+++ Kérj egy Reggeli feketét! Heti háromszor küldjük neked. Nem linkgyűjtemény: olvasmány. +++
Renczes Ágoston
2020. szeptember 23. szerda, 11:28
Egy kisvállalkozó bankszámlájáról internetes csalók elutalták maguknak a teljes összeget. Kombinált módszerrel játszották ki a kétlépcsős azonosítást.

Attila egy éttermet üzemeltető kis céget vezet Nyugat-Magyarországon, közel az osztrák határhoz. A vállalkozása évek óta a Raiffeisen Bank ügyfele, Attila a cég pénzügyeit a bank online szolgáltatásain keresztül intézi. Július 22-én a cég bankszámláján levő teljes összeget,

 

több mint hat és félmillió forintot átutaltak egy olyan cég számlájára, amivel a vállalkozása korábban semmilyen kapcsolatban nem volt.

 

Az utalást nem Attila, és nem is a cég pénzügyeit intéző alkalmazottja kezdeményezte. Attila a tranzakciót csak napokkal később vette észre, amikor az egyébként 20 éve neki dolgozó, és akkor pár napja szabadságon lévő ügyintéző helyett bejelentkezett az internetbank-fiókba, hogy elintézzen néhány utalást. Amint felfedezte, hogy a cég összes pénze eltűnt a bankszámlájáról, Attila azonnal bejelentést tett a Raiffeisen-banknál, és a rendőrségen is feljelentést tett ismeretlen tettes ellen. A rendőrségi nyomozás még most is tart, a pénzintézet viszont kivizsgálta az esetet, és egyelőre úgy néz ki, Attila cégét nem kártalanítja a bank.

 

Kétlépcsős csalás

 

A Raiffeisen vizsgálata szerint – és Attila is így rekonstruálta az eseményeket – a csalás két lépésből állt.

 

Az első a klasszikus adathalászat esete volt: a cég alkalmazottja egy a bankéhoz hasonló hamis oldalon próbált belépni a pénzintézet internetbank-fiókjába. Ebbe úgy lehet bejelentkezni, hogy a felhasználó megadja az azonosító számsort és a jelszót, ezt követően a banknál rögzített telefonszámra kap egy SMS-t egy egyszer használatos kóddal. Ennek a begépelését követően lehet hozzáférni a számlához. 

 

Mivel Attila alkalmazottja a hamis oldalon adta meg az azonosító számsort és a jelszót is, így nem kapott SMS-t, mindössze annyi történt, hogy a hamis oldal egy idő után újra betöltött. Ilyenkor az alkalmazott újra megpróbált belépni az azonosító és a jelszó megadásával, ami ekkor már a csalóknál volt. Viszont ezek birtokában a csalók még nem férhettek hozzá a számlához: az egyszer használatos SMS vagy az okostelefonra letölthető mobiltoken pont ezt hivatott megakadályozni:

 

a belépéshez mindenképp szükség van a felhasználónál lévő telefonra.

 

Itt következett a csalás második lépése: a csalók vélhetően letöltötték a saját telefonjukra a bank mobilalkalmazását. Ahhoz, hogy az alkalmazást használni lehessen, egy regisztrációval össze kell kötni a bankszámlával. Ehhez értelemszerűen ugyanaz az azonosító számsor és jelszó szükséges, akivel a felhasználó a weboldalon is bejelentkezik az internetbankba. Mivel az azonosító és a jelszó már a csalók birtokában volt, elindították a regisztrációt az alkalmazásban. A regisztráció utolsó lépése, hogy a rendszer kiküld egy SMS-t a felhasználó telefonszámára egy egyszer használatos jelszóval, ami az alkalmazás aktiválására szolgál. A telefon azonban Attila alkalmazottjánál volt, ahhoz a csalók nem fértek hozzá. 

 

Az alkalmazás aktiváláshoz szükséges kódot tartalmazó SMS azonban hasonlít arra az üzenetre, amit a sima bejelenkezéskor kap a felhasználó: ugyanúgy egy nyolcjegyű betűsort tartalmaz, csak a szöveg különbözik: „A belépéshez szükséges egyszer használatos kódja” helyett „Mobil-token aktiváláshoz szükséges egyszer használatos jelszava” szerepel az üzenetben. 

 

Az alkalmazott, aki addig hiába próbált bejelentkezni az oldalra, abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, átsiklott a szöveg fölött és rutinból begépelte a nyolcjegyű betűsort a hamis oldalon a megfelelő helyre. Ezzel a csalók elől elhárult az utolsó akadály is.

 

A náluk lévő telefonra letöltött alkalmazásban befejezték a regisztrációt, és onnantól fogva hozzáfértek a számlához, utalást tudtak kezdeményezni, amit a mobilos alkalmazással alá is tudtak írni.

 

Ezt meg is tették: a csalók elutalták a számlán lévő összes pénzt egy kelet-magyarországi cég másik banknál vezetett számlájára, majd budapesti ATM-ekből több részletben készpénzben felvették a teljes összeget, szigorúan ügyelve arra, hogy ne látszódjon az arcuk a biztonsági kamera felvételén.

