MBH Bank számla feltörés

Security-all

Érdeklődnék, hogy van-e köztünk olyan, akinek az MBH banknál vezetett számlájáról pénzt loptak el az utóbbi időben?

Ha igen, beszéljünk, hogy mik a tapasztalatok. Sajnos nálunk valaki így járt a családban, egy használt autó ára tűnt el.

Ha lezárul az eljárás, akkor megosztom a technikai részleteket.

Addig is mindenkit figyelmeztetek, hogy az MBH bank rendszere nem biztonságos, viszonylag egyszerűen kijátszható. 

Ha Te, vagy valamely családtagod ennél az intézménynél vezet számlát, akkor állíts be autentikáló sms-t mind a webes, mind az applikációs átutalásokhoz, illetve ellenőrizd, hogy be van-e ilyen állítva.

Érdemes a feleség, anyuka, nagymama, nagypapa beállításait átnézni,és felvilágosítani őket arról, hogyan működik az autentikáció.

UPDATE (1): NEM ÍRHATOM LE a pontos menetét a csalásnak, de elég jól ki lehet találni a fórumhozzászólások alapján.

UPDATE (2): A kiskapu már ismert volt a bank számára, amikor a családtagomtól elemelték a pénzt.

UPDATE(3): Ha károsult vagy, a következő a menet: 

 * reklamálni a banknál

 * kivárni a válaszukat (ez 15 munkanap, amit 35 munkanapra módosíthatnak)

 * negatív válasz esetén a MNB Pénzügyi Békéltető Testületéhez kell fordulni (90 nap + 30 nappal meghosszabbítható, plusz hiánypótlások)

 * negatív kimenetel esetén pereskedés, közösen vagy egyéniben.

  • 6124 megtekintés

( Joejszaka v | 2025. 04. 16., sze – 00:06 )

Szerkesztve: 2025. 04. 16., sze – 00:08

Egy megjegyzés. Annyira egyszerűen törhető az MBH, hogy bárki, értsd bárki, megoldhatja a lopást viszonylag kevés munkával.

Persze lehet, h azóta javítottak valamit, hogy bejelentettük az ügyet, mert szerintem triviális lenne a bank részéről a javítás.

Egyrészt amennyiben a bank hibája a feltörhetőség, akkor ez erre az esetre nem áll, másrészt a banki alapbeállítás meg KELLENE hogy követelje a kétfaktoros authentikációt. De ha nem is követeli meg, akkor is mindent meg kellene tegyen, hogy a sima jelszavas belépést is biztonságossá tegye. Erre rengeteg eszköz áll egyébként rendelkezésre a 2 faktoros hitelesítésen túl is. Ameddig nem tudjuk, hogy ezek közül bármit is alkalmazott-e a bank, nem gondolom jogosnak a felhasználóra tolni a teljes felelősséget.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nem ugy van, hogy a PSD2-ben, hogy Strong Customer Authentication (SCA) az kovetelmeny?

"Article 97 – Authentication:

Application of Strong Customer Authentication: Payment service providers must apply SCA when the payer:

* Accesses their payment account online"

De ma mar egy pizzat se tudok rendelni 2FA nelkul :D

*Reklám: Biztonságos ajtó, értékei védelme érdekében két zárral!

Apró betű: A biztonság csak akkor garantált, ha mindkét zárat bezárja. 1 zár nem zár.

Elviszik a párnacihát, meglepett pikachu arc intensifies

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Ebben a példában az a burkolt feltételezés, hogy a két zár egyenértékű és a használatuk egyformán komplex. Viszont, egy átlagfelhasználó számára a 2 faktoros authentikáció nem egyenértékű komplexitásban a jelszavas authentikációval. Ha nekem csak a telefonomon van beállítva a második faktor, és az le van merülve, semmi más módom nincs belépni. És igen, lehetne a gépre is telepíteni, stb, de ennyire nem tudatos felhasználó még egy szakmabeli se sokszor. Lehet, hogy neked a mikrosütőn is van kétfaktoros hitelesítő app, de ne magadból indulj ki, mert az irreleváns.

Szóval, valójában a példád hülyeség ilyen szempontból, és nem alkalmazható a jelenlegi helyzetre.

Egyébként, ha már mindenképpen ebben az univerzumban akarod felrajzolni: az az ajtógyártó felelőssége, hogy mindkét zárat külön-külön is a lehetőségek adta legbiztonságosabbra csinálja. Mert ha a két zár közül az egyiket egy fogpiszkálóval ki lehet nyitni, és a másik zár csak normálisan, akkor valójában nem két egyenértékű zárunk van, hanem van egy semmit nem jelentő zárunk, meg van egy somewhat biztonságos. És ezen a ponton válik hülyeséggé, hogy "1 zár nem zár". 1 zár is kell, hogy adjon valamekkora biztonságot, de természetesen nem maximalizálja ki

Ugyanígy, a banknak felelőssége van abban, hogy a jelszavas authentikáció a lehető legbiztonságosabb legyen a saját kontextusában, és ezt a biztonságot fokozza a második faktor. Ha a jelszavas biztonság könnyen törhető, a második faktor sokkal kevesebbet segít a rendszer biztonságán. És ez az egyik hazugsága a szakmának, hogy "állíts be második faktoros authentikációt, és szignifikánsan emelkedik az alkalamzásod biztonsága" - valójában ebből egy szó nem igaz. Akkor emelkedik szignifikánsan az alkalmazás biztonsága, ha már alapból biztonságos volt. Amúgy meg csak lett plusz egy beviteli mező, ami csak zavarja a felhasználókat.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Azért, mert a te pénzed és nem a banké.

A bank vigyáz a saját pénzére, te meg vigyázol a magadéra.

Sajnos a hazai népesség még mindig azt várja el, hogy valaki más gondoskodjon róla és általában meglepődést okoz, ha kiderül, hogy elsősorban mindenki saját magáért felel.

Így van. Nem abból a szempontból vizsgálom a kérdést, hogy a második faktor hamisítható-e. Ha meghamisítják, akkor legfeljebb nem sikerül belépnem a felületre. Ha lenyúlják a második faktort, az izgalmasabb, de van első faktor, s nem 123456 szokott lenni a jelszavam.

Azt sokkal nagyobb problémának érzem, hogy nem ellenőrizhetem, mi zajlik a telefonon. A saját hardware-emen nem lehetek root, továbbá igen nagy a rólam, az életemről szóló információ koncentráció egy éppen általam nem ellenőrizhető eszközön, amelynek az infrastrukturális hátterét a világ legagresszívebb államának olyan cége adja, amelyik éppen az emberekről gyűjtött és azt rendszerezett, elemzett adatokból él.

Kösz, de nem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

És? Mondjuk be akarok lépni a banki felületre. Távcsővel az ablakomon át nézed a monitoromat, s látod, melyik az a pillanat? Mondjuk, hogy igen, küldesz egy SMS-t - kapásból gyanús, hogy kettőt kapok, hiszen a másikat a banktól -, beírom a hibás második faktort, nem enged be a felületre. Jó, elszúrtad egy kis időmet, lepattantam a banki felületről. Aztán?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az SMS SIM kartya masolassal elteritheto en ugy tudom, es ez adja a sebezhetoseget. Ha ket ugyanolyan ID-ju SIM jon fel a halozatra, kockan fordul ki, hogy melyikre jon meg az SMS. Ha eleg sokszor probalkozik a rabolo, akkor meg tudja kapni az SMS ketfaktort relative keves ido alatt. Ha az elso faktor valahonnan megvan neki (akar feltorte, akar social engineering, akar barmi) akkor a 2 faktor megszerzese mar szignifikansan kisebb feladat.

Ugyanakkor ertem a telefonhoz kotodo concerneket. Sajnos az a baj, hogy ez az egesz jelszo-2FA PIN kod jellegu megoldas takolas amiatt, mert a HTTP lett az internet alapertelmezett protokollja, es nem valami stateful dolog. Csak ezt lenyegesen nehezebb megvaltoztatni, mint tovabb taknyolni. Ezt a protokollt eredetileg arra talaltak ki, hogy piros hatteren kiskutyas GIF-eket nezzenek az emberek.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Ezek fals magyarázatok! Eleve miért szereznék meg az első faktort? Már a 2FA is felesleges. Jó, van 2FA, erre azzal jössz, megszerzik a másodikat. Ha lenne 3FA, akkor bedobnád, hogy megszerzik azt is. Ha lenne nFA, akkor az n-ediket. Erre mondom, hogy ha annyira karják, azt mondják, vagy belépek, amíg szépen mondják, vagy levágják az ujjam, viszik az ujjlenyomatot. Biztonságos? Na, ugye, hogy nem! Hagyjuk már, az egész a szabadság folyamatos szűkítéséről és elvételéről szól, köze nincs a biztonsághoz. Az a mese része.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A biztonságos mobil app egy akkora képernyős telefonon fut, amit egyes emberek nem jól látnak. Innentől értelemszerűen kényelmesebb az 5-6 collos telefon helyett a 15-20-40 collos monitoron intézni a banki dolgokat - és ha azon bankol, minek rakja fel a banki appot?

Attól mert te nem vagy látássérült, más még lehet.

(Nekem speciel pont nem igényem a másoknál élni-nem-tud-nélküle banki app az egymillió funkciójával, de ha lenne egy valami csak az autentikációra, azzal már megvehetnének. Ahogy itt írta is valaki, a'la ügyfélkapu+ a totp-vel.)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A CIB-nél pont ugyan így van. A netbank belépés a CIB mobilapp által generált második faktorral lehetséges (ami minden kódnál kér biometrikus azonosítást, nem elég a feloldott telefonon elindítnia, mint pl. a legtöbb TOTP appot), és a tranzakciókat szintén ezzel a mobillappal kell jóváhagyni egy QR kód beolvasásával, majd biometriával megerősíteni.

A netbank belépés a CIB mobilapp által generált második faktorral lehetséges

:)

 

Itt (CIB) azért érdemes kicsit jobban megnézni a login processzt, mert szerintem bizony nincsen semmiféle 'második faktor'.

- a telefonos App, PIN kódot, vagy helyette újlenyomatot kér a belépéshez. - ez bizony csak egy 'faktor'

- ha a weben lépsz be, akkor a 'usernév' a CIB-es számlaszámod - amit én publikus adatként érelmezek - a jelszó helyett pedig a telefonos app-ból kell a TOTP kódot beírni.  - hát én bizony itt sem látok több faktort.

Utaláskor ugyan jóvá kell hagyni az app-pal, de ez ugyan az, mint amivel beléptél. Tehát ha az app (vagy az egész telefon) - akárhogyan is - de kompromittálodott, akkor bizony a user-ből hirtelen luser lehet...

