Hogyan vadásznád le a csaló MBH BANK oldalakat az Internetről? - Már megint újabb és újabb éled közben...

Security-all

Ma is sikerült egy újabb, adathalász MBH BANK oldal lekapcsolását elindítanunk, de kb. annyit ért, mint vödörrel vizet hordani a sivatagba.

A “mhb-netbank.com” domain ügyében hajnalban intézkedtünk, de közben már újabb és újabb másolatok születnek, ugyanazzal a dizájnnal, logóval, csak más végződéssel.

Természetesen a támadók most is Google Trust Services által kiadott SSL-lel csapják be az embereket, és minden biztonsági illúzió adott: zöld lakat, magyar felület, banki logó, minden.

A magyar banki ügyfelek közben naponta adataikat, pénzüket veszítik.

A kamu MBH BANK-i link itt érhető el: https://www.mhb-netbank.com/eib_ib_59/loginpage.hu.html/verification/card  ( a linkben az 5-öst cseréld S-re és láthatod) 
 

Ti hogyan vadásznátok le a csaló MBH BANK oldalakat az Internetről?

– Automata domain-felderítés?
– WHOIS és Certificate Transparency monitorozás?
– Abuse spammelés?
– AI/ML szűrés, crawler, valami home-made vagy létező tool?
– Feketelista, Google/SafeBrowsing, bankszektor közös fellépés?
– Vagy teljesen reménytelen, amíg a Google/Cloudflare és a “domain farmok” adják hozzá az infrastruktúrát?

Osszátok meg a tapasztalatot, trükköt, vagy akár azt, hogyan NEM lehet ezt hatékonyan megoldani.

Ja, és nem, a banki ügyféltájékoztató nem elég. :) 

Update:

Aki kíváncsi, hogyan néz ki egy “tökéletes” csaló oldal annak a kamu MBH BANK-i link itt érhető el: https://www.mhb-netbank.com/eib_ib_59/loginpage.hu.html/verification/card  ( a linkben az 5-öst cseréld S-re és láthatod) 
– MBH logó, magyar szöveg, valid Google SSL, minden browserben zöld lakat.
– Magyar ügyfelek százai verhetik a fejüket a falba, mire rájönnek.

Forrás, cikk, screenshot is van nálam, ha kell – keresd privátban.

Ti hogyan oldanátok meg ezt a küzdelmet, hogy ne csak tűzoltás legyen, hanem rendszerszintű megelőzés?
 

Trollokat, okosokat, laikusokat és paranoiásokat is várok – ebből talán valami közösségi know-how is kijön…

  • 1437 megtekintés

( adhocsupport | 2025. 06. 20., p – 08:35 )

Az oldalt a Cloudflare kérésünk alapján - LEKAPCSOLTA! 

Szerencsére ez igy MÁR nem elérhető! 

Nem kapcsolta le. Behalt alatta a széttákolt zombie backend. :P

The IP address 185.236.228.162 has been flagged as malicious due to its association with suspicious and harmful activities. Below is an overview of the key findings related to this IP:

1. General Assessment

  • Intel Verdict: The verdict for 185.236.228.162 is malicious.
  • Assessment Label: Zombie.
  • Threat Origin: Likely linked to Trojan activity (FlyStudio malicious family) based on file samples.

2. File Analysis

  • Samples: The IP is linked to 8 samples, of which 1 sample is judged as malicious/suspicious, representing 12.5% of malicious samples.
  • Malicious Samples:
    • 59de4723a9a0a240687b28622f9b3de345288771f767625df05d3458988af302
    • 231e65e3699528094f0a5ae31bce6689c3e2f8d357946ba340f840daade07185
    • 282055852353d5879a2e438dca995773b29943ecdb799a10ffafbd40d27bb822
  • Threat Family: FlyStudio (Trojan).

3. Port and Service Mapping

  • Applications/Services: The IP hosts multiple services, including:
    • Pure-FTPd
    • OpenSSH
    • nginx
    • Dovecot imapd/pop3d
    • PowerDNS Authoritative Server
    • MySQL
    • Postfix smtpd
    • LiteSpeed httpd
    • mongodb
  • Open Ports: Includes typical ports such as 21 (FTP)22 (SSH)80 (HTTP)443 (HTTPS), and 587 (SMTP). One non-standard port is also open (27017 for MongoDB), which could be indicative of possible backdoor or secondary services exploitation.
  • A large number of open ports supports the claim of high likelihood of malicious use, but also suggests potential legitimate hosting activities.

4. SSL/TLS Certificates

  • Self-Signed Certificates: This IP utilizes several self-signed SSL certificates, which is often a red flag as these certificates are likely used to enable encrypted communication for malicious purposes.
  • Domains Associated with Malicious Certificates:
    • fucked-ur.mom
    • lunar-predictor.com
    • craghack.com
  • Certificate Details:
    • Subject: Domains like "mhb-netbank.com," "fucked-ur.mom", etc.
    • Issuer: Frequently self-issued certificates with questionable entities (e.g., "R10," "Dis").
    • Validity Status: Certificates are marked "Valid," but are expired or self-signed.

5. DNS and Domains

  • Passive DNS Intelligence:
    • The IP is associated with malicious domains, such as:
  • Whois Record Attribution: Indicates potential Whois shielding (e.g., 0c1994bc6cae49ffad85e95d5300ec01.protect@withheldforprivacy.com).

6. Vulnerabilities

Public scans on services exposed on 185.236.228.162 revealed potential high-risk vulnerabilities:

  • CVE Examples:
    • CVE-2021-3618: Vulnerabilities in vsftpd.
    • CVE-2021-23017: Nginx Controller risks.
    • CVE-2022-3638: Critical vulnerabilities in Nginx.

7. Overall Threats & Mitigation

The malicious nature of 185.236.228.162 reflects:

  1. Strong association with FlyStudio malware type (Trojan).
  2. High vulnerability exposure due to misconfigured services (e.g., MongoDB on port 27017).
  3. Potential usage of self-signed certificates for encrypted malware-driven communication.
  4. Malicious domains and DNS records tied to this IP.

( _ventura_ v | 2025. 06. 20., p – 08:38 )

hanem rendszerszintű megelőzés?

Sehogy, ez ilyen. Körültekintőbbnek kéne lenni, és nem ész nélkül kattingatni. Ez nem TIKTOK videó ...

