Banki csalás?

Közösségi kerekasztal

Sziasztok!

Segítsetek nekem. Egy bank ügyfele számlájáról levettek pár millió forintot. A számlához nem tartozik bankkártya, nincs banki app telepítve. Utólag annyi állapítható meg az ügyfél elmondása és az sms-ek alapján, hogy az első jel, hogy kap két sms-t mely a telefonos applikáció telepítéséhez szükséges jelszót adja meg. Ezt nem veszi észre az ügyfél, viszont utána pár órával még indít két átutalást a számítógépén, teljesen szabályosan. Ezt követően éjszaka levették tőle a több millió forintot. Ő soha nem engedélyezte se az utalást, se az applikáció telepítését.

Hol hibázott? Nem az ügyfél hibázott, hanem a bank? Mit nem veszek észre?

 

Köszönöm ha segítetek.

  • 1764 megtekintés

( gemnon v | 2025. 05. 18., v – 07:48 )

Melyik bank küld sms-t a telefonos app telepítéséhez? Az aktiválás más dolog, de ugye azt meg már a belépés után szokta. Tehát ha eljutott addig , hogy sms-t kap akkor valaki már tudta a login/passt. 

Sok a mesebeli részlet a nyitó hozzászólásban? Meg a konkrétumok hiánya?

Melyik bank?

Magán vagy vállalati számla?

Egyedüli számlatulajdonos?

Egyedül jogosult a számlaműveleteket végrehajtani, vagy más is?

Végrehajtás érvényben van-e ellene?

Milyen telefonja van?

Hova utalták a pénzt?

 

Nekem volt tapasztalatom a Raiffeisen bankkal 2024-ben, hogy a kettős aláírást céges számlán úgy állították be, hogy én csak másodaláírás ellenében tudtam műveletet végrehajtani, míg a másik egyedül is. Persze semmi baj nem volt vele a bank szerint, de azért megnézettettem és igazam lett. 

melyik bank?

Némelyik banknál egyszerűbben, másiknál bonyolultabban lehet belépni. Pl OTP-nél a számlaszám, jelszó és egy másik azonosító kell, míg a másik banknál egy 8 jegyű számsor a felhasználó neved.

Magán?

A vállalati számlánál gyakran lehetnek többes aláírók, amelyek közül valaki aktiválta magát és lenyúlta a pénzt.

Egyedüli számlatulajdonos? és Egyedül jogosult a számlaműveleteket végrehajtani, vagy más is?

Ha az asszonnyal közös a számla és válnak, akkor fölrakhatta az asszony a mobilappot és lehúzhatta a pénzt.

Végrehajtás érvényben van-e ellene?

Nem tudom, de a végrehajtó is leemelhette, nem tudom, hogyan férnek hozzá a számlához.

Az OTP amikor először belépsz a mobil appba, beírod az email/jelszót ezután küld egy sms-t, hogy

FIGYELEM, OTP
Mobilalkalmazás regisztráció!
Kód: 123456 Érvényes: 11:00
OTP Bank

Azt hiszem ezt ők regisztráció aktiválásnak csúfolják. Tehát ha kapsz egy ilyen smst akkor jó esélyel valaki az email/jelszó kombót már eltalálta. :)

( Czo v | 2025. 05. 18., v – 07:50 )

Mi volt az SMS uzenetek beture pontos szovege? Amikor ezek az uzenetek megerkeztek, akkor beszelt a bankkal, hogy ezek micsodak?

( gabrielakos v | 2025. 05. 18., v – 08:19 )

Amikor az ügyfelek ezeket a sztorikat előadják akkor ők sosem hibáztak semmiben. Ezzel nincs is semmi baj, teljesen átlagos emberi viselkedés. A nyomozóhatóságnak az a feladata hogy a vallomásokból és begyűjthető tényekből felállítson egy valószínűsíthető tényállást, aka "igazságot". 

Ez a fórum nem nyomozóhatóság.

