+++ Kérj egy Reggeli feketét! Heti háromszor küldjük neked. Nem linkgyűjtemény: olvasmány. +++
Renczes Ágoston
2020. szeptember 23. szerda, 11:28
Egy kisvállalkozó bankszámlájáról internetes csalók elutalták maguknak a teljes összeget. Kombinált módszerrel játszották ki a kétlépcsős azonosítást.

Attila egy éttermet üzemeltető kis céget vezet Nyugat-Magyarországon, közel az osztrák határhoz. A vállalkozása évek óta a Raiffeisen Bank ügyfele, Attila a cég pénzügyeit a bank online szolgáltatásain keresztül intézi. Július 22-én a cég bankszámláján levő teljes összeget,

 

több mint hat és félmillió forintot átutaltak egy olyan cég számlájára, amivel a vállalkozása korábban semmilyen kapcsolatban nem volt.

 

Az utalást nem Attila, és nem is a cég pénzügyeit intéző alkalmazottja kezdeményezte. Attila a tranzakciót csak napokkal később vette észre, amikor az egyébként 20 éve neki dolgozó, és akkor pár napja szabadságon lévő ügyintéző helyett bejelentkezett az internetbank-fiókba, hogy elintézzen néhány utalást. Amint felfedezte, hogy a cég összes pénze eltűnt a bankszámlájáról, Attila azonnal bejelentést tett a Raiffeisen-banknál, és a rendőrségen is feljelentést tett ismeretlen tettes ellen. A rendőrségi nyomozás még most is tart, a pénzintézet viszont kivizsgálta az esetet, és egyelőre úgy néz ki, Attila cégét nem kártalanítja a bank.

 

Kétlépcsős csalás

 

A Raiffeisen vizsgálata szerint – és Attila is így rekonstruálta az eseményeket – a csalás két lépésből állt.

 

Az első a klasszikus adathalászat esete volt: a cég alkalmazottja egy a bankéhoz hasonló hamis oldalon próbált belépni a pénzintézet internetbank-fiókjába. Ebbe úgy lehet bejelentkezni, hogy a felhasználó megadja az azonosító számsort és a jelszót, ezt követően a banknál rögzített telefonszámra kap egy SMS-t egy egyszer használatos kóddal. Ennek a begépelését követően lehet hozzáférni a számlához. 

 

Mivel Attila alkalmazottja a hamis oldalon adta meg az azonosító számsort és a jelszót is, így nem kapott SMS-t, mindössze annyi történt, hogy a hamis oldal egy idő után újra betöltött. Ilyenkor az alkalmazott újra megpróbált belépni az azonosító és a jelszó megadásával, ami ekkor már a csalóknál volt. Viszont ezek birtokában a csalók még nem férhettek hozzá a számlához: az egyszer használatos SMS vagy az okostelefonra letölthető mobiltoken pont ezt hivatott megakadályozni:

 

a belépéshez mindenképp szükség van a felhasználónál lévő telefonra.

 

Itt következett a csalás második lépése: a csalók vélhetően letöltötték a saját telefonjukra a bank mobilalkalmazását. Ahhoz, hogy az alkalmazást használni lehessen, egy regisztrációval össze kell kötni a bankszámlával. Ehhez értelemszerűen ugyanaz az azonosító számsor és jelszó szükséges, akivel a felhasználó a weboldalon is bejelentkezik az internetbankba. Mivel az azonosító és a jelszó már a csalók birtokában volt, elindították a regisztrációt az alkalmazásban. A regisztráció utolsó lépése, hogy a rendszer kiküld egy SMS-t a felhasználó telefonszámára egy egyszer használatos jelszóval, ami az alkalmazás aktiválására szolgál. A telefon azonban Attila alkalmazottjánál volt, ahhoz a csalók nem fértek hozzá. 

 

Az alkalmazás aktiváláshoz szükséges kódot tartalmazó SMS azonban hasonlít arra az üzenetre, amit a sima bejelenkezéskor kap a felhasználó: ugyanúgy egy nyolcjegyű betűsort tartalmaz, csak a szöveg különbözik: „A belépéshez szükséges egyszer használatos kódja” helyett „Mobil-token aktiváláshoz szükséges egyszer használatos jelszava” szerepel az üzenetben. 

 

Az alkalmazott, aki addig hiába próbált bejelentkezni az oldalra, abban a hitben, hogy végre a bejelentkezéshez szükséges kódot kapta meg, átsiklott a szöveg fölött és rutinból begépelte a nyolcjegyű betűsort a hamis oldalon a megfelelő helyre. Ezzel a csalók elől elhárult az utolsó akadály is.

 

A náluk lévő telefonra letöltött alkalmazásban befejezték a regisztrációt, és onnantól fogva hozzáfértek a számlához, utalást tudtak kezdeményezni, amit a mobilos alkalmazással alá is tudtak írni.

