MBH Bank számla feltörés

Security-all

Érdeklődnék, hogy van-e köztünk olyan, akinek az MBH banknál vezetett számlájáról pénzt loptak el az utóbbi időben?

Ha igen, beszéljünk, hogy mik a tapasztalatok. Sajnos nálunk valaki így járt a családban, egy használt autó ára tűnt el.

Ha lezárul az eljárás, akkor megosztom a technikai részleteket.

Addig is mindenkit figyelmeztetek, hogy az MBH bank rendszere nem biztonságos, viszonylag egyszerűen kijátszható. 

Ha Te, vagy valamely családtagod ennél az intézménynél vezet számlát, akkor állíts be autentikáló sms-t mind a webes, mind az applikációs átutalásokhoz, illetve ellenőrizd, hogy be van-e ilyen állítva.

Érdemes a feleség, anyuka, nagymama, nagypapa beállításait átnézni,és felvilágosítani őket arról, hogyan működik az autentikáció.

UPDATE (1): NEM ÍRHATOM LE a pontos menetét a csalásnak, de elég jól ki lehet találni a fórumhozzászólások alapján.

UPDATE (2): A kiskapu már ismert volt a bank számára, amikor a családtagomtól elemelték a pénzt.

  • 3693 megtekintés

( Joejszaka v | 2025. 04. 16., sze – 00:06 )

Szerkesztve: 2025. 04. 16., sze – 00:08

Egy megjegyzés. Annyira egyszerűen törhető az MBH, hogy bárki, értsd bárki, megoldhatja a lopást viszonylag kevés munkával.

Persze lehet, h azóta javítottak valamit, hogy bejelentettük az ügyet, mert szerintem triviális lenne a bank részéről a javítás.

Egyrészt amennyiben a bank hibája a feltörhetőség, akkor ez erre az esetre nem áll, másrészt a banki alapbeállítás meg KELLENE hogy követelje a kétfaktoros authentikációt. De ha nem is követeli meg, akkor is mindent meg kellene tegyen, hogy a sima jelszavas belépést is biztonságossá tegye. Erre rengeteg eszköz áll egyébként rendelkezésre a 2 faktoros hitelesítésen túl is. Ameddig nem tudjuk, hogy ezek közül bármit is alkalmazott-e a bank, nem gondolom jogosnak a felhasználóra tolni a teljes felelősséget.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nem ugy van, hogy a PSD2-ben, hogy Strong Customer Authentication (SCA) az kovetelmeny?

"Article 97 – Authentication:

Application of Strong Customer Authentication: Payment service providers must apply SCA when the payer:

* Accesses their payment account online"

De ma mar egy pizzat se tudok rendelni 2FA nelkul :D

*Reklám: Biztonságos ajtó, értékei védelme érdekében két zárral!

Apró betű: A biztonság csak akkor garantált, ha mindkét zárat bezárja. 1 zár nem zár.

Elviszik a párnacihát, meglepett pikachu arc intensifies

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Ebben a példában az a burkolt feltételezés, hogy a két zár egyenértékű és a használatuk egyformán komplex. Viszont, egy átlagfelhasználó számára a 2 faktoros authentikáció nem egyenértékű komplexitásban a jelszavas authentikációval. Ha nekem csak a telefonomon van beállítva a második faktor, és az le van merülve, semmi más módom nincs belépni. És igen, lehetne a gépre is telepíteni, stb, de ennyire nem tudatos felhasználó még egy szakmabeli se sokszor. Lehet, hogy neked a mikrosütőn is van kétfaktoros hitelesítő app, de ne magadból indulj ki, mert az irreleváns.

Szóval, valójában a példád hülyeség ilyen szempontból, és nem alkalmazható a jelenlegi helyzetre.

Egyébként, ha már mindenképpen ebben az univerzumban akarod felrajzolni: az az ajtógyártó felelőssége, hogy mindkét zárat külön-külön is a lehetőségek adta legbiztonságosabbra csinálja. Mert ha a két zár közül az egyiket egy fogpiszkálóval ki lehet nyitni, és a másik zár csak normálisan, akkor valójában nem két egyenértékű zárunk van, hanem van egy semmit nem jelentő zárunk, meg van egy somewhat biztonságos. És ezen a ponton válik hülyeséggé, hogy "1 zár nem zár". 1 zár is kell, hogy adjon valamekkora biztonságot, de természetesen nem maximalizálja ki

Ugyanígy, a banknak felelőssége van abban, hogy a jelszavas authentikáció a lehető legbiztonságosabb legyen a saját kontextusában, és ezt a biztonságot fokozza a második faktor. Ha a jelszavas biztonság könnyen törhető, a második faktor sokkal kevesebbet segít a rendszer biztonságán. És ez az egyik hazugsága a szakmának, hogy "állíts be második faktoros authentikációt, és szignifikánsan emelkedik az alkalamzásod biztonsága" - valójában ebből egy szó nem igaz. Akkor emelkedik szignifikánsan az alkalmazás biztonsága, ha már alapból biztonságos volt. Amúgy meg csak lett plusz egy beviteli mező, ami csak zavarja a felhasználókat.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Azért, mert a te pénzed és nem a banké.

A bank vigyáz a saját pénzére, te meg vigyázol a magadéra.

Sajnos a hazai népesség még mindig azt várja el, hogy valaki más gondoskodjon róla és általában meglepődést okoz, ha kiderül, hogy elsősorban mindenki saját magáért felel.

Így van. Nem abból a szempontból vizsgálom a kérdést, hogy a második faktor hamisítható-e. Ha meghamisítják, akkor legfeljebb nem sikerül belépnem a felületre. Ha lenyúlják a második faktort, az izgalmasabb, de van első faktor, s nem 123456 szokott lenni a jelszavam.

Azt sokkal nagyobb problémának érzem, hogy nem ellenőrizhetem, mi zajlik a telefonon. A saját hardware-emen nem lehetek root, továbbá igen nagy a rólam, az életemről szóló információ koncentráció egy éppen általam nem ellenőrizhető eszközön, amelynek az infrastrukturális hátterét a világ legagresszívebb államának olyan cége adja, amelyik éppen az emberekről gyűjtött és azt rendszerezett, elemzett adatokból él.

Kösz, de nem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A biztonságos mobil app egy akkora képernyős telefonon fut, amit egyes emberek nem jól látnak. Innentől értelemszerűen kényelmesebb az 5-6 collos telefon helyett a 15-20-40 collos monitoron intézni a banki dolgokat - és ha azon bankol, minek rakja fel a banki appot?

Attól mert te nem vagy látássérült, más még lehet.

