Telefonját blokkolva loptak el 30 milliót az OTP ügyfelétől

  • Először telefonon egyeztettek, majd a Horváth Tamásként bemutatkozó férfi megkérte Attilát, hogy térjenek át az online kommunikációra, ehhez a Telegram nevű alkalmazást ajánlotta, ami egy titkosított kommunikációs csatorna. Attila nem gyanakodott, belement a dologba.
  • Az ingatlant kínáló férfi kikötötte, hogy vételár kiegyenlítését kizárólag az OTP Banknál vezetett számláról történő utalással tudják elfogadni.
  • Attila egy képernyőfotót küldött neki, amin szerepelt a frissen megnyitott OTP-s számla száma, és az is, hogy elhelyezett rajta 30 millió forintot.
  • Csakhogy a számlanyitás után két nappal Attila azt vette észre, hogy telefonja nem működik, csak segélyhívást tud róla indítani. Ekkor gyanút fogott, és megnézte az internetbankját: kiderült, hogy mindössze négyezer forint van a számláján, vagyis eltűnt az ott elhelyezett 30 millió forint.

https://24.hu/belfold/2020/03/31/otp-netbank-lopas-telefon-sim-kartya-k…

Hozzászólások

Szerkesztve: 2020. 03. 31., k - 18:39

Kérdések:

  • Miért OTP?
  • Hogyan férhettek hozzá a pénzhez jelszó nélkül?
  • Hogyan szereztek SIM kártyát?
  • Mit lehet tenni ez ellen?

A móka egy jól előkészített megszemélyesítés révén sikerült. Azaz a vevő adatait korábban összehalászgatták, majd ezeket felhasználva a különböző szolgáltatókkal elsősorban telefonon keresztül elvégezték a megfelelő "tranzakciókat", például új sim kártyát igényeltek (ezért halt le a vevő telefonja, mert a csaló aktiválta az új simet), illetve vélhetően a banki átutalást is telefonon kérték. A legtöbb szolgáltató elhiszi hogy te xyz vagy, ha a neved mellett meg tudod adni a személyes adataidat is (anyja neve, születési helye és ideje). A koronavírus miatt a szolgáltatók vélhetően könnyebben belementek a telefonon történő ügyintézésbe. (de ettől eltekintve pl. az otpnél - és vélhetően máshol is - telefonon keresztül is lehet átutalási tranzakciót rögzíteni).

Az OTP-vel meg egyébként nincs semmi baj, tök korrektül működik. Mondom ezt ~15 év után.

Például az OTP ügyfélszolgálatnál "járatta be" a telefonos átutalás menetét (pl. milyen adatokat kérnek). Nem volt mindegy hogy az áldozat melyik banktól fog utalni, olyan banktól kellett az elkövetőnek, ahol már kijárta / ismeri az átutalás menetét.

Hát, nem kidolgozott történetem van, csak agyalok. :) Egyébként a vevő első jelentkezése és a kép elküldése, hogy "nézd, nyitottam OTP-t és rajta van a pénz" között több hét is eltelhetett, hiszen utóbbi már közvetlenül a vételár elutalásának szándékára utal.

Én úgy értelmeztem a cikket, hogy valamikor az ember észrevette a hirdetést, felhívta az "eladót". Az mondta neki, hogy inkább telegramon. Megbeszélték, hogy a következő hétvégén emberünk felmegy Pestre, és megnézi az ingatlant. De előtte az eladó rábeszélte, hogy nyisson az OTP-nél számlát és tegyen oda pénzt. 1-2 nap múlva (még mindig nem érkezett el a hétvége) balekunk megnézte, és a 30 milla már hiányzott.

Ha nem értettem nagyon félre, akkor az első kapcsolatfelvétel és a pénz ellopása között 2-3 nap telhetett el.

Szó sem volt még a vételár elutalásáról. Vagy ha igen, akkor a vásárló nem tudta, hogy szerződést szokás írni ingatlanvásárlás előtt, nem tudta, hogy ezt kötelező ügyvéd előtt megírni, és nem tudta, hogy a fizetés ütemezése és egyéb paraméterei is a szerződés részét képezik.

Egyszer jött a lakcímemre egy egészen korrektül megfogalmazott levél OTP vízjeles papírra nyomtatott, magyarul helyesen megfogalmazott levél, amelyen nem szerepelt a nevem, csak az ajtó, illetve ügyintéző nem volt feltüntetve, sem ügyintéző száma. 

Az állt a  levélben, hogy tartozásom van, amit ha nem fizetek be, akkor végrehajtó fogja behajta a tartozást, és utaljak 19.xxx forintot (megjegyzés: ekkor a szabálysértés alsó határa 20.000 forint volt) a megadott számlaszámra.

 

Bementem az OTP-hez megmutatni mi ez, akik azonosítottak engem és utána megkérdezték, hogy átutalhatják-e az összeget. 

Bár a megadott számlaszám nem az OTP követeléskezelőé volt, de az ügyintéző hitt a papírnak, már utalta volna az összeget. 

Jeleztem neki, hogy ez átverés, nem hitte el.

 

 

Ekkor voltam OTP-s utoljára.

Feljelentést tettél? Ha meg nem is üti ez az 1 tétel a bűncselekmény értékhatárt, több embernél bepróbálkozva már simán átlépi azt. Illetve üzletszerűleg elkövetve akár az alacsony érték ellenére is átminősül bűncselekményre.

A banki alkalmazottnak is gondolom hivatalból ezt kellett (volna) tennie. Ha hülye az ügyintéző, még mindig lehet kérni a felettesét.

Kérdések x2:

  • Miért volt hülye első pontban? Itt még nincs banki tranzakció, csak beszélgetés vevő-eladó között. Térjenek át online Telegrammra.. hah. persze
  • Az hogy valaki kiköti hogy melyik banknál hajlandó végrehajtani a tranzakciót önmagában véve szerintem még nem gyanús. Az első pont már inkább az...
  • Mi volt a "képernyőfotón"? mit küldött át ? Milyen számlát nyitott.. Gondolom nem online nyitotta és tette rá a 30m-t. szóval OTP részéről megvolt a megfelelő azonosítási procedúra.
  • Milyen telefonja nem működik ??? Amiről telegrammozott? vagy melyik? Hogy jön ez ide? Vagy online nyitotta a SmartBankból a számlát és egy "hackelt" telegram app elküldött mindent "Horvát Tamásnak?"
  • nem is értem...

> Miért volt hülye első pontban? Itt még nincs banki tranzakció, csak beszélgetés vevő-eladó között. Térjenek át online Telegrammra.. hah. persze

Szerintem ez tökmindegy, akár email is lehetett volna. Egy ip címet elrejteni nem nagy móka.

Milyen telefonja nem működik

Valószínű a szolgáltató letiltotta amikor a másik sim-et kiadta

> egy "hackelt" telegram app elküldött mindent "Horvát Tamásnak?"

Ez mondjuk érdekes felvetés lehet: a Telegram app nem az anonimitás miatt kellett, hanem egy abban rejlő (vagy egy spéci változatban rejlő exploit) hiba kijátszása miatt.

 

Mindenesetre érdemes megjegyezni, hogy nem a támadó kereste meg a sértettet, hanem a sértett a támadót. Szóval valami olyan módszer lehetett ami jó eséllyel bárkin működhet.

Ez úgy néz ki, hogy megjelensz az ügyvéd előtt az eladóval, az felveszi az adataitokat, az ingatlan adatait, lekéri a földhivataltól az ingatlan tulajdonlapját. Az ügyvéd azonosít mindenkit, megnézi, hogy az ingatlan tehermentes-e stb. Ha ez megvan, akkor megszületik az adás-vételi, amiben le van írva az ingatlanátadás-átvétel menete, tételesen, hogy mi kerül átadásra. Valamit a fizetés ütemezése, hova, mikor mennyit, milyen számlaszámra. Ha van előleg, ott átadásra kerül, szintén rögzítve.

Ebben a folyamatban sehol sem szerepel Telegramozás és egyéb kóklerség. Ha a másik fél húzza a picsáját egy, a fent leírt folyamattól, azt messze el kell kerülni. Sziahelló.

Nekem működött. Nem is basztak át.

trey @ gépház

Persze, tényleg furcsa, de engem inkább az érdekel, hogy hogyan vették át a számlája feletti hatalmat.

Telefonját hackelték meg vagy simán anyja neve/születési dátuma, számlaszáma elég hozzá?

Na meg hogy miért OTP számla kellett, kell hogy legyen ott valami ami a többi banknál nem működik.

Ha mobilbankolt és pl a telegramot is a figura által küldött apk-val telepítette :D. esetleg felrakott valami távmanagement sw-t mert azt kérték tőle.. meg továbbküldte a megerősítő kódot az utaláshoz telegrammon ..

ennyi hülyeség után semmin se lepődnék meg.. és persze nem volt gyanúsan olcsó a lakás a gyanúsan megfelelő helyen :D.

https://goo.gl/muWzKz (digitalocean)

Ez úgy néz ki, hogy megjelensz az ügyvéd előtt az eladóval...