Fedora 41, Thinkpad x280

( Czo v | 2025. 06. 20., p – 08:41 )

Sokkal egyszerubb a csalo oldalak lekapcsolasa helyett, meglatogatni a valodi oldalt... Miert nem a legkezenfekvobb megoldas a megoldas? :D

( pentike | 2025. 06. 20., p – 08:42 )

Mondjuk kezdjük azzal, hogy az ilyen cikkek első mondata az, hogy

 

!!! FIGYELEM !!! az alábbakban banki csaláshoz használt linkek vannak. Csak akkor kattints az alábbi linkekre ha nem bánod, hogy banki csalás áldozata lehetsz és ismered a kockázatokat.

( ggallo | 2025. 06. 20., p – 08:43 )

Szerintem a csaló oldalak létrejötte, működése nem előzhető meg direkt módon. Ez olyan, mintha azt kérdeznéd, hogyan akadályozzuk meg, hogy Gipsz Jakab tatabányai lakos busszal átutazzon Szekesfehérvárra. Ez pont ugyan annyira kivitelezhetetlen, mint a csaló oldalak létrejöttét próbálni megakadályozni. Ha akár AI-val kutatsz folyamatosan, akkor is csak utólag tudsz intézkedni, amikor már az oldal él, csak a létezési idejét tudnád valamennyire leszorítani.

Szerintem ott kell megfogni a problémát, hogy a bank oldalán olyan erős ügyfél hitelesítést kell létrehozni, hogy egy csaló oldal ne legyen elég a hozzáférés megszerzésére, és akkor kapásból értelmét veszti csaló oldal létrehozása.

Valamiért csak az MBH jön elő mostanában ilyen relációban, a többi kisebb, de főleg nagyobb bank nem. Lehet azoknak már olyan erős az ügyfél hitelesítése mostanra, hogy felesleges a csaló oldal létrehozásával vesződni, mert úgy sem érnek vele semmit.

A posztban pedig kicsit Google-haterkedés nekem ez a "most is Google Trust Services által kiadott SSL-lel csapják be az embereket", merthogy miképpen tehet arról bármilyen DV tanúsítvány kibocsátó, hogy egy (csaló) domain neve _hasonlít_ egy legitim domain nevére, és épp visszaélésre szeretnék használni az érintett tartományt? Ha mbhbank.hu tartományra lehetne tőlük tanúsítványt szerezni, annak lenne hater alapja, de így egy random tartományra...

A másik pedig, hogy igen is, az emberek oktatásával lehetne ezt leginkább megelőzni, de ezt az általános iskolában kellene kezdeni, nem most, felnőtt korban (merthogy az internet és a netbankok már velünk vannak olyan rég, hogy van már dolgozó generáci, aki ebbe született bele - nem újkeletű ez a dolog).
Mondjuk a kitalált-mese-történelem vagy a 900 oldalas Anna Karenina kötelező elolvastatása-megtanultatása-bemagoltatása helyett lehetne cyber-elővigyázatosság meg pénzügyi tudatosság oktatás...

Egyébként "Magyar ügyfelek százai verhetik a fejüket a falba, mire rájönnek.": ha valaki nem gondolja egy .com tartományról, hogy átverés (vagy meg sem nézi a címsort egy linkre kattintás után...), akkor ott igen is a felhasználó ismereteivel van komoly gond, amin csak ő maga tud segíteni... Ha mindenki csak annyit csinálna, hogy megtanulja annak az 1-2 banknak a címét amije van, és azt kézzel gépelné a címsorba ahelyett, hogy a Google keresőbe üti be minden alkalommal, hogy "MBH netbank" és rákattint az első találatra odafigyelés nélkül, akkor már sokkal kevesebb gond lenne. Ha pedig ezen felül nem kattintanának bankinak tűnő levélben linkre soha, akkor megszűnnének a csalások. Ezt a két dolgot kellene tudniuk, ergo igen is a felhasználók oktatásával oldható csak meg a probléma.

Valamiért csak az MBH jön elő mostanában ilyen relációban, a többi kisebb, de főleg nagyobb bank nem. Lehet azoknak már olyan erős az ügyfél hitelesítése mostanra, hogy felesleges a csaló oldal létrehozásával vesződni, mert úgy sem érnek vele semmit.

Nekem van egy teóriám. A legtöbb banknál a user már kívülről fújja a netbank URL-t, le van neki mentve könyvjelzőbe, stb.

Az MBH az elmúlt egy-két évben viszont havi szinten váltogatta a domaineket, netbank design-t, mobilappokat, stb. Szerintem még engem is át tudnának verni, ha nem figyelek egy pillanatra.

Az mbhbank.com teljesen hivatalos oldal. A többiben egyetértünk, de leginkább app-ot kell használni. Amíg ügyfél voltam teljesen megdöbbentem, hogy az mbh.hu nem működött, helyette az mbhbank.hu volt, ami azért nem magától értetődő. Erről volt itt szó még a csalások előtt.

( gelei v | 2025. 06. 20., p – 08:44 )

Ti hogyan oldanátok meg ezt a küzdelmet, hogy ne csak tűzoltás legyen, hanem rendszerszintű megelőzés?

Erre konkrétan van megoldás, a hívószó a "phishing-resistant MFA". Van belőle hard token, soft token, ilyen app, olyan app, igazából nem kell feltalálni a melegvizet, ez annyira hétköznapi dolog, hogy dobozos termékként is megvehető.

( gelei v | 2025. 06. 20., p – 08:46 )

Természetesen a támadók most is Google Trust Services által kiadott SSL-lel csapják be az embereket, és minden biztonsági illúzió adott: zöld lakat, magyar felület, banki logó, minden.

Kicsit belerondítanék az itt implikált felelősségbe, szerintem ez csak a Cloudflare által kiállított DV tanusítvány, ilyet bárki, bármilyen domainjére kaphat, amit be tud vinni CF mögé.

Két dolgot nem értek.

1. Tényleg nincsen olyan hitelesítési módszer, amivel egy tanusítvány alapján egy weboldal tényleges tulajdonosa megállapítható? Nekem egyszerűbbnek tűnik néhány közismert böngészőben az oldal hitelességének megállapítását leprogramozni, mint mindenféle védelmi szoftverstruktúrákat, tűzfalakat gyártani és az analfabéta pógárt szidni. Persze nekem könnyű ezt egyszerűbbnek gondolni, mert nem értek hozzá.