(Nekem speciel pont nem igényem a másoknál élni-nem-tud-nélküle banki app az egymillió funkciójával, de ha lenne egy valami csak az autentikációra, azzal már megvehetnének. Ahogy itt írta is valaki, a'la ügyfélkapu+ a totp-vel.)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A CIB-nél pont ugyan így van. A netbank belépés a CIB mobilapp által generált második faktorral lehetséges (ami minden kódnál kér biometrikus azonosítást, nem elég a feloldott telefonon elindítnia, mint pl. a legtöbb TOTP appot), és a tranzakciókat szintén ezzel a mobillappal kell jóváhagyni egy QR kód beolvasásával, majd biometriával megerősíteni.

A netbank belépés a CIB mobilapp által generált második faktorral lehetséges

:)

 

Itt (CIB) azért érdemes kicsit jobban megnézni a login processzt, mert szerintem bizony nincsen semmiféle 'második faktor'.

- a telefonos App, PIN kódot, vagy helyette újlenyomatot kér a belépéshez. - ez bizony csak egy 'faktor'

- ha a weben lépsz be, akkor a 'usernév' a CIB-es számlaszámod - amit én publikus adatként érelmezek - a jelszó helyett pedig a telefonos app-ból kell a TOTP kódot beírni.  - hát én bizony itt sem látok több faktort.

Utaláskor ugyan jóvá kell hagyni az app-pal, de ez ugyan az, mint amivel beléptél. Tehát ha az app (vagy az egész telefon) - akárhogyan is - de kompromittálodott, akkor bizony a user-ből hirtelen luser lehet...

 

Sajnálatos módon a tapasztalatom azt mutatja, hogy a bankok valójában szarnak a valós biztonságra, kizárólag a jogszabályoknak igyekeznek megfelelni, azoknak is a lehető leg minimálisabb költségekkel.

zrubi.hu

- a telefonos App, PIN kódot, vagy helyette újlenyomatot kér a belépéshez. - ez bizony csak egy 'faktor'

birtokolt eszköz + (biometrikus adat vagy jelszó), márpedig ez kettő, csak nem a jelszó szokott az opcionális faktor lenni

a jelszó helyett pedig a telefonos app-ból kell a TOTP kódot beírni

Itt nem úgy van, hogy a TOTP generátor appnak is kell egy PIN, ami nem derül ki a telefonon, hogy helyes-e? (mint a RSA soft-tokennél)

ez nagyon szépen mutat... papíron :)

gyakorlatban azonban továbbra is az van, hogy ha a telefonod kompromittálodott - az az egy darab eszköz - akkor akinél a kontroll van, az be tud lépni a bankodba, és jová tud hagyni bármit.

 

tehát a bank a telefonod biztosági rendszerére 'hárítja' a felelőséget.

 

(ettől függetlenül az is igaz, hogy továbbra is egyszerűbb átverni az embereket, mint meghekkelni a telefonjukat)

 

szerintem.

zrubi.hu

Ez pontosan így van.

De mégis hova tenné? A számítógépedre? Ott sincs jobb helyen, sőt.

Ha két szelet papírra írod le a két faktort külön és azokat a behatoló megszerzi akkor ugyanúgy elvitte a két faktorodat, ugyanúgy azt tesz amit akar. Biztonság (valószínűségek) és kényelem, ebben kell kompromisszumot kötni. 

A telefonokra "hárítás" szerintem egy indokolható döntés, a telefonok adnak viszonylag biztonságos "trust store"-t kellően nagy számban, tehát a lefedettség is megvan, a biztonsági frissítés is "megoldott", stb.

Létezik nyilván ennél nagyobb biztonság, vannak is helyek ahol ezt megkövetelik. Az biztos hogy drágább és jó eséllyel kényelmetlenebb is lesz.

Gábriel Ákos

- igen, elvileg így van. Viszont két éve már, hogy bevezették, de még a mai napig sem működik!!!

- annyit - és állandóan - módosítgatják, hogy igazából nem is tudom, hogy mit akarnak, hogy is kéne működnie!

- a másik probléma a CIB-nél, hogy szerződésileg nem akarják engedélyezni a desktop-os internet-banking-ot és hozzá második faktorként a CIB-es app-nak a 'withKEY'-s ellenőrző kódját. Ezt így két különálló eszköz is lenne, ami növelné a biztonságot. (Jelenleg éppen ezért harcolok.) Az alkalmazottak szerint csak a withKEY funkció és a desktop-os internet-banking nem engedélyezhető, csak úgy, hogyha a teljes CIB appot is engedélyezem. A CIB app azonban önmagában is teljes hozzáférést ad a számlához, így aztán a két fizikai készülék együttes alkalmazásának a biztonsága teljesen elveszik!

(Érdekes - és pozitív - hogy maga a CIB app (szerintem) jól van megtervezve, hisz biztosítani tudja ezt a két készülék együttes birtoklásának szükségességét.)

Érdekes - és pozitív - hogy maga a CIB app (szerintem) jól van megtervezve

Szerintem az nem jó terv, hogy az authentikátor és az netbank app amivel kezeled a bakszámládat ugyan az. Ez kizárólag problémát okozhat semmilyen előnye nem lehet. - max az occsósítás, így csak egy appot kell karbantartani.

 

Szerintem az authentikátornak - főként ha azt MFA-ként szeretnéd alkalmazni - teljesen függetlennek kell lennie.

De továbbmegyek a kizárólag 'saját' authentikátor app használatának lehetőse, már önmagában probléma. De ezt a 'hibát' sajnos sokan elkövetik, és fícsörként marketingelik.

 

De, persze lehet hogy én vagyok helikopter.

zrubi.hu

Irjuk fel akkor a támadást majd vizsgáljuk meg hogy mi fog történni:

Támadás: a támadó lemásolja a bank weboldalát és ezzel egy mim támadást hajt végre. A felhasználót elviszi a lemásolt oldalra. A felhasználó be akar lépni. Hogyan védekezünk ez ellen?

Feltételezés: a támadó a megszerzett adatokat időben be tudja írni a bank igazi weboldalán. A bank nem tud különbséget tenni az adatban.

Védendő asset: a belépéshez szükséges információ.

Siker kritérium: a támadó képes belépni a rendszerbe úgy, hogy a felhasználó erről nem szerez tudomást.

(1) Felhasználónév és jelszó:

A támadó elkapva a felhasználónév és jelszót belép a banki rendszerbe majd ott tranzakciókat hajt végre. Sikeres támadás.