 

Ezt meg is tették: a csalók elutalták a számlán lévő összes pénzt egy kelet-magyarországi cég másik banknál vezetett számlájára, majd budapesti ATM-ekből több részletben készpénzben felvették a teljes összeget, szigorúan ügyelve arra, hogy ne látszódjon az arcuk a biztonsági kamera felvételén.

 

A bank szerint csak Attiláék hibáztak

 

A Raiffeisen Bank elutasította Attila panaszát. A pénzintézet indoklása szerint Attilának haladéktalanul jeleznie kellett volna, hogy a mobil-token aktiválásáról SMS-t kapott, miközben nem ő kezdeményezte az alkalmazás aktiválását. A bank álláspontja szerint a tranzakció az ügyfél súlyosan gondatlan eljárása miatt teljesülhetett, így Attiláék a bank részéről nem számíthatnak kártalanításra.

 

Attila elfogadja, hogy ők is figyelmetlenek voltak, de úgy érzi, a bank több ponton is beavatkozhatott volna még azután is, hogy a csalók már hozzáfértek a fiókhoz. Olyan cégnek indult az utalás, ami nincs benne a cégtörzsben; ekkora összeget soha nem utaltak korábban – sorolta a vállalkozó az Azonnalinak. Szerinte a bankkártya-használathoz hasonlóan itt is szigorúbb automata biztonsági intézkedésekre lenne szükség: ha a felhasználó szokásaitól élesen eltérő körülmények között próbálják használni a bankkártyát – például egy másik országban –, azt a rendszer automatikusan leállítja. Attila szerint ehhez hasonló protokollokat a bankszámlák esetében is be kellene vezetni.

 

Kifinomult módszerek

 

Az Azonnali megkérdezte Makay József kiberbiztonsági szakértőt is, hogy ő hogyan látja ezt az esetet. Makay szerint kellően kifinomult támadással még a kétfaktoros hitelesítés is kijátszható. A szakértő elmondta, hogy a mai mobil- és felhasználóközpontú világban egyre inkább arra van igény, hogy mobiltelefonról lehessen intézni a vásárlásokat és a pénzügyeket. Úgy gondolja, hogy ezeket nem lehet annyira biztonságossá tenni, hogy semmiképpen ne legyenek kijátszhatóak, és nem is érdemes őket a végtelenségig biztosítani, mert a cégeknek arra is ügyelni kell, hogy a biztonsági intézkedések ne tegyék tönkre a felhasználói élményt.

 

Makay kiemelte, hogy ebben a konkrét esetben

 

nem csupán ellopott adatokról van szó, amiket valahol tárolnak, és majd később felhasználnak, hanem itt a csalók aktívan figyelték, hogy mi történik a hamis bejelentkezési oldalon.

 

A szakértő úgy látja, hogy ebben az esetben a bank felelőssége valóban bajosan meghatározható, hiszen a pénzintézet az aktiváló kódot a saját ügyfelének küldte ki, és az egyértelműen tőle jutott el a harmadik félhez.

 

Egyre több hasonló eset lát napvilágot

 

Az utóbbi hónapokban több olyan esetről is lehetett olvasni, ahol az adathalászatot a telefonos csalással ötvözve játszották ki csalók a kétlépcsős azonosítást és fértek hozzá az áldozataik bankszámlájához. A 24.hu keddi cikke is egy ilyen csalást ismertet, amit még Attila eseténél is kifinomultabb módszerekkel követtek el. 

 

Ebben az esetben a csalók hamis ingatlanhirdetésen keresztül kerültek kapcsolatba az áldozattal, akit képküldés ürügyével szedték rá az arra, hogy letöltsön a számítógépére egy olyan alkalmazást, ami távoli asztali kapcsolatot létesített a számítógépe és a csalók számítógépe között. Az áldozat számítógépéhez hozzáférve a csalók könnyen megszerezték az internetbankba való bejelentkezéshez szükséges azonosítókat, de ebben az esetben is szükségük volt a mobiltelefonra SMS-ben kiküldött egyszer használatos kódra. 

 

A csalók erre – ahogy a 24.hu fogalmaz – krimibe illő módon tettek szert: hamis meghatalmazással, arra hivatkozva, hogy ellopták a telefont, a mobilszolgáltató fiókjában letiltatták az áldozat SIM-kártyáját, majd ugyanarra a telefonszámra új SIM-et igényeltek. Ezután már az egyszer használatos kódok is az ő telefonjukra érkeztek, így akadály nélkül le tudták nullázni az áldozataik bankszámláját. Az áldozatot a bankja, az MKB nem kártalanította, arra hivatkozva, hogy náluk semmilyen hiba nem történt.

