MBH Bank számla feltörés

Security-all

Érdeklődnék, hogy van-e köztünk olyan, akinek az MBH banknál vezetett számlájáról pénzt loptak el az utóbbi időben?

Ha igen, beszéljünk, hogy mik a tapasztalatok. Sajnos nálunk valaki így járt a családban, egy használt autó ára tűnt el.

Ha lezárul az eljárás, akkor megosztom a technikai részleteket.

Addig is mindenkit figyelmeztetek, hogy az MBH bank rendszere nem biztonságos, viszonylag egyszerűen kijátszható. 

Ha Te, vagy valamely családtagod ennél az intézménynél vezet számlát, akkor állíts be autentikáló sms-t mind a webes, mind az applikációs átutalásokhoz, illetve ellenőrizd, hogy be van-e ilyen állítva.

Érdemes a feleség, anyuka, nagymama, nagypapa beállításait átnézni,és felvilágosítani őket arról, hogyan működik az autentikáció.

UPDATE (1): NEM ÍRHATOM LE a pontos menetét a csalásnak, de elég jól ki lehet találni a fórumhozzászólások alapján.

UPDATE (2): A kiskapu már ismert volt a bank számára, amikor a családtagomtól elemelték a pénzt.

  • 3956 megtekintés

( Joejszaka v | 2025. 04. 16., sze – 00:06 )

Szerkesztve: 2025. 04. 16., sze – 00:08

Egy megjegyzés. Annyira egyszerűen törhető az MBH, hogy bárki, értsd bárki, megoldhatja a lopást viszonylag kevés munkával.

Persze lehet, h azóta javítottak valamit, hogy bejelentettük az ügyet, mert szerintem triviális lenne a bank részéről a javítás.

Egyrészt amennyiben a bank hibája a feltörhetőség, akkor ez erre az esetre nem áll, másrészt a banki alapbeállítás meg KELLENE hogy követelje a kétfaktoros authentikációt. De ha nem is követeli meg, akkor is mindent meg kellene tegyen, hogy a sima jelszavas belépést is biztonságossá tegye. Erre rengeteg eszköz áll egyébként rendelkezésre a 2 faktoros hitelesítésen túl is. Ameddig nem tudjuk, hogy ezek közül bármit is alkalmazott-e a bank, nem gondolom jogosnak a felhasználóra tolni a teljes felelősséget.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nem ugy van, hogy a PSD2-ben, hogy Strong Customer Authentication (SCA) az kovetelmeny?

"Article 97 – Authentication:

Application of Strong Customer Authentication: Payment service providers must apply SCA when the payer:

* Accesses their payment account online"

De ma mar egy pizzat se tudok rendelni 2FA nelkul :D

*Reklám: Biztonságos ajtó, értékei védelme érdekében két zárral!

Apró betű: A biztonság csak akkor garantált, ha mindkét zárat bezárja. 1 zár nem zár.

Elviszik a párnacihát, meglepett pikachu arc intensifies

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Ebben a példában az a burkolt feltételezés, hogy a két zár egyenértékű és a használatuk egyformán komplex. Viszont, egy átlagfelhasználó számára a 2 faktoros authentikáció nem egyenértékű komplexitásban a jelszavas authentikációval. Ha nekem csak a telefonomon van beállítva a második faktor, és az le van merülve, semmi más módom nincs belépni. És igen, lehetne a gépre is telepíteni, stb, de ennyire nem tudatos felhasználó még egy szakmabeli se sokszor. Lehet, hogy neked a mikrosütőn is van kétfaktoros hitelesítő app, de ne magadból indulj ki, mert az irreleváns.

Szóval, valójában a példád hülyeség ilyen szempontból, és nem alkalmazható a jelenlegi helyzetre.

Egyébként, ha már mindenképpen ebben az univerzumban akarod felrajzolni: az az ajtógyártó felelőssége, hogy mindkét zárat külön-külön is a lehetőségek adta legbiztonságosabbra csinálja. Mert ha a két zár közül az egyiket egy fogpiszkálóval ki lehet nyitni, és a másik zár csak normálisan, akkor valójában nem két egyenértékű zárunk van, hanem van egy semmit nem jelentő zárunk, meg van egy somewhat biztonságos. És ezen a ponton válik hülyeséggé, hogy "1 zár nem zár". 1 zár is kell, hogy adjon valamekkora biztonságot, de természetesen nem maximalizálja ki

Ugyanígy, a banknak felelőssége van abban, hogy a jelszavas authentikáció a lehető legbiztonságosabb legyen a saját kontextusában, és ezt a biztonságot fokozza a második faktor. Ha a jelszavas biztonság könnyen törhető, a második faktor sokkal kevesebbet segít a rendszer biztonságán. És ez az egyik hazugsága a szakmának, hogy "állíts be második faktoros authentikációt, és szignifikánsan emelkedik az alkalamzásod biztonsága" - valójában ebből egy szó nem igaz. Akkor emelkedik szignifikánsan az alkalmazás biztonsága, ha már alapból biztonságos volt. Amúgy meg csak lett plusz egy beviteli mező, ami csak zavarja a felhasználókat.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Azért, mert a te pénzed és nem a banké.

A bank vigyáz a saját pénzére, te meg vigyázol a magadéra.

Sajnos a hazai népesség még mindig azt várja el, hogy valaki más gondoskodjon róla és általában meglepődést okoz, ha kiderül, hogy elsősorban mindenki saját magáért felel.

Így van. Nem abból a szempontból vizsgálom a kérdést, hogy a második faktor hamisítható-e. Ha meghamisítják, akkor legfeljebb nem sikerül belépnem a felületre. Ha lenyúlják a második faktort, az izgalmasabb, de van első faktor, s nem 123456 szokott lenni a jelszavam.

Azt sokkal nagyobb problémának érzem, hogy nem ellenőrizhetem, mi zajlik a telefonon. A saját hardware-emen nem lehetek root, továbbá igen nagy a rólam, az életemről szóló információ koncentráció egy éppen általam nem ellenőrizhető eszközön, amelynek az infrastrukturális hátterét a világ legagresszívebb államának olyan cége adja, amelyik éppen az emberekről gyűjtött és azt rendszerezett, elemzett adatokból él.

Kösz, de nem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A biztonságos mobil app egy akkora képernyős telefonon fut, amit egyes emberek nem jól látnak. Innentől értelemszerűen kényelmesebb az 5-6 collos telefon helyett a 15-20-40 collos monitoron intézni a banki dolgokat - és ha azon bankol, minek rakja fel a banki appot?

Attól mert te nem vagy látássérült, más még lehet.

(Nekem speciel pont nem igényem a másoknál élni-nem-tud-nélküle banki app az egymillió funkciójával, de ha lenne egy valami csak az autentikációra, azzal már megvehetnének. Ahogy itt írta is valaki, a'la ügyfélkapu+ a totp-vel.)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A CIB-nél pont ugyan így van. A netbank belépés a CIB mobilapp által generált második faktorral lehetséges (ami minden kódnál kér biometrikus azonosítást, nem elég a feloldott telefonon elindítnia, mint pl. a legtöbb TOTP appot), és a tranzakciókat szintén ezzel a mobillappal kell jóváhagyni egy QR kód beolvasásával, majd biometriával megerősíteni.

A netbank belépés a CIB mobilapp által generált második faktorral lehetséges

:)

 

Itt (CIB) azért érdemes kicsit jobban megnézni a login processzt, mert szerintem bizony nincsen semmiféle 'második faktor'.

- a telefonos App, PIN kódot, vagy helyette újlenyomatot kér a belépéshez. - ez bizony csak egy 'faktor'

- ha a weben lépsz be, akkor a 'usernév' a CIB-es számlaszámod - amit én publikus adatként érelmezek - a jelszó helyett pedig a telefonos app-ból kell a TOTP kódot beírni.  - hát én bizony itt sem látok több faktort.

Utaláskor ugyan jóvá kell hagyni az app-pal, de ez ugyan az, mint amivel beléptél. Tehát ha az app (vagy az egész telefon) - akárhogyan is - de kompromittálodott, akkor bizony a user-ből hirtelen luser lehet...