(2) Felhasználónév és jelszó, SMS vagy TOTP kód:

A támadó elkapva a felhasználónevet és jelszót valamint a második faktort (hiszen ezeket mind bekéri a felhasználótól) belép a rendszerbe. Sikeres támadás. 

(3) Mobil alkalmazás:

A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.

Ezt igy szépen végig modellezik minden támadásra (mi van akkor ha kompromitállódik a mobil eszköz is, mi van ha...) és ebből ki fog szépen esni hogy mekkora effortot kell a támadónak belefektetni abba hogy megszerezze a hozzáférést. Minden rendszerhez lehet hozzáférést szerezni, a kérdés az hogy mekkora energiát kell belefektetni a támadásba.

https://owasp.org/www-community/Threat_Modeling

https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling

> A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.

Ez minimum véleményes, és teljesen ignorálja, hogy a mobil alkalmazás hogyan is működik.

Én eddig kétféle működéssel találkoztam:

  • A mobil alkalmazás kap egy push notifikációt, hogy hagyd jóvá a belépést. Rányomsz az értesítésre, bekéri a PIN/biometrikus faktort, beléptet -> sikeres támadás
  • A mobil alkalmazással le kell olvasni valamilyen kódot, ami validálja a belépést a banknál, majd ezután bekéri a PIN/biometrikus faktort, beléptet. Itt ugye ha a támadó valós időben tud visszafelé is kommunikálni (ki tudja jelezni a QR kódot a "fake" weboldalon is) akkor az app boldogan validálni fogja a belépést -> sikeres támadás.

A közös pont itt az, hogy valós időben kommunikáljunk a banki interfésszel, ha ezt meg tudja a támadó ugrani - és annyira nem is nehéz - akkor a banki oldalról legfeljebb azt tudod levédeni, hogy Magyarországon kívülről nem engeded a parasztot belépni, vagy nem lakossági internetszolgáltatói hálózatból nem engeded belépni. Azaz, lényegében, csak az ügyfél korlátozásával tudsz ezek ellen védekezni. Ez sajnos abból fakad, hogy a HTTP(S) állápotmentes protokoll, és az, hogy mégis tud állapota lenni, azt mindenféle körülmegoldással oldjuk meg.

Ezért megy orrba-szájba az edukáció, hogy figyeljünk a címsorra, legyünk biztosak, hogy jó weboldalon vagyunk, stb. Mert szerver oldalról ha lehet is védekezni a fake oldalak ellen, az komplex, és az eredményessége minimum kétséges. Ez ellen a 2 faktor se véd.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Eddig jogos, feltehetőleg be tud a támadó úgy lépni, hogy mindent lemásol (QR kódot is). Kérdés, hogy ezek után hogyan tovább. Tranzakció végrehajtása esetén (pl. átutalás) mondjuk kicseréli a címzettet (számlaszám elég, a nevet úgy se vizsgálja senki és semmi) esetleg még az összeget is valami szép nagyra. Az átutaláskor is visszajön a tranzakció engedélyezésre (QR kód vagy valami hasonló). Amennyiben a QR-kódot meg tudja úgy változtatni, hogy a számlatulajdonos által beadott adatok jöjjenek vissza a jóváhagyáshoz, akkor sikeres a támadás. Ennek mi az esélye?

Amikor mobil app segítségével bankolok akkor egy úgynevezett cert binding történik, azaz az alkalmazásba be van építve a bank tanúsítványa, ezért MIM támadást nem is tud külső fél végrehajtani, biztosítva van az hogy én a bankkal beszélgetek. Én ezért is javaslom mindenkinek hogy csak mobil alkalmazás segítségével bankoljon, mert ez adja a legnagyobb biztonságot.

Te egy másik esetről beszélsz, amikor valaki webről akar belépni, a weboldalon adja meg a felhasználónév és jelszót, de egy külső csatornán keresztül (egyedi mobil app, notification, engedélyezés) történik a belépés engedélyezése, vagy esetleg egy QR kódot bescannelve lép be. Ezek ellen már nagyon nehéz védekezni, ahogy le is írtad, de ez egy másik helyzet.

Erre egyébként az volt régen a megoldás hogy a bankok, stb. weboldalainál a böngésző jelezte hogy az egy biztonságos szerver-e, és ezt zöld színnel mutatta. Ez idővel megszűnt, pedig ez szerintem egy jó irány volt.

A belépésed megvan, utána ahhoz, hogy tranzakciót végezzen a támadó, kell egy újabb outband "kör", azaz újabb felhasználói interakció a mobilos app-ban, ahol megjelenik hogy mit hagy jóvá az ügyfél. Igen, az MNB azt is elvárná, hogyha az ügyfél nem olvassa el, milyen üzenet jön, mire jön a jóváhagyáskérés, akkor is védje meg a saját hülyeségétől a bank (Köcsög József: ne tudjon törölni, ha nem akar sztori - sajnos nem találom...)

Futottam már bele olyanba, hogy a webshop-os vásárlásnál a mobil app-os engedélyezésre 30 másodperc áll rendelkezésre. Amire a bank elvégzi az auth-ot és az app-on belül engedélyt adhatsz a tranzakcióra, addigra kezdheted elölről a vásárlást. (Volt, hogy egyáltalán nem ment "30" alatt, végül az ilyen módú vásárlásról kellett lemondanom.)

:)  -  Végül is.., úgy fogtam fel, hogy a bank így vigyáz a költekezésemre, a pénzemre. (Pár ilyen próbálkozás után kiderült, nem is olyan fontos az a vásárlás.)

Ahogy más is írta, K&H tudja. Tud persze teljeskörűen (majdnem) mindent, amit a webes e-bank, de annyit használsz belőle, amennyit akarsz, én elsősorban az autentikációt és jóváhagyásokat szoktam. Mást csak akkor, ha valamiért sürgős, és nem vagyok desktop-közelben.

No akkor már csak oda kéne eljutnia minden banknak, hogy betesz a kódba egy #ifdef BANKIAPP_LITE jellegű fordítást befolyásoló nyelvi elemet, és máris lehet 2 appja: egy az olyanoknak, akik valamiért ódzkodnak telefonon bankolni (de egy authot tudó minimalistát esetleg még elfogadnak a telefonjukon), meg egy az olyanoknak, akik rá vannak gyógyulva a gyufaskatulyaTV-re.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

+sok

Fogadjuk el, hogy az SMS nem annyira biztonságos, meg fogadjuk el azt is, hogy a bankok nem bíznak a szabványos TOTP authentikátorokban. Ezért az ajánlott módszer a bank mobilappja push notification-nel a második faktorra desktopos belépés esetén, akkor igazából ott vagyunk, hogy van egy teljes körű banki mobilapp a telefonon, amely mellé viszont már nem kell második faktor, hiszen egy eszközön ott van minden bejelentkezve. Tehát ha valaki a telefonhoz intéz remote control-t, akkor a telefonon keresztül történik simán a lopás. Tényleg nagyon kéne az, hogy banki mobilapp, de semmi mást nem lehet vele csinálni, csak második faktoros authentikációt.