 

Gábriel Ákos

( Friczy v | 2025. 05. 18., v – 10:10 )

Ő soha nem engedélyezte se az utalást, se az applikáció telepítését.

Szerintem elég nehéz lenne egy applikáció telepítést a user nélkül megcsinálni.

( lcsaszar v | 2025. 05. 18., v – 10:18 )

De végül is feltelepült a banki app a telefonjára? Vagy csak két sms jött, amiket megnézett ugyan, de a bennük (egyik a kamu banki app, másik a credentials) levő linket meg sem nyitotta? Valahol sántít a történet.

( P3nész | 2025. 05. 18., v – 11:05 )

Sziasztok!

MBH bank.

Vállalati számla, egyedüli aláíró, más nem is írhat alá.

Másik magyar bankhoz egy magánszemélynek utaltak.

Több pénz is van/volt a számláján azt nem utalták el.

A bank az utalás után zárolta a hozzáférést.

A telefon és a számítógép vizsgálata folyamatban van.

Az aplikáció telepítését engedélyező sms-eket csak a feljelentéskor vette észre, amikor visszanézte az sms-eket.

 

Nem azt mondom, hogy nem hibázott az ügyfél csak nem tudom, hogy hol?

Ha MBH akkor szerintem vagy a google szponzorált linken keresztül lépett be (ősi magyar szokás), vagy pedig kapott egy kamu emailt, hogy "zárolták a számláját" és azon a linken keresztül.

Arra nem emlékszik mit csinált amikor megkapta az sms-t? Esetleg összevetni a browser historyval. 

Már volt egy nagy beszélgetés a témáról: https://hup.hu/node/187774

Személyesen azt tudom javasolni hogy banknak szólni, rendőrségen feljelentést tenni, majd pedig eldönteni, hogy a továbbiakban van-e bizalom az MBH bank irányában. Ha nincs, akkor van bőven másik bank itthon amiből lehet választani.

Az ügyfél biztosan hibázott valahol az user/pass körül minimum, mert azt tudni kellett minden máshoz. Az, hogy kamu oldalra ment banki belépni vagy olyan egyszerű volt a belépése, ami kitalálható, ennyiből nem derül ki.

A másik viszont, ami a bank oldala, hogy miért ilyen egyszerű a banki appot feltenni? 2025-ben egyetlen SMS a "védelem"? Mikor csere SIM-hez jutni némi kamuval a más nevére sajna nem lehetetlen.

A CIB-nél az appot aktiválni csak személyesen a fiókban vagy telebankon, telebank PIN kód ismeretében és alapos azonosítás után lehet.
Aztán meg szintén CIB esetében akár weben, akár mobilon belépni csak 2FA után lehet (weben token kell, amit a mobilapp generál ujjlenyomat után, a mobilapp meg csak ujjlenyomattal vagy egy megint másik PIN kóddal enged be). Aztán minden tranzakciónál is kell a token/ujjlenyomat akárhonnan indítom. Ezzel azért elég nehéz már visszaélni.

Erste-nél szintén plusz egy garnitúra azonosítót, titkos kódot kell ismerni a mobilapp aktiváláshoz pluszban, és utána ugyan úgy minden tranzakciót jóvá kell hagyni az appban, ujjlenyomattal/PINkóddal.

Lehet azért a plusz védelemért is jó a mobilapp minden banknál (ha nem is akar valaki mobilról bankolni), hogy onnantól abban megy a jóváhagyás, nem SMS-ben, és az már sokkal nehezebb a bűnözőknek. Pl. CIB mobilapp alapból csak egy készüléken lehet aktív, ha valaki az enyémet lenyúlja, azonnal megtudnám, mert onnantól a telómon nem működik (de a "régi" telón jóvá kell hagyni a költözést, vagy ha ez nem lehetséges, akkor személyesen a bankban kell folytatni... szóval lenyúlni nem egyszerű).