 

Sajnálatos módon a tapasztalatom azt mutatja, hogy a bankok valójában szarnak a valós biztonságra, kizárólag a jogszabályoknak igyekeznek megfelelni, azoknak is a lehető leg minimálisabb költségekkel.

zrubi.hu

- a telefonos App, PIN kódot, vagy helyette újlenyomatot kér a belépéshez. - ez bizony csak egy 'faktor'

birtokolt eszköz + (biometrikus adat vagy jelszó), márpedig ez kettő, csak nem a jelszó szokott az opcionális faktor lenni

a jelszó helyett pedig a telefonos app-ból kell a TOTP kódot beírni

Itt nem úgy van, hogy a TOTP generátor appnak is kell egy PIN, ami nem derül ki a telefonon, hogy helyes-e? (mint a RSA soft-tokennél)

ez nagyon szépen mutat... papíron :)

gyakorlatban azonban továbbra is az van, hogy ha a telefonod kompromittálodott - az az egy darab eszköz - akkor akinél a kontroll van, az be tud lépni a bankodba, és jová tud hagyni bármit.

 

tehát a bank a telefonod biztosági rendszerére 'hárítja' a felelőséget.

 

(ettől függetlenül az is igaz, hogy továbbra is egyszerűbb átverni az embereket, mint meghekkelni a telefonjukat)

 

szerintem.

zrubi.hu

Ez pontosan így van.

De mégis hova tenné? A számítógépedre? Ott sincs jobb helyen, sőt.

Ha két szelet papírra írod le a két faktort külön és azokat a behatoló megszerzi akkor ugyanúgy elvitte a két faktorodat, ugyanúgy azt tesz amit akar. Biztonság (valószínűségek) és kényelem, ebben kell kompromisszumot kötni. 

A telefonokra "hárítás" szerintem egy indokolható döntés, a telefonok adnak viszonylag biztonságos "trust store"-t kellően nagy számban, tehát a lefedettség is megvan, a biztonsági frissítés is "megoldott", stb.

Létezik nyilván ennél nagyobb biztonság, vannak is helyek ahol ezt megkövetelik. Az biztos hogy drágább és jó eséllyel kényelmetlenebb is lesz.

Gábriel Ákos

- igen, elvileg így van. Viszont két éve már, hogy bevezették, de még a mai napig sem működik!!!

- annyit - és állandóan - módosítgatják, hogy igazából nem is tudom, hogy mit akarnak, hogy is kéne működnie!

- a másik probléma a CIB-nél, hogy szerződésileg nem akarják engedélyezni a desktop-os internet-banking-ot és hozzá második faktorként a CIB-es app-nak a 'withKEY'-s ellenőrző kódját. Ezt így két különálló eszköz is lenne, ami növelné a biztonságot. (Jelenleg éppen ezért harcolok.) Az alkalmazottak szerint csak a withKEY funkció és a desktop-os internet-banking nem engedélyezhető, csak úgy, hogyha a teljes CIB appot is engedélyezem. A CIB app azonban önmagában is teljes hozzáférést ad a számlához, így aztán a két fizikai készülék együttes alkalmazásának a biztonsága teljesen elveszik!

(Érdekes - és pozitív - hogy maga a CIB app (szerintem) jól van megtervezve, hisz biztosítani tudja ezt a két készülék együttes birtoklásának szükségességét.)

Érdekes - és pozitív - hogy maga a CIB app (szerintem) jól van megtervezve

Szerintem az nem jó terv, hogy az authentikátor és az netbank app amivel kezeled a bakszámládat ugyan az. Ez kizárólag problémát okozhat semmilyen előnye nem lehet. - max az occsósítás, így csak egy appot kell karbantartani.

 

Szerintem az authentikátornak - főként ha azt MFA-ként szeretnéd alkalmazni - teljesen függetlennek kell lennie.

De továbbmegyek a kizárólag 'saját' authentikátor app használatának lehetőse, már önmagában probléma. De ezt a 'hibát' sajnos sokan elkövetik, és fícsörként marketingelik.

 

De, persze lehet hogy én vagyok helikopter.

zrubi.hu

Irjuk fel akkor a támadást majd vizsgáljuk meg hogy mi fog történni:

Támadás: a támadó lemásolja a bank weboldalát és ezzel egy mim támadást hajt végre. A felhasználót elviszi a lemásolt oldalra. A felhasználó be akar lépni. Hogyan védekezünk ez ellen?

Feltételezés: a támadó a megszerzett adatokat időben be tudja írni a bank igazi weboldalán. A bank nem tud különbséget tenni az adatban.

Védendő asset: a belépéshez szükséges információ.

Siker kritérium: a támadó képes belépni a rendszerbe úgy, hogy a felhasználó erről nem szerez tudomást.

(1) Felhasználónév és jelszó:

A támadó elkapva a felhasználónév és jelszót belép a banki rendszerbe majd ott tranzakciókat hajt végre. Sikeres támadás.

(2) Felhasználónév és jelszó, SMS vagy TOTP kód:

A támadó elkapva a felhasználónevet és jelszót valamint a második faktort (hiszen ezeket mind bekéri a felhasználótól) belép a rendszerbe. Sikeres támadás. 

(3) Mobil alkalmazás:

A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.

Ezt igy szépen végig modellezik minden támadásra (mi van akkor ha kompromitállódik a mobil eszköz is, mi van ha...) és ebből ki fog szépen esni hogy mekkora effortot kell a támadónak belefektetni abba hogy megszerezze a hozzáférést. Minden rendszerhez lehet hozzáférést szerezni, a kérdés az hogy mekkora energiát kell belefektetni a támadásba.

https://owasp.org/www-community/Threat_Modeling

https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling

> A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.

Ez minimum véleményes, és teljesen ignorálja, hogy a mobil alkalmazás hogyan is működik.

Én eddig kétféle működéssel találkoztam:

  • A mobil alkalmazás kap egy push notifikációt, hogy hagyd jóvá a belépést. Rányomsz az értesítésre, bekéri a PIN/biometrikus faktort, beléptet -> sikeres támadás
  • A mobil alkalmazással le kell olvasni valamilyen kódot, ami validálja a belépést a banknál, majd ezután bekéri a PIN/biometrikus faktort, beléptet. Itt ugye ha a támadó valós időben tud visszafelé is kommunikálni (ki tudja jelezni a QR kódot a "fake" weboldalon is) akkor az app boldogan validálni fogja a belépést -> sikeres támadás.

A közös pont itt az, hogy valós időben kommunikáljunk a banki interfésszel, ha ezt meg tudja a támadó ugrani - és annyira nem is nehéz - akkor a banki oldalról legfeljebb azt tudod levédeni, hogy Magyarországon kívülről nem engeded a parasztot belépni, vagy nem lakossági internetszolgáltatói hálózatból nem engeded belépni. Azaz, lényegében, csak az ügyfél korlátozásával tudsz ezek ellen védekezni. Ez sajnos abból fakad, hogy a HTTP(S) állápotmentes protokoll, és az, hogy mégis tud állapota lenni, azt mindenféle körülmegoldással oldjuk meg.

Ezért megy orrba-szájba az edukáció, hogy figyeljünk a címsorra, legyünk biztosak, hogy jó weboldalon vagyunk, stb. Mert szerver oldalról ha lehet is védekezni a fake oldalak ellen, az komplex, és az eredményessége minimum kétséges. Ez ellen a 2 faktor se véd.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Eddig jogos, feltehetőleg be tud a támadó úgy lépni, hogy mindent lemásol (QR kódot is). Kérdés, hogy ezek után hogyan tovább. Tranzakció végrehajtása esetén (pl. átutalás) mondjuk kicseréli a címzettet (számlaszám elég, a nevet úgy se vizsgálja senki és semmi) esetleg még az összeget is valami szép nagyra. Az átutaláskor is visszajön a tranzakció engedélyezésre (QR kód vagy valami hasonló). Amennyiben a QR-kódot meg tudja úgy változtatni, hogy a számlatulajdonos által beadott adatok jöjjenek vissza a jóváhagyáshoz, akkor sikeres a támadás. Ennek mi az esélye?