 

A bank szerint csak Attiláék hibáztak

 

A Raiffeisen Bank elutasította Attila panaszát. A pénzintézet indoklása szerint Attilának haladéktalanul jeleznie kellett volna, hogy a mobil-token aktiválásáról SMS-t kapott, miközben nem ő kezdeményezte az alkalmazás aktiválását. A bank álláspontja szerint a tranzakció az ügyfél súlyosan gondatlan eljárása miatt teljesülhetett, így Attiláék a bank részéről nem számíthatnak kártalanításra.

 

Attila elfogadja, hogy ők is figyelmetlenek voltak, de úgy érzi, a bank több ponton is beavatkozhatott volna még azután is, hogy a csalók már hozzáfértek a fiókhoz. Olyan cégnek indult az utalás, ami nincs benne a cégtörzsben; ekkora összeget soha nem utaltak korábban – sorolta a vállalkozó az Azonnalinak. Szerinte a bankkártya-használathoz hasonlóan itt is szigorúbb automata biztonsági intézkedésekre lenne szükség: ha a felhasználó szokásaitól élesen eltérő körülmények között próbálják használni a bankkártyát – például egy másik országban –, azt a rendszer automatikusan leállítja. Attila szerint ehhez hasonló protokollokat a bankszámlák esetében is be kellene vezetni.

 

Kifinomult módszerek

 

Az Azonnali megkérdezte Makay József kiberbiztonsági szakértőt is, hogy ő hogyan látja ezt az esetet. Makay szerint kellően kifinomult támadással még a kétfaktoros hitelesítés is kijátszható. A szakértő elmondta, hogy a mai mobil- és felhasználóközpontú világban egyre inkább arra van igény, hogy mobiltelefonról lehessen intézni a vásárlásokat és a pénzügyeket. Úgy gondolja, hogy ezeket nem lehet annyira biztonságossá tenni, hogy semmiképpen ne legyenek kijátszhatóak, és nem is érdemes őket a végtelenségig biztosítani, mert a cégeknek arra is ügyelni kell, hogy a biztonsági intézkedések ne tegyék tönkre a felhasználói élményt.

 

Makay kiemelte, hogy ebben a konkrét esetben

 

nem csupán ellopott adatokról van szó, amiket valahol tárolnak, és majd később felhasználnak, hanem itt a csalók aktívan figyelték, hogy mi történik a hamis bejelentkezési oldalon.

 

A szakértő úgy látja, hogy ebben az esetben a bank felelőssége valóban bajosan meghatározható, hiszen a pénzintézet az aktiváló kódot a saját ügyfelének küldte ki, és az egyértelműen tőle jutott el a harmadik félhez.

 

Egyre több hasonló eset lát napvilágot

 

Az utóbbi hónapokban több olyan esetről is lehetett olvasni, ahol az adathalászatot a telefonos csalással ötvözve játszották ki csalók a kétlépcsős azonosítást és fértek hozzá az áldozataik bankszámlájához. A 24.hu keddi cikke is egy ilyen csalást ismertet, amit még Attila eseténél is kifinomultabb módszerekkel követtek el. 

 

Ebben az esetben a csalók hamis ingatlanhirdetésen keresztül kerültek kapcsolatba az áldozattal, akit képküldés ürügyével szedték rá az arra, hogy letöltsön a számítógépére egy olyan alkalmazást, ami távoli asztali kapcsolatot létesített a számítógépe és a csalók számítógépe között. Az áldozat számítógépéhez hozzáférve a csalók könnyen megszerezték az internetbankba való bejelentkezéshez szükséges azonosítókat, de ebben az esetben is szükségük volt a mobiltelefonra SMS-ben kiküldött egyszer használatos kódra. 

 

A csalók erre – ahogy a 24.hu fogalmaz – krimibe illő módon tettek szert: hamis meghatalmazással, arra hivatkozva, hogy ellopták a telefont, a mobilszolgáltató fiókjában letiltatták az áldozat SIM-kártyáját, majd ugyanarra a telefonszámra új SIM-et igényeltek. Ezután már az egyszer használatos kódok is az ő telefonjukra érkeztek, így akadály nélkül le tudták nullázni az áldozataik bankszámláját. Az áldozatot a bankja, az MKB nem kártalanította, arra hivatkozva, hogy náluk semmilyen hiba nem történt.

 

Attila nem adja fel

 

Attila esete, ha ennél jóval egyszerűbb is, lényegében ugyanilyen: a csalóknak sikerült kijátszaniuk a kétlépcsős azonosítást. A vállalkozó mindössze az eset kiindulópontját nem tudja rekonstruálni: hogy hogyan került az alkalmazottja a hamis oldalra. Azt mondja, tömegével kapják az adathalász e-maileket, de tisztában vannak ezek veszélyével és ügyelnek rá, hogy ne nyissák meg őket.