Ebben a folyamatban sehol sem szerepel Telegramozás és egyéb kóklerség

A te első lépésed előtt viszont szerepelhetne.

1) felhívod az eladót

2) emaileztek, telegramoztok, hangoutsoztok, skypeoltok, facebook messengereztek, telefonáltok, akármi. Kérdezel, válaszol. Ha minden klappol

3) elmész, megnézed az ingatlant. Ha tetszik és megállapodtatok szóban az árban és a kb. időpontokban, akkor

4) megjelensz az ügyvéd előtt az eladóval (és innentől az, amit leírtál).

Maga a telegramozás nem lenne baj, de az, hogy már ebben a fázisban rávették, hogy a zsetont tegye egy számlára és a számlaszámot mutassa meg az "eladónak", na az gáz.

Ezt a Telegramos gondolatmenetet én sem érzem reálisnak. Ugyanis nem azt mondta a támadó fél, hogy küldök emailben egy telegram apk csomagot, azt telepítsd fel, majd utána azon beszélünk, hanem töltsd le a telegramot. Az sem valószínű, hogy a Google vagy Apple alkalmazásboltjában levő Telegram appot kompromittálni tudta volna a támadó, mert akkor itt egy világméretű csalássorozatról olvasnánk és nem egyetlen esetről. 

A másik lehetőség Telegramos támadásra, ha egy olyan hiba van az appban, amit kihasználva a Telegramos beszélgetés alatt olyan malwaret lehet injektálni a  másik fél appján keresztül ami részbeni vagy teljes kontrollt ad az áldozat mobilja felett. 

Egy ekkora bug már megüti az ingerküszöböt. Olvasott ilyesmiről valaki? 

Szerintem ebben a történetben az a kulcs, hogy új számla és a támadó jelölte meg a bankot. Nem zárnám ki a bankon belüli belsős cinkos lehetőségét. Ez mondjuk a cikkben is benne van.

Szerintem konkretan a telegramnak nincs semmi koze ehhez, gondolom abban segitett, hogy nem sms-en v. mobilon kommunikaltak ami lekovetheto kesobb (mobil helyzete), hanem valami applikacion keresztul.

0. tudott szemelyes adatokat, rendelt uj SIM-et az adott szemely neveben

1. tudta a szamlaszamot

2. a SIM kartya elteritesevel megkapta az SMS kodot amivel be tudott lepni a bankba (szla. szam ismereteben, a szemelyes adatokat mar korabban megszerezte)

Durva....

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ez úgy nézett ki, hogy felhívtam és megnéztem az ingatlant. Elkértem az ügyvédje nevét, lajstromszámát (nyilván megkérdezte, ezzel le is mértem, hogy mennyire komoly az eladási szándéka, különben hagytam is volna a picsába), utánanéztem, hogy az ügyvéd létezik-e, praktizál-e valójában. Utána az ügyvédjén keresztül kommunikáltunk.

trey @ gépház

Ezt en ertem, de bizonyara el tudod kepzelni azt, hogy valaki mondjuk nem tud elmenni es megnezni az ingatlant azonnal. Mondjuk masik varosban lakik, hulye idopontban dolgozik, nehezen mozog, akarmi.

Tortenetunk fohose is elment volna megnezni az ingatlant a het vegen, csak addig szerettek volna kommunikalni egymassal.

Ebben az esetben az elado egy csalo volt a vevo meg egy balek, de ez nem jelenti azt, hogy egy masik elado es vevo nem kommunikalhat egymassal mashogy mint telefonon es ugyveden keresztul.

Ket kulonbozo dologrol beszelunk.

En arrol, hogy az, hogy az elado a telefonban azt keri, hogy telegramon (vagy emailben, vagy skype-on, vagy akarmi) kommunikaljunk a szemelyes talalkozas elott, az nem gaz, annak ellenere, hogy pl. trey-nek erre nem volt szuksege es krix kollega szerint gyanus.

Te arrol beszelsz, hogy a vevo balek volt. Ezzel teljesen egyetertek. Szerintem is hulyeseget csinalt.

nincs ilyenkor ügyvédi számla közbeiktatva?

Amikor én vettem Magyarországon ingatlant, az ügyvédi számla a foglalóhoz kellett. Befizettem, az ügyvéd tartotta, és a szerződés szerint az eladónak kifizette amikor én a maradék zsetont direktben átutaltam (illetve egy részét én, másik részét a bank). Ha az eladó visszalépett volna, akkor meg az ügyvéd nekem utalta volna vissza.

A Telegram nyílt forrású, de a Gitjhéhez Macsaka Jancsi nem férhet hozzá. A Play áruházból és a Store-ból csak karbantartott bináris érhető el. Az, hogy a Telegramot kihasználhassák, minimum az kellett volna, hogy a forrásból saját binárist készítsenek, és rávegyék Attilát, hogy telepítse azt. A Telegram Botjai nem férnek hozzá az érzékeny adatokhoz, nem tudnak kilépni a Telegramból.
A Telegram szerepe itt abban állhat, hogy titkosított, de úgy, hogy MH-en belül sem örülnek a használatának. (Tudom, egy ismerősömnek, aki magasabb rendfokozatban szolgál, törölnie kellett múlt hónapban. Felteszem, csakúgy Putin sem a véletlenül akarta betiltani. ) Szóval a Telegram szerepe addig volt, amíg Attila nyugodt lehetett, hogy nem hallgatják le. Egyébként a Telegramra is csak telefonszámmal lehet regisztrálni, ergo Attila visszakövethető lesz.

Hogy lenne? Neked lehetne esetleg olyan extra kívánalmad (aztán vagy érdekli az eladót vagy nem), hogy ahova utalsz az legyen esetleg x banknál, mert akkor neked bankon belül olcsóbb. Az eladót kurván ne kelljen érdekelnie, hogy honnan jön. Egy dolog érdekelje: a pénz időben a számláján legyen.

trey @ gépház

Az hogy valaki kiköti hogy melyik banknál hajlandó végrehajtani a tranzakciót önmagában véve szerintem még nem gyanús. Az első pont már inkább az...

Számomra pont fordítva. Ha valaki telefonálás helyett chat-elni akar, hát legyen.

Viszont az, hogy én melyik banktól indítom az utalást, az teljesen mindegy. Ha ő kiköti, hogy csak az OTP-nél lévő számláról hajlandó elfogadni pénzt, arra semmi észszerű magyarázat nincs. Innentől lenne gyanús a dolog.

Én azt nem értem, hogy itt ingatlanvásárlásról volt szó. Ingatlanvásárláshoz ügyvéd kötelező. Nem tűnik úgy, hogy a fenti történetben ügyvéd meg tulajdoni lap meg szerződés szerepelt volna, innentől kezdve nem is értem, miért tett a károsult gyorsan zsetont az új számlára.

Az ügyvédig még nem jutottak el. A csalónak csak a számlaszám kellett, és az, hogy lássa, hogy megvan a megfelelő pénz, amit el lehet lopni. Gyanítom, hogy azért kellett az OTP, mert valahogy sikerült megcsapolni azt a csatornát, ahol az SMS-eket küldi a szolgáltató. Persze még mindig kérdés, hogy a belépési jelszót hogyan szerezték meg, és hogy blokkolták a telefont (bár a SIM-hack működhet), de biztos nem véletlenül volt az OTP kikötve.

Milyen telefonja nem működik ??? Amiről telegrammozott? vagy melyik? Hogy jön ez ide?

Gondolom azt a módszert alkalmazták, amiről úton-útfélen lehet hallani, hogy a SIM kártya klónozásával és a hívások / jóváhagyó SMS-ek elkapásával a bűnöző megkerüli a sok online oldal által használt nem biztonságos azonosítást.

A legtöbb példa arról szól, hogy ha bemegyek a szolgáltatóhoz, és valami módon megszerzem a te telefonszámodat (Csókolom, tönkrement a SIM kártyám, kérek pótlást, ez a telefonszámom, az igazolványom elveszett, itt van helyette egy tízezres, köszönöm, csókolom), akkor pl. a gmail fiókodnál tudok jelszó visszaállítást kérni, amihez a te telefonszámodra küldenek valamit, de amit én kapok meg. Beállítok egy új jelszót. Elmegyek az online bankba (vagy akármi más szolgáltatáshoz, amit el akarok lopni), és ugyanígy azt mondom, elveszett a jelszó. Küldenek emailt jelszó visszaállító linkkel. Rákattintok, beállítok egy új jelszót. Belépek a bankba, elindítom az átutalást. A bank küld egy SMS-t az eltárolt telefonszámra, amit ugye én kapok meg. Beírom a kódot. Bank elutalja a pénzedet. Sim kártyát kidobom a kukába, eltűnök a naplementébe.

Ami sztorit olvastam a neten, ott éjszaka csinálták az ügyességet, amikor a kliens aludt. Lefekvés előtt feltűnt, hogy a telefonja nem tudott belépni a gmail-be, vagy valami, de úgy gondolta, majd reggel megnézi, mi a gond. Addigra már jó nagy volt a baj.

