Súlyos rés a mobilbanki appokban? Reagáltak a pénzintézetek

Pénzcentrum
2017. február 16. 05:41

Jó néhány kivetnivalót találni a magyar mobilbanki alkalmazásokban, legalábbis ha a biztonságról van szó - állítja a lapunkhoz eljutatott tanulmányára hivatkozva egy biztonságtechnikai cég. A bankok szerint az alkalmazásaik azonban teljesen biztonságosak.

Fénysebességgel fejlődik a technológia, hazánkban már százezrek intézhetik a pénzügyeiket az okostelefonjukon keresztül. Persze az okoseszközök elterjedésével együtt a csalók száma is megnövekedett. A kibertámadások egyre nagyobb veszélyt jelentenek, hiszen ma akár egyetlen pillanat alatt a telefonunkról is ellophatnak bármilyen adatot, vagyis akár a bankszámlánkhoz is hozzáférhetnek a bűnözők.

KATTINTS! Teszt: melyik a legjobb mobilbank Magyarországon?

Valóban veszélyes lenne a mobilbankolás?

Az App-Ray biztonságtechnikai cég lapunkhoz eljuttatott elemzése szerint bizony jó néhány kivetnivalót hagynak maguk után a magyar mobilbanki alkalmazások. A cég az android operációs rendszeren futó mobilalkalmazásokat vette górcső alá egy automata rendszer segítségével.

8 nagy pénzintézet mobilbankját vizsgáltuk meg, és elég nagy hiányosságokat találtunk. Az általános tapasztalatunk az, hogy a fejlesztők nem mindig tesznek meg mindent annak érdekében, hogy az adataink és ez által a pénzünk megfelelő biztonságban legyen

- tudta meg a Pénzcentrum az App-Ray Mobile Security munkatársától.

A vizsgált alkalmazásoknál többek között az alábbi hiányosságokat tárták fel:

  • Egyes mobilbanki applikációk kommunikációjuk egy részét nem biztonságos, lehallgatható csatornákon folytatják, ezek pedig aggályokat vethetnek fel saját adataink és pénzünk biztonsága szempontjából
  • Ráadásul több mobilbank nem biztonságos kapcsolódási pontokat biztosít más appok, telefonos szolgáltatások számára. Ez pedig azért probléma, mert ha kívülről el lehet indítani a mobilbankok bizonyos funkcióit, és nincs ez kellően levédve, a bankszámlaszámunk, a belépő kódunk vagy más személyes adatunk is könnyen kiszivároghat
  • De van olyan mobilbank, ami a mikrofonunkhoz is hozzáférést kér, hogy hangutasításra is működni tudjon. Ez hasznos lehet, de mobilbankoknál meglehetősen szokatlan; egyúttal lehetőség nyílik visszaélésekre is: mivel a legtöbb Androidon ezt nem lehet felügyelni, így bármikor, akár a hálószobánk magányában is magától rögzíthet hangfelvételeket, tetszőleges módon

Egy gép mondja meg mi biztonságos és mi nem?

A számítógéppel történő elemzések pontosságáról már évek óta vitatkoznak a szakemberek. Az App-Ray álláspontja szerint valóban előfordulnak speciális estek, amelyek kézzel jobban elemezhetőek, viszont az általános tapasztaltuk az, hogy nagyobb mélységben és nagyobb részletességgel tudnak elemzéseket készíteni egy automata szoftver segítségével. Véleményük szerint a manuális tesztelésbe könnyen belecsúszhatnak emberi hibák, amelyeknek nagy részét egyébként szoftverek repetitív, monoton használatával végeznek.

Az elemzéssel kapcsolatban természetesen bankokat is megkerestük. Az egyik bank válaszában például vitathatónak nevezte számítógéppel történő elemzéseket, ugyanis elmondásuk szerint az automata eszközök gyakran adnak hamis eredményeket is, az eszköz minőségétől függően többet vagy kevesebbet. Egy alapos vizsgálathoz szerintük az eredményeket kiértékeléséhez szakértők is szükségesek, akik ismerik a konkrét alkalmazás egyedi tulajdonságait.

Mit szólnak ehhez a bankok?

