-e a tárolt ujjlenyomattal

- válaszoltam kérdésünkre az MKB Bank.

K&H Bank

A K&H Bank elektronikus szolgáltatásainál, így a K&H mobilbank alkalmazásnál is, mindig első és legfontosabb lépésünk a biztonság garantálása. A K&H Bank a mobilbank fejlesztése során (mint minden egyéb alkalmazás fejlesztése során is) kiemelt figyelmet fordít az elkészült programkód biztonságos működésére

- válaszolták megkeresésünkre.

A pénzintézet már a fejlesztési folyamatok során követi a biztonságos programfejlesztés általánosan elfogadott módszertani alapelveit és alkalmazza a vonatkozó legjobb iparági gyakorlatot. Az elkészült alkalmazást természetesen ők is tesztelik a gyakorlatban. A biztonsági vizsgálatokat külső, független, szakértő cégek végzik, a hazai és a nemzetközi információbiztonsági piac ismert és elismert szereplői.

Az alkalmazás csak akkor kerülhet az ügyfelekhez, ha minden biztonsági teszten átmegy. Ráadásul a biztonsági teszteket folyamatosan megismételik, a megfelelő védelmi szint fenntartása érdekében.

UniCredit Bank

A jelenkor biztonsági standardjait alkalmazzuk, melyek kiegészülnek a sérülékenység rendszeres vizsgálatával betörési tesztekkel

- mondta el a bank.

Az UniCredit is arról számolt be lapunknak, hogy jelentős növekedést vár a mobilbanki alkalmazások elterjedését illetően. Hetente több ezer ügyfél aktiválja az alkalmazásukat.

Mit tehetünk mi?

Hiába biztonságosak azonban a mobilbanki applikációk, ha azokat nem használjuk kellően tudatosan. A pénzintézetek, a Magyar Bankszövetség és a Rendőrség ajánlásainak segítségével most összegyűjtöttük, mire érdemes figyelni, amikor a telefonunkat használjuk:

  • Kizárólag ellenőrzött forrásból (Play Store, Apple Store) származó programokat telepítsük, és gondoskodjunk ezeknek a rendszeres frissítéséről is
  • Csak jogtiszta, megbízható helyről beszerezett operációs rendszert használjuk és ezeket is rendszeresen frissítsük
  • Minden esetben győződjünk meg arról, hogy valóban a saját bankunk alkalmazását használjuk
  • Ha tudunk, akkor telepítsünk mobilunkra biztonsági programot, ami figyelmeztet minket a gyanús tevékenységekre
  • Ne állítsuk be az alkalmazást úgy, hogy az automatikusan bejelentkezzen
  • Bankkártyánk számát és PIN-kódját ne adjuk meg senkinek
  • Amennyiben elhagyjuk a mobilunkat vagy megváltoztatjuk a telefonszámunkat, akkor értesítsük a bankunkat is
  • SMS-ben és e-mailben se adjunk ki semmilyen számlánkkal kapcsolatos adatot
  • Bankunk mobilalkalmazásának csatlakozásához mindig biztonságos Wi-Fi hálózatot használjunk
Soha ne csatlakozzunk nyilvános Wi-Fi hálózaton keresztül
  • Gyakran ellenőrizzük egyenlegünket
  • Abban az estben, ha úgy érezzük, hogy azonosító adataink illetéktelenekhez kerültek, akkor kezdeményezzük ezek letiltását az ügyfélszolgálatokon keresztül, vagy a bankfiókban

NEKED AJÁNLJUK
PC BLOGGER & PODCASTER
MEDIA1  |  2024. március 28. 13:01
Az állami televízió zenés-ifjúsági csatornája fiatalok igényeire szabott, aktuális témákat ígér.
Bankmonitor  |  2024. március 28. 11:47
A CSOK Plusznál – ahogy azt a korábbi lakástámogatási elemeknél már megszokhattuk – szám...
MNB Intézet  |  2024. március 28. 10:14
A szabadkereskedelmi konszenzus évtizedeiben a főáramú közgazdaságtan az állami beavatkozás és prote...
ChikansPlanet  |  2024. március 28. 09:40
Egy tech startup által tervezett innováció nemcsak a jövő energiaszükségletére kínál megoldást, hane...
Ilyen modellben még soha nem szerveztek ekkora rendezvényt (x)

Rekord gyorsasággal fogytak el a jegyek arra 400 fősre tervezett, fiataloknak szóló kapcsolatépítő és önfejlesztő rendezvényre, amelynél a szervezők a közösségi finanszírozás modelljével toboroztak.

Zsongtak és tolongtak a vevők a magyar Kickstarteren: rengetegen csaptak le erre az egyedülálló termékre

Az első hazai közösségi piactéren sikeresen célba ért egy mézes kampány, amelyben a vásárlás mellett egy hartai termelő kaptárait is örökbe lehetett fogadni.

Újraindul a STRT Holding inkubációs programja, a Launchpad

Az STRT Holding közleménye szerint 8+30 millió forint befektetés és tapasztalt mentorgárda várja a jelentkezőket.

Egykor kubai textilmunkásoktól volt hangos, most közösségi finanszírozásból újul meg a patinás budapesti gyárépület (x)

A hiánypótló naturális, és letisztult berendezési trendeket kedvelő fotós közösség számára a Nordix már nem ismeretlen.

Erről ne maradj le!
NAPTÁR
Tovább
2024. március 28. csütörtök
Gedeon, Johanna
13. hét
Március 28.
Nagycsütörtök
Ajánlatunk
KONFERENCIA
Tovább
GEN Z Fest 2024
Gyere el akár INGYEN a Z generáció tavaszi eseményére!
Retail Day 2024
Merre tovább, magyar kiskereskedelem?
EZT OLVASTAD MÁR?
Itt a Pénzcentrum App!
Clickbait-mentes címek és egyéb extrák a Pénzcentrum mobilapplikációban!
Most nem
Letöltöm