Az hogy valaki kiköti hogy melyik banknál hajlandó végrehajtani a tranzakciót önmagában véve szerintem még nem gyanús.

Dehogynem. Az, hogy ő hová kéri a pénzt, az természetesen az ő dolga, nem gyanús. De azt előírni, hogy egy adott banktól érkezzen az átutalás, mindenképpen az. Én ennél a pontnál biztos elhajtottam volna az eladót. Emiatt nem fogok külön egy számlát nyitni.

A minimum az, hogy valami kicsinyes ugyeskedes van a dologban.

Pl. nekem volt OTP-nel lakashitelem, amit csak OTP-s folyoszamlarol lehetett torleszteni. El tudnek esetleg ilyesmit kepzelni, hogy az eladonak van egy lakashitele, amit OTP szamlarol kellene torleszteni, de mondjuk nem fizetett gyerektartast, ezert az o neven levo OTP szamlara inkasszot tettek, es ezt akarja kijatszani. Vagy mittudomen. Viszont nekem, mint vevonek semmi erdekem nem fuzodik ehhez az ugyeskedeshez, el is hajtanam a csokat. Oldja meg mashogy. Kerje meg egy baratjat, hogy nyisson az OTP-s szamlat a sajat nevere, azt a szamlat megadjak a szerzodesben, oda utalok a sajat bankombol, aztan o majd a barattal megbeszeli, hogy mi legyen utana.

Mindenkepp gyanus, nem hallottam meg ertelmes magyarazatot erre (se itt, se mashol)

" Pl. nekem volt OTP-nel lakashitelem, amit csak OTP-s folyoszamlarol lehetett torleszteni. "

Úgy látom te sem olvastad el és értetted meg a felvett hiteled feltételeit.

Amikor felvetted a hitelt abban állapodtál meg az OTP-vel, hogy amennyiben náluk vezeted a számládat és oda is érkezik a jövedelmed akkor kapsz valamennyi kamatkedvezményt. Semmi nem tiltja, hogy a törlesztést más banktól utald át, mindössze a kamatkedvezményt bukod arra az időszakra.

OK, en nem tudom, hogy te ki vagy, de lathatolag te tudod, hogy en ki vagyok, raadasul elolvastad a hitelszerzodesem felteteleit, es jobban emlekszel ra mint en. Scary.

Ha azert tudtad elolvasni a szerzodesemet mert te voltal az OTP-s ugyintezo akinel megkotottem a szerzodest, akkor nyugodtan le lehet szallni a magas lorol, mert te mondtad nekem, hogy csak az OTP-nel vezetett szamlarol lehet torleszteni.

Ha nem te vagy az ugyintezo, akkor nagyon kivancsi vagyok, hogyan olvastad el a szerzodesemet.

Amennyiben esetleg csak okoskodsz es nem tudod, hogy ki vagyok es nem olvastad el a szerzodesemet, akkor legalabb annyit odabiggyeszthettel volna, hogy _szerintem_ _valoszinuleg_

LOL. Majd biztosan nekiallok tobb, mint 20 eve nem is forgalmazott termekek kondicios listait megkeresni, vegigbongeszni, hogy az en konkret termekemet megtalaljam, es aztan atolvasni a reszleteket!

Meg ha lenne valami tetje, esetleg megneznem, hogy az OTP weboldalan van-e egyaltalan ilyesmi termekekrol barmi info.

De nincs semmi tetje, baromira nem erdekel, hogy megkoveted-e magad. Megnyugodtam, hogy nem tudod, ki vagyok, nem tudod, melyik termekrol van szo, csak ugy gondoltad, hogy lehulyezel es velemenyt tenynek allitasz be, mint sokan masok az interneten.

Az en lakashitelem is olyan, hogy egy bankszamlarol szedik be a torlesztot, es mit ad isten, annak a szamlanak bankon belulinek kell lenni. Hogy oda hogy kerul a penz az persze mindegy, nekem nem oda erkezik a munkaberem, hanem amikor megjon a zsozso, feltoltom az aktualis torlesztoreszlettel az ottani folyoszamlat, es egyszercsak eltunik rola a penz.

Ez nem magyarázza, hogy egy átutalás esetén miért kellene a forrásszámlának az OTP-nél lenni. A lehetséges inkasszó végképp nem, azt legfeljebb az eladó tudná azzal kicselezni, hogy nyit máshol egy számlát. Abban teljesen egyetértünk, hogy ha én vevő lennék, nem nyitnék az eladó kedvéért egy új számlát.

Csak gyorsan irtam par peldat. Ha a pelda rossz, tekintsetek el tole nyugodtan.

A lenyeg az, hogy ertelmes es elfogadhato indok nincs ra.

Konkretan arra gondoltam a fenti inkasszos peldaban, hogy mondjuk az embernek OTP-s szamlarol kellene utalnia, de a sajatjarol nem tud/akar (az inkasszo miatt), es ezert azt mondja a vevonek, hogy nyissal oreg egy OTP-s szamlat, es erre a szamlaszamra utald at a zsetont. Igy OTP-n beluli utalas, a jelzaloghiteles szamlan elfogadjak vagy ahogy dentzol kollega irta, kisebb kezelesi koltseget vonnak le (ugye 30 millanal mar egy szazalek kulonbseg is szazezreket jelent). Szoval ezert kerhetne esetleg. De ez csak egy legbolkapott pelda, nem mondom azt, hogy konkretan emiatt kerte a csalo, vagy kerne barki mas. Illetve ha emiatt kerne a valodi elado, akkor is elkuldenem a csipaba.

Mivel alapvetően egyetértünk (mármint abban, hogy az eladó nem kötheti ki, hogy milyen számláról utaljon a vevő), tehát nem kéne kukacoskodni az esetlegesen felmerülő indokok miatt, de mégis (en nem a flame rovat? :):

A kisebb kezelési  költség jogos lehet (ha a kondíciós listában más a bankon belüli utalás díja), de az az eladónak ez tök mindegy, ő mindenképpen megkapja a vételárat, adott esetben a vevő számára nem mindegy, hogy mennyit fizet az átutalásért. De még ez esetben sem éri meg a vevőnek, sőt. Neki mondjuk X banknál van a pénze, ha az eladónak átutal pénzt annak az OTP számlájára, akkor kifizet bankközi utalás miatt Y Ft-ot.

Ha az eladó kérésére nyit egy számlát az OTP-nél, akkor felmerül egy számlavezetési költség (minimum egy hónapot nyilván ki kell fizetni), valamint ugyanúgy ki kell fizetnie Y Ft-ot a bankközi utalásért, hogy a pénz eljusson az OTP számlára, majd még Z Ft-ot a bankon belüli utalásért.

A kisebb kezelési  költség jogos lehet (ha a kondíciós listában más a bankon belüli utalás díja), de az az eladónak ez tök mindegy, ő mindenképpen megkapja a vételárat, adott esetben a vevő számára nem mindegy, hogy mennyit fizet az átutalásért.

Nem jött át a példám.

A következőre gondolok: Én vagyok az eladó. Van egy OTP-s lakáshitelem, aminek a fedezete az 1) egyik lakás. Legalább 30 milliót kell még törlesztenem. Van egy 2) másik lakásom, amit el akarok adni 30 millióért. A másik lakásért kapott pénzt a lakáshitel törlesztésére szeretném fordítani. Viszont nem fizettem gyerektartást vagy adót vagy akármi, ezért inkasszó van az OTP-s folyószámlámon. Három lehetőség van:
a) a vevő a 30 millát átutalja az én folyószámlámra, az APEH vagy a bíróság inkasszója miatt a bank rögtön továbbutal mondjuk 10 milliót oda, akinek tartoztam. A maradék 20 millát beletolom a törlesztésbe. Vevő 30-at utalt, a hitelem 20-szal mínusz 2% kezelési költség = 19.6 csökkent.

b) megkérem a vevőt, hogy a Másik Banknál vezetett számlájáról a vételárat az én lakáshitel számlámra utalja ilyen esetben a kezelési költség magasabb, 4%. A vevő 30-at utalt, a hitelem 30 mínusz kezelés költség = 28.8-cal csökkent.

c) megkérem a vevőt, hogy OTP-nél nyisson számlát, és onnan utaljon 30-at. Vevő 30-at utalt, a hitelem 30 mínusz kezelési költség = 29.4-gyel csökkent.

Szóval nekem, mint eladónak a c) megoldás a legjobb, konkrétan 600 ezer forinttal jobb, mint a b) megoldás.

Természetesen ez a vevőnek nem jár semmi előnnyel.

Korábban valóban nem jött át. Ennyire nem ismerem a banki hitelezési és törlesztési gyakorlatot (amikor én vettem fel hitelt, egyszerűbb volt, mert ugyanannál a banknál vettem fel hitelt, ahol a bankszámlám is van, arról aztán az esedékességkor szépen vonta is a bank, és természetesen a törlesztéskor kezelési költség sem volt. Azt inkább a hitelnyújtáskor szokás kérni.