Amikor mobil app segítségével bankolok akkor egy úgynevezett cert binding történik, azaz az alkalmazásba be van építve a bank tanúsítványa, ezért MIM támadást nem is tud külső fél végrehajtani, biztosítva van az hogy én a bankkal beszélgetek. Én ezért is javaslom mindenkinek hogy csak mobil alkalmazás segítségével bankoljon, mert ez adja a legnagyobb biztonságot.

Te egy másik esetről beszélsz, amikor valaki webről akar belépni, a weboldalon adja meg a felhasználónév és jelszót, de egy külső csatornán keresztül (egyedi mobil app, notification, engedélyezés) történik a belépés engedélyezése, vagy esetleg egy QR kódot bescannelve lép be. Ezek ellen már nagyon nehéz védekezni, ahogy le is írtad, de ez egy másik helyzet.

Erre egyébként az volt régen a megoldás hogy a bankok, stb. weboldalainál a böngésző jelezte hogy az egy biztonságos szerver-e, és ezt zöld színnel mutatta. Ez idővel megszűnt, pedig ez szerintem egy jó irány volt.

Erre egyébként az volt régen a megoldás hogy a bankok, stb. weboldalainál a böngésző jelezte hogy az egy biztonságos szerver-e, és ezt zöld színnel mutatta. Ez idővel megszűnt, pedig ez szerintem egy jó irány volt.

Nem volt az :) Az embereknek fel se tűnt, hogy van a zöld lakatos, ahol oda is van írva, hogy Lölöbank zrt, meg vannak azok, amik ehhez képest nagyon ijesztő kékek, felirat nélkül. Konkrétan volt itt anno topic, amikor a kolléga mondta, hogy hát erre tudatosan figyelni kell és milyen jó, mire kénytelen voltam felvilágosítani, hogy már vagy két éve kivezették az utolsó browserből is. Nyilván nem lehetett hirtelen minden másra azt mondani, hogy az nem jó mert... hát na.

De azt adom, hogy lehetne értelme ezeket kiemelten kezelni, csak általában ezt az egész trust modellt rendkívül szarul kommunikálja az összes böngésző, így nem volt értelme.

Alapvetően adott egy lehetőséget arra hogy egyáltalán észrevegye a felhasználó hogy ez egy "biztonságos" weboldal. De mivel kivezették, innentől kezdve mindegy is.

Szerintem a megoldás valami olyasmi lehetne hogy a felhasználó feltelepítené a biztonságos oldalhoz tartozó igazolást, és a rendszer mutatná hogy helló, te most egy biztonságos weboldallal kommunikálsz. Egy átlag felhasználó esetében ide kerülnének a szolgáltatók (bank, biztosító, állam) és az a néhány kereskedő oldal akitől vásárolni szokott.

Ha volt egy asdqwe cég mondjuk Arizónában, és csináltam egy asdgwe Co. -t mondjuk Texsban, és annak kértem az asdgve.com domainre egy ilyen certet, akkor az lehetet "zöld lakat"-os cert is - és máris volt egy adathalászatra használáható "zöld lakatos" webszerverem...

Bankok esetében talán(!) a bank TLD jelenthet némileg megoldást, bár ott is lehet például a domainnel trükközni, (ciril karakterek, amik ugyanúgy néznek ki mint a latin abc valamelyik karaktere pl...) és persze _elvileg_ ez alá TLD alá csak szűk kör/megfelelő igazolásokat benyújtani képes szervezet regisztrálhat... Mondom elvileg. Sajnos.

 

A belépésed megvan, utána ahhoz, hogy tranzakciót végezzen a támadó, kell egy újabb outband "kör", azaz újabb felhasználói interakció a mobilos app-ban, ahol megjelenik hogy mit hagy jóvá az ügyfél. Igen, az MNB azt is elvárná, hogyha az ügyfél nem olvassa el, milyen üzenet jön, mire jön a jóváhagyáskérés, akkor is védje meg a saját hülyeségétől a bank (Köcsög József: ne tudjon törölni, ha nem akar sztori - sajnos nem találom...)

@zrubi: Ugyanazt mondjuk! Az authentikátornak a PC-s netbank (InternetBank) 'párjának' kellene lennie, hogy így két független eszközt kelljen használni. Ahogy én látom ez így is lett megtervezve, de jelenleg ezt az 'üzemmódot' nem tudják/akarják beállítani az CIB alkalmazottak a rendszerükbe.

Futottam már bele olyanba, hogy a webshop-os vásárlásnál a mobil app-os engedélyezésre 30 másodperc áll rendelkezésre. Amire a bank elvégzi az auth-ot és az app-on belül engedélyt adhatsz a tranzakcióra, addigra kezdheted elölről a vásárlást. (Volt, hogy egyáltalán nem ment "30" alatt, végül az ilyen módú vásárlásról kellett lemondanom.)

:)  -  Végül is.., úgy fogtam fel, hogy a bank így vigyáz a költekezésemre, a pénzemre. (Pár ilyen próbálkozás után kiderült, nem is olyan fontos az a vásárlás.)

Ahogy más is írta, K&H tudja. Tud persze teljeskörűen (majdnem) mindent, amit a webes e-bank, de annyit használsz belőle, amennyit akarsz, én elsősorban az autentikációt és jóváhagyásokat szoktam. Mást csak akkor, ha valamiért sürgős, és nem vagyok desktop-közelben.

No akkor már csak oda kéne eljutnia minden banknak, hogy betesz a kódba egy #ifdef BANKIAPP_LITE jellegű fordítást befolyásoló nyelvi elemet, és máris lehet 2 appja: egy az olyanoknak, akik valamiért ódzkodnak telefonon bankolni (de egy authot tudó minimalistát esetleg még elfogadnak a telefonjukon), meg egy az olyanoknak, akik rá vannak gyógyulva a gyufaskatulyaTV-re.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

+sok

Fogadjuk el, hogy az SMS nem annyira biztonságos, meg fogadjuk el azt is, hogy a bankok nem bíznak a szabványos TOTP authentikátorokban. Ezért az ajánlott módszer a bank mobilappja push notification-nel a második faktorra desktopos belépés esetén, akkor igazából ott vagyunk, hogy van egy teljes körű banki mobilapp a telefonon, amely mellé viszont már nem kell második faktor, hiszen egy eszközön ott van minden bejelentkezve. Tehát ha valaki a telefonhoz intéz remote control-t, akkor a telefonon keresztül történik simán a lopás. Tényleg nagyon kéne az, hogy banki mobilapp, de semmi mást nem lehet vele csinálni, csak második faktoros authentikációt.

Mármint hogy elvégezze a hitelesítést. Amit vagy ki lehet kerülni, vagy nem. (A mai napig árulnak ujjlenyomatolvasó nélküli okostelefont - persze az alsóbb szegmensben.)

Amúgy nyilván nem 0 költsége van ennek az ifdefnek, így kb. esélytelen arra számítani, hogy valamikor is elterjedjen.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A KH app simán megy egy pinkóddal is, az ügyintéző néni kicsit furcsán is nézett rám, hogy bekapcsoltam a biometrikust, szerintem úgy érezte, az kevésbé biztonságos. (Abban egyébként igaza volt, hogy mivel olyan nincs, hogy kizárólag biometrikus, pinnel mindig lehet, ezért valójában csak a risk faktort növeltem)

Ha ez igaz lenne, akkor viszont mégis milyen megoldást használjon a jelenlegi ügyfél? Nem szeretitek az sms-t 2. faktorként - de semelyik bank nem fogja eldobni a régi ügyfelet azzal, hogy kötelező telefonvásárlást ír neki elő, amelyik ráadásul még legyen ilyen-meg-ilyen.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Biometria nélküli mobiltelefonon el sem fog indulni az app.

Hát, én még ilyet nem láttam, de érdekelne, hogy ez egyátalán lehetséges-e technikai szempontból.

 

A telefonokon a biometrikus azonosítás általában opcionális kényelmi fícsör, és ilyenkor mindig van failback a pinkódra/jelszóra.