 

Sajnálatos módon a tapasztalatom azt mutatja, hogy a bankok valójában szarnak a valós biztonságra, kizárólag a jogszabályoknak igyekeznek megfelelni, azoknak is a lehető leg minimálisabb költségekkel.

zrubi.hu

- a telefonos App, PIN kódot, vagy helyette újlenyomatot kér a belépéshez. - ez bizony csak egy 'faktor'

birtokolt eszköz + (biometrikus adat vagy jelszó), márpedig ez kettő, csak nem a jelszó szokott az opcionális faktor lenni

a jelszó helyett pedig a telefonos app-ból kell a TOTP kódot beírni

Itt nem úgy van, hogy a TOTP generátor appnak is kell egy PIN, ami nem derül ki a telefonon, hogy helyes-e? (mint a RSA soft-tokennél)

ez nagyon szépen mutat... papíron :)

gyakorlatban azonban továbbra is az van, hogy ha a telefonod kompromittálodott - az az egy darab eszköz - akkor akinél a kontroll van, az be tud lépni a bankodba, és jová tud hagyni bármit.

 

tehát a bank a telefonod biztosági rendszerére 'hárítja' a felelőséget.

 

(ettől függetlenül az is igaz, hogy továbbra is egyszerűbb átverni az embereket, mint meghekkelni a telefonjukat)

 

szerintem.

zrubi.hu

Ez pontosan így van.

De mégis hova tenné? A számítógépedre? Ott sincs jobb helyen, sőt.

Ha két szelet papírra írod le a két faktort külön és azokat a behatoló megszerzi akkor ugyanúgy elvitte a két faktorodat, ugyanúgy azt tesz amit akar. Biztonság (valószínűségek) és kényelem, ebben kell kompromisszumot kötni. 

A telefonokra "hárítás" szerintem egy indokolható döntés, a telefonok adnak viszonylag biztonságos "trust store"-t kellően nagy számban, tehát a lefedettség is megvan, a biztonsági frissítés is "megoldott", stb.

Létezik nyilván ennél nagyobb biztonság, vannak is helyek ahol ezt megkövetelik. Az biztos hogy drágább és jó eséllyel kényelmetlenebb is lesz.

Gábriel Ákos

- igen, elvileg így van. Viszont két éve már, hogy bevezették, de még a mai napig sem működik!!!

- annyit - és állandóan - módosítgatják, hogy igazából nem is tudom, hogy mit akarnak, hogy is kéne működnie!

- a másik probléma a CIB-nél, hogy szerződésileg nem akarják engedélyezni a desktop-os internet-banking-ot és hozzá második faktorként a CIB-es app-nak a 'withKEY'-s ellenőrző kódját. Ezt így két különálló eszköz is lenne, ami növelné a biztonságot. (Jelenleg éppen ezért harcolok.) Az alkalmazottak szerint csak a withKEY funkció és a desktop-os internet-banking nem engedélyezhető, csak úgy, hogyha a teljes CIB appot is engedélyezem. A CIB app azonban önmagában is teljes hozzáférést ad a számlához, így aztán a két fizikai készülék együttes alkalmazásának a biztonsága teljesen elveszik!

(Érdekes - és pozitív - hogy maga a CIB app (szerintem) jól van megtervezve, hisz biztosítani tudja ezt a két készülék együttes birtoklásának szükségességét.)

Érdekes - és pozitív - hogy maga a CIB app (szerintem) jól van megtervezve

Szerintem az nem jó terv, hogy az authentikátor és az netbank app amivel kezeled a bakszámládat ugyan az. Ez kizárólag problémát okozhat semmilyen előnye nem lehet. - max az occsósítás, így csak egy appot kell karbantartani.

 

Szerintem az authentikátornak - főként ha azt MFA-ként szeretnéd alkalmazni - teljesen függetlennek kell lennie.

De továbbmegyek a kizárólag 'saját' authentikátor app használatának lehetőse, már önmagában probléma. De ezt a 'hibát' sajnos sokan elkövetik, és fícsörként marketingelik.

 

De, persze lehet hogy én vagyok helikopter.

zrubi.hu

Irjuk fel akkor a támadást majd vizsgáljuk meg hogy mi fog történni:

Támadás: a támadó lemásolja a bank weboldalát és ezzel egy mim támadást hajt végre. A felhasználót elviszi a lemásolt oldalra. A felhasználó be akar lépni. Hogyan védekezünk ez ellen?

Feltételezés: a támadó a megszerzett adatokat időben be tudja írni a bank igazi weboldalán. A bank nem tud különbséget tenni az adatban.

Védendő asset: a belépéshez szükséges információ.

Siker kritérium: a támadó képes belépni a rendszerbe úgy, hogy a felhasználó erről nem szerez tudomást.

(1) Felhasználónév és jelszó:

A támadó elkapva a felhasználónév és jelszót belép a banki rendszerbe majd ott tranzakciókat hajt végre. Sikeres támadás.

(2) Felhasználónév és jelszó, SMS vagy TOTP kód:

A támadó elkapva a felhasználónevet és jelszót valamint a második faktort (hiszen ezeket mind bekéri a felhasználótól) belép a rendszerbe. Sikeres támadás. 

(3) Mobil alkalmazás:

A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.

Ezt igy szépen végig modellezik minden támadásra (mi van akkor ha kompromitállódik a mobil eszköz is, mi van ha...) és ebből ki fog szépen esni hogy mekkora effortot kell a támadónak belefektetni abba hogy megszerezze a hozzáférést. Minden rendszerhez lehet hozzáférést szerezni, a kérdés az hogy mekkora energiát kell belefektetni a támadásba.

https://owasp.org/www-community/Threat_Modeling

https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling

> A felhasználó a mobil alkalmazást használva nem megy semmilyen weboldalra, tehát ezen mim támadás meghiusul. Sikertelen támadás.

Ez minimum véleményes, és teljesen ignorálja, hogy a mobil alkalmazás hogyan is működik.

Én eddig kétféle működéssel találkoztam:

  • A mobil alkalmazás kap egy push notifikációt, hogy hagyd jóvá a belépést. Rányomsz az értesítésre, bekéri a PIN/biometrikus faktort, beléptet -> sikeres támadás
  • A mobil alkalmazással le kell olvasni valamilyen kódot, ami validálja a belépést a banknál, majd ezután bekéri a PIN/biometrikus faktort, beléptet. Itt ugye ha a támadó valós időben tud visszafelé is kommunikálni (ki tudja jelezni a QR kódot a "fake" weboldalon is) akkor az app boldogan validálni fogja a belépést -> sikeres támadás.

A közös pont itt az, hogy valós időben kommunikáljunk a banki interfésszel, ha ezt meg tudja a támadó ugrani - és annyira nem is nehéz - akkor a banki oldalról legfeljebb azt tudod levédeni, hogy Magyarországon kívülről nem engeded a parasztot belépni, vagy nem lakossági internetszolgáltatói hálózatból nem engeded belépni. Azaz, lényegében, csak az ügyfél korlátozásával tudsz ezek ellen védekezni. Ez sajnos abból fakad, hogy a HTTP(S) állápotmentes protokoll, és az, hogy mégis tud állapota lenni, azt mindenféle körülmegoldással oldjuk meg.

Ezért megy orrba-szájba az edukáció, hogy figyeljünk a címsorra, legyünk biztosak, hogy jó weboldalon vagyunk, stb. Mert szerver oldalról ha lehet is védekezni a fake oldalak ellen, az komplex, és az eredményessége minimum kétséges. Ez ellen a 2 faktor se véd.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Eddig jogos, feltehetőleg be tud a támadó úgy lépni, hogy mindent lemásol (QR kódot is). Kérdés, hogy ezek után hogyan tovább. Tranzakció végrehajtása esetén (pl. átutalás) mondjuk kicseréli a címzettet (számlaszám elég, a nevet úgy se vizsgálja senki és semmi) esetleg még az összeget is valami szép nagyra. Az átutaláskor is visszajön a tranzakció engedélyezésre (QR kód vagy valami hasonló). Amennyiben a QR-kódot meg tudja úgy változtatni, hogy a számlatulajdonos által beadott adatok jöjjenek vissza a jóváhagyáshoz, akkor sikeres a támadás. Ennek mi az esélye?

A visszajovo QR kodot nem kell megvaltoztatni. Garantalom neked, hogy a felhasznalok korulbelul 85%-a el sem olvassa a jovahagyos kepernyot, csak ranyom. Igen, ez szonetteket szaval el a tarsadalom megerteserol mind az informatikai mind a banki biztonsag teren, de ettol meg ez egy valid tamadasi vektor marad.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Amikor mobil app segítségével bankolok akkor egy úgynevezett cert binding történik, azaz az alkalmazásba be van építve a bank tanúsítványa, ezért MIM támadást nem is tud külső fél végrehajtani, biztosítva van az hogy én a bankkal beszélgetek. Én ezért is javaslom mindenkinek hogy csak mobil alkalmazás segítségével bankoljon, mert ez adja a legnagyobb biztonságot.

Te egy másik esetről beszélsz, amikor valaki webről akar belépni, a weboldalon adja meg a felhasználónév és jelszót, de egy külső csatornán keresztül (egyedi mobil app, notification, engedélyezés) történik a belépés engedélyezése, vagy esetleg egy QR kódot bescannelve lép be. Ezek ellen már nagyon nehéz védekezni, ahogy le is írtad, de ez egy másik helyzet.

Erre egyébként az volt régen a megoldás hogy a bankok, stb. weboldalainál a böngésző jelezte hogy az egy biztonságos szerver-e, és ezt zöld színnel mutatta. Ez idővel megszűnt, pedig ez szerintem egy jó irány volt.

Erre egyébként az volt régen a megoldás hogy a bankok, stb. weboldalainál a böngésző jelezte hogy az egy biztonságos szerver-e, és ezt zöld színnel mutatta. Ez idővel megszűnt, pedig ez szerintem egy jó irány volt.

Nem volt az :) Az embereknek fel se tűnt, hogy van a zöld lakatos, ahol oda is van írva, hogy Lölöbank zrt, meg vannak azok, amik ehhez képest nagyon ijesztő kékek, felirat nélkül. Konkrétan volt itt anno topic, amikor a kolléga mondta, hogy hát erre tudatosan figyelni kell és milyen jó, mire kénytelen voltam felvilágosítani, hogy már vagy két éve kivezették az utolsó browserből is. Nyilván nem lehetett hirtelen minden másra azt mondani, hogy az nem jó mert... hát na.

De azt adom, hogy lehetne értelme ezeket kiemelten kezelni, csak általában ezt az egész trust modellt rendkívül szarul kommunikálja az összes böngésző, így nem volt értelme.

Alapvetően adott egy lehetőséget arra hogy egyáltalán észrevegye a felhasználó hogy ez egy "biztonságos" weboldal. De mivel kivezették, innentől kezdve mindegy is.

