Ezzel a trükkel fosztják ki csalók a bankszámládat: így védekezz ellene

2017. szeptember 4. 05:30

Egy angol lap újságírója laboratóriumi körülmények között feltörette a mobiltelefonját, a labor szakemberei ujjlenyomata lemásolásával utaltak el pénzt a bankszámlájáról. Ennyivel veszélyesebb lenne jelszavak helyett ujjlenyomatot használni? Információ-biztonsági szakértő segítségével jártuk körbe a témát, és a magyar mobilbanki-appokat is górcső alá vettük.

Ahhoz, hogy hozzáférjünk rendszerekhez, évtizedek óta jelszavakat használunk, melyekkel sok probléma van

- mondta el a Pénzcentrumnak Krasznay Csaba információ-biztonsági szakértő, a Nemzeti Közszolgálati Egyetem adjunktusa.

A jelszavakkal kapcsolatban a szakember kétfajta problémahalmazt vázolt a Pénzcentrumnak. Az egyik, a felhasználói hanyagság, például, hogy sokan túl egyszerű jelszavakat használnak, melyeket nagyon könnyű feltörni. Ugyanebbe a problémakörbe tartozik, ha valaki sok rendszerhez ugyanazt a jelszót használja. Ez azért problémás, mert ha feltörnek egy rendszert, és így illetéktelen kezekbe kerül a felhasználó titkos kódja, akkor a jelszó birtokában más rendszerekben tárolt adatai is kompromittálódnak.

Jelszó nélkül olvassák az e-maileinket?

A másik problémakör ahhoz kapcsolódik, hogy a számítógépes rendszerek egy része rosszul van megírva, így a hitelesítés folyamatát lehet kicselezni. Ezt úgy lehet a legkönnyebben elképzelni, hogy nem magát a jelszót szerzik meg azok, akik hozzá akarnak férni az adatainkhoz, hanem abba a folyamatba illesztenek be egy hamis jelet, mely a rendszerben tárolt jelszót összehasonlítja a begépelt jelszóval. 

Ha valaki sikeresen feltöri a hitelesítés folyamatát, akkor hiába nem egyezik a begépelt jelszó a rendszerben tárolttal, a hitelesítés folyamata mégis sikeres lesz. Anélkül férnek hozzá tehát adatainkhoz illetéktelenek, hogy a jelszavunkat megismerték volna.

A biometrikus-hitelesítés az első problémát nagyjából kiküszöböli, hisz a kód nem egy általunk ismert adatra, tehát tudásra épül, hanem egy tulajdonságunkra, mint a retinánk, az ujjlenyomatunk vagy az ereink elhelyezkedése.

A második problémás helyzetre, tehát amikor a hitelesítési folyamatot törik fel, arra a biometrikus-hitelesítés sem nyújt gyógyírt, hisz az ilyen hitelesítési módot használó rendszereket is meg lehet rosszul írni. Krasznay Csaba azt is elmondta, hogy hitelesítési folyamattól függetlenül, egy rendszer akkor is gyanakodhat arra, hogy épp illetéktelen belépés zajlik, ha egyébként a hitelesítés folyamat sikeresen lezajlik. 

Ilyen eset lehet például, hogyha rövid időn belül két távoli földrajzi helyről próbálnak ugyanabba az email fiókba belépni. Ilyenkor sok rendszer gyanút fog, és szigorúbb hitelesítési eljárást léptet életbe. Ennek keretein belül nemcsak a kódunkat kell beütnünk, hanem olyan kérdésekre is válaszolnunk kell, amelyekre máskor nem. Ilyen további kérdés lehet például, hogy kik a leggyakoribb levelezőpartnereink, vagy egész egyszerűen honnan szoktunk általában belépni. Ha ezekre a kérdésekre is tudjuk a választ, az csökkenti annak az esélyét, hogy illetéktelenek próbálnak épp belépni a fiókunkba.

Egyszerre kettő, az a tuti

Visszatérve magához a hitelesítés folyamatához, nem úgy lehet biztonsági szintet lépni, ha a kódot mondjuk ujjlenyomatra cseréljük, hanem úgy, hogy a különböző elvre épülő metódusokat párhuzamosan használjuk.