Mármint hogy elvégezze a hitelesítést. Amit vagy ki lehet kerülni, vagy nem. (A mai napig árulnak ujjlenyomatolvasó nélküli okostelefont - persze az alsóbb szegmensben.)

Amúgy nyilván nem 0 költsége van ennek az ifdefnek, így kb. esélytelen arra számítani, hogy valamikor is elterjedjen.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A KH app simán megy egy pinkóddal is, az ügyintéző néni kicsit furcsán is nézett rám, hogy bekapcsoltam a biometrikust, szerintem úgy érezte, az kevésbé biztonságos. (Abban egyébként igaza volt, hogy mivel olyan nincs, hogy kizárólag biometrikus, pinnel mindig lehet, ezért valójában csak a risk faktort növeltem)

Ha ez igaz lenne, akkor viszont mégis milyen megoldást használjon a jelenlegi ügyfél? Nem szeretitek az sms-t 2. faktorként - de semelyik bank nem fogja eldobni a régi ügyfelet azzal, hogy kötelező telefonvásárlást ír neki elő, amelyik ráadásul még legyen ilyen-meg-ilyen.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Biometria nélküli mobiltelefonon el sem fog indulni az app.

Hát, én még ilyet nem láttam, de érdekelne, hogy ez egyátalán lehetséges-e technikai szempontból.

 

A telefonokon a biometrikus azonosítás általában opcionális kényelmi fícsör, és ilyenkor mindig van failback a pinkódra/jelszóra.

(sőt, sok esetben valójában a PIN/jelszó kerül továbbításra, a sikeres biometrikus azonosítás 'csak' beírja helyetted a mentettt jelszót)

zrubi.hu

Most spekulációt írok:

 

Mi van akkor, ha azt hiszed valamiről, hogy be van kapcsolva, de bizonyos körülmények között az még sincsen bekapcsolva? 

írok két példát: Pl. mondjuk mobilról a bank kér sms megerősítést az átutaláshoz, de netbankból nem kér? Vagy fordítva.

Mi van akkor, ha azt gondolod, hogy az sms megerősítést nem lehet kikapcsolni, csak sms megerősítéssel, de mégis ki lehet?

 

Ilyenkor nem a 2FA van felnyomva, hanem meg van kerülve.

Értem amit írsz és akár valid is lehetne.
Mégsem tartom valószínűnek hogy ez történik mert akkor nem random 1-1 ember számlájáról lopnának el pénzeket hanem tömegesen és nem 1-2 milliókat. Amellett vannak erre tesztek is (pentest). Amit persze el kell végeztetni, de az is biztos h ha nincs akkor MNB nagyon megbünteti illető bankot.

Voltam ilyen pozícióban, ismerem a követelményeket és eljárásokat.

Gábriel Ákos

A mi esetünkben az éjszaka folyamán jött 3 sms kód a telefonra az éjszaka folyamán aminél a harmadikban volt az hogy ha nem ön kérte akkor keresse a bankot. Ez másnap reggel miután észre lett véve a sms meg is történt csak addig a csalók végrehajtottak 15 tranzakciót. Úgy hogy valahogy kijátszották a rendszert vagy lecserélték a telefonszámot.

Egyszer még a múlt évezredben New Yorkban sétáltunk a barátommal és szembe jött velünk egy idős néni egy kislánnyal. Elmentek mellettünk, majd a kislány hátrafordult, visszazszaladt hozzánk és azt mondta, hogy nem, mi nem akarunk arra menni, menjünk vissza a fő utcára és arra sétáljunk. Ez még a Pataki féle nulla tolerancia előtt volt jóval.

Valahogy nem világos nálunk az, hogy az első kötelessége a polgárnak az önvédelem, és csak azután jön a bizalom abban, hogy a barátja, szomszédja, az állam vagy a társadalom majd megvédi. Nyilván vannak olyan helyzetek, amikor az egyén nem képes megvédeni magát, de ebből nem következik, hogy ha egy szélhámos átver, akkor szükségképpen csak áldozat lehetsz. A valóság az, hogy simán lehetsz ilyen helyzetben ostoba barom elsőként és csak másodsorban áldozat. Értem én, hogy nehéz ezt megemészteni, de azt hiszem az egy komcsi érából velünk maradt teher, hogy a társadalomnak meg a rendőrnek kell megvédeni az egyént.

Van olyan helyzet, amikor igen, de alapállásban mindenki elsősorban saját magáért felel.

Ezekben az esetben (amikről most már tudok) vélelmezésem szerint a userek nem csináltak ostobaságot.

Lehettek volna elővigyázatosabbak, de itt nem social engineeringről volt szó, nem is gyenge jelszóról, nem is a kétlépcsős azonosítás hiányáról.

 

Itt a bank nem járt el kellő gondossággal. A rendelkezésemre álló információk szerint a lopások jelentős része megelőzhető lett volna, ha a bank gondosabban jár el az első jelentett eset után.

Az MBH bank informatikusai tkp. méltánytalanul alacsony színvonalon dolgoznak, a bank kifejezetten felelőtlenül állította fel az informatikai rendszerét, ez itt a HUP-on már sokszor volt téma. Egészen biztosan nagy kárt okoztak ezzel az összes ügyfelüknek, de nem tartom valószínűnek, hogy azon kívül, hogy ép ésszel ebbe a bankba senki nem teszi a pénzét,  bármilyen jogi eljárásban felelősségre vonhatók lennének. Tkp. a menedzsment a ludas ebben, aki az ottani informatikusokat fizeti, a menedzsment felel a tulajdonosainak, akik a felelőtlen informatika miatt sok pénzt elbuknak. Ezért a menedzsmentet a bank tulajdonosai akár életfogytig tartó kenyérvizre is ítéltethetnék Kufstein magos várába, talpig vasba, ha rajtam múlna, mert enyém lenne a bank, meg is tenném, de lehet, hogy nem szaroznék, csak egy betonkockába velük valahol az alagsorban. Attól tartok azonban a bank jelenlegi tulajdonosain nincs akkora profitprés hogy megoldást kellene keressenek, leszarják a helyzetet. Megszerezni nem volt nehéz, csak nagyobb baj ne legyen a hozzáértés ilyen súlyos hibái miatt. 