Szerintem a megoldás valami olyasmi lehetne hogy a felhasználó feltelepítené a biztonságos oldalhoz tartozó igazolást, és a rendszer mutatná hogy helló, te most egy biztonságos weboldallal kommunikálsz. Egy átlag felhasználó esetében ide kerülnének a szolgáltatók (bank, biztosító, állam) és az a néhány kereskedő oldal akitől vásárolni szokott.

Ha volt egy asdqwe cég mondjuk Arizónában, és csináltam egy asdgwe Co. -t mondjuk Texsban, és annak kértem az asdgve.com domainre egy ilyen certet, akkor az lehetet "zöld lakat"-os cert is - és máris volt egy adathalászatra használáható "zöld lakatos" webszerverem...

Bankok esetében talán(!) a bank TLD jelenthet némileg megoldást, bár ott is lehet például a domainnel trükközni, (ciril karakterek, amik ugyanúgy néznek ki mint a latin abc valamelyik karaktere pl...) és persze _elvileg_ ez alá TLD alá csak szűk kör/megfelelő igazolásokat benyújtani képes szervezet regisztrálhat... Mondom elvileg. Sajnos.

 

Ja, mondom, a valami lehetőséget aláírnám, a megvalósítás nem volt jó a gyakorlatban (most is meg tudod nézni, ha rákattintasz a lakatra, és ki van írva a cégnév, akkor EV). Muszáj lenne ember léptékűen kellene tudni kommunikálni

  • annál kicsit több részletet, mint ami most van, hogy https=biztonságos, legalább addig, hogy mit ígér egy DV és mit igér egy EV
  • el kéne tüntetni a mindenféle elbaszott kilógó belét az TLSnek, és ember nyelvre cserélni, amikor kivételt kezelünk (a minden ijesztő error, csak nyomjál okét kifejezetten kurvára nem jó)
  • sokkal több értelmesen, ember nyelven kommunikáló kontroll kéne az ügyben, hogy a user a saját trustját tudja konfigolni

És akkor már csak olyan apróságokat kéne megoldani, hogy a default CAk listáján mindenki azt csinál amit akar, az egy agyfasz, a cert transparency csak szépségtapasz, meg hogy mikor a pöcstudja hol akarok fizetni, akkor a folyamatban ne legyen 17, a bankhoz nem köthető domainen pinpongozás.

Ja, hogy te tisztan banki appos dologrol beszelsz. Arra van egy masik faktor, amit meg mindig eleg nagy kesessel ved ki az osszes bolt: az alternativ appok regisztralasa. Foleg, hogy pl az Erste bank appjat mar nem ugy hivjak, hogy Erste Netbank, hanem hogy George, ha en felrakok egy Gyurika nevu appot, az Erste logojara tavolrol es bal szemmel hasonlito - de nem azonos - ikonnal, a leirasban pedig valahol megemlitem, hogy Erste -> 1 napon belul lesz minimum otven telepitesem, ebbol 30 sikeres authentikaciom. Ezek most csak has szamok, de eleg realisak. Igen, ertek minden concernt ezzel kapcsolatban, ami IT-skent felmerul benned - de a felhasznalok ennyire hulyek. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

A belépésed megvan, utána ahhoz, hogy tranzakciót végezzen a támadó, kell egy újabb outband "kör", azaz újabb felhasználói interakció a mobilos app-ban, ahol megjelenik hogy mit hagy jóvá az ügyfél. Igen, az MNB azt is elvárná, hogyha az ügyfél nem olvassa el, milyen üzenet jön, mire jön a jóváhagyáskérés, akkor is védje meg a saját hülyeségétől a bank (Köcsög József: ne tudjon törölni, ha nem akar sztori - sajnos nem találom...)

Ezt igy szépen végig modellezik minden támadásra (mi van akkor ha kompromitállódik a mobil eszköz is, mi van ha...)

Igen, pontosan.

Viszont nekem ebből az jön ki, hogy ha a mobileszköz kompromittálódott, akkor egyszerre komprommittálódhat mindkét 'faktor'

Hogy erre mekkora az esély? nem tudom. 

Hogy ez a valóságban valaha bekövetkezik? lehet hogy sosem.

(oh wait: Pegazus)

 

Szóval én továbbra is állítom, hogy a két (vagy) több faktornak különböző és egymástól függetlennek kellene lennie. pont.

És az a durva, hogy ez korábban létezett is, volt  fizikai TOTP bigyóm. Csak a bank megszűntette, mert túl sok volt vele a macera. mármint nekik.

Tehát, a bank szimplán pénzügyi okokból csökkentette a szolgáltatásuk (maximálisan eérhető) biztonsági szintjét.

Mert ez is megfelelt az előéírásokank, és őket más k*v*ra nem érdekel.

Várhatóan a felhasználók többsége nem is értette mire való ez, és miért jobb mint bármi más. De ez is a 'balga' átlag felé hajlás, hiába lenne neked igényed jobbra, nincs lehetősged rá.

 

(kapcsolódva a digitális állampolgár topikhoz, a DÁP-pal is ugyan ez a bajom: hogy egy alapvetően megkérdőjelezhető biztonságú 'kémeszközre' kényszerítik az egész digitális identitásomat.)

 

szerintem.

zrubi.hu

Viszont nekem ebből az jön ki, hogy ha a mobileszköz kompromittálódott, akkor egyszerre komprommittálódhat mindkét 'faktor'

Lehet, hogy elsiklottam valami felett a threadben, de nem. Van egy telepített és aktivált mobilapp + egy PIN, amit csak az adott instance fogad el. 

Példa. Van olyan (nem kicsi) bank Magyarországon, ahol a banki IT (jelige: "lehetetlen megoldani") csak úgy tudja megoldani a meghatalmazottak mobilbankos regisztrációját, hogy bementek a bankfiókba, beaktiválod a meghatalmazott telefonján a mobilbankot, majd az ügyintéző az eszköz típusa mezőben átírja az "iPhone 16" szöveget a meghatalmazott személyes adataira.

Amit ott beállít a meghatalmazott PIN-kódot, az csak a saját mobilján működik. Ha kompromittálódik a mobil, akkor csak egy faktor megy a levesbe ("amim van"), a PIN ("amit tudok") nem kompromittálódik vele automatikusan.

Ha kompromittálódik a mobil, akkor csak egy faktor megy a levesbe ("amim van"), a PIN ("amit tudok") nem kompromittálódik vele automatikusan.

És egy kompromittálodott mobilon mennyi effort megszerezni azt a PIN-t? (vagy bármit amit az a mobil lát, hall, 'érzékel')

lád még: Pegazus.

zrubi.hu

Ezen a két faktor csak akkor segítene igazán, ha térben is távol lennének egymástól. Mert ha mindkét eszköz a kezed ügyében van, akkor a csalónak ugyanúgy téged kell megvezetnie. Most hogy egy eszközön 2x. Vagy 2 eszközön 1x. Nem mindegy? 

@zrubi: Ugyanazt mondjuk! Az authentikátornak a PC-s netbank (InternetBank) 'párjának' kellene lennie, hogy így két független eszközt kelljen használni. Ahogy én látom ez így is lett megtervezve, de jelenleg ezt az 'üzemmódot' nem tudják/akarják beállítani az CIB alkalmazottak a rendszerükbe.

Futottam már bele olyanba, hogy a webshop-os vásárlásnál a mobil app-os engedélyezésre 30 másodperc áll rendelkezésre. Amire a bank elvégzi az auth-ot és az app-on belül engedélyt adhatsz a tranzakcióra, addigra kezdheted elölről a vásárlást. (Volt, hogy egyáltalán nem ment "30" alatt, végül az ilyen módú vásárlásról kellett lemondanom.)

:)  -  Végül is.., úgy fogtam fel, hogy a bank így vigyáz a költekezésemre, a pénzemre. (Pár ilyen próbálkozás után kiderült, nem is olyan fontos az a vásárlás.)

Ahogy más is írta, K&H tudja. Tud persze teljeskörűen (majdnem) mindent, amit a webes e-bank, de annyit használsz belőle, amennyit akarsz, én elsősorban az autentikációt és jóváhagyásokat szoktam. Mást csak akkor, ha valamiért sürgős, és nem vagyok desktop-közelben.

No akkor már csak oda kéne eljutnia minden banknak, hogy betesz a kódba egy #ifdef BANKIAPP_LITE jellegű fordítást befolyásoló nyelvi elemet, és máris lehet 2 appja: egy az olyanoknak, akik valamiért ódzkodnak telefonon bankolni (de egy authot tudó minimalistát esetleg még elfogadnak a telefonjukon), meg egy az olyanoknak, akik rá vannak gyógyulva a gyufaskatulyaTV-re.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

+sok

Fogadjuk el, hogy az SMS nem annyira biztonságos, meg fogadjuk el azt is, hogy a bankok nem bíznak a szabványos TOTP authentikátorokban. Ezért az ajánlott módszer a bank mobilappja push notification-nel a második faktorra desktopos belépés esetén, akkor igazából ott vagyunk, hogy van egy teljes körű banki mobilapp a telefonon, amely mellé viszont már nem kell második faktor, hiszen egy eszközön ott van minden bejelentkezve. Tehát ha valaki a telefonhoz intéz remote control-t, akkor a telefonon keresztül történik simán a lopás. Tényleg nagyon kéne az, hogy banki mobilapp, de semmi mást nem lehet vele csinálni, csak második faktoros authentikációt.

Mármint hogy elvégezze a hitelesítést. Amit vagy ki lehet kerülni, vagy nem. (A mai napig árulnak ujjlenyomatolvasó nélküli okostelefont - persze az alsóbb szegmensben.)

Amúgy nyilván nem 0 költsége van ennek az ifdefnek, így kb. esélytelen arra számítani, hogy valamikor is elterjedjen.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A KH app simán megy egy pinkóddal is, az ügyintéző néni kicsit furcsán is nézett rám, hogy bekapcsoltam a biometrikust, szerintem úgy érezte, az kevésbé biztonságos. (Abban egyébként igaza volt, hogy mivel olyan nincs, hogy kizárólag biometrikus, pinnel mindig lehet, ezért valójában csak a risk faktort növeltem)

Ha ez igaz lenne, akkor viszont mégis milyen megoldást használjon a jelenlegi ügyfél? Nem szeretitek az sms-t 2. faktorként - de semelyik bank nem fogja eldobni a régi ügyfelet azzal, hogy kötelező telefonvásárlást ír neki elő, amelyik ráadásul még legyen ilyen-meg-ilyen.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Biometria nélküli mobiltelefonon el sem fog indulni az app.

Hát, én még ilyet nem láttam, de érdekelne, hogy ez egyátalán lehetséges-e technikai szempontból.

 

A telefonokon a biometrikus azonosítás általában opcionális kényelmi fícsör, és ilyenkor mindig van failback a pinkódra/jelszóra.

(sőt, sok esetben valójában a PIN/jelszó kerül továbbításra, a sikeres biometrikus azonosítás 'csak' beírja helyetted a mentettt jelszót)

zrubi.hu

Dehogynem.

