( adhocsupport | 2025. 04. 28., h – 11:11 )

Először is köszönöm, hogy időt szántál a válaszadásra. Ugyanakkor, ha megengeded egy észrevétel: a "új vagy a szakmában" típusú megjegyzések helyett érdemesebb lenne a tényekre koncentrálnunk – kulturált vitában az érvek súlya, nem pedig a beszólások ereje számít.

Most pedig a lényegre:

  1. Teljesen tisztában vagyok vele, hogy egy phishing (adathalász) oldal megszerzett adatokkal a valódi banki szerverhez próbál autentikációt indítani, amely kiváltja a második faktort (jelen esetben az SMS-t).

  2. Az igazi probléma nem az, hogy a bank az SMS-t kiküldte, hanem az, hogy:

  • Az MBH Bank nem alkalmazott kockázatalapú felülvizsgálatot a bejelentkezés helye, IP-címe, eszközprofilja alapján, holott a PSD2 és az MNB szabályai alapján ez az elvárt eljárás
    (SCA és kockázatalapú monitorozás).

  • Az MBH Bank nem kérdezett rá külön megerősítéssel, ha új helyről érkezett a belépés – pedig más bankokban ez a gyakorlat (pl. push-értesítés, SMS a szokatlan belépésről, ideiglenes zárolás).
    ( miközben a Facebook vagy Google arról is értesítést küld, ha szokványos IP-től, várostól eltérő helyen jelentkezel be)

  • 6,5 millió forint (!) átutalás SMS megerősítés nélkül elment – ez önmagában súlyos rendszerhiba a kockázati szinthez képest.

  1. Az általad említett internetszolgáltatói váltások, IP-címek ugrálása valós jelenség, de:

  • A banki rendszerek nemcsak IP-címet figyelnek, hanem eszközazonosítót, böngésző fingerprintet, viselkedési mintázatot (pl. billentyűzet-mozgás, egérhasználat mintája) is.

  • Számos bank alkalmaz gépi tanulás alapú kockázatértékelést, amely nem "durván tilt le mindent", de érzékeli a szokatlan eltéréseket, és ekkor plusz hitelesítést kér.

  1. Az adatgyűjtésről: természetesen az adatvédelmi szabályokkal összhangban történik ez, az Európai Bankhatóság (EBA) és az MNB által elfogadott keretek között.
     szükséges mértékű biztonsági adatgyűjtés GDPR alatt megengedett, ha arányos és a jogos érdek alátámasztható.

Végül de nem utolsóként: nem az a probléma, hogy SMS ment ki.

Az a probléma, hogy az MBH Bank:

  • Nem érzékelte időben a szokatlan bejelentkezést.

  • Nem alkalmazott extra hitelesítési lépést.

  • Nem figyelmeztette az ügyfelet a gyanús aktivitásra.

  • Nem akadályozta meg a 6,5 milliós utalást külön megerősítés nélkül.

Ezek nem "újságírói rémhírek" vagy "szakmai járatlanság", hanem az MNB felügyeleti gyakorlata és a pénzforgalmi törvény (Pftv.) alapján elvárt minimum követelmények.

...és közel 60 éves vagyok...40 éve a szakmában....