2. Mi a szent szart kezd egy ilyen hamis oldal a kétfaktoros azonosítással? Ha meg is szerzi a loginnevet és a jelszót, ha a bank megköveteli a kétfaktoros azonosítást, az egész semmire se jó.

  1. Van, hogyne lenne, az EV certeknek elvileg ez volt a lényege, de már a böngészőkben sincs benne a zöld csík, hogy "OTP Bank Nyrt", meg ugye végső soron ugyanúgy a user felelőssége volt megnézni, hogy volt-e odaírva valami, és ha igen, akkor jó helyen jár-e.

    Szerintem nem ebben a rétegben kell megfogni, hanem az authn-t kell úgy megcsinálni, hogy jó legyen. Mert mi alapján csinálod meg a whitelistet? Oké, van a böngészőnek egy listája, hogy mi hivatalos banki oldal, és mi nem (már ez is kb. lehetetlen globális léptékben). De felmész egy kamuoldalra, nyilván nem bank, mi a következő lépés? 

  2. Ül a túloldalon a humán AI, és realtime begépeli a kódodat az igazi banki weboldalon

1. Nekem változatlanul nem tűnik nagy dolognak a böngészőben elérhetővé tenni egy tanusítványellenőrzést, amely az oldal tetejére kiírja, hogy ki az azonosított magánszemély tulajdonosa a meglátogatott oldalnak. A banki honlapon erre rá lehetne dolgozni, hogy nagy betűkkel ki legyen írva: "ez a honlap Lölöé, minden gázszerelők legnagyobbikáé, figyelj oda, ha nem ezt látod a banki bejelentkezéskor, akkor nem az ő zsebébe hordod a pénzedet". Vagy valami hasonló. Ha  DNS-nél meg lehetett oldani, hogy globális legyen a névfeloldás, akkor a tanusítványok esetében ezt miért nem lehet megoldani? Aztán persze, ha valaki látja, hogy nem a saját bankjának a honlapján van és ott megadja az adatait, akkor persze rábaszik, de ez ahhoz az esetre hasonlítana, amikor a PIN kódot odaírod a bankkártyádra (kolléganőm megtette, kifosztották, addig is hisztérikus volt, onnantól méginkább). Vannak olyan esetek, amitől nem érdemes megvédeni a parasztot, mert majd megtanulja a saját kárán.

2. Nálam az SMS a kóddal a zsebembe érkezik, hogy lát bele az AI a zsebembe? Nem értem.

  1. De ez konkrétan létezik, az más kérdés, hogy vajon a böngészők mekkora része mutatja ezt a felületet, mert évek óta nem láttam ilyet sehol. Vagy B opció, senki nem vesz már EV certet, nem tudom. :)
  2. Beírod a kamu oldalon, ő megkapja ezt valahogy, majd beírja helyetted az igazin.

Ugye nekem ez logikusnak tűnik, mert mondjuk egy tucat böngésző esetében kellene rávenni a fejlesztőiket (vagy a banki honlap fejlesztőit) ennek az alkalmazására és nem sziszifuszi küzdelemmel tiltogatni próbálni a folyamatosan megjelenő huncut oldalakat. a top 12 böngésző szerintem lefedi az internetezők 99%-át. Vagy a bankolók 99,99%-át.

Ja, értem. Talán azért nem értettem elsőre, mert azokban az esetekben, amikor én használok ilyet, annyira azonos és könnyen felismerhető a felület, ahol a második azonosítást végre kell hajtani, hogy eszembe se jutott, hogy azt is meg lehet jeleníteni egy www.notmyip.com oldalon. És ott se tűnik fel, hogy ennek az oldanak a tulajdonosa más, mint a bank, akinél tartom a pénzem. Csak azt nem értem, hogy ha az ilyen esetekben a tanusítványok használhatatlanok, akkor minek az egész CA rendszer. Persze, van dokumentumhitelesítés is, nem csak weboldalról van szó, meg nem véletlen, hogy nem értem.

Mert valójában két CA világ van, amely bár technikailag ugyanúgy tanúsítványokkal dolgozik, de valójában teljesen máshogy működik.

Az SSL tanúsítványt alapvetően arra használod hogy titkosított kapcsolat jöjjön létre az ügyfél és a szervered között. Tanúsítványt pedig úgy adnak neked hogy igazolod hogy a szerver a tiéd (pl. azzal hogy feltöltesz egy a kiadó által generált fájlt). Itt nem történik személyazonosítás, se semmi, tehát ha a gonosz hacker megveszi a az-igazi-otp.hu oldalt, akkor ő erre szó nélkül fog kapni tanúsítványt, amit a böngészőben zöldként látott a felhasználó, de ez valójában csak azt jelenti hogy a kapcsolata titkosított.

Az SSL tanúsítványok azért működnek a böngészőben, mert a root cert-et belerakják, és ahhoz hogy ez ott maradjon egy csomó követelménynek kell megfelelni amit a böngésző készítő nagy cégek határoztak meg - innen ered az egyik kolléga megjegyzése, hogy ez egy gittegylet. Valójában igen, a piaci erőfölényüket kihasználva ők mondják meg hogy ők kiben biznak meg és kiben nem, és igazából mi alapján döntenek, hogyan, és miért, mi a valódi folyamat, mi a jogorvoslat, az finoman fogalmazva sem transzparens.

Az elektronikus aláírás esetében viszont van egy európai szabályozás, ez az EIDAS. Ez egy EU-s törvényekkel és azoknak a helyi jogrendbe való beemelésével működik. Az igy létrejött aláíróképességet arra lehet használni hogy dokumentumokat (vagy egyéb elektronikus dolgokat) irj alá, és ennek az aláírásnak joghatása lesz. Tehát adhatsz/vehetsz dolgokat, aláírhatsz vele munkaszerződést, meg amit szeretnél. Ez egy nagyon transzparensen szabályozott történet, ott vannak a törvények/jogszabályok, ott vannak a szabványok, az audit követelmények, le van definiálva minden, világos, és transzparens. 

A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón". 

A válasz az, hogy jelenleg sehogy.

A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón". 

A válasz az, hogy jelenleg sehogy.

Ha jól értem, amit gelei mond, akkor ennek nem technikai akadálya van, mert az eszköz ilyesmire létezik, csak valamilyen okból nem használatos?

Ez már 2019 óta (6 éve) nem létezik.

https://duo.com/decipher/chrome-and-firefox-removing-ev-certificate-ind…

És a legjobb: a google ott kardoskodik hogy ez nem kell az embereknek, miközben sorra gyűjtjük a bizonyítékokat hogy a jelszólopó banki weboldalakat reklámozó hirdetéseket nem hogy megjelenítik, de előre sorolják. 