Én úgy látom hogy a szakmának van az a része aki közvetlenül vagy közvetetten megtapasztalta ezeket a pénzintézeteket. Részben a tapasztalásból részben a politikai hovatartozásból adódóan ezek az "erőforrások" egyszerűen elérhetetlenek ezen pénzintézet számára, aka "nincs az a pénz". 

Igény az volna szakemberre mert rendszeresen megtalálnak de két kérdés után kiderül hogy hova is kéne és akkor már csalódik is szegény recruiter. Addig se jutunk el hogy napidíjról beszélgessünk. 

Gábriel Ákos

( n.balazs v | 2025. 04. 16., sze – 00:14 )

Lölőbank. Nem lepődök meg rajtuk.

Megjegyzem, hogy az sms-nél vannak már biztonságosabb módok is.
Nekem a K&H régi rendszere tetszett, ahol adtak egy smart cardot és olvasót. Vállalkozói számla volt.

Ha tényleg annyira lyukasak, mint ahogy állítod, akkor irány MNB. Hadd szóljon a bírság - úgyis jól jön az most az MNB-nek.

( deje | 2025. 04. 16., sze – 00:56 )

Az egyik előddel, a Takarékbankkal van tapasztalatom. Ismerősnek vitték a pénzét, szerencsére nem sokat, talán másfél éve, vagy ilyesmi.

Volt 2 faktoros auth: SMS. Ami kiderült, 2 dolog kellett a lopáshoz:

  1. "Újrahasznosított" jelszó - azaz az illető ugyanezzel az email-el ugyanezzel a jelszóval máshol is regisztrált, úgyhogy ez biztosan kikerült
  2. Takarékbank lyukas rendszere

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t. Ezt a saját szememmel is láttam...

Rendőrségi ügy lett belőle. Eredmény: semmi. Nyomoznak. Azóta is. Kártérítés nuku, felelősök nincsenek.

Mikor kellően sok ember járt már a rendőrségen, a bank "betömte" s biztonsági rést: letiltották a biometrikus azonosítás engedélyezését.

Egy büdös említés sem volt erről semelyik újságban sem, beleértve az "ellenzéki" sajtót is.

Meneküljetek innen.

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t.

Én azt nem értem, hogyan jutott el arra a felületre sima user/pass párossal bárki bekapcsolt SMS-es 2FA mellett a számlatulajdonos közreműködése nélkül, amelyiken be lehet kapcsolni a már élőtől eltérő második faktort... Merthogy az MFA bekapcsolás jellemzően nem a login screen-en van user/pass megadása, de a 2FA előtt...

Ezen felül az szerintem általános, hogy ha többféle második faktor van bekapcsolva, akkor az user/pass mellé bármelyiket elfogadja a legtöbb rendszer, nem kell az össes további faktorral egyszerre hitelesíteni magunkat. Ezért van a belépési ablakokban lehetőség a használt második faktor kiválasztására.

Szóval ehhez a hozzászóláshoz is jó lenne a pontosítás, hogyan is történt részletesen leírva a telefonos biometrikus 2FA beállítása, ha már volt SMS-es kód.

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t. Ezt a saját szememmel is láttam...

Volt SMS-es 2faktoros beállítva. Azonban a biometrikus azonosítás engedélyezéséhez nem kellett belépni, és így kikerülte az SMS tokent - legalábbis ez az, amit a saját szememmel láttam, ugyanis nekem is van számlám náluk. Csodálkoztam is, de nem jutott eszembe szólni nekik. Amire már nem emlékszem, hogy az SMS token helyett volt-e email-es jóváhagyás, mert az lehet, hogy kellett. Az illetőnek az email fiókját is vitték, mivel oda is ugyanazt a jelszót használta - pont ez volt az elkefélés az ő részéről, és pont erre lenne való a 2FA...

Én idejekorán bekapcsoltam a biometrikus azonosítást, ráadásul nem használok újra jelszavakat, így engem nem érintett a sérülékenység. Az mindenestre eléggé beszédes, hogy pár hónappal az eset után jött a kör-email, hogy a biometrikus azonosítás engedélyezése le lett tiltva meghatározatlan ideig (a mai napig). A már beállított biometrikus azonosítás működik a mai napig.

Az MBH-s egyesülés során pedig ahogy látom új informatikai rendszerre térnek át, asszem az MKB szoftverére migrálnak mindenkit szép lassan, a mobilalkalmazásuk is ki lett (lesz, mert még működik a régi...) cserélve.

( kvarga | 2025. 04. 16., sze – 02:04 )

Ne haragudj az értetlenkedésért, de részletek nélkül ezt így nem tudom feltörésnek definiálni. PSD2 kijátszhatóságára tippelek, de ez csak meglévő hitelesító adatok birtokában működhet.

A részleteket szándékosan nem írom le, amíg le nem zárul az ügy.

 

Abban igazad van, hogy nem feltörés, hanem csalás történt. Pontosabban a bank autentikációs folyamatának a kijátszása.

 

Arra irányult a fórumbejegyzés, hogy aki hasonló cipőben jár ennél az intézménynél, azzal tudjunk egyeztetni, hogy mit lehet tenni effektíven a pénzt visszaszerzése érdekében.

Most akkor arról van szó, hogy alapból nincs erőltetve a multifaktor, jól értem?

De mi az, hogy "nincs erőltetve"? A 2FA már egy ideje kötelező a bankoknál, nem? Ha akarom sem tudok egyfaktoros beléptetést használni a netbanki felületeken.

Nemrég írt a K&H, hogy a kényelmes login utolsó védőbástyája, a szépkártyás felület is innentől 2FA-s lesz, nehogy mindenféle jöttment hacker lekérdezhesse a kártyám egyenlegét.

Meg kell novelni a buntetesi tetelet annak a buncselekmeny tipusnak, amit a Telenorba hamis szemelyivel befarado bunozo elkovetett.

Egyeb esetben hamarosan veget er a digitalis civilizacio.

(Nem csak Magyarorszagon problema, es ez volna a torvenyhozok feladata, nem a transzjogokon valo vitatkozas.)

Ez egy régi sztori - amennyiben igaz.
SIM csere fél éve a Telekomnál úgy zajlott, hogy az előfizetőnek személyesen meg kellett jelenni (meghatalmazást nem fogadnak el), a SIM-nek is ott kellett lennie. Mindkettőt ellenőrizték + küldtek ki a cserélendő számra SMS-t, hogy cserét kezdeményeztek és a delikvens azonnal hívjon egy megadott számot, ha nem ő kérte a dolgot.