Az számít erős hitelesítési folyamatnak, mely a tudás-, tulajdonság- és tulajdonalapú hitelesítésből egyszerre, egymástól függetlenül legalább kettőt használ

- közölte a Pénzcentrummal Krasznay Csaba. Ennek köszönhető az, hogy több banki mobilapplikáció esetében is van olyan műveletek, mely végrehajtásához nemcsak a kódunkra (tehát a tudásunk egy részére) vagy az ujjlenyomatunkra (tehát egy tulajdonságunkra) van szükség, de be kell írnunk egy egyszeri kódot is, melyet a telefonunkra küldenek el SMS-ben. Ezzel ugyanis tulajdonalapú hitelesítést is használ a bank, tehát csak akkor tudjuk a kért műveletet végrehajtani, ha azt is bizonyítjuk, hogy hozzáférünk egy olyan telefonszámhoz, mely a bank rendszerei szerint hozzánk tartozik.

A mobilbanki applikációk esetében persze fölöslegesnek is tűnhet egy ilyen lépcső, hisz a telefon, amire egy utalás előtt az egyszeri kódot tartalmazó SMS-t kapjuk, ott van a kezünkben, de ha teszem azt egy idegen telefonról törték fel a banki hozzáférésünket, akkor egy ilyen hitelesítési lépcső megakadályozhatja azt, hogy pénzt utaljanak el a számlánkról.

Az információ-biztonsági szakember által elmondottak alapján összeállítottunk egy kérdőívet, melyet a nyolc legnagyobb magyar banknak küldtük el. Ebben azt vizsgáltuk, hogy a mobilbank-alkalmazásaikban, a különböző műveletek végrehajtásához milyen hitelesítési metódusokra van szükség, továbbá arra is kitért a kérdőív, hogy ezeket az hitelesítési lépéseket önállóan, vagy egymással párhuzamosan kell-e használni.

Kódok, ujjlenyomatok, SMS-ek: ez a hazai helyzet

A CIB Banknál regisztráció kell a mobilbanki alkalmazűs használatához, ezután az egyszeri lépés után minden vizsgált funkióhoz elegendő vagy az előre egyeztetett mobilbanki PIN kódot, vagy az ujjlenyomatunkat megadni. A számlaegyenleg megtekintéshez a widgeten keresztül nem szükséges hitelesítés.
Sajtóválaszukban leírták azt is, hogy különböző csalás- és visszaélés-megelőzési folyamatokat is használnak, valamint folyamatosan fejlesztik biztonsági megoldásaikat. 

Bankunk többek között külső szakértőket is alkalmaz az elektronikus csatornák tesztelésére és az esetleges gyenge pontok kiszűrésére. A mobilalkalmazásban elérhető a két lépcsős azonosítást lehetővé tevő O-key token, amely az internetbank biztonsági szintjét is emeli

- írták a Pénzcentrum megkeresésére.

Bárkinek járhat ingyen 8-11 millió forint, ha nyugdíjba megy: egyszerű igényelni!

A magyarok körében évről-évre nagyobb népszerűségnek örvendenek a nyugdíjmegtakarítási lehetőségek, ezen belül is különösen a nyugdíjbiztosítás. Mivel évtizedekre előre tekintve az állami nyugdíj értékére, de még biztosítottságra sincsen garancia, úgy tűnik ez időskori megélhetésük biztosításának egy tudatos módja. De mennyi pénzhez is juthatunk egy nyugdíjbiztosítással 65 éves korunkban és hogyan védhetjük ki egy ilyen megtakarítással pénzünk elértéktelenedését? Minderre választ kaphatsz ebben a cikkben, illetve a Pénzcentrum nyugdíj megtakarítás kalkulátorában is. (x)

A Budapest Banknál alapvetően az előre megadott kóddal lehet hitelesíteni magunkat, ám ahhoz, hogy olyan kedvezményezett részére tudjunk utalni, aki nincs elmentve a partnereink között, szükségünk van ezen felül a netbank jelszavunkra is. Ez jól példázza a különböző típusú azonosítási metódusok párhuzamos használatát. 

A Budapest Banknál hamarosan elérhető lesz biometrikus hitelesítési mód is, így az előre megadott kódunk helyett elég lesz az ujjlenyomatunkat használni a különböző funkciók eléréséhez, ám új partnernek való utaláshoz illetve új partner rögzítéséhez továbbra is szükség lesz a netbanki jelszavunkra is.

Az Unicredit Bank mobilbanki applikációjának első használatakor a hitelesítési folyamat része, hogy kapunk egy egyszeri kódot, ezt követően pedig előre megadott kódunkkal vagy az ujjlenyomatunkkal használhatjuk a különböző funkciókat. Ez alól kivételt jelent az utalás illetve az új kedvezményezett rögzítése. Ezekben az esetekben mind az előre megadott kódunkra, mind pedig az ujjlenyomatunkra szükség van, mely újabb példája annak, hogy egy érzékenyebb funkció, mint az utalás, magasabb szintű azonosítási folyamatot von maga után.