(sőt, sok esetben valójában a PIN/jelszó kerül továbbításra, a sikeres biometrikus azonosítás 'csak' beírja helyetted a mentettt jelszót)

zrubi.hu

Dehogynem.

A - A bankoknak kellene felprogramozni a hardveres TOTP tokent és odaadni személyesen a kedves ügyfélnek

B - Felnőttként kell kezelni az ügyfelet (ld. ÜK+)

Ahogy az összes bank kivezette a hardvertokent és a smartcard-okat fillérb*szásból, sok jóra nem számíthatunk. Pedig jogalkotói oldalról pár suhintás az iPadon, és másnap reggel a közlönyben szerepelhetne az eSzig alapú hitelesítés, mint követelmény... Akit érdekel, venne NFC-s telefont vagy kártyaolvasót.

Az elvi és a gyakorlati biztonság mértéke nem azonos. Egy elvileg biztonságosabb megoldás (pl. egy hardveres token) egyáltalán nem biztos, hogy nagyobb gyakorlati biztonságot hoz, mint egy sima SMS kiküldése (minél több önálló eszköz kell a biztonsághoz, azok fizikai védelme növeli a korrupció kockázatát). A kifinomultabb technikai részletek lehetnek éppen kontraproduktívak, mert a rendszer gazdáját a fizikai korrupció veszélye már nem érdekli. Ráadásul a bank nem csak bombabiztos megoldást kell nyújtson, hanem egyben egyszerűen használhatót is, elvégre a bank mégiscsak egy szolgáltató. Nem esett szó pl. a ViCA-ról ami alkalmazásként is telepíthető, ugyanarra a gépre, amelyiken a bank saját alkalmazása fut. 

Az a gond hogy nem segít mert nem ez a támadás, ezért mondtam hogy amikor security-ről beszélünk akkor threat model-t kell felírni.

Nagyon kicsi a valódi különbség a között hogy hardware-es vagy szoftveres TOTP generálás van, egyszerűen azért, mert a nap végén akkor fogsz tudni belépni ha nálad van az eszköz (akár HW akár mobil). Sőt, mivel lényegében mindenki használ a mobilján valamilyen védelmet (pin kód, ujjlenyomat, face lock, stb.) ezért ennek valójában magasabb lesz a védelmi szintje ilyen szempontból.

A probléma az hogy ha a támadó fogja és lemásolja a bank weboldalát akkor tök mindegy hogy honnan számolod ki a TOTP kódot, azt át fogod küldeni, és igy a MITM támadás sikerülni fog. 

Ilyen szempontból pedig tök mindegy hogy SMS-t küldesz vagy pedig TOTP kódot kérsz be, a támadás sikerén nem fog változtatni.

"Nagyon kicsi a valódi különbség a között hogy hardware-es vagy szoftveres TOTP generálás van,"

Igen, valóban kicsi: a hardveres TOTP esetén a shared secret nem másolható/lopható el, ahogy a szoftveres toptp esetén sem... Oh, wait... :-) (Igen, van olyan totp megvalósítás (hw/sw környezet), ahol gyakorlati szempontból közel azonos az esélye a shared secret kompromittálódásának, mint amikor az egy tokenben van, ahonnan nem nyerhető ki, de ez nem minden esetre igaz...)

És ugye az sem mindegy, hogy a támadó hova, hogyan ékelődik be az üf. és a bank közé? Csinál egy adathalász oldalt, és ráveszi az ügyfelet arra, hogy ott jelentkezzen be? Ebben az esetben gyakorlatilag mindegy, hogy mit és hogyan használunk 2. faktorként, mert a kapcsolat nincs az ügyfél böngészőjét futtató eszközhöz hozzárendelve, azaz lehet tokenes kód, amit be kell írnia a webes felületen, lehet outband jóváhagyás mobilos app segítségével (és ez a maqyarorszaqponthu esetén is így van a dáp-os jóváhagyással).
Hogy ennek a kockázata mekkora, az jó kérdés - picit beleásva magam a dolgokba, ügyfél által birtokolt hardveres azonosítóeszköz, ami közvetlenül azzal a helyben futó böngészővel  "dolgozik együtt", amiből az ügyfél bankolni akar tűnik a valóban megbízható és biztonságos megoldásnak.

Irjuk már fel a támadást, mert úgy lehet érvelni :D Ha a támadás az hogy fizikailag ellopják az eszközt, akkor ez ugyanaz a mobil és a hw token esetében. A mobilnál még át kell menni a pinkód/ujjlenyomaton is, és akkor esetleg elérheted a TOTP programot, aminél ha olyan, akkor megint van egy ujjlenyomatos védelem. A HW token esetében semmi ilyesmi nincs, van egy gomb amit megnyomsz ami generál egy kódot. 

A TOTP shared secret-et normál esetben nem fogod tudni kiszedni a mobilból, mert az alkalmazások nem férnek hozzá egymás területéhez. Nyilván lehet olyan támadást építeni amivel ezzel ki tudod szedni, de ez adott személlyel szembeni nagyon célzott támadásnak kell lennie. 

Ha a támadó be tudja szúrni magát egy adathalász oldallal (amit viszont bármelyik 14 éves diák össze tud hozni, ellentétben a fenti támadásokkal) akkor tök mindegy hogy honnan irod be a TOTP kódot, vagy akár az SMS-t, a támadás sikeres lesz.

Ha webről akar valaki bankolni, akkor az egyetlen biztonságosnak tűnő megoldás hogy ha van egy alkalmazás amely lényegében egy certificate pinning-et megvalósítva csatlakozik a bankhoz és ellenőrzi hogy a tanúsítvány megegyezik. Ezt mintha régen úgy csinálták volna hogy fel kellett telepíteni egy plugint amely egy kártyán tárolt cert-et felolvasva összehasonlította a weboldal és a kártya cert-jét, és ha megegyeztek, akkor engedte a bankolást, különben nem. 

A HW token esetében semmi ilyesmi nincs, van egy gomb amit megnyomsz ami generál egy kódot.

HW tokenek meglehetősen különbözőek ebből a szempontból. Valóban van olyan HW token, amelyik gombnyomásra generál kódot, ilyenkor jellemzően a user által ismert pin kóddal együtt kell megadni az oldalon a 'jelszót' (pl. RSA SecurID), illetve olyan is, ahol az eszközön kell megadni egy kódot, és csak akkor adja ki a generált kódot, ha a megadott kódsor helyes (pl. Digipass)

A./ - akkor már NFC-s, tanúsítványt tartalmazó kártya... És igen, részben a jelentős költségvonzat miatt lett kivezetve a saját smartcard/token a bankok részéről - a kibocsátás/csere/pótlás jelentős humán erőforrást igényel - az eszközök árán/költségén felül.

B./ Felnőtt, jog- és cselekvőképes, a használat kockázatát ismerő ügyfélnek kezelni az emberket? Azokat, akik a legblődebb csalásnak is bedőlnek? Edukálni kellene, igen, csak arra nem a bank - ügyfél, hanem iskola - diák relációban kellene sort keríteni - de oda ugye a mindennapos testnevelés, hittan, meg egyéb mindennapi élethez qrvafontos dolgok mellé már nem fér be...

Az e-személyis hitelesítés jó _lett_ _volna_, de az, mint elektronikus azonosításra is szolgáló megoldás kihalásra lett ítélve a DÁP megjelenésével - ez utóbbival viszont belátható időn belül kell tudnia azonosítania magát a bank felé az ügyfeleknek.

 

Az "Akit érdekel, venne NFC-s telefont vagy kártyaolvasót." nagyon kis hányada az ügyfeleknek - a többi ügyfélnek is kell tudni a banknak a lehetőségein belül biztonságos elektronikus ügyintézést nyújtani.

Edukálni kellene, igen, csak arra nem a bank - ügyfél, hanem iskola - diák relációban kellene sort keríteni - de oda ugye a mindennapos testnevelés, hittan, meg egyéb mindennapi élethez qrvafontos dolgok mellé már nem fér be...