A - A bankoknak kellene felprogramozni a hardveres TOTP tokent és odaadni személyesen a kedves ügyfélnek

B - Felnőttként kell kezelni az ügyfelet (ld. ÜK+)

Ahogy az összes bank kivezette a hardvertokent és a smartcard-okat fillérb*szásból, sok jóra nem számíthatunk. Pedig jogalkotói oldalról pár suhintás az iPadon, és másnap reggel a közlönyben szerepelhetne az eSzig alapú hitelesítés, mint követelmény... Akit érdekel, venne NFC-s telefont vagy kártyaolvasót.

Az elvi és a gyakorlati biztonság mértéke nem azonos. Egy elvileg biztonságosabb megoldás (pl. egy hardveres token) egyáltalán nem biztos, hogy nagyobb gyakorlati biztonságot hoz, mint egy sima SMS kiküldése (minél több önálló eszköz kell a biztonsághoz, azok fizikai védelme növeli a korrupció kockázatát). A kifinomultabb technikai részletek lehetnek éppen kontraproduktívak, mert a rendszer gazdáját a fizikai korrupció veszélye már nem érdekli. Ráadásul a bank nem csak bombabiztos megoldást kell nyújtson, hanem egyben egyszerűen használhatót is, elvégre a bank mégiscsak egy szolgáltató. Nem esett szó pl. a ViCA-ról ami alkalmazásként is telepíthető, ugyanarra a gépre, amelyiken a bank saját alkalmazása fut. 

Az a gond hogy nem segít mert nem ez a támadás, ezért mondtam hogy amikor security-ről beszélünk akkor threat model-t kell felírni.

Nagyon kicsi a valódi különbség a között hogy hardware-es vagy szoftveres TOTP generálás van, egyszerűen azért, mert a nap végén akkor fogsz tudni belépni ha nálad van az eszköz (akár HW akár mobil). Sőt, mivel lényegében mindenki használ a mobilján valamilyen védelmet (pin kód, ujjlenyomat, face lock, stb.) ezért ennek valójában magasabb lesz a védelmi szintje ilyen szempontból.

A probléma az hogy ha a támadó fogja és lemásolja a bank weboldalát akkor tök mindegy hogy honnan számolod ki a TOTP kódot, azt át fogod küldeni, és igy a MITM támadás sikerülni fog. 

Ilyen szempontból pedig tök mindegy hogy SMS-t küldesz vagy pedig TOTP kódot kérsz be, a támadás sikerén nem fog változtatni.

"Nagyon kicsi a valódi különbség a között hogy hardware-es vagy szoftveres TOTP generálás van,"

Igen, valóban kicsi: a hardveres TOTP esetén a shared secret nem másolható/lopható el, ahogy a szoftveres toptp esetén sem... Oh, wait... :-) (Igen, van olyan totp megvalósítás (hw/sw környezet), ahol gyakorlati szempontból közel azonos az esélye a shared secret kompromittálódásának, mint amikor az egy tokenben van, ahonnan nem nyerhető ki, de ez nem minden esetre igaz...)

És ugye az sem mindegy, hogy a támadó hova, hogyan ékelődik be az üf. és a bank közé? Csinál egy adathalász oldalt, és ráveszi az ügyfelet arra, hogy ott jelentkezzen be? Ebben az esetben gyakorlatilag mindegy, hogy mit és hogyan használunk 2. faktorként, mert a kapcsolat nincs az ügyfél böngészőjét futtató eszközhöz hozzárendelve, azaz lehet tokenes kód, amit be kell írnia a webes felületen, lehet outband jóváhagyás mobilos app segítségével (és ez a maqyarorszaqponthu esetén is így van a dáp-os jóváhagyással).
Hogy ennek a kockázata mekkora, az jó kérdés - picit beleásva magam a dolgokba, ügyfél által birtokolt hardveres azonosítóeszköz, ami közvetlenül azzal a helyben futó böngészővel  "dolgozik együtt", amiből az ügyfél bankolni akar tűnik a valóban megbízható és biztonságos megoldásnak.

Ha root-olt a telefon, akkor nagyjából-egészéből ugyanolyan sz@r a droid mint a desktop. Viszont ellenben ugyebár desktop-on mennyivel is egyszerűbb root/admin jogot szerezni? Sőt ott elég csak a megtámadott user jogosultsági szintjét elérő program, mert az már mindent _is_ tud olvasni, amit az adott user és az általa indított alkalmazások... Desktop-on az általad indított/nevedben futó alkalmazások egyazon jogosultsággal férnek hozzá mindenhet, amihez az userednek joga van. Mobilon meg az adott alkalmazás saját usert, identitást kap, amit te tudsz futtatni - de joga nem ahhoz lesz, amihez neked van, hanem ahhoz, amihez az adott alkalmazás userének joga van.
A QR-kódban "utazó" shared secret egyszer kerül legenerálásra/megjelenítésre, onnantól az authenticator alkalmazás sajátja lesz a fáj, amiben letárolásra kerül - mobilon. Desktop esetében meg "valahova" lemented (screenshot, bármi), vagy a szöveges formátumot írod bele egy fájlba - tök mindegy, mert ezekhez egy a nevedben futó kártékony kód is hozzá fog férni.
Mobilon énmég nem láttam olyat, hogy shared secret-et valaki kézzel tapicskolta volna be... Desktop-on igen, vannak ilyen perverzek, akik papírról másolják minden alkalommal be a generáló sw-nek a shared secret-et (olyat is láttam, aki parancssorban tolta oda a totp-s alkalmazásnak, hogy "ne legyen eltárolva fájlban" - igaz, a .bash_history-ban meg ott figyelt ugye...

 

ugyebár desktop-on mennyivel is egyszerűbb root/admin jogot szerezni? 

Csak egészen halkan merem megegyezni, hogy ha én oprendszert telepítek, akkor időtlen idők óta rendszergazda lesz a felhasználó (nincs root) és a telepítés után hozom létre azt a felhasználót, akinek telepítek. Nagyon régen nem kellett Windowst telepítenem, de valószínűleg már csak megszokásból is, így tennék ott is, még ha csak magamnak telepíteném is (az is igaz mondjuk, hogy annak, hogy én Windowst telepítsek magamnak az elmúlt 20 évben 0 esélye volt és az elkövetkező 120 évben is annyi esélye van). Ettől persze ha a Jófogáson meghirdeti a felhasználó a banki elérési adatait, vagy szarik a saját biztonságára vagy csak egyszerűen nem érti, hogy minek ez az egész baszakodás, akkor akármilyen hókuszpókusz alkalmazásával is a biztonság szakmai megalapozottsága nagyjából olyan lesz, mintha mindenki Windowst használna.

Magyarul: Windowsos gépen nem kell bankolni. Akinek Windows van, az bankoljon a telefonján, vagy tegye a gépét olyan környezetbe, ami megbízható. Ha nem tudja,  hogy mitől lesz neki a Windows megbízható, de muszáj neki PC-n bankolnia, akkor hagyja a fenébe a Windowst és használjon normális oprendszert. Én ezt beleírnám a banki apróbetűs részbe.

Az a gond hogy nem windows vagy nem windows a kérdés, hanem támadás és az az ellen történő védekezés. A támadás a weboldal klónozása, és ez ellen nem véd az hogy Linuxot, MacOS-t, vagy FreeBSD-t használsz, ez teljességgel lényegtelen, mert a web mint technológia a problémás.

A mobilnál nem csak arról van szó hogy az alkalmazások nem férnek hozzá egymás alkalmazásaihoz, hanem arról is, hogy a banki alkalmazásban amit feltelepítesz van egy cert pinning ami biztosítja hogy tuti hogy te a bankkal beszélsz és nem mással. Ez a weboldalak esetén nincs megoldva.

De azért lássuk be hogy az hogy összeolvasztanak N+1 bankot ész nélkül és ezt az IT ezt csak meglehetősen lassan tudja lekövetni az a legritkább esetben az IT hibája. Egyszerűen nem lett felmérve egy ilyen változás hatása, erőforrás gondolom nincs, úgyhogy majd elkészül amikor elkészül.

Ha úgy érted, hogy nem az IT hibája, hogy nem a szopórollerre ültetett IT-s szakemebrek tehetnek róla, akkor igazad van. De az IT-hez is kell vezető, akinek az efféle problémák (különböző adatállományok, struktúrák, workflow-k, üzleti kutúrák stb.) összeolvasztásához szükséges szakmai felkészültsége meg kell  legyen. Ez is az IT (sőt, szerintem ez az IT alapvető) feladata. Itt az IT management legföljebb arra volt képes, hogy megmagyarázza, miért kell neki a vázolt helyzetet ilyen módon menedzselnie ill. megteremtenie. Ezt valószinűleg megfelelően alá is támasztotta. Szerintem ezért minimum 20 év járna nekik, kenyérvizen, talpigvasban, Kufstein magos várában. 

Normálisan egy sikertelen integráció egy bank esetében csődöt jelent, a tulajdonosok elbukják a befektetésüket. Az ügyfeleiket meg a törvény szerint kárpótolja az állam.

Hiába van vezető, ha a migrációhoz (1) nincs több száz tanácsadó és fejlesztő rendelve (2) ha nincs értelmes határidő (3) nincs as-is state (4) a korábbi cégekhez tartozó emberek érdekellentétben vannak (5) ha bizonyos munkákat jó eséllyel elszabotálják.

Erre ügyfélként a következőt tudod tenni: fogod a pénzed és átviszed egy másik bankba. 

Feltehető, hogy a feladatra kiválasztott szakember hasonló érvelését elfogadta a tulajdonosokat képviselő döntéshozó. Rá is basznak rendesen, megérdemlik.  Valójában ilyen mentségkeresésnek egy ekkora projektben a világ boldogabbik felén semmi helye nincsen. Röhejes is lenne. Egy ekkora projekt már igazán testesnek számít, sok hétbe telhet az előkészítése. A projektvezetőnek ebben egyedül a büdzsé az ellenfele. Az eszközöket a büdzsén belül saját maga választja, ez az ő hatásköre, a határidőt ő kell vállalja, hiába diktálják neki kívülről, az apparátus érdekellentéte és ellenállása adott, inkább természetes, mint akadály és ha valaki szabotál azt normális környezetben úgy kirúgják, mint a sicc. Ha a projekt gazdája hülye a feladathoz és képtelen annak a súlyát, időtartam igényét, megvalósíthatóságát, hogyanját átlátni, értelmesen megtervezni és a büdzsén belül, terv szerint, határidőre jól végrehajtani, akkor legalább szerencséje legyen. Kurva nagy mázlija. Vagy ha nem biztos ebben, akkor ne vállalja el. Akármennyi pénzért se. Esetünkben úgy tűnik se a hozzáértése se a kurva nagy mázlija nem volt meg a felelős informatikusnak. Mint írtam: 20 évet neki, talpig vasban, egy olyan tetőtérben, ahol ablak nem gátolja neki, hogy nagyon messzire ellásson.