Nekem az a fura, hogy az MBH előzmény bankjai is problémásak voltak sok téren, miért voltak ott annyian (nekem is bolt BB számlám, még bőven az egyesülés ötlete előtt megszűntettem, mert csak a baj volt vele), és a problémák hallatán miért nem váltanak? Előbb-utóbb csak rendbe tennék, ha sok ügyfél elmenne emiatt. Vagy az emberek ennyire nem foglalkoznak ezzel, hogy akkor hallanak az egyes banki problémákról először, mikor beüt náluk a baj? Pedig a hírekbe jó sok banki csalásos-visszaéléses eset bekerült már, azok miatt lehetne mindenki kicsit egészségesen paranoiásabb mára.
Vagy megfordítom, az Erste, CIB (ezeket használom, többit nem ismerem) miért fejlesztette/fejleszti a biztonságot folyamatosan, az MBH meg miért nem? Miért van még bármely banknál a mai napig SMS-es bármi? Az öreg néni okosteló nélkül inkább menjen kötelezően a fiókba személyesen, minthogy az SMS-es gyenge biztosnág miatt lenyúlják a pénzét. Mindenki másnak meg van okostelója internettel, ujjlenyomattal, hát használja azt kötelezően azonosításra.

Vagy az emberek ennyire nem foglalkoznak ezzel, hogy akkor hallanak az egyes banki problémákról először, mikor beüt náluk a baj?

Alapvetően az emberekben van 1 hamis biztonságérzet, h. a pénzük biztonságban van abban a kurva bankban, ahol tárolják. Mert ha nem így lenne, akkor mindenki megrohamozná a bankfiókokat kivenni az összes pénzüket, és dominószerűen menne csődbe minden bank 1 munkanap leforgása alatt (ugye hétvégén nincs nyitva a bank h. kivehesd a pénzed. Ezért kell a bankcsődöket szombat-vasárnapra időzíteni).

Azért hiszik ezt az emberek, mert nincs róla főműsoridőben oknyomozó dokufilm. Ahol hitelesen(!) leszimulálnák a sikeres lopás kiindulási állapotot, a trükköt és a támadás végigvezetését. Utána pedig megmutatják hogyan lehet ellene védekezni. Ha a bank védelme gagyi, akkor nevesítve kiraknák a szégyenfalra h. ennél a banknál ez 2025 május 18-án nem biztonságos, senki ne bankoljon ezeknél.

Na, ennek talán lenne hatása, ha leadnák nevesítve a nagy focimeccs v. megasztár v. teheccség(sic) kutató nagyobb reklámszünetében ezt a műsort.

Persze ilyen oknyomozó dokufilm sosem lesz a valóságban. Mer' se a csalóknak nem érdeke. Se a sáros banknak. Se az MNB-nek. Se a Közeg-nek. Csak a birka folyószámlatulajdonosoknak. De hát a mai k. világban rájuk szarik minden szolgáltató, ha már a pénze náluk van, azt nem kell védeni. Mert az mnb is megasszonta pecsétes papíron h. mi az elégséges védelem (azaz a gyenge szar szekuriti). Aztán ha mégis kilopják az ügyfél pénzét, a sáros bank az mnb-vel 69-es póziturában vonogatják a vállukat.

Csak egy megjegyzés úgy, hogy a banki biztonság technikához különösebben nem értek:

A sokszor pozitív példaként emlegetett CIB-nél már rengeteg bajom volt a számlám biztonságával, kezdve attól, hogy be sem tudtam lépni, addig, hogy kötelezően rám erőltettek olyan okos telefonos app engedélyezését, amit nem is akarok soha sem használni!!!

Az MBH-t pont tipikusan azok választják, akiknek a faluban van egy fiók vagy ATM. Nekik valószínűleg könnyebb bemenni a fiókba kódért. Egy Gránit vagy Magnet bankos, akinek a fővárosba kéne utaznia vidékről, biztos nem örülne, ha mindig behalna az app és csak egy újratelepítés segítene.