Ezért rendesen (EU szinten) meg kéne őket b@szatni.

Én úgy csinálnám h először is kötelezően visszahoznám a zöld címkét majd utána kötelezném h bizonyítsa h a csalókat nem hogy nem rakja előre hanem direkt aktívan tesz ellenük. 

Na ez után 1-2 évvel lehetne egy rendes csekket kiállítani.

Ez minimum 5 év, tudom.

zászló, zászló, szív

Mindenesetre úgy tűnik, a biztonság ellentétes a böngészőket gyártók érdekeivel, mert a böngészőket akkor használja a felhasználó szívesen, ha nem üzenget és nem akadályoz, hanem megjelenít és a felhasználó szabadon döntheti el, hogy átbaszhatják-e.

Amikor mi elkezdtük használni a Brave-et, a kis kolleganők sorra kaptak rohamot tőle, hogy "nem lehet dolgozni vele", mert a felugráló ablakok letiltásának feloldása túlságosan megerőltető volt.

Ez jó, majdnem ezt mondtam: bank.gov.hu

A csalók előbb-utóbb ezt is megoldanák, de szerintem lekéstek, mert a hivatalos törvényes jogilag rendben levő csalók már elloptak minden ellophatót, az új versenyzőknek már csak a böri marad ha nem elég okosak.

https://www.esp8266.org/

Nem értem. Az MBH a cégjegyzékben szerepel. van adószáma, szerintem egyértelmű, hogy melyik vállalkozásnak ez a neve. 

A bank.gov.hu-ban a bank előtag pedig hasznos, mert a gov.hu állami intézményre utal, a bankok esetében az állam - ha lesz ilyen jogszabály - csak az internetes biztonság miatt kontrollálja a domain nevét.

Nem teljesen értem, hogyan lehet egy bank jogosult a gov.hu használatára. Lenne 5 állami tulajdonú bank?

Ja látom
https://hu.wikipedia.org/wiki/Magyarorsz%C3%A1gi_bankok_list%C3%A1ja
De az az 5 bank nem igazi bank, hanem kassza valamilyen kormányprogramhoz. 

Szóval a normál, kereskedelmi bankok nem használhatnak gov-os címet.

A .hu domain felett tudhat rendelkezni törvénnyel is magyar hatóság/jogalkotó, de kamu oldalakat sokszor nem magyar címen hoznak létre.
És akkor már vissz a is tértünk oda, hogy a felhasználónak kell észnél lennie, hogy ne kamu oldalra lépjen be.

Nem teljesen értem, hogyan lehet egy bank jogosult a gov.hu használatára.

Az hogy a bank.gov.hu domain kinek a részére regisztrálható, azt nyilván jogszabály kell meghatározza. Létre kell hozni egy olyan jogszabályt, hogy Magyarországon pénzügyi tevékenységi engedélyt csak ilyen domain birtokában, érvényes EV SSL tanusítvánnyal lehet végezni, elő kell írni kötelezően a használatát, meg kell határozni a regisztráció módját és rá kell bízni a bankfelügyeletre, hogy ellenőrizze a végrehajtását. Nekem ez nem tűnik bonyolultnak, talán azért mert én nem értek az ilyesmihez. Aki kamu oldalt létrehoz, nem fogja tudni használni azokat a funkciókat, amelyeket a bank a tanusítvány ellenőrzéséhez rendel.

A válasz az, hogy jelenleg sehogy.

De van rá megoldás: 2 irányú SSL / mTLS. Ja, hogy ez egyből borítaná az egész Internetet - vége lenne a "céges proxyval bontsunk TLS-t, nézzünk bele a forgalomba" világnak.
Mobilalkalmazásnál ez egyszerűen megvalósítható. Számítógépnél picit nehezebben.

Mellesleg technikailag ez terhet róna a bankra is. Meg ehhez digitálisan tudatos, érett felhasználókra lenne szükség.

A kétirányú SSL azért szerintem mobilon sem egyszerű.

IOS-en szerintem nincs is olyan levelezőkliens ami képes lenne IMAPS-en kliens tanúsítványt használni. (vagy nem találtam meg :))
Androidon is csak 3rd party kliens tud (Thunderbird/Fairemail). Amikor utoljára néztem az Outlook sem likeolta.

Két helyet tudok ahol használják a Takarnet (ahol self-signed a server tanúsítványa is, ezért rinyál is lehet nem tudják, hogy nem muszáj ugyanazt a ca-t használni amivel a kliensek tanúsítványát állítják ki :)), meg az országosan használt szupertitkos titoktartásival indító "rendszer" ahol az egész országnak állítanak ki egy db. kliens certet. (biztos könnyű visszavonni ha véletlen kompromitálódik :D)

Céges proxy gond nélkül kivétellistára tudja tenni ezeket, a többit meg bontja tovább. Már említettem, nálunk a finance és merchant kategória helyből kivétellistán volt privacy okok miatt.

mTLS esetén van annyi overhead, hogy a szolgáltatónak kezelni kell a userek kulcsait, visszavonással, minden egyébbel együtt, az meg bonyolult és költséges. (igen, ezt említetted a technikai teher alatt, ha jól értem)

"Beírod a kamu oldalon, ő megkapja ezt valahogy, majd beírja helyetted az igazin."

Hát igen, de hogyan? Honnan tudja, hogy pl. mi a telefonszámom? Ha tudja, hogyan tudja megszerezni az üzenetet? (erre mondjuk vannak megoldások, de elég sok csak az adott cellában működik)

Szóval én még minding nem tudom, hogy hogyan tudna egy sms-en kapott második faktort könnyen megszerezni.

Ettől függetlenül igenis bookmark-olja be a bank eredeti címét. Nem űrtechnika ez.

Odamész az adatlopós oldalra.

Beírod a felhasználónevedet és jelszavadat. Ezt az adatlopós weboldal továbbítja az adatlopós embernek, aki a saját böngészőjén bejelentkezik a netbankba a kapott adatokkal.

Ennek hatására a bank küldi SMS-ben számodra a második faktoros kódot.

Az adatlopós weboldal kiírja neked, hogy küldtük a kódot, légyszíves írd be. Ahogy beírtad, ugyanúgy, mint a felhasználónevet, jelszót, továbbítja az adatlopós embernek.