Jajj, hagyjuk már ezt a szart, hogy most már ott tartunk, hogy egy pc nem biztonságos, mert úr isten, a felhasználó azt tesz rá amit akar, mindent is feltörnek, amit onnan használsz (persze in reality meg nem, dehát ugye az a fránya valóság), és keylogger lesz rajta. Persze a droidon meg az ioson nem lesz, azokat nem támadják :D

Meg ott is van TPM nagyrészt, pont ugyanaz, mint a keystore meg az enclave, van webauthn, valójában lehetne a browserből is csinálni ezt, csak hát akkor dolgozni is kéne, kicsit nagyobb szopás is, mint mobilon, a legtöbbnek jó a mobil, szóval pénz költés helyett egyszerűbb aszondani, hogy mobilozzon mindenki, mer a pc nem tud biztonságos lenni....

A PC-k mekkora hányadában van TPM? És ahol nincs, ott hogyan tiltod/zárod ki a lehetőségét annak, hogy sw-esen emulációt csináljon valaki az alkalmazásodnak (aminek a biztonsága máris annyi, amennyire az adott sw-es tpm biztonságosan tárolja az adatait - fájlokban). És ahol van, de az OS-be bele tudsz nyúlni (admin/root jogod van/lehet, tehát megteheted te is, vagy egy támadó is), hogy ne a hw-es tpm-hez forduljon az adott alkalmazás...?

Egy yubikey vagy más hw-token esetén sem kontrollálod a tokenen tárolt összes adatot, illetve nem tudod a rajta futó kódot tetszőlegesen módosítani - a desktop pécén az általános célú OS-nek hála meg igen. A mobil valahol félúton van a kettő között: _ha_ nem rootolt a készüléked, _és_ nincs fent valamely ismert sérülékenységet kihasználó trójai alkalmazás, akkor ott is védetten kerülnek tárolásra bizonyos érzékeny adatok, illetve ezek egy része úgy keletkezik, hogy csak az OS-en keresztül kérhető velük művelet, de közvetlenül nem olvashatók ki a védett tárolóból.

 

A PC-k mekkora hányadában van TPM?

Kit érdekel. Ha a safetynetes faszságot ész nélkül lehet tolni mint elvárást, akkor ezt is.

És ahol nincs, ott hogyan tiltod/zárod ki a lehetőségét annak, hogy sw-esen emulációt csináljon valaki az alkalmazásodnak (aminek a biztonsága máris annyi, amennyire az adott sw-es tpm biztonságosan tárolja az adatait - fájlokban). És ahol van, de az OS-be bele tudsz nyúlni (admin/root jogod van/lehet, tehát megteheted te is, vagy egy támadó is), hogy ne a hw-es tpm-hez forduljon az adott alkalmazás...?

Én ezt mind értem. Igen, nyilván roottal biztosan át lehet verni (egyébként és akkor mi van, ha a kedves ügyfél direkt hülye akar lenni?), és meg meg lehet próbálni átverni az elkerülést a másik oldalról. Csak rohadt irritáló, hogy te húztál egy határvonalat a saját fejedben, pont mind hajbi az xpvel, hogy a számítógép nem elég biztonságos, mert jajj root, a telefon meg igen, mert nem root, holott ez csak egy eleme az egész risk analízisnek.

És közben folyamatosan figyelmen kívül hagyod azt, hogy még sincs minden magbaszva, amit számítógépről használunk, pedig akad ez az, továbbá állandóan felhánytorgatod, hogy de mer mivan, ha a pcn a csúnyagonosz, és ez kizáró ok, miközben a telefonnál meg ez nem baj, ott belefér egy ilyen ha nincs rajta trójai, akkor ok, ez nem ingatja meg a használhatóságát. Meg a pcn mi van, ha okoskodnak, mert root van, azt meg folyamatosan figyelmen kívül hagyod, hogy ugyanezt lehet telefonon is. És nem ilyen elméleti síkon, hosszú évek óta megy a macska-egér tilitoli a gugli meg az aftermarket android cuccok között, hogy root hider, meg hogyan kell ma mégis átmenni a safety neten, és messze nem fix 1 dolog kimenete.

Arról már nem is beszélve, hogy ez az egész, ha nem férsz hozzá, akkor jó veszélyesen közel van ám a security through obscurityhez. ;)

"egyébként és akkor mi van, ha a kedves ügyfél direkt hülye akar lenni?"

Attól is meg kell védenie a banknak bammeg, mert az aranyszájú, bülbülszemű negytiszteletű emenbének ez az elvárása. Igen, akkor is meg kell védeni, ha saját szájacskájával diktálja be a fake telefonálónak az összes adatát...

A security by obscurity ott jön elő, ha _senkinek_ sem mutatod meg, mitől tartod biztonságosnak. Sem az iOS, sem az Android nem ilyen. Az, hogy jóskapistabéla nem kap mindenbe is betekintést, az legyen az ő egyéni szoc. problémájuk. Nem, a sok szem sem záloga a biztonságnak... (Debian ssl fiaskó ugye, hogy csak egy kifejezetten nagy blamát említsek... Pedig ha jól rémlik, ott az upstream még szólt is, hogy bázmegnemkéne...)

Attól is meg kell védenie a banknak bammeg, mert az aranyszájú, bülbülszemű negytiszteletű emenbének ez az elvárása. Igen, akkor is meg kell védeni, ha saját szájacskájával diktálja be a fake telefonálónak az összes adatát...

Akkor bizony a mobil se jó, teccik érteni. Kurvára meg lehet vezetni a banki appokat, hogy ők jó környezetben futnak. És onnan már ott is át tudom baszni, hogy valójában nem is igazi secure storage van. Tehát akkor ott se lehet.

A security by obscurity ott jön elő, ha _senkinek_ sem mutatod meg, mitől tartod biztonságosnak. Sem az iOS, sem az Android nem ilyen. Az, hogy jóskapistabéla nem kap mindenbe is betekintést, az legyen az ő egyéni szoc. problémájuk. Nem, a sok szem sem záloga a biztonságnak... (Debian ssl fiaskó ugye, hogy csak egy kifejezetten nagy blamát említsek... Pedig ha jól rémlik, ott az upstream még szólt is, hogy bázmegnemkéne...)

Ez nyilván nem az, de azért ugye érezzük, hogy az "azért biztonságos, mert az egyszeri user nem fér hozzá" az egy hasonlóan gyenge pontja az érvelésnek, mint az azért biztonságos, mert mert nem ismerik az algoritmust.

Egyébként pedig megint reagáltál a zárójelre, az érdemire meg nem, ahogy szoktad. Cserébe idekevered a debiant meg a manyeyeballst...

Ő a desktop-on lévő totp alkalmazást, mint 2. faktort adó megoldást mondja - ha van másik eszközön outband második faktor, az teljesen más scenario. Szóval nincs mobilos app, nincs sms-es 2. faktor, csak a desktop, böngésző meg a totp.exe, ami a user AppData/vaalmelyik/totp/secrets.akarmi fájlban tárolja a shared secret-eket - jó esetben egy jelszóval védve. (rosszabb esetben se jelszó, se semmi, csak commandline-ban odatolja a bankbabelepeshez.txt fájlt az totp.exe -nek, és az visszaadja az aktuális 2. faktoros kódot... )

Szerencse vagy sem, de -részben pont az egy eszköz kontra két eszköz támadandó miatt- a 2. faktor outband módon érkezik, vagy push, vagy sms (Mondjuk ez utóbbi, hála az Apple mindent egybegyúrunk megoldásának képes a desktop-on is landolni, akár úgy is, hogy a támadó ennek minden nyomát el tudja tüntetni a gépről és a telefonról is - volt ilyen módon kivitelezett sikeres támadás), és azt használja a user.
Ekkor vagy az Apple ökoszisztéma működéséből adódó fenti lehetőséget célozzák, vagy hagyják a logint "normál módon" megtörténni, de úgy, hogy a desktop és a bank közé ékelődnek be - egy "szép" vagy kevésbé szép URL-te kattintásra rávéve a felhasználót.

Az adott esetben viszont, amikor totp alkalmazás van a desktop gépen, a támadás arra irányul(hat), hogy a totp alkalmazás adatbázisát vigye el a támadó, és ha az netán nincs jelszóval védve, vagy gyenge jelszó védi feltörje/felhasználja a benne lévő identitásokhoz úgy, hogy a célszemély e-mail címeihez bárhol használt kiszivárgott jelszavakkal próbálkozik első faktorként. Ha meg a desktop-on keyloggert is tud telepíteni a támadó, vagy még jobb, ha böngésző session-t lop, akkor nyert ügye van. Ehhez _egy_ eszközt kellett kompromittálnia, az a desktop.

Ehhez _egy_ eszközt kellett kompromittálnia, az a desktop

Ez így van. De továbbra sem értem azokat az érveléseket, főleg ezzel az idézett kijelentéssel összevetve, hogyha minden egyben ott van a mobiltelefonon a mobilappban, és a mobiltelefonhoz nincs out-of-band második faktor, akkor az aztán miért sokkal biztonságosabb. Vajon miért van az, hogy itt elég sokan nem tartják igaznak azt, hogy "Ehhez _egy_ eszközt kellett kompromittálnia, az a mobiltelefon"?

"TOTP se jó, akkor se, ha yubikeyen tárolod a kezdőértéket"

Ezt nem mondta senki. A TOTP-vel at a baj, hogy nincs kényszerítve a shared secret biztonságos tárolása, illetve a megoszthatóságának a korlátozása/kizárása. Mivel a biztonságos tárolása nem garantálható, a megosztása, ellopása esetén semmilyen módon nem tudod megkülönböztetni az "eredeti"-t a "lopott/megosztott"-tól, így a biztonsági szintje _alacsonyabb_, mint amikor nem másolható, nem lopható el, és kizárólag olyan módon tárolható, ami ezt biztosítja.
És az is probléma egyébként, hogy a shared secret-et valamilyen módon meg kell osztani a két fél között - sajnos általában erre gen_qr_code(shared secret, user data) -> QR-kód ---> továbbítás ---> read_qr_code() -> extract_data(qr_code) -> store(shared secret, user data) megoldás adott, ahol a megosztott titok bizony lenyúlható, ha nincs az egész körbetapétázva valamilyen egyéb védelemmel - de mivel a kilens oldalon mindenképp megjelenik "nyílt" formában (a qr kód is az, hiszen védelem nélkül tartalmazza az adatot), így végső esetben ott nyúlható le.

 

Mobilon is csak azért nem kerülhet ki sehova egy kulcs, mert a kliens oldali szoftver kikényszeríti. Security by obscurity ez, nem több. Desktopra is írható olyan program, ami a regisztrációkor egyenesen egy yubikeyre tölti a privát kulcsot/seedet/akármit (egyszerű példa az ssh-keygen fido2 támogatása).