Gondolom, kezelési költég helyett inkább előtörlesztési díjat szerettél volna írni, az valóban létezik, azonban nem tudok olyan kikötésről egyetlen kondíciós listában sem, hogy változna a mértéke attól függően, hogy honnan érkezik a törlesztés. Általában tetszőleges utalás (nemzetközit kivéve, az bonyolultabb) esetén az átutalás költségét a kezdeményező állja, aki kapja a pénzt (legyen az a bank törlesztőszámlája, vagy tetszőleges számlatulajdonos), azt nem terheli költség.

Hitellel kapcsolatban azt még el tudom képzelni (valaki utalt is rá), hogy a bank némileg jobb feltételt nyújt, ha az adósnak van egy számlája a hitelnyújtó banknál, amiről az esedékesség időpontjában levonhatja az aktuális törlesztőrészletet. Ez viszont csak amiatt van, mert így a bank biztosabban tudja kezelni a hitelt, kevésbé kell foglalkozni a késedelemmel illetve túlfizetéssel, tehát egyszerűbb a hitelkezelés ügymenete.

Szóval most már értem a példádat, azonban nem tudok olyan hitelkonstrukcióról, ahol ez életszerű lenne. De játsszunk el a gondolattal, hogy mégis. Ez esetben az eladó megtakarít 600eFt-ot, a vevőre viszont ráterhelt egy plusz számlavezetési díjat, és egy bankon belüli átutalási költséget. Ezt ellentételezés nélkül megtenni nem kicsit aljasság.

Gondolom, kezelési költég helyett inkább előtörlesztési díjat szerettél volna írni, az valóban létezik, azonban nem tudok olyan kikötésről egyetlen kondíciós listában sem, hogy változna a mértéke attól függően, hogy honnan érkezik a törlesztés

Nem érdekes, hogy te tudsz-e ilyenről. Nem érdekes, hogy van-e konkrétan ilyen kondícióval létező termék vagy nincs. Nem konkrét termékről, nem konkrét emberről beszélek, csak egy elméleti példa ez.

Ahogy korábban írtam, nekem olyan hitelem volt, amit nem lehetett OTP-n kívül más bankból törleszteni, tehát a B opció nem is létezett.

Dentzol kolléga azt írja, hogy az összes általa látott OTP-s hitelszerződés kamatkedvezményt ad, ha valaki OTP-s számláról fizet.

Szóval most már értem a példádat, azonban nem tudok olyan hitelkonstrukcióról, ahol ez életszerű lenne. De játsszunk el a gondolattal, hogy mégis. Ez esetben az eladó megtakarít 600eFt-ot, a vevőre viszont ráterhelt egy plusz számlavezetési díjat, és egy bankon belüli átutalási költséget. Ezt ellentételezés nélkül megtenni nem kicsit aljasság.

De hát pont ezt mondom, hogy még ha el is tudunk képzelni olyan példát, ami miatt az eladó azt szeretné, hogy konkrétan OTP számláról érkezzék az utalás (ezért írtam a példát, mert korábban többen azt írták, hogy ez hülyeség, ilyen nem lehet), akkor is ez csak maximum az eladó által valami ügyeskedés miatt lehet így és a vevőnek nem jelent semmi előnyt (sőt, ahogy írod, hátrányt).
Erre írtam, hogy kicsinyes hülyeség (vagy tisztességtelen játék, adóelkerülés, gyerektartás nem fizetés, stb.) lehet maximum az oka, és gyanús, és vevőként nem mennék bele ilyesmibe, akkor se, ha létezik ok ilyesmit kérni.

Szerkesztve: 2020. 03. 31., k - 18:52

Aranyos. Valószínűleg sikerült a szolgáltatónál valamilyen más csatornán (vagy épp a telefonon keresztül) megszerzett adattal elérni, hogy küldjenek egy csere SIM-et, azzal meg triggerelni az OTP-nél valamilyen SMS azonosításos elfelejtettem a jelszavam a banszámlámhoz procedúrát. Elég sok ponton tud ez a fajta csalás elvérezni, de most úgy néz ki sikerült végigvinni.

Ja és igen, mindezek ellenére a vevő is hülye volt, hogy csak azért nyitott egy számlát meg elküldött róla bármilyen adatot, mert valaki telegramon azt mondta neki. Ennyire nem kellhet az a lakás, vagy ennyire nem fáj 30m HUF elvesztése...

Az a baj, nem kell ehhez tul sok extra. A Telekom fiokomba siman be tudok lepni inkognito modos bongeszobol. Hirtelen a beallitasok kozott sem talaltam 2 faktorra utalo jelet. Ha pedig ide belepek, 1 kattintassal csinalhatok eSim-et a jelenlegi fizikai simbol (illetve, ha ez mar eSim, akkor kerhetek uj eSimet) es puff, maris tudom egy eSim kepes telefonban azonnal aktivalni. Innen megvan az eredeti telefonszam johet az ellenorzo hivas es az SMS is. Az eredeti sim ezutan nem jut fel a halozatra, csak segelyhivasra jo.

OK, tehát egy jelszó kellett legalább.

Gondolom, ha én szeretnék valakit így megtréfálni, akkor keresnék első körben egy olyan embert, aki valamelyik szolgáltatónál dolgozik, és zsetonért, drogért, nőkért, vagy azért, hogy ne derüljön ki róla valami hajlandó időnként egy új SIM kártyát adni nekem, beírva a rendszerbe, hogy az előző tulaj pótlást kért.

Ez is azt erősíti meg, hogy ne csak 1 jelszót használjon az ember mindenhez. Jó, tudom meg van az e-mail cím meg a jelszó, ugyan ez kell a mobilszolgáltatóhoz belépni. De mi van ha más jelszó van beállítva ide, igen kérek az e-mailre másikat. De ha az e-mail 2faktoros azonosítású? A megerősítő kód még oda megy a károsulthoz, akinek a simjét akarom manipulálni. Az meg minimum elcsodálkozik, hogy ki a franc akar belépni a fiókjába.

Na mondjuk itt egyik sem állt fenn, ezért lehetett megcsinálni. Duplán felelős a károsult, egyrészt az adat és informatikai biztonság hanyag kezelése miatt. Másrészt meg az emberi hiszékenység és kellő elővigyázatosság hiánya miatti felelőtlensége okán.

Szerkesztve: 2020. 03. 31., k - 19:05

Mindig rácsodálkozok, hogy mennyi ostoba (és kapzsi) faszt hord a föld a hátán.

trey @ gépház

Valami ilyesmi forgatókönyvre tudok gondolni:

  • Hősünk felhívta az "eladót", bemutatkozott: Megvan a név, telefonszám
  • Facebook-on mondjuk kint van a születési dátuma, mert szereti ha az ismerősök egy tonna boldog születésnapot küldenek neki. Esetleg bejelölve anyu, hogy rokoni kapcsolatban vannak: Megvan a születési idő, anyja neve
  • Fentiekből már nem nagy kaland kideríteni a lakcímet
  • Ezek tudatában elintézni a telefonszolgáltatónál, hogy ellopták a SIM-et, kérek újat. Ehhez kell a SIM-et kiadó hibázása vagy összejátszása is. Opcionálisan egy szalonképes kinézetű hajléktalan intézi 10 rugóért hogy a valódi elkövető ne legyen beazonosítható.
  • A netbank screenshoton meg mondjuk ott volt a bankszámla száma
  • Innentől Crayon verziójára szavazok: OTP-nél valamilyen SMS azonosításos elfelejtettem a jelszavam a banszámlámhoz procedúra jön. Ügyintéző visszahív a számon, "beazonosít".

Netbankba belépés, kétfaktoros auth letudva, mehet az utalás.

Szimpla brainstorming, nem tudom hogy ez így ilyen formában kivitelezhető-e, az OTP gyakorlatát pedig végképp nem ismerem. A lenti commentek szerint nem ilyen egyszerű. Ellenben ismerek olyan bankot ahol valóban visszahívnak a telefonszámodon és személyes adatokkal azonosítanak be. Hozzáteszem nem tudom hogy ilyen típusú "beazonosítás" esetén fogadnak-e utalási megbízást.

1) SMS helyett más azonosítást kell választani, ha van. Pl. kódgenerátor generáljon, ne ők küldjék.

2) Olyan telefonszámot kell(ene) használni, amit másra nem használ az ember, így aki ellopná, nem tudja, hogy mi a szám.

2bis) mivel sokszor a telefonszám arra kell, hogy az ember email címét ellopják, a mindenféle online oldalakon a jelszó visszaállításhoz megadott emailcím ne az az email cím legyen, amit egyébként minden másra használsz. (És ne is legyen oda átirányítva).