Túlbonyolítod.

  1. Felmész a phishing oldalra
  2. Beírod a usernevet, jelszót, submit*
  3. A túloldalon a fószer** beírja ugyanezt az igazi netbankba
  4. A netbank kiküldi neked az SMS-t, hiszen a támadó belépett a valid jelszóval
  5. Te beírod a kódot a kamuoldalon, submit*
  6. A túloldalon a fószer** beírja ugyanezt az igazi netbankba
  7. Kész a működő session, lehet lopni a pénzt.

* Teljesen mindegy, hogy hogy küldi el. Lehet, hogy küld egy emailt. Lehet, hogy beírja egy SQL táblába. Lehet, hogy már van admin felületük, ahol látják a próbálkozókat. Egy HTTP POST elmegy valahova az adataiddal, ott meg valaki, valahogy feldolgozza.

** Vagy szkript.

Szerintem erre pont a DÁP-os login lesz a megoldás. Van egy auth szolgáltató (DÁP) ahol valódi személyazonosítás történt, és tudod igazolni magad vele hogy te az te vagy. A bankoknak pedig kötelező lesz megvalósítani a DÁP alapú belépést, innentől kezdve - ha ezt jól sikerül - akkor a banki oldal klónozók meg vannak lőve, mert az ő irányukban nem fog működni a DÁP belépés. 

Kötelező nem lesz, a bankoknak lesz kötelező hogy implementálják. Megjegyzés a margón: ha jól van implementálva akkor én mindenkinek azt fogom javasolni hogy ha valami oknál fogva webről terveznének belépni, azt csak és kizárólag DÁP-os azonosítás mellett tegyék. Minden más eset nem megbizható.

[szerk, mert te is szerkeszetted] A DÁP-ban meg lesz valósítva az EIDAS 2.0-ból az EU Digital Identity Wallets amely pont full nyilt szabvány, és erre ad egy nyilt megoldást.

https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDE…

https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDE…

nem ostromolják a bankokat ilyen igénnyel az ügyfelek

Mondjuk ez egy remek lehetőség lenne a jogalkotónak, hogy ne csak tranzakciós illetékkel, meg hasonlókkal baszogassa az amúgy is recsegő-ropogó magyar bankrendszert, hanem biztonságtudatos noszogatással.

Ha ma éjfélkor kijönne a közlöny, hogy az SMS 2FA esetén az ügyfelet ért károkért automatikusan helytállnak a bankok, akkor kb. kedd délelőttre lenne biztonságos alternatíva.

" ne csak tranzakciós illetékkel, meg hasonlókkal baszogassa az amúgy is recsegő-ropogó magyar bankrendszert, hanem biztonságtudatos noszogatással."

Jelenleg a DÁP-ot tolják (joggal), mivel azzal gyakorlatilag hatósági személyazonosító okmányával azonosítja magát az ügyfél. 

Bankok esetében szerintem a DÁP nem jön szóba, mert a banki ügyfelek esetében nincs (nem lehet) mindenkinek DÁP-ja. Bár a személyes azonosítás nem idegen a bankoktól, de az azért talán kizárt, hogy csak magyar állampolgárokkal álljon szóba egy nemzetközi nagybank magyarországi fiókja.

Ha valakit érdekel komolyabban: https://webgate.ec.europa.eu/fpfis/wikis/pages/viewpage.action?pageId=2…

Azért az alábbi országok már szépen implementálták az eID-t: Ausztria, Belgium, Horvátország, Ciprus, Csehország, Dánia, Észtország, Franciaország, Németország, Olaszország, Litvánia, Lichtenstein, Litvánia, Luxemburg, Málta, Hollandia, Lengyelország, Portugália, Szlovákia, Szlovénia, Spanyolország, Svédország.
EU loginnál be is tudod állítani a "Link my eID" oldalon (https://webgate.ec.europa.eu/cas/reconciliation/linkEid.cgi).

A bankok ügyfeleinek jelentős részének nincsen DÁP lehetősége (vállalati ügyfelek, külföldiek stb.) Mivel nincsen "egységes banki rendszer" a világon sehol, szerintem itt a megoldást csak a banki szakemberek szakmai felelősségére lehet bízni. Ahol a bank informatikai menedzsmentje is prudens, ott kiszűrik a csalók nagy részét. Ahol felelőtlen vagy nem érti a saját szakmáját, ott meg ki fogják rabolni az ügyfeleket.

Maga az EV cert sz@r, mert bizony ha tudok valahol ödönbank nevű céget alapítani, akkor kapok ödönbank EV certet az általam felügyelt domainre... És ahogy már szó volt róla, az, aki az énbankomponthu helyett az énbankomponthu.feltortszerverpontakarmi/randomurl/ oldalra beírja simán az adatait, az a zöld/hupilila/akármilyen extra logót sem fogja keresni... 

1.)

én akkor pislogtam nagyokat mikor itt Londonban valaki a metrón HANGOSAN, TELEFONBAN beolvasta a bankkártya adatait egy rendeléshez... 

2.)
Hamis oldalra gépeled be az adataidat => túloldalon mindent logol => ő közben a valódi bank felületre belép => kapod a 2FA SMS => begépeled => begépeli => te homokórát látsz => ő már bent van, telefonszámot cserél, netbanki appot regisztrál, majd utalásokat kezdeményez a saját eszközeit használva 2FA-ra...

( ncc1701 | 2025. 06. 20., p – 08:56 )

Másik bankhoz kell menni, így már rögtön tudja az ember, h próbálkoznak.

( dorsy v | 2025. 06. 20., p – 09:06 )

Szerkesztve: 2025. 06. 20., p – 09:11

<okoslaikustroll mode> azert az imho eleg szar, ha egy banknak a hupra kell jarni informaciobiztonsagi kerdesekben segitsegert... mondjuk legalabb tudjuk melyikhez nem kell menni :) </okoslaikustroll mode>

eso utan koponyeg. a lenyegen pedig semmit nem valtoztat, mivel a karosultak - a mellekelt abra alapjan - nem lettek preventive felvilagositva es/vagy megfelelo technologiai eszkozokkel ellatva, hogy ilyen ne, vagy csak extrem ritka, egyedi esetben tortenhessek meg. :)
mondjuk ahol a kedves vezeto narrativaja a "#csakaka'pe'" meg "#csakabutatelefon", ott miert is varnank el, hogy legyen megfelelo oktatas az internetes/banki veszelyek tekinteteben :)
felkeszul:
prevencio a szenvedelybetegsegekkel kapcsolatban - #akocsmaafalulelke #drogprevencio - 0
szexualis felvilagositas - #apafiuanyalany #foliaburokbantartas

lehetne sorolni. nincs kedvem.
hittan meg erkolcsora legalabb van... kosz... majd az atyauristen megsegiti a karosultakat, ha elegge erkolcsosek voltak. janem.

ami hasznal:
edukacio, edukacio, edukacio
megfeleloen implementalt multifaktoros autentikacio
fraud-detection a banki rendszerben (ha gyanus dolgok mennek, stop, ugyintezo felhivja az UF-t, hogy "figyima', biztos ezt akarod?")