 

Attila vállalkozását eleve érzékenyen érintette a koronavírus-válság, ez az eset pedig a cég működését, egyúttal a neki dolgozó 14 alkalmazott megélhetését is veszélyezteti. A rendőrségi nyomozás folyik, de mivel az ATM-ekből pénzt felvevő csalók ügyeltek arra, hogy ne lehessen őket beazonosítani a kamerafelvételeken, és valószínűleg körültekintően jártak el a céggel is, aminek a számlájára átultaták a pénzét, nem valószínű, hogy a nyomozás eredményre vezet. Attila egyelőre a Raiffeisen álláspontjába sem nyugszik bele: a bankkal évek óta kapcsolatban van, és legalább a méltányosságban bízik. 

 

A bankok az eddig nyilvánosságra került esetek során nem jártak el egységesen: az MKB bank nem kártalanította pórul járt ügyfelét, az OTP viszont két hasonló esetben is megtérítette az ügyfél kárát annak ellenére, hogy az ő álláspontjuk szerint sem történt hiba a bank részéről.

 

Az Azonnali telefonon érdeklődött a Bankszövetségnél, hogy mi lehet az oka az egyes bankok eltérő hozzáállásának a hasonló típusú csalások áldozataihoz, de többszöri próbálkozásra sem tudták nekünk kapcsolni az illetékest. E-mailben megkerestük a Raiffeisen bankot is, tőlük azt szerettük volna megtudni, milyen feltételek mellett kártalanítják a csalás áldozatául esett ügyfeleiket, illetve mik azok a körülmények, amik fennállása esetén valaki már nem számíthat a kártalanításra. De a bank sem megkeresésünk eredeti, sem meghosszabbított határidejéig nem válaszolt – ha fognak, természetesen visszatérünk a témára.

 

NYITÓKÉP: Pixabay

 

comments powered by Disqus
Hírszolgáltatás

Ahogy nő a koronavírus-fertőzöttek száma, úgy gyűjtenek egyre többen közvetlen tapasztalatot a járványügyi intézkedésekről. Ez alól az Azonnali szerkesztősége sem volt kivétel. Podcast!

Az osztrák sajtóhoz eljutott információk szerint az éttermeknek be kell zárniuk.

A jelenlegi válság más mint a többi, a megoldás pedig a hitelezés felpörgetése bankoknak nyújtott állami segítséggel. A Spiegel Carmen Reinharttal, a világbank alelnökével készített interjút.

Szemereyné Pataki Klaudia szerint Kecskemét gócponttá vált, azonban ezt semmilyen nyilvános adat nem tudja alátámasztani. Megkérdeztük a hivataltól, hogy mi alapján nyilvánították a várost gócponttá.

A szlovák minisztrelnök már csak arra vágyik, hogy kivezesse az országát a slamasztikából. Hétvégén Szlovákiában letesztelik a teljes lakoságot.

A fővárosi önkormányzat a Nagykörút komplex megújítását tervezi, ebbe lehet beleszólni.

A hét kérdése

Egy hét múlva véget ér az amerikai elnökválasztás. Te kinek örülnél, ki győzzön?

Azért ide elnéznénk

Az ELTE Illyés Sándor Szakkollégiuma ebben a hónapban a borderline és a narcisztikus személyiségzavaról tart előadást. Mindezt online november 3-án 18 órakor.

Könnyűzenei konferencia online és koncertek az A38-on. A szokásos három nap helyett ezúttal csak egy napon, november 4-én.

Felkavaró, meghökkentő, komfortzónából kimozgató kiállítás november 22-ig, ami garantáltan nyomot hagy és továbbgondolásra sarkall.

Ezt is szerettétek

Sem Kirgizisztán, sem Bolívia nincs a világpolitikai érdeklődés középpontjában, pedig az utóbbi hetekben mindkét országban sorsfordító változások történtek. Ezekről szól az e heti Helyzet!

Léteznek-e valóban Fidesz-árvák, akiket meg tudnak szólítani? Hogy állnak az ellenzéki összefogáshoz? Hallgasd meg, hogy mit mondott erről Pálinkás József és Ábrahám Júlia! Podcast.

Szeptember eleje óta tart a SZFE-s egyetemfoglalás. Mi tartja a lelket az őrt állókban, mennyire zavarodott meg a hatalom a váratlan akciójuktól, és hogyan látják a következő hónapokat? Podcast!

Tudatosan és szolidárisan viselkedtünk: megbíztunk a tudományban és nem engedtünk a csoportnyomásnak, mi több, néha éppen rácáfoltunk minden várakozásra. Járványszocio!

A Helyzetben az abaújkéri Wesley János Iskolába látogattunk, hogy megtudjuk: mit jelent az ott tanulóknak és a pedagógusoknak a kormány megszorítása.

Lesz-e még bármi ugyanolyan, mint a járvány előtt? Jól költi-e el az állam a gazdasági akcióterv támogatásait?

Balogh Ákos Gergely Index-főszerkhelyettes a Mérték Médiaelemző Műhely munkatársával, Urbán Ágnessel vitázott a Helyzetben.

Twitter megosztás Google+ megosztás