Szokásjog, hogy ingatlan adásvételnél a vevő hozza az általa megbízható(nak gondolt) ügyvédet, legalábbis  ha maganszemély az eladó. Ha cég adja el, pl. ilyen herminabau-s maffiózópatkányok, akiknek saját szájízükre szabott adásvételi template-jük van, akkor is érdemes a vevőnek saját ügyvéddel átnézetni.

OTPs vagyok.

 

Bankszámlaszámon és egy egyedi azonosítón kivül kell még jelsző és SMS vagy újlenyomat. Nálam újlenyomat van beállítva. 

Telco cégnél dolgozom ,egyszer valaki élőben demózta, hogy hogyan tudja elolvasni perceken belül az általam elküldött SMS-t. 

Amúgy is eleve plain textbe megy a mobilhálózaton a signaling csatornákon. 

Tanulság : ne kérj sehol SMS-ben 2FA-t.

“Luck Is What Happens When Preparation Meets Opportunity" - Seneca

Azon kívül, hogy régit nem haszál :)

Pl. ahogy a K&H megoldása van, Token a telefonban, és azzal írsz valamilyen szinten alá. Technikailag nem ujjlenyomat kell (illetve nem minden esetben), hanem vagy használod a telefon beépített hitelesítését (egyes telefonokban ujjlenyomat, másokban mondjuk faceID), vagy PIN, természetesen ez csak azt oldja fel, hogy tudd használni az aláírást. A kommunikáció interneten megy, ha pedig valamiért a telefonnak nincs netkapcsolata, akkor generál egy aláíró pass-t, amit be lehet vinni az e-bankba.

Persze itt az ujjlenyomat csak egy lehetőség és csak egy szem a láncban.

Abban generálódik. Tudtommal ez is egyfajta privát kulcsos titkosítás, és akkor a rendszer majdnem úgy viselkedik, mintha smartcard lenne. Persze kérdezheted, hogy a token generálásakor hogyan azonosítanak, stb. Esetemben pl. az első mobilos token generálásakor a (korábban használt) chipkártyával azonosítottam magam, és mivel tokent több eszközön is lehet generálni megfelelő azonosítással, most mindig legalább két eszközöm (telefon, tablet) tartalmaz tokent, így egy esetleges készülékcsere esetén is tudok új tokent generálni az új eszközön, van mivel azonosítani magam.

Most őszintén. Mi francnak kell bárkinek is képernyő fotót küldözgetni a saját bankszámlájáról?

Tudja is. Egy olyan bankszámlára, amihez volt kapcsolva bankkártya (Ezt már korábban elkészítette az elkövető) Amint átért a pénz, a kártya napi limitjét beállította 30 millióra (több bank is engedi) és ment egy kört budapesti ATM-eknél :) Valószínűleg OTP-s számlaszám volt, mert ott saját ATM-ből enged 300 ezerig felvenni. Kevesebb, mint 100 ATM-et kellett bejárnia, két nap alatt megvolt.

Szerintem itt egy komoly social enginering is volt a háttérben.

Ukrán bankszámlára automatikusan továbbküldeni kb 1milliószor egyszerűbb, gyorsabb, lebukásmentesebb. Lásd tavaly karácsonyi mobilexpo.hu-s átbaszás története.

Az otp rekordgyorsan kipengette a 30 milliót úgy h. elvileg rendőrség még nem is nyomoz az ügyben (vagy csak mind2 fél hazudik/taktikázik az elkövetőket léprecsalni). Egy bank önként és dalolva 10 forintot nem vág hozzád csakúgy, bírósági 2.fokú határozat nélkül meg főleg nem. Szóval valszeg az otp is sáros masszívan ebben a történetben. Illetve valószínűleg nyilvánosan sosem fogják elismerni, h. hibáztak, mert a sok vén múmia egyből kivenné a pénzét tőlük.

Ez szerintem teljesen mindegy, egy bankszámlaszám megosztása nem kellene hogy problémát okozzon bármilyen téren: Az összes áfás számlán rajta van, neten is elérhetőek a cég/egyéni vállalkozó adatai.

Akár megkérhette volna a támadó, hogy tesztből küldjön 1000 Ft-ot mielőtt 30millát átutal. (én így szoktam)

Magyarázd már meg, hogy egy idegennek miért adnék meg előre bármilyen adatot is szerződésen kívül, ami ügyvéd/jegyző előtt történik? Meg mi köze az utalást indító bankszámla számához?

Akár megkérhette volna a támadó, hogy tesztből küldjön 1000 Ft-ot mielőtt 30millát átutal. (én így szoktam)

ROTFL. Napokkal előtte? :D Aztán minek?

trey @ gépház

> Magyarázd már meg, hogy egy idegennek miért adnék meg előre bármilyen adatot is szerződésen kívül, ami ügyvéd/jegyző előtt történik

Jelenleg lényegtelen kérdések. Ami érdekes inkább: ha kiállítok pl. egy számlát, amin rajta van a bankszámlaszámom vagy vásárolok valamit hardverapróról (tehát meg lesz neki a számlaszámom, nevem), akkor onnantól milyen infó kell még nekik, hogy be tudjon lépni a bankszámlámra és onnan utalni tudjon?

OTP-nél a belépéshez kell:

Ha nem mobil app-pal:

  • azonosító (te tudod)
  • szla. szám (lehet nyilvános)
  • jelszó
  • telefonról az SMS kód

Ha app-pal lép be:

  • telefon maga és azon az app, amit már egyszer beregisztráltál
  • telefon jelszava, jelkódja vagy biometrikus azonosító (ujjlenyomat)

Ezek közül nem tudom hogy lehet egy idegennek mindet tudtod nélkül odaadni.

trey @ gépház

Nem ismertem eddig az OTP gyakorlatát, kösz az infót. Mindenesetre így hirtelen nem tűnik kivitelezhetőnek a dolog anélkül, hogy valamelyik ponton ne lett volna egy belső ember de legalábbis súlyos emberi mulasztás. Ha Telegramon kapott valami szart, akkor másra nem tudok gondolni minthogy vagy patkolt app-ot telepített, vagy aktívan nyomott rá valamire amire nem kellett volna, vagy súlyos biztonsági rés van az appban.

Másrészt érdekes volna tudni a történet szempontjából, hogy hogyan indították az utalást, netbankon vagy telefonon. Fogad egyáltalán az OTP telefonon utalási megbízást?

> Ezek közül nem tudom hogy lehet egy idegennek mindet tudtod nélkül odaadni.

Phisingnek hívják. Kapott egy üzenetet telegramon, hogy ugyan gyorsan csináljon egy screenshotot, itt a link az optbank.com - telegramban is lehet saját szöveggel linket csinálni, így aztán könnyű olyan csinálni, hogy a linkre otpbank.hu van írva, de a link máshová mutat. Az ügyfél rányom, megpróbál belépni, másodjára mondjuk sikerült is, elsőnél csak lementették a jelszót, aztán redirect otpbank.hu-ra. Küldi a screenshotot, de addigra már mindegy volt. Másik SIM-et kértek a vodától, aztán kész is, reggelre megvolt a suska.

Szerintem például így.

Kutya se nézi a tanúsítványt, azt se tudják, hogy mi az (megkockáztatom az informatikusok többsége sem) és ez nem is dolga a felhasználónak. Hogyan is várhatnánk el, hiszen az emberek nagyon keveset tesznek azért, hogy biztonságban legyenek az interneten. Mindenhol ugyanaz a jelszó 10 éve, ami lehetőleg rövid és fel van írva cetlire, a biztonság kedvéért - és ez csak a jelszó. Mit is tudnak ők arról, hogy plain text, titkosítás, jelszótörés, kiberbiztonság? Pont annyit, amennyit a filmekben látnak.

Egy kis kedvességgel hatnak az emeber szívére, elmondják, hogy ez egy soha vissza nem térő alkalom, és nagyon gyorsan kell neki a pénz azért ilyen olcsó, másik vevő is itt áll a ajtóban, meg ki tudja mi minden. Az ember fáradt, siet vagy csak nagyon jól eladják neki a lakást, ezért figyelmetlenné válik és már nem is törődik semmivel, csak szeretné, hogy az övé legyen, hogy nyerjen.

Szerintem ne tegyünk úgy, mintha ez annyira nagy ritkaság lenne. Film is elég sok készült már hasonló témában, és a cégek is pont ugyanezt teszik, csak ott marketingnek hívják. Az, hogy ez 30 millába került a usernek, hát ez különösen nagy haszonnal járt. :)

Szerintem mobil használata esetén nem várható el egy átlag usertől, hogy folyamatosan tanúsítványokat ellenőrizzen.

Nem is erre való hanem domain eltérítések kivédésére, ott jeleznek is a böngészők. Amit a böngészőknek már régen meg kellett volna oldaniuk, hogy linkeknél ellenőrizzék a link szövegét. Ha az domain nevet tartalmaz akkor összeveti a tényleges link domainjével és ha eltérés van akkor feldobja a szokásos figyelmeztető szöveget a link megnyitása helyett.

Ha a fent leírt módon történt a támadás, az áldozat ott hibázott nagyot, hogy nem a mobil applikációt használta netbankolásra hanem weboldalt.