( kassaiviktor | 2025. 04. 16., sze – 07:02 )

ez így csak hangulatkeltés. 

inkább írj tényeket vagy semmit!

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Az miért lenne bűncselekmény, ha megosztja, hogy

  • melyik korábbi banki (MKB/Budapestbank/Takarék) rendszer MBH-ra rebrandelt változatával történt, azaz hol volt korábban ügyfél,
  • hogyan történt a csalás,
  • mire érdemes ügyfélként figyelni, elkerülendő a hasonló eseteket? (ezt nyomokban tartalmazza mondjuk a topicindító)?

(Személyesen nem vagyok érintett, de ismerősi körben vannak, akik valami furcsa perverzió okán ott bankolnak, emiatt mégiscsak érdekel valamennyire.)

Azért, mert - tekintettel arra, hogy a posztoló feljelentést tett - mindez az információ egy már folyamatban levő nyomozás része. Ezek az infók csak akkor oszthatóak meg, ha a nyomozás már lezárult, különben a nyomozás akadályozása-befolyásolása miatt részben őt is elővehetik, részben pedig emiatt hátrányba kerülhet a nyomozás.

Privátban szerintem tudtok egyeztetni, de ezek a részletek a jelenlegi helyzetben valóban nem oszthatóak meg publikusan.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igazatok lehet, hogy a hiba pontos ismeretében más is visszaélhetne vele, akkor csak annyit lenne célszerű megosztani, hogy mire érdemes figyelni, valahogy csak elindult a csalás és ehhez szerintem felhasználói interakció kellett.  Ha nem ez a helyzet, akkor azonnal le kell kapcsolni az egész banki rendszert és a hiba kijavítása/workaround után újra elindítani.  Ha igaz, ami a topic indítójában volt, hogy a bank tudatában volt valamilyen tervezési problémának, akkor pedig kártalanítsák az ügyfelet és tegye a pénzügyi felügyelet a dolgát.

Ne haragudj, ezzel nem értek egyet.

 

(1) kiváncsi vagyok, hogy mással is történt-e ilyen eset mostanság, ugyanis együtt könnyebben fel lehet lépni a pénz visszaszerzése ügyében.

 

(2) ez egy visszajelzés, hogy ennek a banknak a biztonsági rendszere szuper könnyen kijátszható. Válasszatok olyan bankot, ahol ez nem áll fenn. 

 

(3) ez nem hangulatkeltés, hanem kurva drága tapasztalat, ugyanis a mi családunkban történt egy nagyon súlyos lopás, ahol minket rendkívül súlyos kár ért a bank hanyagsága miatt.

( guszti | 2025. 04. 16., sze – 07:34 )

Anyósomnak ott van számlája. Két hete kapott egy tájékoztató levelet, amiben valami ePIN-ről volt szó. Amit internetes vásárlásokhoz kell/lehet? használni. Mivel anyósom havonta egyszer-kétszer használja a kártyáját pénzkivételre és nem internetbankol, nem internetezeik. A bakszámla adatai nem kerültek fel az internetre, így nem igazán foglalkoztunk vele. Nincs okostelója, egy e-mail címe van, amivel a messengerbe van beléptetve. Ez mondjuk lehet támadási faktor. Ránézünk majd.

( ggallo | 2025. 04. 16., sze – 07:47 )

Nem a bankok védelmében mondom, de a felhasználók (a műszaki területen jártasak is) nagyon nem ügyelnek a biztonságra, azokkal a biztonsági elemekkel sem élnek, amik rendelkezésre állnak.

Maga az állítás is hibás, mert soha nem feltörik a bank rendszerét (ehhez a szoftverükben kellene kiskaput találni és érvényes hitelesítő adatok _nélkül_ hozzáférni a rendszerhez), hanem normál módon authentikálnak lopott, talált vagy kicsalt hitelesítő adatokkal. És ha nincs semmi plusz ideiglenes/személyhez-/eszközhöz kötött faktor engedélyezve (ebből általában többfélét kínál jó ideje minden hazai bank), akkor már lehet is vinni a pénzt.

A bank annyiban mindenképp nevezhető hibásnak, hogy nem szól _naponta_ az ügyfélnek (csak kb. havonta, én minden bankomtól kapok ilyen rendszerességgel tájékoztató levelet a csalások-lopások megelőzésnek módjairól), hogy vigyázzon a náluk lévő pénzére, és ehhez az alábbi módszereket ajánlják:... De amennyi hír ilyen csalásról, átverésről már megjelent az utóbbi években, úgy annak egy kő alaltt a világtól elzárva kell élnie, aki erről még nem hallott a banki értesítégetés nélkül is.

És akkor most aki nem éri a mondandóm lényegét, annak lehet ide írni, hogy milyen szemét áldozathibáztató vagyok, meg, hogy miért védem a NER-es bankot, satöbbi.

A probléma ebben az esetben ott van, hogy vélelmezésem szerint kiskapu volt  a bank rendszerében.

 

A bank ebben az esetben több esetben is hibás:

 - kiskaput hagy a rendszerben

 - észleli a gyanus tranzakciót, mégis jóváhagyja a user értesítése nélkül

 - nem add semmiféle tájékoztatást a történtekről, ügyfélszolgálata ezügyben _lényegileg_ elérhetetlen.

 

A másik probléma, hogy a mi családunkból lopták el egy _bankból_ egy autó árát.

 

Arra van a bank, hogy olyan autentikációs rendszert találjon ki, ahol nincs lehetőség lopásra.

Ha pedig lopnak, azért vállalja a felelősséget.

Egyelőre nem látom hogy kizártad volna a "social engineering" vagy a sikeres "phishing" támadás lehetőségét. Teljesen kizárni kb úgy lehet hogy 'már volt bekapcsolva rendes 2FA'-ja (nem SMS alapú). 

Amúgy nem véletlenül tették kötelezővé (szakmailag sztem helyesen) hogy a bankok vezessék be a DÁP / ügyfélkapu+ alapú authentikációt. 

Gábriel Ákos

( gabrielakos v | 2025. 04. 16., sze – 08:42 )

CTO-t keresnek az illetékes céghez, ha valaki esetleg érezné a kihívást :)

Gábriel Ákos

( dirtydriver | 2025. 04. 16., sze – 09:25 )

Én jelenleg 3 olyan esetet tudok, hogy lenyúltak milliókat az elmúlt 2-3 hétben. Az egyik egy egyesületi számla onnan 4.5M-et húztak le, a másik egy privát számla ahol nem is használt az illető internet bankot mindent a bankfiokban intézett magának onnan 5M húztak le majd bement a fiókba, hogy mi történt ott nem igazán voltak felhasználó barátok, de zárolták a számlát és vettek fel jegyzőkönyvet. Majd 2 napra rá az illető kapott még 1 sms-t a banktól hogy átutaltak 300K-t a számlájáról, úgy hogy az zárolva volt. Bankban csak néztek és nem tudtak rá mit mondani, keresték a központot a fiókbol és ott se tudták megmondani, hogy ez hogy lehetett, A harmadikhoz nincs sok infóm csak annyi, hogy ott is milliók tüntek el a számláról.