Bár az érintett pénzintézetek nem ismerik a teljes tanulmányt, de elmondásuk szerint a mobilbanki alkalmazásaik teljes biztonsággal használhatóak. Ráadásul az általunk megkérdezett bankok válaszai szerint

egy esetben sem fordult még elő, hogy az ügyfeleiket valamilyen kár érte volna esetleg egy nem megfelelően biztosított mobilbanki alkalmazás miatt.

Bár a hazai piacon még nem elterjedtek az ilyen kibertámadások, de nemzetközileg már bőven van rá példa. Egy újonnan felfedezett vírus például 94 különböző pénzügyi mobilapp belépési adatait volt képes ellopni. További részletekért KATTINS IDE.

Kik és hogyan ellenőrzik, hogy a mobilbankok valóban biztonságosak?

A bankok az interneten keresztül nyújtott fizetési megoldások -így a mobilbanki alkalmazások- biztonságát az MNB 15/2015. sz. ajánlásának megfelelően kötelesek végezni. Az ajánlásban foglalt vizsgálatok, tesztelések elvégzése a bankok érdeke is. A sérülékenység vizsgálatok, a betörési tesztek -amelyeket etikus hackerek végeznek- felfedik azokat a biztonsági hibákat, hiányosságokat amelyeket a kiberbűnözők kihasználhatnának saját illegális céljaikra. A vizsgálat által feltárt hibákat természetesen javítani kell - ez nem is lehet kérdéses. A biztonsági vizsgálatokat legalább évente el kell végezni, és természetesen az alkalmazás változtatásakor is. Az ügyfelek biztonsági tesztelésen átesett mobilalkalmazást kapnak a bankoktól - tudtuk meg a Magyar Bankszövetségtől.

Persze kíváncsiak voltunk, a bankok pontosan milyen módszerekkel, eszközökkel garantálják a mobilalkalmazásaik biztonságát. Mutatjuk a válaszokat.

CIB Bank

Bankunk elektronikus rendszerei - köztük a CIB Bank mobilalkalmazás is - maximálisan biztonságosak. Informatikai rendszereinek biztonságára és védelmére kiemelt figyelmet fordítunk, ennek megfelelően folyamatosan külső szakértőket bízunk meg elektronikus csatornáink biztonságának tesztelésére és védelmi szintjének megfelelő szinten tartására

- válaszolta a Pénzcentrum megkeresésére a CIB Bank.

Egy mobilalkalmazás kifejlesztése hatalmas csapatmunka, egyszerre dolgozik rajta a bank, amennyiben van, az anyabank és a társbankok, az alkalmazásfejlesztő cég, a digitális product designer (UX/UI) cég, etikus hackerek és külső tesztelők is. Csak az alkalmazáson legalább 100-an dolgoznak. Ehhez jön még hozzá a sales, a marketingkommunikáció, a termékes, a jogi és a kockázatkezelési csapat, így pedig már 100-nál is több emberről beszélhetünk.

A bank a mobilalkalmazás megfelelő biztonságához rendszeres vizsgálatokkal és tanácsadással járul hozzá. Vizsgálják az alkalmazás forráskódját, és penetrációs - vagyis feltörhetőségi teszteket is végeznek.

Erste Bank

A fejlesztési folyamatok úgy lettek kialakítva, hogy a Bank biztonsági követelményei maradéktalanul beépítésre kerüljenek az alkalmazásba. Valamennyi alkalmazás éles üzembe állítása előtt részletesen megvizsgáljuk a lehetséges sérülékenységeket, és amennyiben bármilyen szintű hibát találunk, azok éles üzembe állítás előtt maradéktalanul kijavításra is kerülnek. Mindezek mellett rendszeres sérülékenység vizsgálatot is végzünk az alkalmazásainkon

- mondta el a Pénzcentrumnak az Erste Bank.

Az alkalmazás lehetséges hibáinak kiszűrésén etikus hackerek dolgoznak, vagyis olyan szakértők, akik a bank megbízásából vizsgálják az alkalmazásokat, ugyanolyan, vagy hasonló technológiákkal, mint a rosszindulatú támadók. A különbség azonban annyi, hogy az eredményeket és a problémák megoldási lehetőségét a hackerek ebben az esetben a pénzintézetnek adják át.

JÓL JÖNNE 2,8 MILLIÓ FORINT?

