Sziasztok!
Ismerős a káhánál bankol. 1 hete letiltotta a bank a hozzáférését a netbankhoz, telefonos alkalmazáshoz mert valaki egy új telefonon keresztül akart hozzáférni az ő számlájához (ismerősnek almás telefonja van, az új eszköz pedig androidos). Elvileg ennél a banknál van egy azonosító és egy jelszó felírva valami kis kártyára és azzal kell regisztrálni új eszközt (lehet nem tökéletes minden infóm). Ezek az adatok valahol mélyen el vannak rejtve egy széfben, nem fért hozzá senki. Az telebankos ügyintéző szerint ukrán ip-ről jött a próbálkozás és több felhasználót is érint a probléma. Ugyanarról az ipről több azonosítóhoz próbáltak hozzáférni. A bank tiltotta a számlákhoz való hozzáférést.
Az ismerős nem adta ki a telepítési információit, nem hívta senki, hogy segítene neki mert baj van a számlájával, nem akart semmit fb-on eladni. Szóval elvileg nem hibázott ami miatt kikerülhetett bármilyen szenzitív infó.
Hogyan lehet megelőzni az ilyen helyzeteket?
Az ismerős hibázott vagy sem ?
Hogyan lehet, hogy mégis megvolt minden infó amivel hozzáférhetnek a számlához ?
Előre is köszönöm a válaszokat.
Hozzászólások
ha iphone akkor pegasus :)
ne internetezzen azon a telefonon amin bankol:)
volt mostanaban egy critical ios update, lehet nem rakta fel es mar kihasznaljak a bugot?
by default azt mondanam amugy hogy user error, valamit nem mond el (lehet nem szandekosan, csak nem gondol ra), de miota nekem is felnyomtak a paypalomat, mar nem mondom ezt se.
Lehetséges, hogy nem a legfrisebb a rendszere.
Kapott mostanában többször olyan üzenetet (sms-t) amiben krixkrax üzenet volt. Ezeket törölte.
https://www.forbes.com/sites/daveywinder/2023/06/02/warning-issued-for-…
+1 a user error-ra
https://naszta.hu
Jók ezek a sebezhetőségek. Ahogy nézem lehet ellenőrizni, hogy mennyire törtek meg.
iMazing MVT
99.99+ százalék, hogy az ügyfelet/gépét/telefonját törték meg valamivel és/vagy szerezték meg az adatait célzottan. Bankokból is szokott lenni néha-néha adatszivárgás, de nagyon-nagyon ritka.
https://iotguru.cloud
Eladta a régi telefonját ezzel az azonosítóval vagy valahova egyszer beírta egy scam oldalra 6-9 hónappal ezelőtt, akkor nem volt baj, most lett baj. Kapkodott és véletlenül rossz oldalra tévedt. Más is hozzáfért a papírhoz, felesége véletlenül ezt írta be egy minecraft user+pass párosba és a formátuma alapján felismerték azt.
Az énazonosító és epin kettőssel tud app-ot regisztrálni, az elsőt a bank generálja számlanyitáskor, a másikat ő állítja be ugyanekkor. A folyamat során majd mpin-t (5-12 szám) kell beállítani, és aktiválható a biometrikus azonosítás is. Az már baj lehet ha ua. epin és mpin, nem tudom ellenőrzi-e a rendszer. Az énazonosító utána gyakorlatilag nem kell semmi napi szintű művelethez, tehát kevéssé valószínű, hogy ez tőle kikerülne, hacsak nem hordozza magával elektronikusan rögzítve és törik az eszközt. Bár ha valaki ezt a kódot látva kitalálja, hogy az kh énazonosító az ügyes.
Pár hete simán regisztráltam a második k&h appot egy második telefonra. Nem kellet hozzá semmilyen számlával kapcsolatos adat sem. A két telefon nálam volt az egyiken már működött a banki app a másikra feltelepítettem és pár percen belül már azzal írtam alá a bankkártyás fizetést. Ha jól emlékszem akkor be kellet lépni a K&H ebank felületre és onnan kellett beolvasni egy QR kódot az új telefonnal ez tartalmazta a fiók adatait és utána engedélyezni kellett az újonnan hozzáadott eszközt az egyik menüpontban. Az aláírásokat az első telefonon működő appal csináltam.
Igen, ha mukodik a regi telon akkor igy fel lehet tenni ujra az alkalmazast. Az enkod akkor kell ha nincs mukodo mobilappod.
Domain, tárhely és webes megoldások: aWh
Na hol van most zeller, aki szerint a mobilbankolás az überbiztonságos?
Ezt a hozzaszolast nem ertem, alljunk vissza a "bemegyek a fiokba alairni az atutalast" szintre? Amugy nem ugy kezdodik a tema, hogy a bank letiltotta a hozzaferest? Ergo biztonsagos mivel nem veszett el penze az ugyfelnek.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ott a pont: Az, hogy geoip/egyéb kockázatelemzés alapján letiltásra került a mobil/netbank hozzáférése, az pont arra mutat, hogy a szokatlan tevékenység miatt a bank zárolta a hozzáférését.