( gemnon v | 2025. 04. 16., sze – 09:31 )

Szerkesztve: 2025. 04. 16., sze – 09:36

Biztos kapott napispamet az "MBH"-tól (akik valamiért 90%-ban, ruszki alexusMailer-t használnak megtört siteokon :)) , hogy zárolták a számláját,majd jól rákattintott egy hasonló linkre:

hxxps://smartidcard[dot]online/admin/assets/fonts/MmbMmbmM/mkb/signin.php

Belépett és csodálkozott, hogy eltűnt a mani. :D

( hanzo v | 2025. 04. 16., sze – 09:35 )

szia!

 

Egy balassagyarmati egyesulet penzet nyultak le igy sajnos... semmi gyanus dolgot nrm talaltam en se naluk....

http://szolarenergia.hu

A hálózatépítést csak elkezdeni lehet, befejezni soha

( XYBeR | 2025. 04. 16., sze – 09:41 )

Ha google-ban néhány hete rákerestél az mbh oldalára, akkor az mbhbank.nu címre dobott el, és MIM jelleggel átvitt még a kétfaktoros azonosításon is. Tetszőleges magyar lakossági bank netes oldalát képes volt utánozni.

( szomi | 2025. 04. 16., sze – 10:04 )

Szerencsére nem vagyok érintett, de sajnos az MBH-nál vagyok, még. Annyi tűnt fel, hogy a decemberben lejárt cserélt bankkártyámat cserélték kb. 3 hete. Kérdeztem a telefonos házibankot vagy mi a csodát, de csak tereltek, hogy ügyfeleik érdekében folyamatosan fejlesztenek, de akkor sejtésem beigazolódni látszik, ezek szerint megint valami biztonsági adatszivárgás lehetett, ahol kimentek kártyaadatok.

( zslaszlo v | 2025. 04. 16., sze – 11:35 )

Kb 4 éve a társasházunk számlájáról 10 milliót nyúlt le az előző közös képviselő. Mi választottunk újat, a régi meg egyszerűen besétált a bankba (MBH, akkor talán még takarék volt) néhány hamisított jelenléti ívvel és 10 millió forintot vett le a számláról, ahová a közös költséget utaljuk. Feljelentés, rendőrség minden megvolt, pénz/felelős azóta sincs. Itt a vége, fuss el véle...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Ja. Ő egy hamísított papírt vitt, hogy még mindig ő a közös képviselő. Nem volt már rajta a kedvezményezetti listán, de miután bebizonyította, hogy még jogosult hozzáférni a számlához (pontosabban ismét ő jogpsult hozzáférni) kiadták a pénzt. Utána az új közös képviselőbek nem akartak hozzáférést adni. Gyönyörű történet volt.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( csabezs | 2025. 04. 16., sze – 11:55 )

Marha jó, nemrég csináltattam náluk számlát, de akkor alapból kellett a 2FA, másképp nem is tudok belépni. Appot nem használok.

Es ezek csak az utolso osszeolvadas bankjai. Ha jol tudom, korabban az MKB-be is olvadt bele mas kisebb. A "nagy" Takarek is tobb kisebb videki Takarekbol jott ossze.

Nem lehet konnyu ott az IT-s elete. El is jottek onnan azok, akik megtehettek.

Nem azokkal van a baj, akik eljöttek, hanem azokkal, akik maradtak.

A Takarékbankkal nincsen tapasztalatom, de az MKB-val van, onnan időben elmenekültem. A Budapest Banknak viszont hibátlan informatikai rendszere volt, minden szempontból. Ehelyett az volt a koncepció, hogy addig húzzák a három rendszert, ameddig lehet és azután összegyúrnak ezekből egy negyediket. Nem lett volna ez rossz megoldás, ha értettek volna ilyesmihez. Be kellett volna látniuk, hogy nem értenek hozzá és meg kellett volna tartani a BB rendszerét. Ilyenkor azonban nagy a szakmai önérzet és mivel az informatikus általában szegény ember idehaza, jól áll az arcszinéhez a válllakozó kedv és önbizalom. A tulajdonosok számára sem okvetlenül idegen egy olyan költés, ahol a pénzt egy másik vállalkozásukba öntik számolatlanul. 

Ez a feladat nem lett volna lehetetlen, sőt, viszonylag olcsón meg lehetett volna úszni. 

A "Takarek" elott volt valami TakerekBank (ha igy hivtak) ami osszeolvasztotta az osszes takarekot es az FHB-t (ami pedig korabban Allianz Bank volt). En az Allianz Banknal kezdtem az MBH-s palyafutasomat, az FHB rendszere jo volt, a Takarekbanknal online semmit nem lehetett intezni, az MBH-s osszeolvadas a godor alja volt, semmi nem mukodott normalisan, ott le is leptem.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Üdv a klubban. Annak idején az OTB Banktól menekültem az Allianzhoz, amint elkezdték lakossági szolgáltatásukat. Aztán a lakossági portfóliót átvette az FHB. Az Allianz-cal semmi gond nem volt, "szerettem" őket. FHB-nál egyetlen esetben szívattak meg, egy Karácsony előtti céges bulin a számlámat nem tudtam rendezni, mert a bankkártyámat a bank letiltotta, ahogy egy csomó szerződött ügyfélét. Rohadt kellemetlen volt fizetésénél...

FHB után Takarékbank, sok vizet nem zavart, de miután beolvadtak az FHB-ba csak szívok. Korábban beállított havi ütemezett fizetések nem mentek, a vállalati ingatlanvásárlásra felvett hitelem számlaszámát (egy másik beolvadt vidéki takarékszövetkezet) megváltoztatták, amiről értestés nem jött. Pár hónap után vettem, észre, hogy nem teljesülnek az automatizált átutalásaim, de persze az elmaradásról sem kaptam értestést. Bankfiókba kellett bemenni személyesen, hogy megtudjam mi történt. Katasztrófa. Jövőre lekettyen a piaci alapú lakáshitelem is és pattanok tőlük azonnal.