Nem lehet, hogy fordítva ülünk a lovon, és olyan technológiát használunk, amelynek alkalmazására az emberek egy része mentálisan alkalmatlan, akkor nem az emberekkel van a baj, hanem a technológiával? Mert szerintem ez a helyzet, s ezért kellene visszatérni a készpénzhasználathoz, mert azt még az emberek igen nagy hányada, gyakorlatilag mindenki érti, nem vet fel privacy problémákat, nem kell hozzá semmilyen műszaki, hálózati eszköz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Most spekulációt írok:

 

Mi van akkor, ha azt hiszed valamiről, hogy be van kapcsolva, de bizonyos körülmények között az még sincsen bekapcsolva? 

írok két példát: Pl. mondjuk mobilról a bank kér sms megerősítést az átutaláshoz, de netbankból nem kér? Vagy fordítva.

Mi van akkor, ha azt gondolod, hogy az sms megerősítést nem lehet kikapcsolni, csak sms megerősítéssel, de mégis ki lehet?

 

Ilyenkor nem a 2FA van felnyomva, hanem meg van kerülve.

Értem amit írsz és akár valid is lehetne.
Mégsem tartom valószínűnek hogy ez történik mert akkor nem random 1-1 ember számlájáról lopnának el pénzeket hanem tömegesen és nem 1-2 milliókat. Amellett vannak erre tesztek is (pentest). Amit persze el kell végeztetni, de az is biztos h ha nincs akkor MNB nagyon megbünteti illető bankot.

Voltam ilyen pozícióban, ismerem a követelményeket és eljárásokat.

Gábriel Ákos

A mi esetünkben az éjszaka folyamán jött 3 sms kód a telefonra az éjszaka folyamán aminél a harmadikban volt az hogy ha nem ön kérte akkor keresse a bankot. Ez másnap reggel miután észre lett véve a sms meg is történt csak addig a csalók végrehajtottak 15 tranzakciót. Úgy hogy valahogy kijátszották a rendszert vagy lecserélték a telefonszámot.

Egyszer még a múlt évezredben New Yorkban sétáltunk a barátommal és szembe jött velünk egy idős néni egy kislánnyal. Elmentek mellettünk, majd a kislány hátrafordult, visszazszaladt hozzánk és azt mondta, hogy nem, mi nem akarunk arra menni, menjünk vissza a fő utcára és arra sétáljunk. Ez még a Pataki féle nulla tolerancia előtt volt jóval.

Valahogy nem világos nálunk az, hogy az első kötelessége a polgárnak az önvédelem, és csak azután jön a bizalom abban, hogy a barátja, szomszédja, az állam vagy a társadalom majd megvédi. Nyilván vannak olyan helyzetek, amikor az egyén nem képes megvédeni magát, de ebből nem következik, hogy ha egy szélhámos átver, akkor szükségképpen csak áldozat lehetsz. A valóság az, hogy simán lehetsz ilyen helyzetben ostoba barom elsőként és csak másodsorban áldozat. Értem én, hogy nehéz ezt megemészteni, de azt hiszem az egy komcsi érából velünk maradt teher, hogy a társadalomnak meg a rendőrnek kell megvédeni az egyént.

Van olyan helyzet, amikor igen, de alapállásban mindenki elsősorban saját magáért felel.

Ezekben az esetben (amikről most már tudok) vélelmezésem szerint a userek nem csináltak ostobaságot.

Lehettek volna elővigyázatosabbak, de itt nem social engineeringről volt szó, nem is gyenge jelszóról, nem is a kétlépcsős azonosítás hiányáról.

 

Itt a bank nem járt el kellő gondossággal. A rendelkezésemre álló információk szerint a lopások jelentős része megelőzhető lett volna, ha a bank gondosabban jár el az első jelentett eset után.

Az MBH bank informatikusai tkp. méltánytalanul alacsony színvonalon dolgoznak, a bank kifejezetten felelőtlenül állította fel az informatikai rendszerét, ez itt a HUP-on már sokszor volt téma. Egészen biztosan nagy kárt okoztak ezzel az összes ügyfelüknek, de nem tartom valószínűnek, hogy azon kívül, hogy ép ésszel ebbe a bankba senki nem teszi a pénzét,  bármilyen jogi eljárásban felelősségre vonhatók lennének. Tkp. a menedzsment a ludas ebben, aki az ottani informatikusokat fizeti, a menedzsment felel a tulajdonosainak, akik a felelőtlen informatika miatt sok pénzt elbuknak. Ezért a menedzsmentet a bank tulajdonosai akár életfogytig tartó kenyérvizre is ítéltethetnék Kufstein magos várába, talpig vasba, ha rajtam múlna, mert enyém lenne a bank, meg is tenném, de lehet, hogy nem szaroznék, csak egy betonkockába velük valahol az alagsorban. Attól tartok azonban a bank jelenlegi tulajdonosain nincs akkora profitprés hogy megoldást kellene keressenek, leszarják a helyzetet. Megszerezni nem volt nehéz, csak nagyobb baj ne legyen a hozzáértés ilyen súlyos hibái miatt. 

Én úgy látom hogy a szakmának van az a része aki közvetlenül vagy közvetetten megtapasztalta ezeket a pénzintézeteket. Részben a tapasztalásból részben a politikai hovatartozásból adódóan ezek az "erőforrások" egyszerűen elérhetetlenek ezen pénzintézet számára, aka "nincs az a pénz". 

Igény az volna szakemberre mert rendszeresen megtalálnak de két kérdés után kiderül hogy hova is kéne és akkor már csalódik is szegény recruiter. Addig se jutunk el hogy napidíjról beszélgessünk. 

Gábriel Ákos

( n.balazs v | 2025. 04. 16., sze – 00:14 )

Lölőbank. Nem lepődök meg rajtuk.

Megjegyzem, hogy az sms-nél vannak már biztonságosabb módok is.
Nekem a K&H régi rendszere tetszett, ahol adtak egy smart cardot és olvasót. Vállalkozói számla volt.

Ha tényleg annyira lyukasak, mint ahogy állítod, akkor irány MNB. Hadd szóljon a bírság - úgyis jól jön az most az MNB-nek.

( deje | 2025. 04. 16., sze – 00:56 )

Az egyik előddel, a Takarékbankkal van tapasztalatom. Ismerősnek vitték a pénzét, szerencsére nem sokat, talán másfél éve, vagy ilyesmi.

Volt 2 faktoros auth: SMS. Ami kiderült, 2 dolog kellett a lopáshoz:

  1. "Újrahasznosított" jelszó - azaz az illető ugyanezzel az email-el ugyanezzel a jelszóval máshol is regisztrált, úgyhogy ez biztosan kikerült
  2. Takarékbank lyukas rendszere

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t. Ezt a saját szememmel is láttam...

Rendőrségi ügy lett belőle. Eredmény: semmi. Nyomoznak. Azóta is. Kártérítés nuku, felelősök nincsenek.

Mikor kellően sok ember járt már a rendőrségen, a bank "betömte" s biztonsági rést: letiltották a biometrikus azonosítás engedélyezését.

Egy büdös említés sem volt erről semelyik újságban sem, beleértve az "ellenzéki" sajtót is.

Meneküljetek innen.

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t.

Én azt nem értem, hogyan jutott el arra a felületre sima user/pass párossal bárki bekapcsolt SMS-es 2FA mellett a számlatulajdonos közreműködése nélkül, amelyiken be lehet kapcsolni a már élőtől eltérő második faktort... Merthogy az MFA bekapcsolás jellemzően nem a login screen-en van user/pass megadása, de a 2FA előtt...

Ezen felül az szerintem általános, hogy ha többféle második faktor van bekapcsolva, akkor az user/pass mellé bármelyiket elfogadja a legtöbb rendszer, nem kell az össes további faktorral egyszerre hitelesíteni magunkat. Ezért van a belépési ablakokban lehetőség a használt második faktor kiválasztására.

Szóval ehhez a hozzászóláshoz is jó lenne a pontosítás, hogyan is történt részletesen leírva a telefonos biometrikus 2FA beállítása, ha már volt SMS-es kód.