Ezt a csoportot azok számára hoztuk létre – legyenek magánszemélyek vagy vállalkozások –, akik korábban vagy a közelmúltban hacker támadás áldozatai lettek, és ezáltal kisebb vagy súlyosabb anyagi kárt szenvedtek el.

Tehát "csak" a szokásos: user hülye mint a segg, de a pénzintézet a hibás... Persze. Hagyjuk már. Nem kell minden egybitesnek Internetre írás jog, mobilbank meg pláne. Az autóvezetéshez is kell jogosítvány, az Internet használathoz miért nem? Veszélyesebb, mint a közút...

Hála égnek én nem vagyok közvetlenül érintve az ügyben. Itt a bank szerintem annyiban felelős, hogy mobil alkalmazás telepítése és a biometrikus azonosító bekapcsolása után bármit tud csinálni a felhasználó minden fajta megerősítés nélkül. Én a CIB-nél vagyok de ott bármilyen modosításnál vagy utalásnál meg kell erősítenem a müveletet egy kóddal.

( Joejszaka v | 2025. 05. 19., h – 13:40 )

Mint érintett az ügyben, a következő a menet.

A bank megszegett pár törvényt és szabályozást, de alapból a felelősséget az ügyfélre tolja. Sajnos harcolni kell.

 

1) banknak panasz

2) feljelentés (minél hamarabb)

3) megvárni a bank elutasító levelét (30 nap után bemenni a fiókba, ha nem küldenek választ)

3) MNB Pénzügyi Békéltető Testületnél eljárást indítani (pereskedés 0. fok)

4) per 1., 2. fok

5) Kúria

 

Emellett beszélni az Adhoc support-os Hup-os kollegával, aki kollektív képviselettel foglalkozik. Bejelentkezni az MBH Bank károsultak fb oldalra.

 

Át kell tanulmányozni az EU PSD2-es direktríváját és a PFT 37 paragr. (3)-(4)-et.

Mi a (3) pontnál vagyunk. Szerencsére a Kúria egy régebbi döntése nekünk kedvez, de sajnos futni kell a pénzünk után.

Korrekt, az én véleményem szerint. Viszont mi nem jogi fórum vagyunk, hanem technikai, és a bank hiányosságai nagyon is nyilvánvalóak.

Másnak van jogerős határozata, és emiatt remélem nekünk is lesz. Lásd az alábbi cikket:

https://www.vg.hu/vilaggazdasag-magyar-gazdasag/2025/03/kibercsalas-kur…

Ebben az esetben nem az van, hogy vannak figyelmetlen ügyfelek, akik legalapvetőbb szabályokat se tartanak be...

 

Itt az a történet, hogy van egy bank, aminek a védelme annyira lyukas, mint egy szita, és az ügyfelek kárát szisztematikusan, aljas módon nem téríti meg, az ügyfélkommunikációja nulla, nincsen complience kezelése. A felelőtlen magatartása miatt vállalkozásokat, alapítványokat csődbe visz, egyéneknek pedig milliós károkat okoz.

 

Képzeld el, hogy a panaszainkra még egy elutasító levelet se voltak képesek küldeni se postán, se emailben... a törvény által garantált határidő lejárta után a bankfiókba kellett menni, hogy átvegyen a családtagom egy sablon formanyomtatványt.

 

Azért írom le ezeket, hogy mindenki, aki olvassa, tartózkodjon ettől az intézménytől és ne kerüljön hasonlóan bajba, mint a családtagom.

Attól, hogy lezáratlan jogvitád van a bankkal szemben, még ex cathedra nem jelentheted ki, hogy jogsértően jártak, járnak el, illetve nem állíthatsz olyat róluk, amit nem tudsz tételesen bizonyítani. És a fentiek közül a harmadik bekezdés az, ami ebbe a körbe bele tud férni.

 

Először is, nem nekem van jogvitám a bankkal, hanem egy családtagomnak.