Az OTP-nél sokkal kisebb bank például egyszerűen úgy oldja meg az illetéktelen utalások problémáját átlagos lakossági ügyfeleknél, hogy személyesen átadnak egy kódlistát biztonsági papíron. Utalásnál minden új cél-bankszámlaszám esetén fel kell használni egy új kódot a papírról. Ez természetesen elmenthető, így következő alkalommal már nem kell kód a papírról egy már ismert cél bankszámlaszámra. Ez sem 100% de sokkal biztonságosabb mint a semmi. Default nem menti a netbank sablonba az cél bankszámlaszámot, tehát a lusta user minden utalásnál elhasznál egy kódot.

A történetben a legnagyobb hibás a Vodafone, aki személyazonosság ellenőrzése nélkül adott új sim-kártyát egy idegennek. Plusz egy érv az eSIM ellen. Ha fizikai SIM kártyákkal is ennyire trehány a mobilszolgáltató mi lenne itt eSIM kártyákkal?!

Szvsz érdemes több telefonszámot használni és egy külön mobilszámot fenntartani kizárólag banki és egyéb biztonsági azonosítóknak, aminek a száma senkinek sincs megadva. Az sem árt ha ez a sim egy még eredeti BlackBerry mobilban van.

Egy .bank top-domain sem ártana, ahova nem regisztrálhatna boldog-boldogtalan, csak bankok. Évek után menne át a köztudatba, de utána egyből szemet szúrna egy ilyen trükk.

Nem fest jó képet a bankokról, hogy szigorú regisztrációs követelmények megugorhatatlan akadályt jelentenek még egy netbank rendszernél is.

Persze ha csak néhány bank használja, akkor reklámra is költeni kell, hogy átmenjen a köztudatba : "A mi netbankunk biztonságos mert .bank domaint használjuk!"

Ha nem mobil app-pal:

  • azonosító (te tudod)
  • szla. szám (lehet nyilvános)
  • jelszó
  • telefonról az SMS kód

 Mi a protokoll, ha elfelejtettem az azonosítómat és a jelszavamat, de tudom a számlaszámomat és birtoklom a telefonszámot? Hogy lehet új azonosítót kérni, hogy lehet új jelszót beállítani, és milyen azonosítás történik közben?

Beküldenek egy bankfiókba, és ott leszel szíves magad valamely érvényes, fényképes okmányoddal is igazolni. Addig zárva a(z online) kapu.

Szerk.: van még egy titkos kód, amit a számlanyitásnál megadtál, ha azt tudod, akkor még telefonon esetleg van esélyed bármit tenni, de nagy eséllyel így is bankfiókba küldenek.

Én arra gondolok, hogy a Telegram már fenn volt, belépett a mobilbankjába, a fotó lövésekor az adatok kimentek a célhelyre. Majd mikor a fotót megkapta a csaló, vissza üzent valamit és onnan lett gatya a telefon.

Azt mondjuk jó lenne tudni honnan volt a Telegram telepítve.

Számlaszám + Név? Elég sok minden.

1. egyedi azonosító (6 jegy)
2. számlaszám (már megvan)
3. Internetbank belépési kód (nincs meg)

Itt szerintem az egyedi azonosíton el is bukik az egész.

Név nem érdekes, max ha fizetni akar neten, de hát bankkártya adatok nem jutottak hozzá.

OTPDirekt Felhívásra kellene tudnia a "titkoskódot" is.. nem elég a "anyjaneve,született,szültstb"

Szóval

Ezért szokás foglalót kérni/fizetni, és nem előleggel bohóckodni. Ez jelzi a szándék komolyságát. Ha valamelyik oldal (esetünkben a csaló eladó) nem ezzel akar élni, onnan leginkább azonnal érdemes kihátrálni.

Eleve hogy a faszba indulhat el bármilyen pénzügyi lépés egy adásvétel irányába, hogy a) nem láttad belülről azt a qrva ingatlant b) nem bizonyosodtál meg az eladó fél kilétéről és a tulajdonjogáról 1500% bizonyossággal?

Két példa hasonlóan trükkös átbaszásról: 

1) az állítólagos eladó a külföldön élô tulaj nevében járt el, megbízott egy köztes ingatlanirodát is. Azok is trehányak voltak és a tulajdoni lapon szereplő név 1 betűben eltért az állítólagos tulajdonos nevétől, mégis megkötötték a szerződést. Aztán mikor az állítólagos eladó meglépett a pénzzel, az igazi tulaj meg csak pislogott h. mit akar itt az átbaszott újtulaj, az ingatlanos kóklerek egyből hebegtek-habogtak h. őket nem terheli felelősség, nekik a százalék egy ilyen érvénytelen ügyletből is jár. Akasztófa járna ezeknek a haszontalan ingatlanos faszkalapoknak, nem jutalék.

2) Másik kreatív geci banda azt találta ki, hogy közjegyzőnél kéne a foglalót lerakni, de a közjegyző épp nem ér rá személyesen fogadni a 2 felet. Ezért elküldi hozzájuk a csicskását, aki hozza a szerződêst, rajta a bankszámlaszámmal meg a közjegyző nevével. A közjegyző név stimmelt, csak éppen a letéti bankszámlaszám nem hozzá tartozott. Mióta tudjuk hogy egy banki átutalás mindig teljesül, bármilyen trágárságot beírhatunk a kedvezményezett neve helyére, semmi biztosítékunk nincs rá, hogy tudjuk kinek a tulajdonában van a bankszámla amire utalunk. (Itt jár amúgy a pacsi a faszkalapi banki informatikai rendszereknek is!) Bónusz pont volt még, hogy a közjegyző nem a hivatali email címéről kommunikált a vevővel a szerződés előzetes megküldése során. Közjegyző SOHA nem megy ki a helyszínre ügyintézni, hanem KIZÁRÓLAG a hivatali irodájában fogadja az embert SZEMÉLYESEN, csicskást pedig nem küldözget maga helyett.

Ha gyanús nemszokványos körülmény van -> meg akarnak lopni, akárhogy is az ellenkezőjét akarják bizonygatni!

Eleve hogy a faszba indulhat el bármilyen pénzügyi lépés egy adásvétel irányába, hogy a) nem láttad belülről azt a qrva ingatlant b) nem bizonyosodtál meg az eladó fél kilétéről és a tulajdonjogáról 1500% bizonyossággal?

Leírtam fentebb: KAPZSISÁG

Ezt használják ki. Nagyon jó üzletet lengetnek be, ez a fogyaték meg azt hiszi, hogy ő a szerencsefia, megfogta az isten lábát, hogy csak most, csak ő hozzájuthat egy 200M forintos palotához 19,99M forintért. Ez kikapcsol benne minden védekező ösztönt, sőt, ha cseng is csengő a fejében, erővel elhallgatatja, mert MI VAN A ELMEGY EZ A SZERENCSEVONAT.

Vicc bazmeg az összes ilyen ember. Nem hogy nem sajnálom, valójában meg is vetem őket.

trey @ gépház

A "fogyatékos" ügyfelek támogatása tekintélyes részét teszi ki az informatikának. Enélkül sokkal kevesebb munkánk lenne. Régen elmúltak a 70-es évek, amikor még minden billentyűzet mögő ülő user értelmes és professzionális embernek volt tekinthető.

A most aktuális koronavírus helyzet félrekezelésében mit mondtanál az európai mediterrán országok vezetőiről?

Talán nekik is kijár a "fogyatékos" jelző. Ha vezető politikusok ennyire ostobák, mit várjunk egy átlag netbankoló usertől?!

Szerkesztve: 2020. 03. 31., k - 21:14

Az se qtya, amikor klasszikusan a PC-ről csináltad a webbankot, a telefonra jön az azonosítód, amit szorgos ujjaiddal átgépelsz a két független eszköz között.
Ma kényelmesen egyszerűsítve a telefonról lépsz a webbanba és szintén a telefonra jön az azonosító. Ezáltal ha engedélyt kér a "Horváth Tamás" által küldött frankó csevegőalkalmazás a telefon SMS + pár másik dolgához, akkor a kétfaktoros azonosítás ezzel frankón Horváth Tamás kezébe kerül át.

Na igen ezen már én is gondolkoztam: A legtöbb (összes?) banki app ujjlenyomatalapján azonosít. Ez nem determinisztikus, tehát nem használható titkosításra, csak egy API hívás után visszakapja az app, hogy megfelelően hasonló-e az eltárolt mintákkal vagy sem.

Szóval ha van egy biztonsági hiba egy appban, amivel root jogosultságot lehet szerezni, akkor az összes adathoz/szolgáltatáshoz elvileg egyből hozzá lehet férni ami ujjlenyomatos azonosítást használ.

Lehet, de nem ez a lényeg: Valahogy elintézték, hogy a átvegyék a telefonszáma feletti hatalmat és valahogy ez elég volt az utalás indításához.

Elvileg egyiknek sem lenne szabad megtörténnie.