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t. Ezt a saját szememmel is láttam...

Volt SMS-es 2faktoros beállítva. Azonban a biometrikus azonosítás engedélyezéséhez nem kellett belépni, és így kikerülte az SMS tokent - legalábbis ez az, amit a saját szememmel láttam, ugyanis nekem is van számlám náluk. Csodálkoztam is, de nem jutott eszembe szólni nekik. Amire már nem emlékszem, hogy az SMS token helyett volt-e email-es jóváhagyás, mert az lehet, hogy kellett. Az illetőnek az email fiókját is vitték, mivel oda is ugyanazt a jelszót használta - pont ez volt az elkefélés az ő részéről, és pont erre lenne való a 2FA...

Én idejekorán bekapcsoltam a biometrikus azonosítást, ráadásul nem használok újra jelszavakat, így engem nem érintett a sérülékenység. Az mindenestre eléggé beszédes, hogy pár hónappal az eset után jött a kör-email, hogy a biometrikus azonosítás engedélyezése le lett tiltva meghatározatlan ideig (a mai napig). A már beállított biometrikus azonosítás működik a mai napig.

Az MBH-s egyesülés során pedig ahogy látom új informatikai rendszerre térnek át, asszem az MKB szoftverére migrálnak mindenkit szép lassan, a mobilalkalmazásuk is ki lett (lesz, mert még működik a régi...) cserélve.

( kvarga | 2025. 04. 16., sze – 02:04 )

Ne haragudj az értetlenkedésért, de részletek nélkül ezt így nem tudom feltörésnek definiálni. PSD2 kijátszhatóságára tippelek, de ez csak meglévő hitelesító adatok birtokában működhet.

A részleteket szándékosan nem írom le, amíg le nem zárul az ügy.

 

Abban igazad van, hogy nem feltörés, hanem csalás történt. Pontosabban a bank autentikációs folyamatának a kijátszása.

 

Arra irányult a fórumbejegyzés, hogy aki hasonló cipőben jár ennél az intézménynél, azzal tudjunk egyeztetni, hogy mit lehet tenni effektíven a pénzt visszaszerzése érdekében.

Most akkor arról van szó, hogy alapból nincs erőltetve a multifaktor, jól értem?

De mi az, hogy "nincs erőltetve"? A 2FA már egy ideje kötelező a bankoknál, nem? Ha akarom sem tudok egyfaktoros beléptetést használni a netbanki felületeken.

Nemrég írt a K&H, hogy a kényelmes login utolsó védőbástyája, a szépkártyás felület is innentől 2FA-s lesz, nehogy mindenféle jöttment hacker lekérdezhesse a kártyám egyenlegét.

Meg kell novelni a buntetesi tetelet annak a buncselekmeny tipusnak, amit a Telenorba hamis szemelyivel befarado bunozo elkovetett.

Egyeb esetben hamarosan veget er a digitalis civilizacio.

(Nem csak Magyarorszagon problema, es ez volna a torvenyhozok feladata, nem a transzjogokon valo vitatkozas.)

Ez egy régi sztori - amennyiben igaz.
SIM csere fél éve a Telekomnál úgy zajlott, hogy az előfizetőnek személyesen meg kellett jelenni (meghatalmazást nem fogadnak el), a SIM-nek is ott kellett lennie. Mindkettőt ellenőrizték + küldtek ki a cserélendő számra SMS-t, hogy cserét kezdeményeztek és a delikvens azonnal hívjon egy megadott számot, ha nem ő kérte a dolgot.

( kassaiviktor | 2025. 04. 16., sze – 07:02 )

ez így csak hangulatkeltés. 

inkább írj tényeket vagy semmit!

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Az miért lenne bűncselekmény, ha megosztja, hogy

  • melyik korábbi banki (MKB/Budapestbank/Takarék) rendszer MBH-ra rebrandelt változatával történt, azaz hol volt korábban ügyfél,
  • hogyan történt a csalás,
  • mire érdemes ügyfélként figyelni, elkerülendő a hasonló eseteket? (ezt nyomokban tartalmazza mondjuk a topicindító)?

(Személyesen nem vagyok érintett, de ismerősi körben vannak, akik valami furcsa perverzió okán ott bankolnak, emiatt mégiscsak érdekel valamennyire.)

Azért, mert - tekintettel arra, hogy a posztoló feljelentést tett - mindez az információ egy már folyamatban levő nyomozás része. Ezek az infók csak akkor oszthatóak meg, ha a nyomozás már lezárult, különben a nyomozás akadályozása-befolyásolása miatt részben őt is elővehetik, részben pedig emiatt hátrányba kerülhet a nyomozás.

Privátban szerintem tudtok egyeztetni, de ezek a részletek a jelenlegi helyzetben valóban nem oszthatóak meg publikusan.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igazatok lehet, hogy a hiba pontos ismeretében más is visszaélhetne vele, akkor csak annyit lenne célszerű megosztani, hogy mire érdemes figyelni, valahogy csak elindult a csalás és ehhez szerintem felhasználói interakció kellett.  Ha nem ez a helyzet, akkor azonnal le kell kapcsolni az egész banki rendszert és a hiba kijavítása/workaround után újra elindítani.  Ha igaz, ami a topic indítójában volt, hogy a bank tudatában volt valamilyen tervezési problémának, akkor pedig kártalanítsák az ügyfelet és tegye a pénzügyi felügyelet a dolgát.

Ne haragudj, ezzel nem értek egyet.

 

(1) kiváncsi vagyok, hogy mással is történt-e ilyen eset mostanság, ugyanis együtt könnyebben fel lehet lépni a pénz visszaszerzése ügyében.

 

(2) ez egy visszajelzés, hogy ennek a banknak a biztonsági rendszere szuper könnyen kijátszható. Válasszatok olyan bankot, ahol ez nem áll fenn. 

 

(3) ez nem hangulatkeltés, hanem kurva drága tapasztalat, ugyanis a mi családunkban történt egy nagyon súlyos lopás, ahol minket rendkívül súlyos kár ért a bank hanyagsága miatt.

( guszti | 2025. 04. 16., sze – 07:34 )

Anyósomnak ott van számlája. Két hete kapott egy tájékoztató levelet, amiben valami ePIN-ről volt szó. Amit internetes vásárlásokhoz kell/lehet? használni. Mivel anyósom havonta egyszer-kétszer használja a kártyáját pénzkivételre és nem internetbankol, nem internetezeik. A bakszámla adatai nem kerültek fel az internetre, így nem igazán foglalkoztunk vele. Nincs okostelója, egy e-mail címe van, amivel a messengerbe van beléptetve. Ez mondjuk lehet támadási faktor. Ránézünk majd.

( ggallo | 2025. 04. 16., sze – 07:47 )

Nem a bankok védelmében mondom, de a felhasználók (a műszaki területen jártasak is) nagyon nem ügyelnek a biztonságra, azokkal a biztonsági elemekkel sem élnek, amik rendelkezésre állnak.

Maga az állítás is hibás, mert soha nem feltörik a bank rendszerét (ehhez a szoftverükben kellene kiskaput találni és érvényes hitelesítő adatok _nélkül_ hozzáférni a rendszerhez), hanem normál módon authentikálnak lopott, talált vagy kicsalt hitelesítő adatokkal. És ha nincs semmi plusz ideiglenes/személyhez-/eszközhöz kötött faktor engedélyezve (ebből általában többfélét kínál jó ideje minden hazai bank), akkor már lehet is vinni a pénzt.

A bank annyiban mindenképp nevezhető hibásnak, hogy nem szól _naponta_ az ügyfélnek (csak kb. havonta, én minden bankomtól kapok ilyen rendszerességgel tájékoztató levelet a csalások-lopások megelőzésnek módjairól), hogy vigyázzon a náluk lévő pénzére, és ehhez az alábbi módszereket ajánlják:... De amennyi hír ilyen csalásról, átverésről már megjelent az utóbbi években, úgy annak egy kő alaltt a világtól elzárva kell élnie, aki erről még nem hallott a banki értesítégetés nélkül is.