Az Unicredit sajtóválaszában megjegyezte, hogy alkalmazásuk Magyar Nemzeti Bank elvárásának megfelelően, legalább évente egyszer biztonsági tesztelésen esik át.

A K&H Banknál a hitelesítés folyamata megegyezik az összes funkció esetében. A Pénzcentrum kérdésére azt írták, hogy az előre megadott kód vagy ujjlenyomat a beépített szoftverees tokent indítja csak el, a tényleges belépés a token által, az eszköz adatait és egyéb tényezőket is tartalmazó egyedi, egyszeri kóddal történik a háttérben.

A Raiffeisen Banknál a belépéshez, a számlaadatok megtekintéséhez illetve az utalási történet előhívásához elegendő korábban megadott kódunkat használni, amennyiben utalni szeretnénk, ahhoz kapunk egy egyszeri kódot, melyet be kell ütnünk, hogy a rendszer végrehajtsa utasításunkat.

Az MKB Banknál az applikációjukba történő regisztráció során egyszeri kóddal hitelesíti az ügyfelet, melyet a bank rendszereiben rögzített telefonszámra küld el, továbbá meghatározott időközönként, a netes felületre való belépést más csatornán is jóvá kell hagynia az ügyfélnek.  Az MKB-s mobilbanki applikációban a belépéshez, a számlaadatok megtekintéséhez valamint az utalási történetünk ellenőrzéséhez az előre egyeztetett kódunkra vagy az ujjlenyomatunkra van szükség, utalni pedig az előre egyeztetett kódunk segítségével tudunk.

A megkeresett nyolc hazai nagybank közül az OTP Banknál nem válaszoltak konkrét kérdéseinkre (a weblapjuk mobilbiztonsággal foglalkozó részét ajánlották figyelmünkbe), az Erste Banktól pedig nem érkezett reakció cikkünk megjelenéséig.

A cikk elején hivatkozott írás az angol újságíró mobilbanki biztonsági tesztjéről ide kattintva érhető el.

NEKED AJÁNLJUK
PC BLOGGER & PODCASTER
MEDIA1  |  2024. november 21. 19:23
Bár a jelek arra utaltak, hogy Ördög Nóráék lesznek a műsorvezetői, valójában Kasza Tibor kapta a fe...
Kiszámoló  |  2024. november 21. 18:39
Írtam a Curve-ről egy update cikket nemrég. Akkor vettem észre, hogy a Curve lehetőséget ad a bankká...
Holdblog  |  2024. november 21. 07:52
Kezdetben a közösségi média csupán izgalmas újdonságnak tűnt, amiről senki sem gondolta volna, hogy...
Kasza Elliott-tal  |  2024. november 15. 18:35
Havonta ránézek egyszer azokra a papírokra, amikből előbb vagy utóbb venni szeretnék. Általában a he...
Kihívásból lehetőség – Innováció a nyelvtanulásban gyerekeknek (x)

A Wörtering matricák megkönnyítik a nyelvtanulást a tanulási nehézségekkel küzdő gyerekeknek.

Sokkal több magyar gyereket bántanak így: igazi kegyetlen világ ez, bárki óriási bajba kerülhet

A "Pisztrángok, szevasztok!" című könyv az online zaklatás és egyéb digitális veszélyek témáját járja körül, különös tekintettel a 7-12 éves korosztályra.

Jön az V. Mindset Meetup hétvégén, építs te is kapcsolatokat, ne maradj le! (x)

Balogh Petya: Ennyi lelkes, inspirált fiatalt egy helyen még nem is láttam életemben.

Járt már homoktövis szüreten? Most megteheti! (x)

Nyílt homoktövis élményszüretet hirdet augusztus-szeptemberre egy Tápió-vidéki, többszörösen díjazott gazda.

Erről ne maradj le!
NAPTÁR
Tovább
2024. november 22. péntek
Cecília
47. hét
Ajánlatunk
KONFERENCIA
Tovább
REA 2024 SUMMIT – Powered by Pénzcentrum
A magyar Real Estate Agent találkozó a Kalmárok közreműködésével
Future of Finance 2024
Mi lesz a szerepe a pénzügyekben az AI-nak?
Sustainable World 2024
Zöld finanszírozási lehetőségek, befektetési döntések, ESG megfelelés
EZT OLVASTAD MÁR?