Az biztos, hogy a számlához "hozzáengedett" mobil device cseréje olyan folyamat, amit harmadik fél az ügyfél tevőleges hozzájárulása vagy jelentős gondatlansága nélkül gyakorlatilag nem tud megtenni.
Jelen esetben 9x%, hogy egy bankfiókban tett látogatásra lesz szüksége, hogy azonosítsa magát az új hozzáférési adatok megadásához/átvételéhez, mivel nem lehet tudni, hogy milyen és mennyi információ jutott illetéktelen kezekbe. Sajnos az "elméletileg nem adta ki senkinek" az sokszor valóban csak elméletileg...
Nem, csak mindig az volt, hogy a webböngészős netbank az szar, mert phising url-el átbaszhatnak, bezzeg a mobil hardvere olyan biztonsági elemeket tartalmaz, ami miatt onnan aztán nem lopnak el semmit.
Letiltotta, persze, de ha csak mobilon bankolt, akkor hogy jutottak olyan információhoz, ami alapján le kellett őt tiltani?
Meg azért legalább a HUP-on ne csináljunk már úgy, mintha internet = csak mobil.
Kivancsi vagyok hol olvasol ilyeneket.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
"Hogyan lehet, hogy mégis megvolt minden infó amivel hozzáférhetnek a számlához ?" - A "megpróbáltak" az csak a usernév/jelszó (netbank) szint. Ha hozzá is fértek (azaz sikeresen lecserélték a hozzáférés 2FA-t adó mobileszközt, akkor ott azért felmerülnek kérdések - bár ha jól látom, iPhone, és ugye láttunk már olyan támadást, ahol a megtámadott felhasználó mobilja és almás gépe szinkronizálta az sms-eket, és a gépére került (akár hosszú ideig rejtőzködő) malware, ami lenyúlta a netbanki user/jelszó párost, és utána jól irányzott időpontban SMS-es 2FA-t kérve bejutott a netbankba, lecserélte a beállított 2FA-s mobil eszközt, a folyamat során érkezett sms-eket meg szépen kitakarította a gépről - amivel a telefonról is eltüntetett minden nyomot.
Akkor az nem is akkora, ördögtől való para. Ha, mondjuk a mobil appot csak! hitelesítésre használom. A többi műveletet meg Linux alatt, inkognitó módú böngészőből?
Az SMS szinkronizálást a különböző eszközök között pofonegyszerűen le lehet tiltani, de a káhá amúgy egy hitvány bank és simán el tudom képzelni, hogy őket nyomták meg és most az ügyfeleiket szívatják emiatt. Majd szépen visszatérnek a java alapú smart cardos webbankhoz és akkor nem kell aggódni a túl okos telefonok és túl hülye felhasználók miatt.
A chip kártyás megoldás nekem is hiányzik! Az volt az egyik legjobb ennél a banknál biztonság szempontjából.
Van annak is hátránya. Egyetlen eszköz, ha több helyről akarod használni, akkor vagy olyan notebook kell, amiben van beépített olvasó, vagy azt is magaddal kell cipelni. Mobillal meg nem tudod használni. Ezek csak a felhasználói oldalról kényelmetlenek. Banki oldalról nyilván magasabb költség a kártya fizikai előállítása, elküldése, valamint az olvasók kezelése (tudtommal külön pénzt nem kértek érte).
Érdekes lenne, ha mondjuk megtartották volna a kártyás megoldást, de az olvasót meg kellett volna venni, akkor vajon milyen arányban választották volna a felhasználók ezt a megoldást?
Nekem bőven megfelel a kártyaolvasó helyett a mobilban lévő sw-token. Jelszót, sms-t sose használtam.
Chip helyett nfc es a mobilt hasznalni olvasonak? Az nem lehet alternativa?
Domain, tárhely és webes megoldások: aWh
Mennyiben ad nagyobb biztonságot, mint a mobil-token? (Egyébként érdekes felvetés, alapvetően tetszik az ötlet. Tulajdonképpen a bankkártya is NFC, akár az is használható lehetne)
Azért egy fontos kérdés, hogy csak megpróbálták és a bank fraud rendszere jelzett vagy sikerült tovább is jutniuk a próbálkozásnál (pl: sikeres belépés)?
Ott a pont. Az mondjuk szinte biztos, hogy erre a kérdésre még az érintett ügyfelek sem fognak választ kapni. (Ha két lépéssel hátrébb lépve nézzük, akkor jogos, hogy nem...)
Pedig szerintem a GDPR alapján joguk van tudni, hogy illetéktelen hozzáfért-e az adataikhoz, márpedig sikeres belépés esetén igen.
Ilyen esetben adatvédelmi incidenst kell jelentsen a bank a NAIH felé.
Mit nevezünk adatvédelmi incidensnek, és mi a teendő ilyen esetben? - Európai Bizottság (europa.eu)
Szerintem ez esetben a felhasználót is értesíteni kell, amennyiben valaki sikeresen belépett.
Elvileg megbukott a regisztrálásnál az eszköz. Pénz nem veszett el. Viszont be kellett fáradni a bankfiókba egy azonosítás erejéig, amíg ez nem történt meg addig nem lehetett a számlához hozzáférni.
GeoIP és társai valóban jók lehetnek ilyen esetben.