 

Másodszor pedig kijelenthetem, sőt, ki is jelentem. Az MHB Bank súlyos mulasztásai véleményem szerint törvénysértőek és etikátlanok, ami (más károsultakkal folytatott személyes beszélgetések alapján) több tízmillió, extrapolált becslésem szerint száz, akár ezermillió forintos károkat okozott teljesen jóhiszemű ügyfeleknek.

 

Állításomat tapasztalataimból, ismerősem tapasztalataiból vezetem le.

Természetesen nem bíróság vagyok, ezért ez egy vélemény.

 

Azt is gondolom, hogy erről a közvéleménynek tudnia kell.

( elod v | 2025. 05. 20., k – 08:23 )

Ezt a nyomi sms-t kéne már nagyon gyorsan elfelejteni. Meg a fizikai tokent újra divatba hozni.

Ha itt olyan fizikai tokenről van szó, ami TOTP alapú (6 darab számjegyet jelenít meg), és ha sikeresen játszanak man in the middle-t, akkor ezt is ugyanúgy ki lehet játszani, mint mondjuk az SMS-ben küldött kódot. Ha úgy indul a támadás, hogy Google hirdetésben egy hasonló, de csaló domainnel első helyre kerülnek, ami az eredetivel egyező netbank weblapot jelenít meg, bekéri a nevet+jelszót+második faktort, akkor ezeket beírja a user, a csaló weblap a háttérben ezekkel az infókkal belép a valós netbankba, és már indulhat is a csalás.

Ezért van a "köztes" megoldás: netbanki belépésnél másik csatornán történik a kérdés-válasz jellegű jóváhagyás (push érkezik telefonra, telefonon jóváhagyás megy vissza a bankhoz).
Az sms-sel az is a gond, hogy van, ahol "összeér" a desktop és az sms fogadása (Apple ökosziszétma ugye...), ergo egy megfelelő trójait bejuttatva a desktop-ra a beérkező sms-t el lehet olvasni, és törölni is lehet - és ez a telefonon sem fog látszani(!). A push-t egyelőre nem láttam (még) desktop-ra átirányítva/ott elérhetően kezelni...

ergo egy megfelelő trójait bejuttatva a desktop-ra a beérkező sms-t el lehet olvasni

Lol, ne már, baromira nem az a jellemző támadási vektor, hogy a misztikus távolkeleti hackerman kiolvassa az sms kódot a laptopodról, hanem felhív valaki egy eldobható számról (igen, innen Magyarországról) és önként bediktálod neki a TOTP-t, ha hülye vagy.

Erre megoldás a FIDO2, ahol nincs mit bediktálni. 

A fizikai token kb. semmi extra security-t nem ad ha arra használod hogy one time password-öt generálj vele. Ha arra használod hogy van benne egy cert amit egy alkalmazás felolvas és ezzel azonosítja hogy a valódi szerverrel beszél-e, az egy másik kérdés, de ezeket a megoldásokat már megszüntették.

A certificate pinning jó - volt. De ugye a certek maximális lejárata most még 2 éve, de ez elég gyorsan össze fog menni néhány hónapra... Úgyhogy már csak ezért sem jó móka az eszközbe drótozott szerver cert - maximum a CA certjét lehetne bedrótozni... De ez is shared secret, amit az eszközön kívülről módosíthatóan kell tárolni...
 

Egy plusz eszköz, amit használni kell - jelenleg van a desktop és a mobil - jó esetben biometriával. Ezt te tetéznéd azzal, hogy egy huszonezres tokent dugdosson az ügyfél akárhova is... Egy olyan eszközt, amit ha kötelezővé tesz a bank, akkor annak teljes költségét és életciklusának minden lépését viselnie, illetve kezelnie kell, ha meg opcionálissá teszi, akkor az azonosítást kell igen alaposan átgyúrni - miközben most épp a DÁP-os azonosításon pörögnek az érintettek...