( lcsaszar v | 2025. 06. 20., p – 09:28 )

MBH - MHB - MKB, teljesen összezavarják az embert. Másik nevet kellett volna választani.

( ptiszai v | 2025. 06. 20., p – 09:45 )

Szerkesztve: 2025. 06. 20., p – 09:45

Mészárost kellene megkérdezni, miért csak a bankjánál létezik a probléma.

Gázszerelő, ő biztos tudja.

Ki más a hibás?

Mészáros Orbán segítségével felvásárolta a Budapest Bankot a MKB-t és abból hozták létre a MHB-t.
Kit rúgtak ki?

Hasonló a MNB 650 milliárd 5 kamu alapítványi sikkasztásához, senkit sem rúgtak ki, de attól Matolcsy Ádám vett egy dubaji, egy new yorki stb. stb. kégliket. 
Fidesznél nincs nagyobb korrupt párt.

Tiborczé az andrássy úti paloték egy része, máv régi székháza, köztévé szabadság téi palotája, Gellért szálló stb.

A tulajdonos hoz egy top managementet. A top management hoz egy vállalati kultúrát, amit aztán a middle management továbbvisz. A middle management és a beosztottak végzik el a szakmai munka nagy részét.

Egy idő után amikor közismert lesz a vállalati kultúra akkor a middle management és a dolgozók azon része marad meg akik azzal azonosulni tudnak.

Szóval igen, az elkövetett szakmai hibákért ha nem is responsible de accountable a tulajdonos (RACI mátrixban értelmezve).

zászló, zászló, szív

Így van. Elvégre a tulajdonos kockáztatja a pénzét.

Hanem... nézzük ugyanezt fordítva. Felkészült beosztott szakember vagy egy rendszerben. A főnököd kijelöl neked egy feladatot, amit neked kell megoldani. Értesz a szakmádhoz, megoldod a feladatot, adott esetben nem vagy egyedül, hanem egy munkacsoport együtt oldja meg.  Jól csináltad meg a dolgodat? Az egyik verzió szerint a legjobb tudásod szerint végezted el a munkát és szakmailag hibátlanul. A másik verzió szerint te is tudod, hogy amit csináltál, szar, nem felel meg a funkciójának, mert a rendelkezésedre álló eszközökkel, abban a környezetben egy optimumot tudtál csak elérni, de a jó megoldást nem tudtad szállítani. A harmadik verzió szerint not my job, én kipipáltam a feladatot, szaromisle, hogy az szakmailag jó volt-e vagy nem. Legfeljebb az ellenőrzés során kirúg a főnök, aki nyilván fasiszta.

Az esetek zömében a második variáns működik. Mindenki azt hiszi, hogy annál, amit csinált, az adott körülmények között lehetetlen jobbat csinálni. Balhé esetén akármilyen a menedzsment, a szervezetben mindig meg lesz győződve mindenki, hogy más a hibás.

És... a tulajdonosnak többnyire semmi köze ahhoz hogy a cégben mi működik, hogy működik, kivételek vannak (pl. egyéni vagy kisvállalkozások esetében stb). A cég irányítását a tulajdonos többnyire másokra bízza, igazgatókra, igazgatóságra, vállalati vezetőkre, akik többnyire nem egy adott szakma legkiválóbbjai, nem a konkrét funkcionális feladatkörük legjobbjai, hanem a vállalat irányításához értenek. Ahol a vezetés nem engedi meg a második variánst, mert pl. tele van a töke azzal, hogy a felkészületlen (vagy akár a kitűnően felkészült rossz produktumot előállító) munkavállaló megmagyarázza, hogy, mit miért nem lehet, ott az ilyen munkavállalót kibasszák a cégtől. A harmadik variáns szerinti lébecolókat meg be sem engedik a kapun, rossz esetben próbaidőn belül basszák ki.

Bonyolult a munkavállaló élete, "azért a pénzért" meg különösen.

-> az aki ezt a szintű problémát meg tudná oldani pontosan látja az értékrendet már kívülről is, és nem megy oda.

Itt ér véget a történet, így lesz egy kétes értékrendű tulajdonosnak lassan de biztosan kuka cége.
Mindnek, mindig. Ez nem specifikus erre a tulajdonosra.

zászló, zászló, szív

A tulajdonos értékét nem a tulajdonolt cég menedzsmentje határozza meg. Az legfeljebb a vagyonára lehet építő vagy pusztító hatással. A tulajdonos elbukhat pénzt, rossz menedzsmentet választhat, rossz döntéseket is hozhat, jókat is, ezekben semmi nem korlátozhatja, sőt, ha kedve szottyan a vesztesége háromszorosát is felteheti a kaszinóban a ruletten a pirosra. Nekem mondjuk az első harmad szimpatikusabb, de ettől még a tulajdonos értéke immunis a véleményemre.

már hogyne lenne köze. Nem csak az adóhatóságok felé, de a tulajdonosok felé is elszámolási kötelezettsége van a vezetőknek. És a tulajdonosnak döntési feladatai is vannak. Ha semmilyen formában nem felügyeli a tulajdonát, az garancia arra, hogy szétlopja valaki a céget. A nagy tőzsdei cégeknél felügyelőbizottság is van és a részvényesek (tulajdonosok) szavazhatnak is a kérdésekben.

Ha semmilyen formában nem felügyeli a tulajdonát, az garancia arra, hogy szétlopja valaki a céget.