Nyilván TOTP vs PKI közt az utóbbi a nyerő, de pl. egy yubikey tudja mind a kettőt.

Képzeld el azt, hogy desktop-on a gui-d fut a jóska nevében, a böngésző a pista nevében, a totp a béla nevében - és ezen userek egymás állományait, a futó kód memóriaterületét nem érhetik el, nem látják. Na a mobilon valami ilyen az alap, ami desktop-on hiányzik.
Mobilon gyakorlatilag root jogot kell szereznie ahhoz, hogy egy másik alkalmazás _jól_ tárolt adataihoz hozzáférjen.

Kösz, tisztában vagyok vele, hogyan működik a desktopon a userkezelés, és hogyan okostelefonon. És ez a user szeparáció valóban ad egy plusz védelmi réteget az okostelefonon. De én a telefon kompromittálása alatt azt értem, hogy bejut olyan kód, ami képes más app adatához nyúlkálni. Tudjuk, hogy van ilyen, volt rá példa. Ellenben arra sokkal kisebb az esély, hogy valakinek egyszerre kompromittálták a mobilját és a desktopját is.

Tehát én továbbra is állítom, hogy az trend, hogy egy eszközön (okostelefon) belül megvan minden, ami ügyintézéshez szükséges, az csökkenti a biztonságot ahhoz képest, mint hogyha két külön eszközön történne ez, egyiken csak a név+jelszó+ügyintézés (desktop), másikon csak a second factor (okostelefon), de ekkor az okostelefonon tényleg csak a második faktor legyen, ne pedig teljes ügyintézési lehetőség.

Mondtam én, hogy kéne egy BANK-lite okostelefonos app, amelyik csak az nFA-t intézi. Halleluja!

(Ja, számomra kissé meglepő volt, hogy a telefongyártó natív fájlkezelője érdekes módon nem látta azt a mappát, amiben tudkálnom kellett volna, ellenben simán Play Store-ból telepítve a kugli saját Files app-ját, abban már megtalálható volt. Szóval igen, felkerülhet olyan app a store-ból, ami máshoz is hozzáfér, mint a sajátja.)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A desktop-on/akárhol tárolt shared secret-et meg észrevétlenül lehet vinni és használni.

Ha nem vagy biztonságtudatos felhasználó, aki akár egy szem jelszóra is tud vigyázni.
Itt a kockázat nem az, hogy ellopják, hanem hogy a kedves ügyfél duplikálja (ahogy az ÜF+ kapcsán is sokan is GMailen küldték át a QR kódot könyvelőjüknek, ismerősüknek + feltöltötték mindenféle noname weboldalra).

A linuxos keylogger meg a TEMPEST nem sci-fi, de határozottan célzott támadás kategória.

Igen, aki biztonságtudatos, az nem osztja meg mással, mert fel bírja fogni, hogy azzal őt 100%-ban meg tudják személyesíteni, ha az usernév/jelszó/shared secret hármast odaadja valakinek. Méghozzá úgy, hogy ő nem is fog róla tudni. De ha nem is osztja meg, akkor is elvihető úgy, hogy észre sem veszi a delikvens... És egy fájlt elvinni desktop pécéről... Nos, nem biztos, hogy NSA-szintű tudás kell hozzá. Sőt.

De ha nem is osztja meg, akkor is elvihető úgy, hogy észre sem veszi a delikvens... És egy fájlt elvinni desktop pécéről... Nos, nem biztos, hogy NSA-szintű tudás kell hozzá. Sőt.

Igen, ez a célzott támadás. Lehet zeroday exploit, tempest, Evil Maid attack, akármi. Ismerned kell a célpontot (pl. mik a szokásai, hol bankol), tudnod kell hol van fizikailag az eszköze és hol az online térben, rá kell venned valamilyen malware telepítésére vagy valamilyen oldal meglátogatására. Ha esetleg sikerülne távelérést szerezni a gépén akkor se biztos, hogy megtalálod a keresett file-t. Rejtve van valahol, titkosítva, vagy mindezek egymásba ágyazva? Esetleg mindez egy külső diszken található virtuális gépen, amire egyáltalán nem telepít semmit és csak néha van kivéve a fiókból?

Ugyanezt ki lehet hozni a sokak által lesajnált SMS-es MFA-ból is. Levedlett Nokiába feltöltőkártya, ami az unokahúgod nevén van. Bankoláshoz kapcsolod be, utána ki. Fiókban elfér.

Ha nem valami különleges célpont vagy akire a hárombetűsök szálltak rá, könnyen előfordul, hogy üres kézzel mész haza. Akkor már jóval egyszerűbb az erőszak :)

Igazából csak azt szerettem volna leírni, hogy amíg az átlagfelhasználó mindent leokéz és mindent bepötyög, addig nem te leszel a célpont.

> Azt észreveszed

Ha nem használod napi rendszerességgel, nem veszed észre. És nem mindenki nézegeti a bankszámláját naponta, pl én se. Ha elvesztenék egy bankos tokent, lehet, hogy csak 2-3 hét múlva venném észre, mert automata utalással megy kb mindenem, van amikor hetekig nem vásárolok online semmit, ami megerősítést kérne, üzletben meg bankkártyával fizetek.

Ha a PIN-je elég egyszerű az eszköznek - és soknak sajnos az - akkor nagyon könnyű a time-szenzitív kódot kinyerni az eszközből. Magát a shared secretet nem - de az mindegy is, a fizikai eszköz ott van, és amíg futja az elemből, generálja neked a PIN-eket.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Irjuk már fel a támadást, mert úgy lehet érvelni :D Ha a támadás az hogy fizikailag ellopják az eszközt, akkor ez ugyanaz a mobil és a hw token esetében. A mobilnál még át kell menni a pinkód/ujjlenyomaton is, és akkor esetleg elérheted a TOTP programot, aminél ha olyan, akkor megint van egy ujjlenyomatos védelem. A HW token esetében semmi ilyesmi nincs, van egy gomb amit megnyomsz ami generál egy kódot. 

A TOTP shared secret-et normál esetben nem fogod tudni kiszedni a mobilból, mert az alkalmazások nem férnek hozzá egymás területéhez. Nyilván lehet olyan támadást építeni amivel ezzel ki tudod szedni, de ez adott személlyel szembeni nagyon célzott támadásnak kell lennie. 

Ha a támadó be tudja szúrni magát egy adathalász oldallal (amit viszont bármelyik 14 éves diák össze tud hozni, ellentétben a fenti támadásokkal) akkor tök mindegy hogy honnan irod be a TOTP kódot, vagy akár az SMS-t, a támadás sikeres lesz.

Ha webről akar valaki bankolni, akkor az egyetlen biztonságosnak tűnő megoldás hogy ha van egy alkalmazás amely lényegében egy certificate pinning-et megvalósítva csatlakozik a bankhoz és ellenőrzi hogy a tanúsítvány megegyezik. Ezt mintha régen úgy csinálták volna hogy fel kellett telepíteni egy plugint amely egy kártyán tárolt cert-et felolvasva összehasonlította a weboldal és a kártya cert-jét, és ha megegyeztek, akkor engedte a bankolást, különben nem. 

A HW token esetében semmi ilyesmi nincs, van egy gomb amit megnyomsz ami generál egy kódot.

HW tokenek meglehetősen különbözőek ebből a szempontból. Valóban van olyan HW token, amelyik gombnyomásra generál kódot, ilyenkor jellemzően a user által ismert pin kóddal együtt kell megadni az oldalon a 'jelszót' (pl. RSA SecurID), illetve olyan is, ahol az eszközön kell megadni egy kódot, és csak akkor adja ki a generált kódot, ha a megadott kódsor helyes (pl. Digipass)

A./ - akkor már NFC-s, tanúsítványt tartalmazó kártya... És igen, részben a jelentős költségvonzat miatt lett kivezetve a saját smartcard/token a bankok részéről - a kibocsátás/csere/pótlás jelentős humán erőforrást igényel - az eszközök árán/költségén felül.

B./ Felnőtt, jog- és cselekvőképes, a használat kockázatát ismerő ügyfélnek kezelni az emberket? Azokat, akik a legblődebb csalásnak is bedőlnek? Edukálni kellene, igen, csak arra nem a bank - ügyfél, hanem iskola - diák relációban kellene sort keríteni - de oda ugye a mindennapos testnevelés, hittan, meg egyéb mindennapi élethez qrvafontos dolgok mellé már nem fér be...

Az e-személyis hitelesítés jó _lett_ _volna_, de az, mint elektronikus azonosításra is szolgáló megoldás kihalásra lett ítélve a DÁP megjelenésével - ez utóbbival viszont belátható időn belül kell tudnia azonosítania magát a bank felé az ügyfeleknek.

 

Az "Akit érdekel, venne NFC-s telefont vagy kártyaolvasót." nagyon kis hányada az ügyfeleknek - a többi ügyfélnek is kell tudni a banknak a lehetőségein belül biztonságos elektronikus ügyintézést nyújtani.

Edukálni kellene, igen, csak arra nem a bank - ügyfél, hanem iskola - diák relációban kellene sort keríteni - de oda ugye a mindennapos testnevelés, hittan, meg egyéb mindennapi élethez qrvafontos dolgok mellé már nem fér be...

Nem lehet, hogy fordítva ülünk a lovon, és olyan technológiát használunk, amelynek alkalmazására az emberek egy része mentálisan alkalmatlan, akkor nem az emberekkel van a baj, hanem a technológiával? Mert szerintem ez a helyzet, s ezért kellene visszatérni a készpénzhasználathoz, mert azt még az emberek igen nagy hányada, gyakorlatilag mindenki érti, nem vet fel privacy problémákat, nem kell hozzá semmilyen műszaki, hálózati eszköz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezzel a logikával dobáljuk ki a számítógépeket, és térjünk vissza a tábortűz füstjelével való kommunikációhoz. Az emberek sokszor a számítógép kezelésénél elakadnak, nem tudnak megoldani egy "Keyboard is not connected" jellegű problémát, TEHÁT akkor bonyolult a technológia, és ez validálja, hogy menjünk vissza a kőkorba, mert oda valók vagyunk.

Nem, itt alapvetően az edukáció lenne a jó irány, mentül korábban, integrált, számítógépes oktatás, az oktatási anyag teljes átalakítása, a lexikáls tudás helyett a gyakorlati tudás építése. De ebbe senki nem akar belemenni, mert "juj milyen ciki lenne, ha a gyerekek nem tudnák, hogy mikor írták alá az Aranybullát". Az, hogy felnőve nem bírnak aláírni felelősen semmit, mert nem értik, hogy mi van a szerződésben, az senkit nem érdekel.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Szerintem ezt kicsit túlragozzátok, nem olyan bonyolult ez a dolog. Amikor én iskolába jártam, meglehetősen mereven meg volt határozva, hogy mit kell tanítani, sok mindenről a valósággal és a tényekkel is ellentétesen, ún. pártos marxista szemlélettel. Mégis a tanárainknak jutott ideje arra, hogy a hivatalos mellett beleplántálják a fejünkbe azt is, ami érték. Felsőtagozattól kezdődően, történelemből, magyarból is. Pedig akkor a tanárainkat a rezsim komolyan fenyegette ilyesmiért.  

