Pénzcentrum • 2017. február 16. 05:41
Jó néhány kivetnivalót találni a magyar mobilbanki alkalmazásokban, legalábbis ha a biztonságról van szó - állítja a lapunkhoz eljutatott tanulmányára hivatkozva egy biztonságtechnikai cég. A bankok szerint az alkalmazásaik azonban teljesen biztonságosak.
Fénysebességgel fejlődik a technológia, hazánkban már százezrek intézhetik a pénzügyeiket az okostelefonjukon keresztül. Persze az okoseszközök elterjedésével együtt a csalók száma is megnövekedett. A kibertámadások egyre nagyobb veszélyt jelentenek, hiszen ma akár egyetlen pillanat alatt a telefonunkról is ellophatnak bármilyen adatot, vagyis akár a bankszámlánkhoz is hozzáférhetnek a bűnözők.
KATTINTS! Teszt: melyik a legjobb mobilbank Magyarországon?
Valóban veszélyes lenne a mobilbankolás?
Az App-Ray biztonságtechnikai cég lapunkhoz eljuttatott elemzése szerint bizony jó néhány kivetnivalót hagynak maguk után a magyar mobilbanki alkalmazások. A cég az android operációs rendszeren futó mobilalkalmazásokat vette górcső alá egy automata rendszer segítségével.
- tudta meg a Pénzcentrum az App-Ray Mobile Security munkatársától.
A vizsgált alkalmazásoknál többek között az alábbi hiányosságokat tárták fel:
- Egyes mobilbanki applikációk kommunikációjuk egy részét nem biztonságos, lehallgatható csatornákon folytatják, ezek pedig aggályokat vethetnek fel saját adataink és pénzünk biztonsága szempontjából
- Ráadásul több mobilbank nem biztonságos kapcsolódási pontokat biztosít más appok, telefonos szolgáltatások számára. Ez pedig azért probléma, mert ha kívülről el lehet indítani a mobilbankok bizonyos funkcióit, és nincs ez kellően levédve, a bankszámlaszámunk, a belépő kódunk vagy más személyes adatunk is könnyen kiszivároghat
- De van olyan mobilbank, ami a mikrofonunkhoz is hozzáférést kér, hogy hangutasításra is működni tudjon. Ez hasznos lehet, de mobilbankoknál meglehetősen szokatlan; egyúttal lehetőség nyílik visszaélésekre is: mivel a legtöbb Androidon ezt nem lehet felügyelni, így bármikor, akár a hálószobánk magányában is magától rögzíthet hangfelvételeket, tetszőleges módon
Egy gép mondja meg mi biztonságos és mi nem?
A számítógéppel történő elemzések pontosságáról már évek óta vitatkoznak a szakemberek. Az App-Ray álláspontja szerint valóban előfordulnak speciális estek, amelyek kézzel jobban elemezhetőek, viszont az általános tapasztaltuk az, hogy nagyobb mélységben és nagyobb részletességgel tudnak elemzéseket készíteni egy automata szoftver segítségével. Véleményük szerint a manuális tesztelésbe könnyen belecsúszhatnak emberi hibák, amelyeknek nagy részét egyébként szoftverek repetitív, monoton használatával végeznek.
Az elemzéssel kapcsolatban természetesen bankokat is megkerestük. Az egyik bank válaszában például vitathatónak nevezte számítógéppel történő elemzéseket, ugyanis elmondásuk szerint az automata eszközök gyakran adnak hamis eredményeket is, az eszköz minőségétől függően többet vagy kevesebbet. Egy alapos vizsgálathoz szerintük az eredményeket kiértékeléséhez szakértők is szükségesek, akik ismerik a konkrét alkalmazás egyedi tulajdonságait.
Mit szólnak ehhez a bankok?
Bár az érintett pénzintézetek nem ismerik a teljes tanulmányt, de elmondásuk szerint a mobilbanki alkalmazásaik teljes biztonsággal használhatóak. Ráadásul az általunk megkérdezett bankok válaszai szerint
Bár a hazai piacon még nem elterjedtek az ilyen kibertámadások, de nemzetközileg már bőven van rá példa. Egy újonnan felfedezett vírus például 94 különböző pénzügyi mobilapp belépési adatait volt képes ellopni. További részletekért KATTINS IDE.