Az meg hogy OTP-s számlaszámot kértek feltételezi, hogy az OTP rendszerében/eljárásrendjében van valami hiba, amiről tudtak és kihasználták.

Ha az emberunk a Telekomnal ugyfel, akkor oda pikk-pakk be lehet lepni a telekom account hasznalataval (emailcim/jelszo), ugyanis nincs 2 faktoros hitelesites. Ha pedig beleptel, akkor nagyon egyszeruen tudsz uj SIM-et kerni (akar fizikait, akar eSim). Ha fizikai SIM cseret kersz, akkor a csere SIM, az ezen az oldalon beirt cimre lesz kikuldve GLS hasznalataval. A beirt cimnek egyeznie sem kell egy korabbi cimmel sem. Ha viszont eSim is jo, akkor azt azonnal megkapod es par perc mulva mar nalad csorog a telefonszam.

A Wikipedia-ból:

Telegram was launched in 2013 by the brothers Nikolai and Pavel Durov...It does not disclose where it rents offices or which legal entities it uses to rent them, citing the need to "shelter the team from unnecessary influence" and protect users from governmental data requests...Durov left Russia and is said to be moving from country to country with a small group of computer programmers consisting of 15 core members... Telegram accounts are tied to telephone numbers and are verified by SMS.[42] Users can add multiple devices to their account and receive messages on each one. ...These login SMS messages are known to have been intercepted in Iran, Russia and Germany, possibly in coordination with phone companies.

Igen szimpi!

1. "ehhez a Telegram nevű alkalmazást ajánlotta,"

google: Malicious fake Telegram app

2. "Attila személyi igazolványának számát is megszerezte valahogyan a csaló,"

valahogy...

3. Az OTP Bank így reagált: "...Ahhoz, hogy egy ilyen visszaélés sikeres legyen, az ügyfél gondatlanságára van szükség.” 

Bullshit ahogy van.

A csaló telefonon mondta a jóembernek, hogy rakja fel a Telegrammot -> nem lehetett mókolt a Telegram. Screenshot-ot küldött... nincs semmi a screenshoton amitől valaki be tudna lépni.

OTP és senki nem vizsgálta meg a telefonját / SIM kártyáját, de mégis ajándékoztak neki 30 millát? Úgy hogy az OTP nem hibás? Még csak nyomozás sem történt? Ez melyik tündérmeséből van, de komolyan? Nem, nem és nem. Itt az OTPét behúzták valamilyen social engineeringgel és jól beszopták. SIM swap lehet hogy volt, szerintem pár húszezresért én is találok Voda ügyintézőt aki bebittyenti, de ha nem, megoldható máshogy is. A maradék az OTP sara lesz...

Elgondolkodtató: ha valakinek ismerete van arról h lehet meghackelni a rendszert, akkor azért mehetett volna nagyobb vadra is, nem? Minthogy 30 milláért vágja el magát a további lehetőségtől. 

Szerkesztve: 2020. 04. 01., sze - 09:21

Két dolgot kell elkülöníteni: (1) Attila naívságát és (2) Horváth Tamás (??) rosszhiszeműségét.

A leírtak alapján belső munka lehetett, ugyanakkor kell, hogy nyoma legyen az OTP belső rendszerében.

> Sol omnibus lucet.

A pénz OTP számlán volt elhelyezve. Arról eltűnt.

(1) Ki vette föl, ha kp-s

(2) Ha utalás ki utalta el,

(3) hová utalta el.

 

Ezek nagyon egyszerűen megválaszolható kérdések, van erről valami info? Egyszerűen követni kell a pénz nyomát. Van egy firnájszosabb szcenárió is: a most áldozatnak tűnő tüntette el a pénzt és a bankra akarja verni a balhét: százezer EUR-ig biztosítva van!

> Sol omnibus lucet.

Kártalanította az OTP az áldozatot, előtte nyilván utánanéztek annak, hogy nem saját maga játszott össze az elkövetővel. Ez szerintem nem elismerése annak, hogy hibázott az OTP. Egyszerűen sokkal többet ér 30 milliónál az OTP-nek, hogy nem keringjen a hisztire oly fogékony netközösségekben a 30 milliót vesztett OTP ügyfél balladája.

Nem volt rossz gondolat a nagy ügyfeleknek kötelező natív PC program plusz token kötelező használata. Teljesen életszerűtlen igény, hogy valaki mobiljáról akarjon naponta 30 milliót utalni. Persze haladni kell a korral, de még így is lehet olyan limitet alkalmazni, hogy van A jelszó+azonosítás mobil apphoz vagy webbankhoz és van egy B jelszó+azonosítás a PC bankszoftverhez. Mobilon napi 0.5 - 1 milliós limit by default. PC programból lehet 10 milliókat utalni.

A sok szempotból fos neptun rendszeren magasabb hozzáférési szintet igénylő funkciók nem érhetőek el webfelületről, csak natív PC szoftverből.

Ebből a történetből én nem tudom összerakni a történteket.

Ahogy többen is írták, még ha a telekom szolgáltatónál adtak is csere SIM-et (aminek kell nyoma legyen), akkor is honnan jutott hozzá a csaló az OTP netbankos azonosítókhoz? Azt már csak nem küldte el?

Ha meg belső embere volt - ami nagyon aggályos lenne - akkor meg minek kellett neki ez egyáltalán?

A számláról sem tűnhet el "csak úgy" a pénz, valahova mennie kellett. Nem gyanús a banknál, hogy egy frissen megnyitott lakossági számláról 30 misit akarnak elemelni?

A bank kártalanítása szerintem is a saját hibájuk beismerése.

És most is elmondom, kb. tizedszer: a megoldás minden ilyenre a SMART CARD!!

Ne is mondd. Pont az OTP-nél jártam, sok év után először, tavaly ősszel.

Mondja nekem az ügyintéző, hogy nekem még nincs elektronikus aláírásom, csináljunk egyet.

Mondom, persze, tök jó, kérdezem, hogy ez az e-személyis, vagy más?

Neem, neem, ez csak a banki.

És akkor elém tolja ezt a tabletes baromságot. Majdnem lefordultam a székről. :(

2000-ben indult el a K&H az e-bankkal, akkor smartcard volt az egyetlen azonosítási lehetőség, kártyaolvasót is adtak hozzá, tök ingyen. Aztán szép lassan visszavettek, lett SMS azonosítás is, de azért aki kártyát akart, az kapott. Pár éve szüntették meg véglegesen, de addigra a jelszó+SMS mellett (amit sose használtam) van certificate alapú azonosítás is, ahol a certificate a mobilban van. Az SMS hitelesítésnél mindenképpen biztonságosabbnak tartom, remélem, nem tévedek :)

Cert sem rossz, de mindig azt szoktam mondani, hogy a TWO FACTOR lényege, hogy két FÜGGETLEN eszközzel azonosítsd magad. Ha a cert a telón van, és telóról lépsz be, ez halottnak a csók. Ugyanez igaz az SMS-re is.

Ha megszerzik a telefont, más nem kell nekik. Még rosszabb, mert a telefont megszerezni sem kell, csak megtörni.

Én pedig messze nem bízok annyira az Android/iOS security-ban, mint egy PC-ben. De mindegyik lyukas, az kétségtelen.

Smart Card esetén a kártya fizikai birtoklása nélkül nem tudnak a nevedben eljárni. És még ha meg is szerzik, annak tartalmát kiolvasni/lemásolni még úgy sem egyszerű. A kiberbiztonság túl komplex ahhoz, hogy minden ember fejébe beleverjük, de ahhoz hozzá vagyunk szokva, hogy a pénztárcát biztos helyen tartsuk - én legalábbis, azoktól mindig agybajt kapok, akik a farzsebükben hordják. Igazából már attól agybajt kapok, ha valaki akármit is a farzsebében hord :D

A PIN megvédi őket attól, hogy a flash tartalmához hozzáférjenek? Nem hiszem. Legrosszabb esetben kiforrasztják, HA fizikailag megszerezték a telefont.

Az apple-nél még volt valami flash titkosítás, de a sechole-ok ellen az sem véd. És a sechole-okhoz meg sem kell szerezni a telefont - ez a legnagyobb veszélyforrás.

Az elkövető begyűjtötte a sértett személyes adatait, majd ezek birtokában telefonon (nem smartbank appon vagy webes felületen) elvégezte az átutalási tranzakciót. Betelefonálsz, elmondod ki vagy, azonosítanak a személyes adataid bemondásával, és onnantól fogva szabad a pálya.

Mivel a személyes adatok megvoltak neki, a fotó az újonnan létesített OTP számláról és a rajta ülő összegről azért kellett, hogy tudja, "na, holnap reggel megy a telefon és utalok".

Nem valószínű, hogy ennyire célzott volt a támadás. Szerintem is ez történhetett : https://hup.hu/comment/2461860#comment-2461860

A screenshot csak azért kellett, hogy beléptesse az áldozatot a kamu otp oldalon keresztül és megszerezze a jelszavát. Ezek után telefonálnia sem kellett csak belépni a megszerzett jelszóval. A sim megszerzése az ellenőrző sms kód miatt kellett. 