Ma más a helyzet. Nem a szándék hiányzik az évtizedes kontraszelekció szerint kialakult pedamókus társadalomban arra, hogy gyakorlati tudást is plántáljanak a nebulók fejébe, nem a tanterv akadályozza az ilyesmit, hanem a pedamókus felkészültsége és igényessége hiányzik hozzá. Már a saját gyerekeim idejében is hiányosnak éreztem ezt, az unokáim pedamókusai esetében már fájdalmasan nyilvánvaló, hogy aki elvégzi az iskoláit úgy, hogy nem ismeri a fogkefét, attól hiába várod el, hogy tudja, mi az a fogkrém. 

Ettől persze abban igazad van, hogy mégiscsak az edukáció a jó irány, az a kérdés, hogy lehet-e igényes pedagógusokat képezni hozzá. Szerintem lehet, rövid távon 5-10 év alatt is.

Nem értek egyet ezzel. A számítógép illetve okostelefon használat egy kényelmi opció legyen, de legyen már joga hátrányos következmények nélkül élni azoknak, akik nem tudnak vagy nem akarnak ilyen eszközöket használni.

Az megvan, hogy a rendszeres telefon vásárlás sok pénz? A telefonhoz az LTE hálózati elérés megint csak tetemes kiadás? Ne abbólj indulj ki, hogy az már van, mert FB-n nézegetik a macskás videókat. Nekem sincs FB fiókom.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ki kérheti az adóbevallási tervezet postázását? 

2025. március 17-ig azok kérhetik a tervezet postázását SMS-ben, levélben, telefonon, személyesen vagy elektronikusan, akik nem rendelkeznek KAÜ azonosítóval és önállóan nem nyújtották be 2024-re vonatkozó bevallásukat. 

> megfizetett

Aha, itt is vannak amúgy bajok. De egyébként nem, van egy tanterv, amit le kell adnia, abban nincs benne, de azt meg nem a pedagógus állítja össze, hanem az oktatási miniszter - már ha még létezik ez a pozíció, és nem ezt is a hadügyminiszter csinálja.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nem nevezném "igénytelenségnek" azt a generációs szakadékot, amely az oktatandó gyerekek alakuló értékrendszere és az őket edukálni igyekvő tanároké között van. Mert ez a tényező, ami valójában megakadályozza egy optimális tanár-diák viszony kialakulását és hat negatívan a tudás átadásra.

(És tegyük hozzá, a felnőtt társadalom, minden szinten hallatlan "hozzá nemértéssel", tulajdonképpen "kulcs vesztéssel" próbálja kezelni ezt a problémát.)

Igazából a mai oktatás "tabula rasa" elven kezeli és úgy próbálja tanítani felprogramozni a gyerekek agyát, hogy ott már a tanárok számára ismeretlen és meghatározó kódsorok találhatók, amelyek kihatnak az oda bejuttatni szándékozott tudásanyag befogadhatóságára. 

Először vissza kéne fejteni az agyukban található "pre"-kódot, amit iskolaérettségig összeszedtek, - és nem kísérletet tenni a törlésére, felülírására - és akkor talán nagyobb hatékonysággal lehetne tanítani a gyerekeket.

Lehet, hogy igazad van, de én ezt a magam részéről nem eszem meg.  A "generációs szakadék" nem egyedi esemény a világtörténelemben, hogy a pedamókus ne legyen erre felkészíthető. Szerintem a pedamókusnak pont nem az a szakmája, hogy a központi tantervet leadja a gyerek előtt, hanem éppen az, hogy ezt a generációs szakadékot kihasználva értéket adjon át a gyereknek. Ez független a tantervtől. Akinek ez idegen és a tanterv tölti be a szakmai hozzáértését a gyerekekhez, azt nem lenne szabad erre a pályára engedni. Nem a generációs probléma itt az akadály, nekem van olyan fiatal ismerősöm is, aki csak nyomogatós Nokia telefont hajlandó használni, mert "nincs igénye" okostelefonra. Azt is vitatom, hogy az időskori elhülyülés lenne az oka annak, ha valaki nem tudja a telefonját egy banki tranzakcióra használni.

Ha a tanár számára ismeretlen mondjuk egy banki alkalmazás használata, akkor ennek az az oka, hogy nincs igénye ilyesmire és ezt az igénytelenséget fogja továbbadni a gyerekeknek.

Amiről írsz szerintem minimum négyezer éve így működik amikor a felnövekvő generációt az előtte levő generációk "pályára teszik". Én teljes megértéssel figyeltem a pedamókusok küzdelmét valamivel tisztességesebb munkabérek iránt, mert a gyerekeim és unokáim bőrén tapasztaltam azt a kontraszelekciót, ami ehhez a mostani helyzethez vezetett. Ahogy a mostani fizetéseket elnézem, kezdünk abba a helyzetbe kerülni, amikor igenis meg lehet követelni a pedamókustól, hogy ezért a pénzért tanuljon meg értéket adni a gyerekeinknek, ehhez használja a tantervet meg az intézmény rendszerét. Az intézmény ebben csak azt akadályozza ma, aki nem való a pályára. De ez sem új ez is nagyon régen így van.

A./ - akkor már NFC-s, tanúsítványt tartalmazó kártya... És igen, részben a jelentős költségvonzat miatt lett kivezetve a saját smartcard/token a bankok részéről - a kibocsátás/csere/pótlás jelentős humán erőforrást igényel - az eszközök árán/költségén felül.

A legolcsóbb a banknak, ha az ügyfélre áthárítja a költséget (telefon, Internet). Nem zavarna a dolog, ha lenne alternatíva. A sok léhűtőt a fiókhálózattal, ATM hálózattal tizedelném, már is lenne fedezet a smartcardra :)

 

B./ Felnőtt, jog- és cselekvőképes, a használat kockázatát ismerő ügyfélnek kezelni az emberket? Azokat, akik a legblődebb csalásnak is bedőlnek? Edukálni kellene, igen, csak arra nem a bank - ügyfél, hanem iskola - diák relációban kellene sort keríteni - de oda ugye a mindennapos testnevelés, hittan, meg egyéb mindennapi élethez qrvafontos dolgok mellé már nem fér be...

Lehet, hogy nem leszek népszerű. Tényleg mindenkit meg kell óvni a saját hülyeségétől?

 

Az oktatással egyetértek. Ezt most találtam: https://penziranytu.hu/uj-ingyenes-munkafuzetek-tamogatjak-az-iskolai-penzugyi-nevelest

Most spekulációt írok:

 

Mi van akkor, ha azt hiszed valamiről, hogy be van kapcsolva, de bizonyos körülmények között az még sincsen bekapcsolva? 

írok két példát: Pl. mondjuk mobilról a bank kér sms megerősítést az átutaláshoz, de netbankból nem kér? Vagy fordítva.

Mi van akkor, ha azt gondolod, hogy az sms megerősítést nem lehet kikapcsolni, csak sms megerősítéssel, de mégis ki lehet?

 

Ilyenkor nem a 2FA van felnyomva, hanem meg van kerülve.

Értem amit írsz és akár valid is lehetne.
Mégsem tartom valószínűnek hogy ez történik mert akkor nem random 1-1 ember számlájáról lopnának el pénzeket hanem tömegesen és nem 1-2 milliókat. Amellett vannak erre tesztek is (pentest). Amit persze el kell végeztetni, de az is biztos h ha nincs akkor MNB nagyon megbünteti illető bankot.

Voltam ilyen pozícióban, ismerem a követelményeket és eljárásokat.

Gábriel Ákos

A mi esetünkben az éjszaka folyamán jött 3 sms kód a telefonra az éjszaka folyamán aminél a harmadikban volt az hogy ha nem ön kérte akkor keresse a bankot. Ez másnap reggel miután észre lett véve a sms meg is történt csak addig a csalók végrehajtottak 15 tranzakciót. Úgy hogy valahogy kijátszották a rendszert vagy lecserélték a telefonszámot.

Egyszer még a múlt évezredben New Yorkban sétáltunk a barátommal és szembe jött velünk egy idős néni egy kislánnyal. Elmentek mellettünk, majd a kislány hátrafordult, visszazszaladt hozzánk és azt mondta, hogy nem, mi nem akarunk arra menni, menjünk vissza a fő utcára és arra sétáljunk. Ez még a Pataki féle nulla tolerancia előtt volt jóval.

Valahogy nem világos nálunk az, hogy az első kötelessége a polgárnak az önvédelem, és csak azután jön a bizalom abban, hogy a barátja, szomszédja, az állam vagy a társadalom majd megvédi. Nyilván vannak olyan helyzetek, amikor az egyén nem képes megvédeni magát, de ebből nem következik, hogy ha egy szélhámos átver, akkor szükségképpen csak áldozat lehetsz. A valóság az, hogy simán lehetsz ilyen helyzetben ostoba barom elsőként és csak másodsorban áldozat. Értem én, hogy nehéz ezt megemészteni, de azt hiszem az egy komcsi érából velünk maradt teher, hogy a társadalomnak meg a rendőrnek kell megvédeni az egyént.

Van olyan helyzet, amikor igen, de alapállásban mindenki elsősorban saját magáért felel.

Ezekben az esetben (amikről most már tudok) vélelmezésem szerint a userek nem csináltak ostobaságot.

Lehettek volna elővigyázatosabbak, de itt nem social engineeringről volt szó, nem is gyenge jelszóról, nem is a kétlépcsős azonosítás hiányáról.

 

Itt a bank nem járt el kellő gondossággal. A rendelkezésemre álló információk szerint a lopások jelentős része megelőzhető lett volna, ha a bank gondosabban jár el az első jelentett eset után.

Az MBH bank informatikusai tkp. méltánytalanul alacsony színvonalon dolgoznak, a bank kifejezetten felelőtlenül állította fel az informatikai rendszerét, ez itt a HUP-on már sokszor volt téma. Egészen biztosan nagy kárt okoztak ezzel az összes ügyfelüknek, de nem tartom valószínűnek, hogy azon kívül, hogy ép ésszel ebbe a bankba senki nem teszi a pénzét,  bármilyen jogi eljárásban felelősségre vonhatók lennének. Tkp. a menedzsment a ludas ebben, aki az ottani informatikusokat fizeti, a menedzsment felel a tulajdonosainak, akik a felelőtlen informatika miatt sok pénzt elbuknak. Ezért a menedzsmentet a bank tulajdonosai akár életfogytig tartó kenyérvizre is ítéltethetnék Kufstein magos várába, talpig vasba, ha rajtam múlna, mert enyém lenne a bank, meg is tenném, de lehet, hogy nem szaroznék, csak egy betonkockába velük valahol az alagsorban. Attól tartok azonban a bank jelenlegi tulajdonosain nincs akkora profitprés hogy megoldást kellene keressenek, leszarják a helyzetet. Megszerezni nem volt nehéz, csak nagyobb baj ne legyen a hozzáértés ilyen súlyos hibái miatt. 