A bankok az interneten keresztül nyújtott fizetési megoldások -így a mobilbanki alkalmazások- biztonságát az MNB 15/2015. sz. ajánlásának megfelelően kötelesek végezni. Az ajánlásban foglalt vizsgálatok, tesztelések elvégzése a bankok érdeke is. A sérülékenység vizsgálatok, a betörési tesztek -amelyeket etikus hackerek végeznek- felfedik azokat a biztonsági hibákat, hiányosságokat amelyeket a kiberbűnözők kihasználhatnának saját illegális céljaikra. A vizsgálat által feltárt hibákat természetesen javítani kell - ez nem is lehet kérdéses. A biztonsági vizsgálatokat legalább évente el kell végezni, és természetesen az alkalmazás változtatásakor is. Az ügyfelek biztonsági tesztelésen átesett mobilalkalmazást kapnak a bankoktól - tudtuk meg a Magyar Bankszövetségtől.
Persze kíváncsiak voltunk, a bankok pontosan milyen módszerekkel, eszközökkel garantálják a mobilalkalmazásaik biztonságát. Mutatjuk a válaszokat.
CIB Bank
- válaszolta a Pénzcentrum megkeresésére a CIB Bank.
Egy mobilalkalmazás kifejlesztése hatalmas csapatmunka, egyszerre dolgozik rajta a bank, amennyiben van, az anyabank és a társbankok, az alkalmazásfejlesztő cég, a digitális product designer (UX/UI) cég, etikus hackerek és külső tesztelők is. Csak az alkalmazáson legalább 100-an dolgoznak. Ehhez jön még hozzá a sales, a marketingkommunikáció, a termékes, a jogi és a kockázatkezelési csapat, így pedig már 100-nál is több emberről beszélhetünk.
A bank a mobilalkalmazás megfelelő biztonságához rendszeres vizsgálatokkal és tanácsadással járul hozzá. Vizsgálják az alkalmazás forráskódját, és penetrációs - vagyis feltörhetőségi teszteket is végeznek.
Erste Bank
- mondta el a Pénzcentrumnak az Erste Bank.
Az alkalmazás lehetséges hibáinak kiszűrésén etikus hackerek dolgoznak, vagyis olyan szakértők, akik a bank megbízásából vizsgálják az alkalmazásokat, ugyanolyan, vagy hasonló technológiákkal, mint a rosszindulatú támadók. A különbség azonban annyi, hogy az eredményeket és a problémák megoldási lehetőségét a hackerek ebben az esetben a pénzintézetnek adják át.
NULLA FORINTOS SZÁMLAVEZETÉS? LEHETSÉGES! MEGÉRI VÁLTANI!
Nem csak jól hangzó reklámszöveg ma már az ingyenes számlavezetés. A Pénzcentrum számlacsomag kalkulátorában ugyanis több olyan konstrukciót is találhatunk, amelyek esetében az alapdíj, és a fontosabb szolgáltatások is ingyenesek lehetnek. Nemrég három pénzintézet is komoly akciókat hirdetett, így jelenleg a CIB Bank, a Raiffeisen Bank, valamint az UniCredit Bank konstrukcióival is tízezreket spórolhatnak az ügyfelek. Nézz szét a friss számlacsomagok között, és válts pénzintézetet percek alatt az otthonodból. (x)
A mobilbanki alkalmazásoknak mindemellett meg kell felelnie a hitelintézeti törvény végrehajtási rendeleteinek, a Magyar Nemzeti Bank ajánlásainak és persze a mindenkori legjobb szakmai gyakorlatoknak is - tették hozzá.
OTP Bank
- tudta meg a Pénzcentrum.