És akkor most aki nem éri a mondandóm lényegét, annak lehet ide írni, hogy milyen szemét áldozathibáztató vagyok, meg, hogy miért védem a NER-es bankot, satöbbi.

A probléma ebben az esetben ott van, hogy vélelmezésem szerint kiskapu volt  a bank rendszerében.

 

A bank ebben az esetben több esetben is hibás:

 - kiskaput hagy a rendszerben

 - észleli a gyanus tranzakciót, mégis jóváhagyja a user értesítése nélkül

 - nem add semmiféle tájékoztatást a történtekről, ügyfélszolgálata ezügyben _lényegileg_ elérhetetlen.

 

A másik probléma, hogy a mi családunkból lopták el egy _bankból_ egy autó árát.

 

Arra van a bank, hogy olyan autentikációs rendszert találjon ki, ahol nincs lehetőség lopásra.

Ha pedig lopnak, azért vállalja a felelősséget.

Egyelőre nem látom hogy kizártad volna a "social engineering" vagy a sikeres "phishing" támadás lehetőségét. Teljesen kizárni kb úgy lehet hogy 'már volt bekapcsolva rendes 2FA'-ja (nem SMS alapú). 

Amúgy nem véletlenül tették kötelezővé (szakmailag sztem helyesen) hogy a bankok vezessék be a DÁP / ügyfélkapu+ alapú authentikációt. 

Gábriel Ákos

( gabrielakos v | 2025. 04. 16., sze – 08:42 )

CTO-t keresnek az illetékes céghez, ha valaki esetleg érezné a kihívást :)

Gábriel Ákos

( dirtydriver | 2025. 04. 16., sze – 09:25 )

Én jelenleg 3 olyan esetet tudok, hogy lenyúltak milliókat az elmúlt 2-3 hétben. Az egyik egy egyesületi számla onnan 4.5M-et húztak le, a másik egy privát számla ahol nem is használt az illető internet bankot mindent a bankfiokban intézett magának onnan 5M húztak le majd bement a fiókba, hogy mi történt ott nem igazán voltak felhasználó barátok, de zárolták a számlát és vettek fel jegyzőkönyvet. Majd 2 napra rá az illető kapott még 1 sms-t a banktól hogy átutaltak 300K-t a számlájáról, úgy hogy az zárolva volt. Bankban csak néztek és nem tudtak rá mit mondani, keresték a központot a fiókbol és ott se tudták megmondani, hogy ez hogy lehetett, A harmadikhoz nincs sok infóm csak annyi, hogy ott is milliók tüntek el a számláról.

( gemnon v | 2025. 04. 16., sze – 09:31 )

Szerkesztve: 2025. 04. 16., sze – 09:36

Biztos kapott napispamet az "MBH"-tól (akik valamiért 90%-ban, ruszki alexusMailer-t használnak megtört siteokon :)) , hogy zárolták a számláját,majd jól rákattintott egy hasonló linkre:

hxxps://smartidcard[dot]online/admin/assets/fonts/MmbMmbmM/mkb/signin.php

Belépett és csodálkozott, hogy eltűnt a mani. :D

( hanzo v | 2025. 04. 16., sze – 09:35 )

szia!

 

Egy balassagyarmati egyesulet penzet nyultak le igy sajnos... semmi gyanus dolgot nrm talaltam en se naluk....

http://szolarenergia.hu

A hálózatépítést csak elkezdeni lehet, befejezni soha

( XYBeR | 2025. 04. 16., sze – 09:41 )

Ha google-ban néhány hete rákerestél az mbh oldalára, akkor az mbhbank.nu címre dobott el, és MIM jelleggel átvitt még a kétfaktoros azonosításon is. Tetszőleges magyar lakossági bank netes oldalát képes volt utánozni.

( szomi | 2025. 04. 16., sze – 10:04 )

Szerencsére nem vagyok érintett, de sajnos az MBH-nál vagyok, még. Annyi tűnt fel, hogy a decemberben lejárt cserélt bankkártyámat cserélték kb. 3 hete. Kérdeztem a telefonos házibankot vagy mi a csodát, de csak tereltek, hogy ügyfeleik érdekében folyamatosan fejlesztenek, de akkor sejtésem beigazolódni látszik, ezek szerint megint valami biztonsági adatszivárgás lehetett, ahol kimentek kártyaadatok.

( zslaszlo v | 2025. 04. 16., sze – 11:35 )

Kb 4 éve a társasházunk számlájáról 10 milliót nyúlt le az előző közös képviselő. Mi választottunk újat, a régi meg egyszerűen besétált a bankba (MBH, akkor talán még takarék volt) néhány hamisított jelenléti ívvel és 10 millió forintot vett le a számláról, ahová a közös költséget utaljuk. Feljelentés, rendőrség minden megvolt, pénz/felelős azóta sincs. Itt a vége, fuss el véle...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Ja. Ő egy hamísított papírt vitt, hogy még mindig ő a közös képviselő. Nem volt már rajta a kedvezményezetti listán, de miután bebizonyította, hogy még jogosult hozzáférni a számlához (pontosabban ismét ő jogpsult hozzáférni) kiadták a pénzt. Utána az új közös képviselőbek nem akartak hozzáférést adni. Gyönyörű történet volt.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( csabezs | 2025. 04. 16., sze – 11:55 )

Marha jó, nemrég csináltattam náluk számlát, de akkor alapból kellett a 2FA, másképp nem is tudok belépni. Appot nem használok.

Es ezek csak az utolso osszeolvadas bankjai. Ha jol tudom, korabban az MKB-be is olvadt bele mas kisebb. A "nagy" Takarek is tobb kisebb videki Takarekbol jott ossze.

Nem lehet konnyu ott az IT-s elete. El is jottek onnan azok, akik megtehettek.

Nem azokkal van a baj, akik eljöttek, hanem azokkal, akik maradtak.

A Takarékbankkal nincsen tapasztalatom, de az MKB-val van, onnan időben elmenekültem. A Budapest Banknak viszont hibátlan informatikai rendszere volt, minden szempontból. Ehelyett az volt a koncepció, hogy addig húzzák a három rendszert, ameddig lehet és azután összegyúrnak ezekből egy negyediket. Nem lett volna ez rossz megoldás, ha értettek volna ilyesmihez. Be kellett volna látniuk, hogy nem értenek hozzá és meg kellett volna tartani a BB rendszerét. Ilyenkor azonban nagy a szakmai önérzet és mivel az informatikus általában szegény ember idehaza, jól áll az arcszinéhez a válllakozó kedv és önbizalom. A tulajdonosok számára sem okvetlenül idegen egy olyan költés, ahol a pénzt egy másik vállalkozásukba öntik számolatlanul. 

Ez a feladat nem lett volna lehetetlen, sőt, viszonylag olcsón meg lehetett volna úszni. 

A "Takarek" elott volt valami TakerekBank (ha igy hivtak) ami osszeolvasztotta az osszes takarekot es az FHB-t (ami pedig korabban Allianz Bank volt). En az Allianz Banknal kezdtem az MBH-s palyafutasomat, az FHB rendszere jo volt, a Takarekbanknal online semmit nem lehetett intezni, az MBH-s osszeolvadas a godor alja volt, semmi nem mukodott normalisan, ott le is leptem.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Üdv a klubban. Annak idején az OTB Banktól menekültem az Allianzhoz, amint elkezdték lakossági szolgáltatásukat. Aztán a lakossági portfóliót átvette az FHB. Az Allianz-cal semmi gond nem volt, "szerettem" őket. FHB-nál egyetlen esetben szívattak meg, egy Karácsony előtti céges bulin a számlámat nem tudtam rendezni, mert a bankkártyámat a bank letiltotta, ahogy egy csomó szerződött ügyfélét. Rohadt kellemetlen volt fizetésénél...