( peterszky | 2025. 04. 16., sze – 13:14 )

A közvetlen környezetemben (szerencsére nem családtag...) az elmúlt 1-2 évben háromszor volt olyan, hogy vitték a folyószámla tartalmát. Különböző bankokból. Minden esetben user error volt az alapja, mert valahogy kicsalták tőlük a belépést, ez ellen meg a 2FA se véd, ha nem villog a piros jelzés az ember fejében. Feltételezem, hogy a jelszó ebben az esetben is kikerült, különben azt a hitelesítő SMS-t se tudták volna elintézni maguknak, szóval erre simán ráhúzná akármelyik pénzintézet, hogy az ügyfél hibája. Sajnos nincsenek elég hatékonyan üldözve ezek az esetek.

Egyébként:

- Az összes mamut bankot kerülni kell, minél nagyobb a vízfej, annál többet húznak le az ügyfélről. Ez hatványozottan igaz azokra a nagybankokra, ahol több intézmény olvadt össze, mert hosszú ideig problémák lesznek (lásd MBH).

- A jelenlegi pénzügyi körülmények között én egy biztonsági tartalékon (max. 1-2m Ft) kívül amúgy se tartanék bankban pénzt.

- Közvetlen családi környezetben érdemes találni egy személyt, aki a "pénzügyes" (ért hozzá, nem qrják át egy hívással, stb...), aki kezeli a család számláit, persze ehhez nem árt, ha megbízol a családtagban, nyilván elképzelhető olyan helyzet, hogy ez nem áll fenn.

A jelenlegi pénzügyi körülmények között én egy biztonsági tartalékon (max. 1-2m Ft) kívül amúgy se tartanék bankban pénzt.

Keszpenzben tartani otthon nem biztonsagosabb szerintem es - osszegtol fuggoen - a logisztika sem konnyu.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Hol írtam, hogy otthon tartanám készpénzben? 

Nem irtad, felteteleztem, leirom lentebb miert.

Vannak pénzintézetek a kereskedelmi bankokon kívül is, mint pl. a MÁK vagy a vagyonkezelők.

Arrol volt szo, hogy feltortek egy bank (=penzintezet) rendszeret, a MÁK tarsai is feltorhetoek elvileg, ugy gondoltam erre valaszul irtad. Az infromatikai hatterukben nem lehet tul nagy kulonbseg egy bankkehoz kepest.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

MÁK tarsai is feltorhetoek elvileg

A MÁK rendszere is hasonló moslék, ugyanolyan jellegű logikai bukfencekkel, mint amit a topikban eddig fejtegettek. ("Mikor engedünk új, a felhasználó azonosítására szolgáló módszert hozzáadni -legyen az első vagy második faktor-, és melyikkel azonosítva magunkat melyik másik módosítható?")

https://kiszamolo.hu/allamkincstari-eszrevetel/

TL;DR: A mama személyesen létrehozott, webről soha nem kezelt kincstári fiókjához a hacker a kincstárban személyesen regisztrált tel.szám SMS kódja segítségével (kb. ez az egy faktor kellett hozzá) létrehozott egy WebKincstár fiókot, ahonnan vígan talicskázhatta ki a pénzt. Volna, ha a 2 napos várakozási időbe nem bukik bele, amit 1,5 éve implementáltak, az ezt megelőző, szintén kiszámoló blogos cikk alapján.

Ez a hiba még 1-2 hónapja -elvileg- fennállt, a helyreigazításos okoskodás ellenére.

 

Kiválóan tükrözi a fejlesztő-üzemeltető hozzáállását, hogy miután szóról szóra az eredeti cikk javaslatai szerint javították* ki a rendszerüket, és egy köszönömre sem futotta nekik, a második bejegyzés után pedig még nekiálltak helyreigazítással és perrel fenyegetni a cikk íróját. A válasz emailek persze közvetlenül >/dev/null.

*Olyan state-of-the-art megoldásokat alkalmazva, mint:

- ne lehessen két napig utalni új számlaszámra

- minden tranzakcióhoz kérjen (SMS 2FA) kódot

- tüntessék el az ügyfél személyes adatait az oldalról (t.i. a hacker korábban a belépése után azonnal az arcába kapta a Név - Születési hely, idő - Email - Telefonszám - Lakcím adathalmazt. Valaki írta is, hogy a lekérés és a válasz ugyanúgy ment-jött a backendtől a javítás után is, csak a GUI-n nem jelenítették meg többé.)

- a belépési jelszó ne csak betű és szám lehessen, ne csak maximum 16 karakter

 

Az eredeti témához visszatérve, a Facebooknál is volt néhány éve ilyen corner case, hogy talán valami ritkán használt mobilos (webes) felületről nem volt határa, hányszor próbálhatja megválaszolni a biztonsági kérdéseket. Én azt akkor nem hittem el. (Nem ugyanarra a flowra fut ki, bármelyik guit használja a parasyt?)

( d3xt3r | 2025. 04. 17., cs – 07:26 )

x banknál vezetett kolléga számlájáról csaltak ki ~150e Ft-ot.

Felhívták hogy gond van és bedőlt. 50 perces beszélgetés volt és természetesen a guba nem jött neki vissza feljelentés után sem. (nem kis bank de nem a bank hibájából adódott a lopás)

60 éves kisnyugdíjas, sőt még a kártyáját is hozzáadták digitális tárcához.

Engem a zótépétől hívott egyszer egy rejtett erőforrás, hogy utaltam-e mészárosnak, mondom nem aztán kapcsolta az informatikus kollégáját aki viszont magyar volt, telepítettük az OTP-s Anydesk nevű vírusírtót a telefonra és vagy nyolcszor lediktáltam a kódot de nem tudott csatlakozni (azt nem mondta, hogy engedjem át a tűzfalon mondjuk...) a végén csak úgy rámcsapta a telefont (ez aztán az ügyintézés)

van egy pali aki erre szakosodott, hogy a csalóknak megadja a virtuális gépére telepített anydesk(vagy bármi más) számot. majd amikor beengedi, le is tiltja hogy tudjon bármit is csinálni. közben persze adja a hülyét. de mindeközben a kliens fájlkezelőjével elkezd szétnézni. általában bizonyítékokat gyüjt a csalásról, majd a végén töröl mindent!:D
zseni. amúgy segített az indiai hatóságoknak lefülelni jópár ilyen scamcentert.

úgy hívják őket, hogy scambaiterek. rengeteg ilyen csatorna van. némelyik technikával tűnik ki, némelyik humorral. legismertebbek talán Pierogi, Kitboga, pleasant Green, Jim Browning, Rinoa Poison, IRLRosie

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.