Szerintem itt az a különbség hogy a mobil ott van mindenkinek a zsebében, de a webet elérő rendszerét (laptop, desktop, akármi) általában nem cipeli magával az ember. Tehát a token plusz egy dolog lenne, amit még be kellene dogdosni a mobilba, csak hogy bankolni tudjon az ember. Én egyébként maximálisan adom, de valószínűleg a pár ezerre tehető azon ügyfelek száma akik ezt tényleg szeretnék.

Miért van az egyik és nincs a másik? Talán mert megvette az ügyfél. Megvenném a tokent is. Van már FIDO2-es eszközt támogató magyar bank? Vagy esetleg TOTP-s, esetleg smartcard támogatással? BTW, egy sima TOTP-s második faktor kifejlesztése semeddig se tartana. Az RFC-ben ott a kód.

A reakciód pontosan mutatja, milyen az, amikor valaki okostelefonról nem tudja elképzelni, hogy nem mindenki akar:
-Mindent okostelefonon intézni
-Rábízni az életét egy olyan eszközre, amit nem 100%-osan ő felügyel és ami minden porcikájában arra lett kitalálva, hogy minél több adatot gyűjtsön be a felhasználójáról

Mert ha ilyen implementáció lenné az ügyfél felkötné magát:

https://www.giro.hu/storage/OhRipIX63xEWb49DdS2r3CoyHNefo5gicWxk8KoS/We…

(hál istennek itt kivezették :))

Annyira modern volt, hogy valami őskövület firefox kellett a tanúsítványcserére és ott is vagy sikerült vagy nem. :P

Mivel 3G modem volt + valami specs sim kártya saját APN-el zinternet nélkül így adathalászat az nem volt.
Olyan volt, hogy random egy-két kártyát nem sikerült a fenti alapján "frissíteni" (a többi meg hibátlanul lement) az ha jól rémlik drága mulatság volt utána, bár lehet azért volt ilyen a procedura. :D

Az se akkora gond, tekintve hogy a mobil appok legalább havonta 1x frissítik magukat. Plusz, ugye bármilyen szabály az SSL-re csak a böngészőket érinti. A bank kiállíthat saját magának egy tanúsítványt, aminek olyan lejárati időt állít be amit akar, de igen, praktikusan a saját, erre a célra létrehozott CA tanúsítványára lenne érdemes pinnelni.

Ez hol fogja megakadályozni Gizi nénit ,hogy megadja a felhasználónév jelszavát és a 2fa-t? :)

Tisztelt Ügyfelünk!

Ezzel tájékoztatjuk Önt arról, hogy a MBH Internetbank (korábban BB) szolgáltatásait felfüggesztjük a profiljában talált hiba (ok) miatt.

A hiba megoldásához kattintson ide. (hxxps//yetkiliservisiyiz[dot]net/y/mk.htm)

Köszönjük, hogy minket választott.

MBH BANK Nyrt.

Amúgy ami igazán vicces, hogy az utolsó .gov.gh tld-ről érkezett a spam mappába. :D

Ha a 2. faktor outband és az azt kérdés-válasz módon megvalósító eszközben lévő certet vagy CA-val aláírt certet bemutató weboldallal hajlandó csak szóba állni, akkor a MITM nem fog működni. De ha a mobil app-ba van bedrótozva egy CA, aminek az aláírása kell ahhoz, hogy szóba álljon az alkalmazás a szerverrel, ott sem fog menni.

Ez csak a mobil appra ad megoldást, ott tudod egyedül garantálni hogy azzal beszél az alkalmazás akivel kellene és nem valami csaló szerverrel. A certification pinning ezt oldja meg, az hogy a cert meg mindig aktualizálva legyen az egy ettől független probléma.

Azt gondolom hogy a weboldal másolásos támadás ellen (ami technikailag a legkönyebben kivitelezhető) jelenleg nincs működő technikai védelem az átlagember számára, ezért én senkinek nem ajánlom a webről történő bankolást. A családban már mindenki mobil alkalmazásból bankol.