A pénzintézet a mobilbank biztonságát számos módszerrel garantálja, ilyen például:
- Regisztrálásnál a kétfaktoros authentikáció, vagyis hitelesítés használata
- A jelszó komplexitásának vizsgálta - a bank nem engedi, hogy triviális jelszavakat használjunk, ráadásul 30 naponként jelszócsere figyelmeztetést is küldenek
- Egy adott számú belépési kísérlet után pedig törlik regisztrációnkat
- SSL/TLS-alapú, titkosított kommunikációt használnak
- és védik az alkalmazás által a készüléken tárolt lokális fájlokat, adatokat is
A biztonsági intézkedések sorát még sokáig sorolhatnánk. Az alkalmazás megbízhatóságát azonban az bizonyítja a legjobban, hogy már több, mint 260 ezer ügyfél rendelkezik érvényes SmartBank regisztrációval, ráadásul ez a szám havonta 5-10 ezerrel növekszik.
MKB Bank
Természetesen az MKB Bank is megfelel az MNB ajánlásainak, ráadásul idén februártól mobilbanki alkalmazásukban már ujjlenyomatos azonosításra is lehetőséget biztosítnak. Ez a biztonsági megoldás hazánkban még nem annyira elterjedt, de már néhány másik pénzintézet is használja.
A több évre visszanyúló gyakorlati tapasztalatok szerint ez egy kellően biztonságos azonosítási metódus. Ezt az is alátámasztja, hogy a google és az apple is operációs rendszer szinten integrálta és támogatja ezt a módszert.
- válaszoltam kérdésünkre az MKB Bank.
K&H Bank
- válaszolták megkeresésünkre.
A pénzintézet már a fejlesztési folyamatok során követi a biztonságos programfejlesztés általánosan elfogadott módszertani alapelveit és alkalmazza a vonatkozó legjobb iparági gyakorlatot. Az elkészült alkalmazást természetesen ők is tesztelik a gyakorlatban. A biztonsági vizsgálatokat külső, független, szakértő cégek végzik, a hazai és a nemzetközi információbiztonsági piac ismert és elismert szereplői.
Az alkalmazás csak akkor kerülhet az ügyfelekhez, ha minden biztonsági teszten átmegy. Ráadásul a biztonsági teszteket folyamatosan megismételik, a megfelelő védelmi szint fenntartása érdekében.
UniCredit Bank
- mondta el a bank.
Az UniCredit is arról számolt be lapunknak, hogy jelentős növekedést vár a mobilbanki alkalmazások elterjedését illetően. Hetente több ezer ügyfél aktiválja az alkalmazásukat.
Mit tehetünk mi?
Hiába biztonságosak azonban a mobilbanki applikációk, ha azokat nem használjuk kellően tudatosan. A pénzintézetek, a Magyar Bankszövetség és a Rendőrség ajánlásainak segítségével most összegyűjtöttük, mire érdemes figyelni, amikor a telefonunkat használjuk:
- Kizárólag ellenőrzött forrásból (Play Store, Apple Store) származó programokat telepítsük, és gondoskodjunk ezeknek a rendszeres frissítéséről is
- Csak jogtiszta, megbízható helyről beszerezett operációs rendszert használjuk és ezeket is rendszeresen frissítsük
- Minden esetben győződjünk meg arról, hogy valóban a saját bankunk alkalmazását használjuk
- Ha tudunk, akkor telepítsünk mobilunkra biztonsági programot, ami figyelmeztet minket a gyanús tevékenységekre
- Ne állítsuk be az alkalmazást úgy, hogy az automatikusan bejelentkezzen
- Bankkártyánk számát és PIN-kódját ne adjuk meg senkinek
- Amennyiben elhagyjuk a mobilunkat vagy megváltoztatjuk a telefonszámunkat, akkor értesítsük a bankunkat is
- SMS-ben és e-mailben se adjunk ki semmilyen számlánkkal kapcsolatos adatot
- Bankunk mobilalkalmazásának csatlakozásához mindig biztonságos Wi-Fi hálózatot használjunk
- Gyakran ellenőrizzük egyenlegünket
- Abban az estben, ha úgy érezzük, hogy azonosító adataink illetéktelenekhez kerültek, akkor kezdeményezzük ezek letiltását az ügyfélszolgálatokon keresztül, vagy a bankfiókban