"Az MBH Bank nem alkalmazott kockázatalapú felülvizsgálatot a bejelentkezés helye, IP-címe, eszközprofilja alapján, holott a PSD2 és az MNB szabályai alapján ez az elvárt eljárás
(SCA és kockázatalapú monitorozás)."
Ez így kijelentened igen erős, mondhatni bátor dolog, hacsak nem a már publikált(!) MNB-s felügyeleti jelentés/határozat részletét idézted.
"Az MBH Bank nem kérdezett rá külön megerősítéssel, ha új helyről érkezett a belépés – pedig más bankokban ez a gyakorlat (pl. push-értesítés, SMS a szokatlan belépésről, ideiglenes zárolás)."
Definiáld az "új hely"-et úgy, ahogy azt az MNB elvárja, hogy vizsgálja a bank a kérés forrását. Írtam, hogy csak a GeoIP nem jelent semmit - amit meg a bőngésző el tud küldeni, azt az adathalász oldal felé is elküldi, amit onnan az ott futó alkalmazás szépen továbbít a bank felé - ez alapján tehát nem fogja észlelni, hogy másfajta böngésző, másfajta hardver, másfajta os "beszélget" vele - tcp fingeprint sem jó, mert elég egy NAT "út közben", és máris annak a fingeprintje látszik (jó esetben)... (Azaz a banki oldal azt látta maximum, hogy adott OS+böngésző+hw más IP-címről forgalmaz, ami IP-cím jó eséllyel lehetett a korábbi címhez rendelt szolgáltató címtartományában is, ami GeoIP alapján vagy látszik helyesen, hogy hol van, vagy csak a szolgáltató "kilépési pontja" van a teljes címtartományhoz rendelve.
Definiáld továbbá a "szokatlan bejelentkezés"-t a fentiek fényében.
Hogy az a 6.5M hogyan ment el (20M-s AFR limitbe belefért, úgyhogy a mindennel együtt 5s-be bele kellett férjen (AML, fraud, GIRO, stb.) - mivel az érintett számlatulajdonos korábbi számlaforgalmáról nem tudunk semmit, illetve azt sem tudjuk, hogy _valójában_ hány és milyen SMS-t kapott, _és_ az adathalász oldalon milyen tevékenységekre vették rá (pl. feldobott neki egy jelszócserét vagy bármilyen más fake tennivalót, amihez sms-es megerősítést kért, (ami egyébként mondjuk az sms telefonszám cseréje volt a háttérben, vagy akár a 6.5M utalásé, vagy egy új eszközön alkalmazás regisztrációé, amihez akár lehetett az is a mese, hogy frissült/változott e böngésző/os, ezért a webes felületet újra kell "regisztrálni" (nem akarok ötleteket adni a rosszakaróknak - van nekik bőven saját is sajnos...) és ezt az ügyfél szépen végigtolta a fake oldalon, miközben az a fake oldal valójában egy teljesen más tevékenységet végzett el a valódi banki oldalon.