FHB után Takarékbank, sok vizet nem zavart, de miután beolvadtak az FHB-ba csak szívok. Korábban beállított havi ütemezett fizetések nem mentek, a vállalati ingatlanvásárlásra felvett hitelem számlaszámát (egy másik beolvadt vidéki takarékszövetkezet) megváltoztatták, amiről értestés nem jött. Pár hónap után vettem, észre, hogy nem teljesülnek az automatizált átutalásaim, de persze az elmaradásról sem kaptam értestést. Bankfiókba kellett bemenni személyesen, hogy megtudjam mi történt. Katasztrófa. Jövőre lekettyen a piaci alapú lakáshitelem is és pattanok tőlük azonnal.

( peterszky | 2025. 04. 16., sze – 13:14 )

A közvetlen környezetemben (szerencsére nem családtag...) az elmúlt 1-2 évben háromszor volt olyan, hogy vitték a folyószámla tartalmát. Különböző bankokból. Minden esetben user error volt az alapja, mert valahogy kicsalták tőlük a belépést, ez ellen meg a 2FA se véd, ha nem villog a piros jelzés az ember fejében. Feltételezem, hogy a jelszó ebben az esetben is kikerült, különben azt a hitelesítő SMS-t se tudták volna elintézni maguknak, szóval erre simán ráhúzná akármelyik pénzintézet, hogy az ügyfél hibája. Sajnos nincsenek elég hatékonyan üldözve ezek az esetek.

Egyébként:

- Az összes mamut bankot kerülni kell, minél nagyobb a vízfej, annál többet húznak le az ügyfélről. Ez hatványozottan igaz azokra a nagybankokra, ahol több intézmény olvadt össze, mert hosszú ideig problémák lesznek (lásd MBH).

- A jelenlegi pénzügyi körülmények között én egy biztonsági tartalékon (max. 1-2m Ft) kívül amúgy se tartanék bankban pénzt.

- Közvetlen családi környezetben érdemes találni egy személyt, aki a "pénzügyes" (ért hozzá, nem qrják át egy hívással, stb...), aki kezeli a család számláit, persze ehhez nem árt, ha megbízol a családtagban, nyilván elképzelhető olyan helyzet, hogy ez nem áll fenn.

A jelenlegi pénzügyi körülmények között én egy biztonsági tartalékon (max. 1-2m Ft) kívül amúgy se tartanék bankban pénzt.

Keszpenzben tartani otthon nem biztonsagosabb szerintem es - osszegtol fuggoen - a logisztika sem konnyu.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Hol írtam, hogy otthon tartanám készpénzben? 

Nem irtad, felteteleztem, leirom lentebb miert.

Vannak pénzintézetek a kereskedelmi bankokon kívül is, mint pl. a MÁK vagy a vagyonkezelők.

Arrol volt szo, hogy feltortek egy bank (=penzintezet) rendszeret, a MÁK tarsai is feltorhetoek elvileg, ugy gondoltam erre valaszul irtad. Az infromatikai hatterukben nem lehet tul nagy kulonbseg egy bankkehoz kepest.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

MÁK tarsai is feltorhetoek elvileg

A MÁK rendszere is hasonló moslék, ugyanolyan jellegű logikai bukfencekkel, mint amit a topikban eddig fejtegettek. ("Mikor engedünk új, a felhasználó azonosítására szolgáló módszert hozzáadni -legyen az első vagy második faktor-, és melyikkel azonosítva magunkat melyik másik módosítható?")

https://kiszamolo.hu/allamkincstari-eszrevetel/

TL;DR: A mama személyesen létrehozott, webről soha nem kezelt kincstári fiókjához a hacker a kincstárban személyesen regisztrált tel.szám SMS kódja segítségével (kb. ez az egy faktor kellett hozzá) létrehozott egy WebKincstár fiókot, ahonnan vígan talicskázhatta ki a pénzt. Volna, ha a 2 napos várakozási időbe nem bukik bele, amit 1,5 éve implementáltak, az ezt megelőző, szintén kiszámoló blogos cikk alapján.

Ez a hiba még 1-2 hónapja -elvileg- fennállt, a helyreigazításos okoskodás ellenére.

 

Kiválóan tükrözi a fejlesztő-üzemeltető hozzáállását, hogy miután szóról szóra az eredeti cikk javaslatai szerint javították* ki a rendszerüket, és egy köszönömre sem futotta nekik, a második bejegyzés után pedig még nekiálltak helyreigazítással és perrel fenyegetni a cikk íróját. A válasz emailek persze közvetlenül >/dev/null.

*Olyan state-of-the-art megoldásokat alkalmazva, mint:

- ne lehessen két napig utalni új számlaszámra

- minden tranzakcióhoz kérjen (SMS 2FA) kódot

- tüntessék el az ügyfél személyes adatait az oldalról (t.i. a hacker korábban a belépése után azonnal az arcába kapta a Név - Születési hely, idő - Email - Telefonszám - Lakcím adathalmazt. Valaki írta is, hogy a lekérés és a válasz ugyanúgy ment-jött a backendtől a javítás után is, csak a GUI-n nem jelenítették meg többé.)

- a belépési jelszó ne csak betű és szám lehessen, ne csak maximum 16 karakter

 

Az eredeti témához visszatérve, a Facebooknál is volt néhány éve ilyen corner case, hogy talán valami ritkán használt mobilos (webes) felületről nem volt határa, hányszor próbálhatja megválaszolni a biztonsági kérdéseket. Én azt akkor nem hittem el. (Nem ugyanarra a flowra fut ki, bármelyik guit használja a parasyt?)

( d3xt3r | 2025. 04. 17., cs – 07:26 )

x banknál vezetett kolléga számlájáról csaltak ki ~150e Ft-ot.

Felhívták hogy gond van és bedőlt. 50 perces beszélgetés volt és természetesen a guba nem jött neki vissza feljelentés után sem. (nem kis bank de nem a bank hibájából adódott a lopás)

60 éves kisnyugdíjas, sőt még a kártyáját is hozzáadták digitális tárcához.

Engem a zótépétől hívott egyszer egy rejtett erőforrás, hogy utaltam-e mészárosnak, mondom nem aztán kapcsolta az informatikus kollégáját aki viszont magyar volt, telepítettük az OTP-s Anydesk nevű vírusírtót a telefonra és vagy nyolcszor lediktáltam a kódot de nem tudott csatlakozni (azt nem mondta, hogy engedjem át a tűzfalon mondjuk...) a végén csak úgy rámcsapta a telefont (ez aztán az ügyintézés)

van egy pali aki erre szakosodott, hogy a csalóknak megadja a virtuális gépére telepített anydesk(vagy bármi más) számot. majd amikor beengedi, le is tiltja hogy tudjon bármit is csinálni. közben persze adja a hülyét. de mindeközben a kliens fájlkezelőjével elkezd szétnézni. általában bizonyítékokat gyüjt a csalásról, majd a végén töröl mindent!:D
zseni. amúgy segített az indiai hatóságoknak lefülelni jópár ilyen scamcentert.

úgy hívják őket, hogy scambaiterek. rengeteg ilyen csatorna van. némelyik technikával tűnik ki, némelyik humorral. legismertebbek talán Pierogi, Kitboga, pleasant Green, Jim Browning, Rinoa Poison, IRLRosie

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

ennek nagyon kicsi az esélye, hogy pont téged hívnak fel aki megvezeti majd őket!:D
mivel bűnözőkről beszélünk, nem fog elmenni hozzád/se küldeni bárkit. mert akkor lebuktatja magát és az egész bandát.
szóval bármit csinálhatsz. te vagy az áldozat, neked lehet.
én szivatni szoktam őket. iszonyú balfaszok ezek azt tudni kell. mivel "alkalmazotti" státuszban vannak, előre megírt kérdésekkel/válaszokkal. anydeskes még nem volt (azt mondjuk tudnám élni egy virtuális géppel), csak ilyen banki azonosítós móka volt többször is.

Lehet, hogy szerencsés vagyok, engem még egyik módon se találtak meg banki témában. Időnként kapok valós számlalevélnek tűnő gázszámlát (nem arra a címre, amire egyébként szokott jönni), meg rémisztgetnek arról, hogy a freemailes fiókomat felfüggesztik, ha nem erősítem meg a linket (itt még arra sem figyelnek, hogy a feladó címét rendesen meghamisítsák), és ennyi.