 

Attila nem adja fel

 

Attila esete, ha ennél jóval egyszerűbb is, lényegében ugyanilyen: a csalóknak sikerült kijátszaniuk a kétlépcsős azonosítást. A vállalkozó mindössze az eset kiindulópontját nem tudja rekonstruálni: hogy hogyan került az alkalmazottja a hamis oldalra. Azt mondja, tömegével kapják az adathalász e-maileket, de tisztában vannak ezek veszélyével és ügyelnek rá, hogy ne nyissák meg őket.

 

Attila vállalkozását eleve érzékenyen érintette a koronavírus-válság, ez az eset pedig a cég működését, egyúttal a neki dolgozó 14 alkalmazott megélhetését is veszélyezteti. A rendőrségi nyomozás folyik, de mivel az ATM-ekből pénzt felvevő csalók ügyeltek arra, hogy ne lehessen őket beazonosítani a kamerafelvételeken, és valószínűleg körültekintően jártak el a céggel is, aminek a számlájára átultaták a pénzét, nem valószínű, hogy a nyomozás eredményre vezet. Attila egyelőre a Raiffeisen álláspontjába sem nyugszik bele: a bankkal évek óta kapcsolatban van, és legalább a méltányosságban bízik. 

 

A bankok az eddig nyilvánosságra került esetek során nem jártak el egységesen: az MKB bank nem kártalanította pórul járt ügyfelét, az OTP viszont két hasonló esetben is megtérítette az ügyfél kárát annak ellenére, hogy az ő álláspontjuk szerint sem történt hiba a bank részéről.

 

Az Azonnali telefonon érdeklődött a Bankszövetségnél, hogy mi lehet az oka az egyes bankok eltérő hozzáállásának a hasonló típusú csalások áldozataihoz, de többszöri próbálkozásra sem tudták nekünk kapcsolni az illetékest. E-mailben megkerestük a Raiffeisen bankot is, tőlük azt szerettük volna megtudni, milyen feltételek mellett kártalanítják a csalás áldozatául esett ügyfeleiket, illetve mik azok a körülmények, amik fennállása esetén valaki már nem számíthat a kártalanításra. De a bank sem megkeresésünk eredeti, sem meghosszabbított határidejéig nem válaszolt – ha fognak, természetesen visszatérünk a témára.

 

NYITÓKÉP: Pixabay

 

comments powered by Disqus
Hírszolgáltatás

A Marosvásárhelyi Rádió műsorvezetői csütörtök esténként sikeresen teremtenek olyan hangulatot, amiben a rádióhallgató azt érzi: egy mikrofontól mentes baráti beszélgetésbe csöppent bele.

Miközben a világ Joe Bidenra figyelt, az internet népe Bernie Sandersből csinált sztárt.

A közfeladatok ellátását veszélyeztető kormányzati intézkedésekről szóló kampány összesen 22 millió forintjába kerül a budapestieknek.

Korábban António Costa azt nyilatkozta, nem áldozná fel a most tanuló generációt, a katasztrofális járványadatok most más álláspontra terelték.

Az FFP2-szájmaszkok áfáját meg eltörölték.

A kormányinfón megtudtuk azt is, hogy később a háziorvosnál sem lehet majd regisztrálni a koronavírus elleni vakcinára.

A máltai miniszterelnök azt is fontosnak tartja, hogy az új okmány segítse, ne pedig akadályozza a szabad mozgást.

A hét kérdése

Még ugyan nem látni, mikor lesz vége a lockdownnak, de álmodozni azért lehet. A hét kérdésében pont ezt kell tenni!

Azért ide elnéznénk

Mi is, képzelheted. Gyere az Azonnali olvasói Facebook-csoportjába kibeszélni mindent!

Ezt is szerettétek

Megújult a Helyzet, az Azonnali podcastja! Prieger Zsolt, az Anima Sound System frontembere mesél cigányságról, vírusról és jellemfejlődésről.

Mennyire estek be az árak a fővárosban és vidéken? Érdemes várni a lakásvásárlással vagy eladással? Ingatlanpiaci szakértőkkel beszélgettünk a Helyzetben! Podcast.

A kormányra kerülő RMDSZ akár három minisztériumot is kaphat Romániában. A választáson meglepően jól szereplő szélsőjobboldal azonban a koalícióban is okozhat zavart.

A magyar kormánypárt egyre szorultabb helyzetben van a Néppártban, a vétó hatásait pedig elszámította Orbán Viktor. Helyzet Stefano Bottonival és Hegedűs Dániellel!

Leginkább úgy, hogy nem veszel semmit. A karácsonyi vásárlási láz beindulása előtt környezetvédelmi szakemberekkel jártunk utána, hogy lehetünk zöldebbek.

Milyen volt a jugoszláv néphadsereg katonájaként megélni a boszniai háború kitörését; miért éppen úgy születetett meg a béke, ahogy?

A Helyzet vendége Eric Weaver, a Debreceni Egyetem docense, akivel megbeszéltük, mit hozhat Magyarországnak, ha Joe Biden az USA elnöke.

Twitter megosztás Google+ megosztás