Tévedés. A céget nem akkor nem lopják szét, ha a tulajdonos áll a kapuban, hanem akkor, ha portás van, aki megkérdezi, hova viszi a dolgozó a hóna alatt az esztergagépet. A vállalatvezetés is persze érdekelt a dologban, mert vezetői funkciók vannak arra, hogy a dolgozónak ne sikerüljön hazavinnie a kanalat a kantinból. A tulajdonosoknak általában nincsen döntési kötelezettsége. A vállalkozások messze túlnyomó többségében a tulajdonosnak fingja sincsen arról, hogy milyen döntéseket kell hoznia a vállalatát vezetőknek. Semmi köze hozzá. Kivételek vannak, ennek feltétele, hogy a tulajdonos egyáltalán azonosítható legyen. Ne keverjük a kis és középvállalkozásokat ide, ahol a tulajdonosnak ésszerű személyes közreműködése kell legyen a vállalata működésében. Ezek számosak, fontosak is, de a vagyon az nem hozzájuk koncentrálódik, hanem a nagyokhoz. A részvénytársaságok esetében a tulajdonosi (szavazati) jogok sok részvényes között oszlanak meg. Nem arról van szó, hogy a vezetés nem irányít, hanem arról, hogy a tulajdonos a vezetést szakemberekre, technokratákra bízza. A részvényesek általában komoly előterjesztéseket szavaznak meg anélkül, hogy elolvasnák a határozatokat, ha a kaja és a pia elég és jó minőségű a közgyűlésen. És büszkén vagdossák a szelvényeiket. Ez a dolguk ui.

Nem keverek ide semmilyen pici cégecskét. 

Semmilyen cég irányítása nem úgy megy, hogy teljesen szabad keze lenne a vezetésnek. Végső soron mindig a tulajdonosé a legfőbb döntési jog. 
Az a tulajdonos, amelyik nem vigyáz a tulajdonára, szimplán hülye.
A részvényeseket is részletesen tájékoztatni kell, készíteni kell beszámolókat. És a részvényesek is kérhetnek változtatást. Persze nem 1 részvénnyel kis pista, hanem valamekkora tulajdonrész támogatásával. 
Még ha revoluton keresztül vagyok tulajdonos komolyabb cégben, akkor is kapok elérést felülethez, amin keresztül akár én is küldhetek be kérdést és ha elég sok részvényarány támogatja, akkor fel is teszik.

Felügyelőbizottsági tagok változásáról is szokott lenni például szavazás. De akár ki is lehet rúgni embereket, ha elég súlyú részvény támogatja.

Értem én, csak jelzem, hogy a pénzügyi vagyon 95%-a a világban olyan részvénytársaságok kezében van, ahol a tulajdonosoknak többszáz éve semmilyen valós beleszólásuk nincsen a cégük működésébe, nem is igényelnek ilyet, mert nem is értenék, hogy nekik mi közük a döntésekhez, semmiféle személyes közreműködésük nincsen a cég működésében mert azt várják el, hogy a részvényeik értéke és hozama nőjön. Ha nem nő, eladják a tulajdoni hányadukat a tőzsdén. Amiről te beszélsz az az a speciális helyzet, amikor a tulajdonosnak személyes közreműködése is van a vállalkozásban. ami már két tulajdonos esetén is bonyolult helyzeteket teremt és csak a KKV-k esetében jellemző. Kivételek vannak. 

Mármint te azt hiszed, hogy nem szólnak bele és ezt valami kis részvényesi yolo szemléletre alapozod.

Közben az alapok, akik sokszor nagy mennyiségben birtokolnak részvényeket, rendszeresen próbálnak belszólni a cégek működésébe. Általában sikerrel, ha nincs szervezett összefogás és kellő részvénymennyiség más kézben.
Egyébként erre valóban nem sok rálátásod lehet, ha nem birtokolsz részvényeket. Néhány cég kivételével ez teljesen láthatatlan, mert nem szól róla a média. Ha tulajdonos vagy, akkor kapsz direktben információt. Külső érdeklődőként aktívan elő kell keresni.

És persze valóban léteznek cégek, ahol a vannak szavazati joggal nem rendelkező fajta részvények is, ahol csak tőzsdézhetsz, de nincs jogod beleszólni.

Elvégre a tulajdonos kockáztatja a pénzét. > oooo... nem. :) hacsak nem E. V. (vagy azzal egyenerteku), aki az egesz vagyonaval felel a tetteiert... :) ha a csalok kivittek a penzt a bankbol, azzal a tulajdonos mar nem (sem) rendelkezik. :) a maganvagyona meg - by default - tabu.

ha bedolt az mbh, elment a love, akkor nalad senki semmilyen formaban nem tud reszaranyosan erdeket ervenyesiteni, akkor sem, ha a dontesed (mert mondjuk szavaztal a reszvenyesek foruman) vegett tortent a kar. szemben egy ev-vel, aki mindenevel felel a tetteiert.
de ha nem erted, akkor mindegy is :)

ugyanez igaz a kifizetett osztalekokra, fizetesekre, premiumokra, whatever is! mivel attol kezdve elvesztette ceges jelleget... :)

kockazat nelkul nincs uzlet, en arrol beszelek, hogy ki mekkorat kockaztat, miert- es mivel felel, mikor el lett szabva valami.

Így van. Felelsz mindenért. saját magad látod hasznát, ha jó helyre teszed a pénzed és saját magad bukod el, ha rosszul bánsz a saját kis kapáddal vagy rossz helyre teszed a megtakarításaidat. Felelősség nélkül még levegőt sem tudsz venni, persze törekedni lehet, hogy ez sikerüljön, van akinek 3-4 percig is megy.

Elvileg lehet korlátlan vagyoni felelősség, pl. büntető ügyekben, szándékosság vagy azzal egyenértékű gondatlanság esetén (az MBH informatikusainak esete szerintem ez) vagy Bt tagjainál. A jog és a jog érvényesíthetősége külön dolog, az ember a jogot nem azért veszi komolyan, mert felelősségre vonhatják, ha nem teszi, hanem azért, mert a jogot mint jelenséget alapműveltségénél fogva fontosnak tartja. Amiből nyilván csak egyfajta értelmiségi igényesség következik, ami levethető, eldobható és semmiben nem korlátozza a huncutok számát. Csak van.

Már ott, ahol van.

Ha tudom, hogy szar, akkor jelzem a közvetlen főnökömnek, hogy nem értek egyet vele. Aztán hogy ő úgy dönt, hogy szerinte nem szar, vagy szar, de meg kell csinálni, akkor megcsinálom. Aztán hogy ő ezt felfelé is jelzi, vagy eladja, hogy kész, azzal úgyse tudok mit tenni (legfeljebb időről időre megemlítem, hogy még mindig szar).