Telefonos trükközés kivédésére illene már használni hang alapú azonosítást. Beszédhangból telefonon is meg lehet határozni elég jó biztonsággal, hogy a vonal végén valóban Kovács István van-e. Nem nagy ördöngösség. Egy banknak erre már legyen igénye! De itt nem ez történt. 

Jó, akkor még egyszer, hátha lesz ötlet: van egy barátom, aki beszédhibás és a hallása sem tökéletes. Élőben beszélve úgy ahogy érthető a srác, de telefonban alig értem, amit mond. Vele mit kezdene egy ilyen hangfelismerő rendszer, ha mondjuk felhívná bankot, mert nem tud belépni a netbankba? Elintézné a netbankban a netbank belépési problémát? Vagy megvárja a következő banki munkanap reggelét?

Nekem a HSBC hangazonositast csinal telefonon. De amikor bekapcsoltak, lehetett volna kerni, hogy inkabb azonositoszamot utok be tovabbra is. Es persze ha a hangos azonositason elbukok, akkor ugyanaz tortenik, mint amikor az azonosito szamomat rontom el: kapcsolnak egy ugyintezot, aki mindenfele furfangos kerdeseket tesz fel es igy azonosit be.

Mondjuk ha a baratodat alig lehet erteni telefonon at, akkor szerintem az azonositas lesz a legkisebb problema. Esetleg hasznalhatna a chat funkciot.

Az elkövető begyűjtötte a sértett személyes adatait, majd ezek birtokában telefonon (nem smartbank appon vagy webes felületen) elvégezte az átutalási tranzakciót.

Ez talalgatas meg, vagy valahol kozzetettek a nyomozas eredmenyet es abbol idezel?

Betelefonálsz, elmondod ki vagy, azonosítanak a személyes adataid bemondásával, és onnantól fogva szabad a pálya.

Amikor meg volt OTP-nel szamlam, a telefonos bankba belepeshez kellett egy azonosito szam, meg egy titkos kod. Ezzel bekerultem az IVR rendszerbe, es ha onnan tovabb akartam menni droidhoz pl. atutalast elvegezni, ahhoz kellett egy masik titkos kod.

A mostani angol bankomnal menne az, amit mondasz, hogy bediktalod a szemelyes adataimat. Tiz eve az OTP-nel ez nem volt eleg. Nem tudom, hogy azota lazitottak-e a szabalyokon, de ha igen, kar volt.

Nem tudom frissült e a cikk azóta, de benne van, hogy a simjével trükközhettek:

Többszörös visszaélés történt

Attila megszerzett adataival más módon is visszaéltek. Kiderült, hogy a Telekomtól is igényeltek a nevében egy feltöltőkártyás szolgáltatást. Ezt a szerződést egy nappal azelőtt kötötték meg Attila nevében, hogy elloptak tőle 30 millió forintot. Minderről úgy értesült, hogy a telefontársaság levélben értesítette őt: az „általa szóban megkötött szerződést” írásban is megküldi. Erre a Nemzeti Média- és Hírközlési Hatóság kötelezte a Telekomot. Érdekes kérdés, hogy a csaló hogyan tudott szerződést kötni, felhasznált-e például hozzá hamis személyi igazolványt. Azt, hogy pontosan mire használták vagy akarták felhasználni ezt a kártyát, illetve, hogy ennek szerepe volt-e a 30 millió forint ellopásában, egyelőre nem tudni. Az viszont kiderült, hogy Attila személyi igazolványának számát is megszerezte valahogyan a csaló, az ugyanis szerepel a kiküldött szerződésben.

Szerkesztve: 2020. 04. 01., sze - 13:27

Online adathalászat ellen nem tudom, hogy bármi védene-e. Ha van olyan hülye az ügyfél, hogy a kamu oldalon megad minden adatot, onnan pedig a támadó csak kimásolja a valódi oldalra a belépési adatokat, ez ellen gondolom csak úgy lehet védekezni, hogy az ügyfél ne adja meg a kamu oldalon az adatait. SMS azonosítás sem véd az adathalászat ellen.

Viszont ha a bank telefonon tényleg tud jelszót módosítani, vagy telefonon is indítható utalás, az gáz. A telefon nem biztonságos csatorna.

SMS azonosítás helyett pedig jobb lenne a token, ami egyszer használatos belépő kódot generál minden belépéshez, és a bank és a token között adatforgalom nem történik (van ilyen). A tokent PIN kód védi. Emellé a legjobb, ha a token egyszeri belépés kód mellett továbbra is meg kell adni a felhasználónevet és a statikus jelszót.

Így ha az adathalászatot kivesszük a képből, akkor a támadó csak úgy járna sikerrel, ha megszerezné a jelszót, felhasználónevet, valamint fizikailag megszerezné a tokent, és annak valahogy feltörné a PIN kódját. Ez így együtt mind elég esélytelen. De adathalászat ellen tudtommal ez sem véd!

Érdekes kérdés, mi van a DNS eltérítésekkel. Lehet olyan támadás, hogy a felhasználó a böngészője címsorában azt látja, hogy otpbank.hu, de valójában nem is az otpbank.hu-n van, hanem egy támadó oldalon? Gyakorlatban történt már ilyen DNS eltérítéses támadás, pl. ha a felhasználó gépére rosszindulatú program kerül fel?

> Érdekes kérdés, mi van a DNS eltérítésekkel. Lehet olyan támadás, hogy a felhasználó a böngészője címsorában azt látja, hogy otpbank.hu, de valójában nem is az otpbank.hu-n van, hanem egy támadó oldalon?

Igen, az otp esetében ez lehetséges, mert nincs a domain-en hsts:

https://hstspreload.org/?domain=otpbank.hu

https://hstspreload.org/?domain=otp.hu

Pedig ennek beállítása nem több 10 percnél...

Ez ellen az jo, hogy a bongeszok szolnak, ha titkositatlan oldalon akarsz jelszot beirni, vagy ha a titkositott oldal tanusitvanyaval gond van, pl. hiaba jon az en oldalam be az otpbank.hu szoveget beirva, nekem nem lesz olyan tanusitvanyom, amit a bongeszo elfogad, hogy ez valoban az otpbank.hu

Online adathalászat ellen nem tudom, hogy bármi védene-e. Ha van olyan hülye az ügyfél, hogy a kamu oldalon megad minden adatot, onnan pedig a támadó csak kimásolja a valódi oldalra a belépési adatokat, ez ellen gondolom csak úgy lehet védekezni, hogy az ügyfél ne adja meg a kamu oldalon az adatait.

Meg ugy, hogy a bank nem minden adatot ker, hanem bizonyos adatokat csak. Pl. a 15 betus jelszobol kettot vagy harmat.

Meg amikor a bank weboldalara erek es beadtam a nevem, akkor mutatnak egy kepet / szoveget, amit valamikor korabban en valasztottam.

Igy egy sima egyszeru fake weboldal nem eleg, hanem ki kell fejleszteni egy komoly proxy kepessegu oldalt, ami tovabbitja azonnal, amit az ugyfel beir es amit a bank mutat. Es a vegen meglesz 2-3 betu a titkos kodbol, amivel a session vege utan nem tud a perp ujra belepni. Persze a proxy altal nyitott session-on belul garazdalkodhat, amig a sikeres bejelentkezes utan kirugott ugyfel be nem jelentkezik valahonnan ujra.

Emellett jobb bankok nem SMS-t hasznalnak pl. uj celszamla engedelyezesehez, hanem pl. sajat kodgeneratort. De persze vannak rosszabb bankok, amik azt hiszik, hogy az SMS-ben kuldott kod biztonsagos.

Amúgy az nem lenne megoldás, hogy ne telefonon, hanem camerán lehessen táv simet igényelni pl? És akkor látja a fejed és összetudja hasonlítani a képeddel, ha levan adva.

Az ilyen esetek rámutatnak mindig adott rendszer gyengeségeire.

robyboy

Az ilyen esetek rámutatnak, hogy a leggyengébb láncszem a buta ember. Az sem véletlen, hogy a fogyatékosok és a többi <nem tudom hogyan kell PC-n mondani, hogy agyilag nem teljes értékű> mellé egy épeszű gyámot tesznek. Én biztos, hogy egy kicsit kijjebb szélesíteném a jelenlegi kört.

trey @ gépház

Szerkesztve: 2020. 04. 03., p - 06:28

Nekem most úgy vették le a bérlet árát, hogy le is merült a hitelkeretet pár napja, valamint nem is vettem bérletet egy hónapja (azt meg már akkor le is vonták). Na ilyenkor mif@$z van? Se egy telefonhekk, se kártya lopás, se pénz a kártyán, mégis levonták. Jó hogy a frizura várva sűrűn nézem a netbankot. Este már nem tudtam hívni senkit, franc tudja a telefonos kódot, de e-mail-t küldtem, ma meg megpróbálok telefonon is elérni valakit.