Amennyiben 2 809 920 forintot igényelnél 5 éves futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót, havi 62 728 forintos törlesztővel a CIB Bank nyújtja (THM 12,86%), de nem sokkal marad el ettől az MBH Bank 62 824 forintos törlesztőt (THM 12,86%) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)

A mobilbanki alkalmazásoknak mindemellett meg kell felelnie a hitelintézeti törvény végrehajtási rendeleteinek, a Magyar Nemzeti Bank ajánlásainak és persze a mindenkori legjobb szakmai gyakorlatoknak is - tették hozzá.

OTP Bank

A SmartBank mobilalkalmazás használata a technikai feltételeket teljesítő készülékek esetében biztonságos. Ugyanakkor a feltört (rooted, jailbreaked) készüléken történő használatból eredő esetleges károkért az OTP Bank nem vállal felelősséget

- tudta meg a Pénzcentrum.

A pénzintézet a mobilbank biztonságát számos módszerrel garantálja, ilyen például:

  • Regisztrálásnál a kétfaktoros authentikáció, vagyis hitelesítés használata
  • A jelszó komplexitásának vizsgálta - a bank nem engedi, hogy triviális jelszavakat használjunk, ráadásul 30 naponként jelszócsere figyelmeztetést is küldenek
  • Egy adott számú belépési kísérlet után pedig törlik regisztrációnkat
  • SSL/TLS-alapú, titkosított kommunikációt használnak
  • és védik az alkalmazás által a készüléken tárolt lokális fájlokat, adatokat is

A biztonsági intézkedések sorát még sokáig sorolhatnánk. Az alkalmazás megbízhatóságát azonban az bizonyítja a legjobban, hogy már több, mint 260 ezer ügyfél rendelkezik érvényes SmartBank regisztrációval, ráadásul ez a szám havonta 5-10 ezerrel növekszik.

MKB Bank

Természetesen az MKB Bank is megfelel az MNB ajánlásainak, ráadásul idén februártól mobilbanki alkalmazásukban már ujjlenyomatos azonosításra is lehetőséget biztosítnak. Ez a biztonsági megoldás hazánkban még nem annyira elterjedt, de már néhány másik pénzintézet is használja.

A több évre visszanyúló gyakorlati tapasztalatok szerint ez egy kellően biztonságos azonosítási metódus. Ezt az is alátámasztja, hogy a google és az apple is operációs rendszer szinten integrálta és támogatja ezt a módszert.

Az ujjlenyomatról vett mintában felismerhető egyedi jellemzőket leíró adatokat tárolja a telefon biztonságos módon (ezekből maga az ujjlenyomat nem reprodukálható), és az egyes alkalmazások számára csak annyi információt ad vissza, hogy a felhasználó ujjlenyomata egyezik-e a tárolt ujjlenyomattal

- válaszoltam kérdésünkre az MKB Bank.

K&H Bank

A K&H Bank elektronikus szolgáltatásainál, így a K&H mobilbank alkalmazásnál is, mindig első és legfontosabb lépésünk a biztonság garantálása. A K&H Bank a mobilbank fejlesztése során (mint minden egyéb alkalmazás fejlesztése során is) kiemelt figyelmet fordít az elkészült programkód biztonságos működésére

- válaszolták megkeresésünkre.

A pénzintézet már a fejlesztési folyamatok során követi a biztonságos programfejlesztés általánosan elfogadott módszertani alapelveit és alkalmazza a vonatkozó legjobb iparági gyakorlatot. Az elkészült alkalmazást természetesen ők is tesztelik a gyakorlatban. A biztonsági vizsgálatokat külső, független, szakértő cégek végzik, a hazai és a nemzetközi információbiztonsági piac ismert és elismert szereplői.

Az alkalmazás csak akkor kerülhet az ügyfelekhez, ha minden biztonsági teszten átmegy. Ráadásul a biztonsági teszteket folyamatosan megismételik, a megfelelő védelmi szint fenntartása érdekében.

UniCredit Bank

A jelenkor biztonsági standardjait alkalmazzuk, melyek kiegészülnek a sérülékenység rendszeres vizsgálatával betörési tesztekkel

- mondta el a bank.

Az UniCredit is arról számolt be lapunknak, hogy jelentős növekedést vár a mobilbanki alkalmazások elterjedését illetően. Hetente több ezer ügyfél aktiválja az alkalmazásukat.