Így van, nálam legyen meg az e-mail amiben ezt írásosan jeleztem.
Ezzel én minden lehetőt megtettem, téma lezárva.

Majd ha a szőnyeg szélére állítanak akkor előhúzom (vagy nem) az adott e-mailt. 
Ha nem húzom elő akkor a főnök "jön nekem eggyel" - és ezt mindketten tudjuk.

zászló, zászló, szív

Nem ér, te már nyugdíjas vagy, tapasztalatból beszélsz, nem a levegőbe.  ;^)

Pont az a problémám, amikor az általad bemutatott gyakorlat hiányzik. Általában mindent reszelni kell, a folyamatban egyeztetések folynak, viták, érvek, ismeretek, tapasztalatok és a végén kialakulnak kompromisszumok, amik optimálishoz közeli állapotot hoznak. Ehhez nem elég a főnökre és a körülmények kényszerítő erejére utalgatni, hanem ehhez a munkavállaló kreativitása kell. Azt pedig nem lehet fölülről elrendelni, maximum kiölni lehet a dolgozóból. Annak bukta lesz a vége.

Én ezt a gyakorlatot követtem, amikor dolgoztam. Lehet, hogy szerencsém volt, a főnökeim az ellenvetéseket nem sértésként, akadékoskodásként kezelték, így szakmai téren maradtak a viták. És igen, volt, hogy az volt a válasz, hogy tisztában van vele, hogy nem az igazi, és látja a megoldás hátrányait, de nem képes jobb megoldást kialkudni. Ezt meg én kellett, hogy elfogadjam.

https://hup.hu/comment/3197076#comment-3197076

Azt persze nem tudom, hogy konkrétan Mészáros mondta-e az IT-soknak, hogy muszáj ilyen trógerül megcsinálni az integrációt, vagy ez már inkább a köztes rétegek felelőssége. Hacsak nem úgy volt, hogy Lölő ellopta az egységes frontendet is.

Magyar bank: bank.gov.hu

De ezzel még mindig ugyanaz a gond, hogy semennyit nem használ ez ellen a támadási vektor ellen. Már most is tudnia kellene az ügyfélnek, hogy az MBH-s netbankja "mbhbank.hu"-ra végződik, mégis beszopja az olyanokat, hogy '"mbh-igazi-netbank.258914.áÉÍÓőÚű.com.org.tk"

Igen, ez necces. Edukáció kéne a propaganda helyett. Azért aki "mbh-igazi-netbank.258914.áÉÍÓőÚű.com.org.tk" ezt beszopja ott baj van a toronyban, meg az edukáció hiánya is egyben. Ha nem mbh.gov.hu akkor meg se jelenik, az agymosó gépekben (TV) meg tolni, hogy a bank, nav, egyéb lehúzós szervek *.gov.hu

https://www.esp8266.org/

Ha a felhasználó linkre kattint, akkor nem tudod teljességgel kivédeni. Lásd hasonló karakterek, ahogy itt a példában volt gov vs qov, vagy bank vs. bauk. És akkor még az eltérő karakterkészletek ugyanúgy kinéző karaktereiről szó sem volt. Meg kell tanítani mindenkit, hogy a böngészőbe be kell gépelni a helyes nevet (vagy bookmarkolni egyszer, és azt használni).

( n.balazs v | 2025. 06. 20., p – 10:58 )

<Troll on> Nem vagy te rokonságban véletlenül kikepzo fórumtárssal? Picit hajaz a stílusod az övére. <Troll off>

( n.balazs v | 2025. 06. 20., p – 11:03 )

Szerkesztve: 2025. 06. 20., p – 11:05

Teljesen vakvágányon futsz véleményem szerint.

1. Weblapot csinálni pár óra (kis túlzással).
2. Bárki csinálhat weblapot.
3. Bárki regisztrálhat domaint. Szinte (pár kivétellel) bármilyet, ami szabad. UTF-8 is megengedett már.
4. DV SSL tanúsítványt szerezni 5 perces meló.
5. CF-t (bármilyen CDN-t) szinte bárki használhat, mindenkinek elérhető.

Szóval eső után köpönyeg....

Megjegyzem: Van megoldás. Csak akkor ~15-20 évet visszarepülünk az időben.

( denton | 2025. 06. 20., p – 17:10 )

Engem nem akar beengedni a usernevemmel és jelszavammal. 

 

Igaz nem vagyok mbh-s.

( BehringerZoltan | 2025. 06. 20., p – 18:13 )

Szerkesztve: 2025. 06. 20., p – 18:15

Tök egyszerű a megoldás: minden ilyen esetben a bank felel a csalással bekövetkezett kárért. Kész! Semmi más szabályozással, rabló-pandur játékkal nem kell foglalkoznia a törvényhozónak. Akkor a bankok hirtelen ki tudjak majd találni, h működhet ez biztonságosan. Inernetes felüetet működtet a bank? Oké, lehet. nem tilos, de ővé a felelősség! Hajrá! Nem tud biztonságosan internetes felületet működtetni? Oké, akkor nyisson elég fiókot ahol az ügyfelek intézhetik a dolgaikat! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ha mindenki csak úgy használhatna bármit, úgy kommunikálhatna bárhol az online térben is, hogy fizikailag rá van kötve az identitás ellenrőző készüléke, akkor talán kevesebb esély lenne csalásokra.
De a totális megfigyelést és kontrolt általában nem akarjuk. Mert valaki mindig visszaél vele.

Általában valami kompromisszum születik a költség, korlátozás és cél elérése közt. 100% nem biztosítható reálisan sosem.

( azbest | 2025. 06. 20., p – 18:20 )

Szerkesztve: 2025. 06. 20., p – 18:29

szóval a lényeg még mindig az, hogy tilcsák be az illegális tevékenységeket.

Kár, hogy pont a bűnözők nem követik a tiltások betartását.

Sajnos mindig oda fut ki minden, hogy a felhasználók tiltakoznak minden bonyolítás ellen és mindent megtesznek azért, hogy hülyeséget csinálhassanak.
Másképpen fogalmazva, a 100-as iq mindig az adott csoporton belül sorbaállított emberk közül a középső képességét jelenti. Ez azt jelenti, hogy a népesség fele hülyébb, mint ő. Már az is kész csoda, hogy a sok törvény, szabály és óvintézkedés miatt nem ölik magukat halálra tömegével a buta viselkedésükkel. Kész csoda, hogy nincs több visszaélés.