Mit tehetünk mi?

Hiába biztonságosak azonban a mobilbanki applikációk, ha azokat nem használjuk kellően tudatosan. A pénzintézetek, a Magyar Bankszövetség és a Rendőrség ajánlásainak segítségével most összegyűjtöttük, mire érdemes figyelni, amikor a telefonunkat használjuk:

  • Kizárólag ellenőrzött forrásból (Play Store, Apple Store) származó programokat telepítsük, és gondoskodjunk ezeknek a rendszeres frissítéséről is
  • Csak jogtiszta, megbízható helyről beszerezett operációs rendszert használjuk és ezeket is rendszeresen frissítsük
  • Minden esetben győződjünk meg arról, hogy valóban a saját bankunk alkalmazását használjuk
  • Ha tudunk, akkor telepítsünk mobilunkra biztonsági programot, ami figyelmeztet minket a gyanús tevékenységekre
  • Ne állítsuk be az alkalmazást úgy, hogy az automatikusan bejelentkezzen
  • Bankkártyánk számát és PIN-kódját ne adjuk meg senkinek
  • Amennyiben elhagyjuk a mobilunkat vagy megváltoztatjuk a telefonszámunkat, akkor értesítsük a bankunkat is
  • SMS-ben és e-mailben se adjunk ki semmilyen számlánkkal kapcsolatos adatot
  • Bankunk mobilalkalmazásának csatlakozásához mindig biztonságos Wi-Fi hálózatot használjunk
Soha ne csatlakozzunk nyilvános Wi-Fi hálózaton keresztül
  • Gyakran ellenőrizzük egyenlegünket
  • Abban az estben, ha úgy érezzük, hogy azonosító adataink illetéktelenekhez kerültek, akkor kezdeményezzük ezek letiltását az ügyfélszolgálatokon keresztül, vagy a bankfiókban

NEKED AJÁNLJUK
PC BLOGGER & PODCASTER
MEDIA1  |  2024. november 21. 09:37
A Fővárosi Törvényszék elutasította a Magyar RTL Televízió Zrt. a Médiatanáccsal szembeni keresetét...
Holdblog  |  2024. november 21. 07:52
Kezdetben a közösségi média csupán izgalmas újdonságnak tűnt, amiről senki sem gondolta volna, hogy...
Kiszámoló  |  2024. november 19. 10:13
Jó néha olyan összehasonlítást találni, ahol Magyarország nem a legrosszabbak egyike között van. Ily...
Kasza Elliott-tal  |  2024. november 15. 18:35
Havonta ránézek egyszer azokra a papírokra, amikből előbb vagy utóbb venni szeretnék. Általában a he...
Kihívásból lehetőség – Innováció a nyelvtanulásban gyerekeknek (x)

A Wörtering matricák megkönnyítik a nyelvtanulást a tanulási nehézségekkel küzdő gyerekeknek.

Sokkal több magyar gyereket bántanak így: igazi kegyetlen világ ez, bárki óriási bajba kerülhet

A "Pisztrángok, szevasztok!" című könyv az online zaklatás és egyéb digitális veszélyek témáját járja körül, különös tekintettel a 7-12 éves korosztályra.

Jön az V. Mindset Meetup hétvégén, építs te is kapcsolatokat, ne maradj le! (x)

Balogh Petya: Ennyi lelkes, inspirált fiatalt egy helyen még nem is láttam életemben.

Járt már homoktövis szüreten? Most megteheti! (x)

Nyílt homoktövis élményszüretet hirdet augusztus-szeptemberre egy Tápió-vidéki, többszörösen díjazott gazda.

Erről ne maradj le!
NAPTÁR
Tovább
2024. november 21. csütörtök
Olivér
47. hét
November 21.
"Helló!" Világnap
November 21.
Halászati világnap
Ajánlatunk
KONFERENCIA
Tovább
REA 2024 SUMMIT – Powered by Pénzcentrum
A magyar Real Estate Agent találkozó a Kalmárok közreműködésével
Future of Finance 2024
Mi lesz a szerepe a pénzügyekben az AI-nak?
Sustainable World 2024
Zöld finanszírozási lehetőségek, befektetési döntések, ESG megfelelés
EZT OLVASTAD MÁR?