Én úgy látom hogy a szakmának van az a része aki közvetlenül vagy közvetetten megtapasztalta ezeket a pénzintézeteket. Részben a tapasztalásból részben a politikai hovatartozásból adódóan ezek az "erőforrások" egyszerűen elérhetetlenek ezen pénzintézet számára, aka "nincs az a pénz". 

Igény az volna szakemberre mert rendszeresen megtalálnak de két kérdés után kiderül hogy hova is kéne és akkor már csalódik is szegény recruiter. Addig se jutunk el hogy napidíjról beszélgessünk. 

Gábriel Ákos

Mondjuk azért engem érdekelne, hogy az MBH-n belül pontosan melyik bankot értjük. Mert olyan, hogy MBH Bank, infrastrukturálisan nincsen, és egy jó darabig nem is lesz. Van a BudapestBank, a MKB és a Takarékbank. Értem, hogy Lölőke fogta, és összevásárolta a fél világot és átnevezte a saját szája íze szerint, de valahogy kételkedem abban, hogy az azóta eltelt pár évben mindhárom bank teljes banki kiszolgáló infrasturktúráját összefésülték volna egybe. Az a legjobb esetben is 10-15 év.

Amennyire emlékszem, annak idején a BudapestBankról és az MKB-ról elég jókat olvastam, majdnem a BB-ben nyitottam az első számlámat mert nagyon tetszett a logójuk, csak nem volt a környéken olyan fiók.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Na ne vicceljünk.

Az MBH egy bank. Amit te több banknak látsz, az a frontendjei, amiket az ügyfelek felé mutat. De ez sem több banké, hanem egy bank üzemeltet több frontendet, arculatilag azonos vagy hasonló elemekkel. Itt a projekt a különböző frontendek hibás működésével kapcsolatos, ami informatikailag teljesen indokolatlan. Az is indokolatlan, hogy három frontend legyen és az is, hogy ezek különböző hibáktól hemzsegjenek. Hogy a háttérben három infrstruktúra működjön, az siánm elképzelhető, ez már az informatikai menedzsment saját mazochizmusa. Én a Takarékbankot nem ismerem, de MKB és BB ügyfél is voltam, maszek is és céges is és bizton állíthatom, hogy mindkét banknak hibátlan frontendje volt (mondjuk a háttér az MKB-nál már régen beteg volt, volt olyan, hogy Excelben, külön kérdésre tudtak csak egyenleget adni, manuálisan, ami egy bank esetében konkrétan már a rejtett csődhelyzetet mutatta).

A mögöttes infrastruktúra összevonása sem telhet egyébként 10-15 évbe, ez az időtartam inkább az adatállományok tartalmi összeolvadásához kellhet. De esetünkben a mögöttes infrastruktúra a bank magánügye lenne, ha egységes, jól működő frontendet csinált volna - akár valamelyik működő megtartásával, a BB-é pl. teljesen hibátlan volt. Ehelyett csináltak 3 új szart (bocsánat a Takarékbankosat nem ismerem, meglepne, ha az jobb lenne, dehát minimum kettő új szart). Ez informatikai baklövés volt, mentségei lehetnek a felelős vezetőnek, de az eredmény maga az ítélet. 

A taki felől kb. három netbankos motyóból kellett egyet csinálni - igaz, mire a takszövöket összegyúrták egybe, addigra számlavezető rendszerből is csak egy maradt, de az összegyúrás során bőven akadtak hibák, hiányosságok, olyasmik, amikre mondjuk szerdán a go/no go döntés meghozatalakor nem gondoltak, és pénteken migrációkor derült ki, hogy kezdeni kell vele valamit... És ezek az összegyúrások is hosszú ideig tartottak - oké, nem 10-15 évig, de hogy sokáig, az biztos. És abban is biztos vagyok, hogy vannak olyan már 1000 éve nem értékesített termékek (megtakarítások, hitelek, számlacsomagok, stb.) amik miatt néhány legacy rendszer ketyeg itt-ott a sarokban... Már csak azért is, mert jellemzően számlatörténetet nem, csak ügyféltörzset és egyenleget, illetve a számlához kapcsolódó, elektronikusan tárolt egyéb információkat (jóváhagyott csoportos beszedések, rendszeres átutalások, kedvezményezett megjelölések) szokás a beolvadó számlavezetőből átvenni - a history meg marad a régi rendszerben addig, amíg a legutolsó ott tárolt tranzakciós adat megőrzési ideje le nem jár.

Mondom, anélkül, hogy a Takarékbankos részével a történetnek lenne felhasználói tapasztalatom, az szerintem nem meglepő, ha a menet közben felmerülnek olyan események, amire a tervben nem gondolt a gondos projekttervező. Mindenesetre egy bank esetében a vak migráció szerintem kábé olyan, mint amikor anélkül ugrunk a medencébe, hogy valaki megnézte volna, van-e víz benne. Pl. a tesztrendszeren a migrációt magát és az eredményét tesztelni kell, alaposan, mielőtt egy go/nogo döntés szóba jöhet. Vicces lehetett ott lenni, amikor meg kellett indokolni, hogy miért is szükséges egy banknál a migrációt élesben, teszt nélküli megkezdeni. Ilyenkor jön a hadova a határidőkről, a korlátos büdzséről meg arról, hogy nem ragad a bélyeg, kevés/sok a csapadék és egyéb akadályozó problémák vannak.

A számlatörténet persze olyan ügy, aminél nyilvánvaló, hogy a régi infrastruktúrának valamilyen módon meg kell maradnia, de az megintcsak nem kézenfekvő, hogy ehhez a felhasználónak köze lenne. Egy banknak egységes frontend kell, amivel a felhasználót meggyőzi arról, hogy jó helyen lesz a pénze, ha ideteszi. Hogy ez a frontend hova nyúlkál, ha az n évvel azelőtti átutalásának a nyomait keresi a felhasználó, ahhoz a felhasználónak semmi köze. Ez egy banknál elsősorban marketing felelősség, az, hogy itt az informatika olyan döntést keresztülnyomjon, hogy az ügyfél valahol máshol kell keresgéljen a számlatörténet után, szerintem szóba sem jöhet. A BB-s frontendnél pl. ez történt. Egy prudens banknál ilyesmi teljesen elképzelhetetlen. Ez vezetői probléma, felelőtlen, hozzánemértő menedzsment, előkészítetlen, hibás döntések sorozata. Már korábban írtam, hogy ahol ilyesmi megtörténhet, ott előbb utóbb nagyobb bajok is előfordulhatnak.

Talán az lehet a dolog mögött, hogy a vevő nem ismerte azt az infrastruktúrát, amit megvett és menetközben kellett megismerkednie vele, mégis mi került neki a batyuba. Felelőtlen játék az ügyfelek pénzével.

Ceterum censeo Kufstein magos vára, 20 év, kenyérvízen, talpigvasban.

"Mindenesetre egy bank esetében a vak migráció szerintem kábé olyan, mint amikor anélkül ugrunk a medencébe, hogy valaki megnézte volna, van-e víz benne. Pl. a tesztrendszeren a migrációt magát és az eredményét tesztelni kell, alaposan, mielőtt egy go/nogo döntés szóba jöhet."

Én láttam már olyan, több hullámban agyontesztelt migrációt (bank) éles másolat környezetben, ami semmi problémát nem generált, az éles átállás után mégis előjöttek elhanyagolhatónak semmiképpen sem nevezhető anomáliák.

"A számlatörténet persze olyan ügy, aminél nyilvánvaló, hogy a régi infrastruktúrának valamilyen módon meg kell maradnia, de az megintcsak nem kézenfekvő, hogy ehhez a felhasználónak köze lenne. Egy banknak egységes frontend kell, amivel a felhasználót meggyőzi arról, hogy jó helyen lesz a pénze, ha ideteszi."

Aha. Persze. Mondjuk DB szempontból vegyünk Progress-t, Firebird 2.5-öt meg Postgres-t. Plusz mellé Oracle-t. Sok szerencsét az egységes frontend kialakításához, ami nem csak a havi kivonatokat képes megmutatni a legacy rendszerekből... (azért néhány készlet csapágyat érdemes beszerezni ama bizonyos rollerhez...)

Az említett összlet való életből vett példa, és bizony nem csak üzemeltetési kérdés volt, hogy mi maradjon, és mi menjen a kukába. Ja, az egyik számlavezető rendszer vastagkliensén kívül minden Linuxon ment... És de, ott volt egy csomó, az adott rendszerekhez komolyan értő fejlesztői támogatás is. Ami ennyire vegyes felvágott, ott nem elsősorban a technológiai kérdések a döntőek, mert minden, ami weben megszólítható, az összegyúrható egybe (nem, nem minden DB érhető el ODBC-n vagy natívan hálózatról...) csak az nem mindegy, hogy mennyibe kerül görgetni a múltat,a miről tudott dolog, hogy tele van khm. olyan dolgokkal, ami már a belekerülésekor is gányolás volt...

A magyar kereskedelmi bankoknál sokkal nagyobb entitások is néha összeolvadnak, meg szétválnak, és ha egy évnél tovább tart egy ilyen migráció (elejétől a végéig), akkor a business már picsog, hogy ez így nem lesz jó, cserélni kell az IT managementet.

Ez megint ilyen kispályás banki IT tempó, hogy azért nem lehet egységes frontended csinálni, mert többféle adatbáziskezelő rendszer is van a cégben. ROTFL.

Nem azt írtam, hogy _nem lehet_, hanem azt, hogy tervezd meg, adj rá idő- erőforrás- és költségbecslést, majd tedd zsebre, amit a számok láttán az, aki a pénzek felett diszponál mondani fog rá.
A méret egyébként kvázi mindegy, mert nem a mérlegfőösszeg, vagy épp az ügyfélszám az, ami meghatározza, mennyire lesz szívás/meddig fog tartani (nagyon leegyszerűsítve több ügyfélhez több vasat kell alápakolni...), hanem az egyes összegyúrandó rendszerek akár nagyon is lényeges eltérései, ha a technikai oldalt nézzük, illetve a termékportfoliók különbözősége és az egyes termékek "szavatossági ideje" (Azaz mikr vezethető ki részben vagy teljesen - egy 30 éves futamidejű hitelterméket vagy 1:1 megfeleltetsz az új rendszerben egy másiknak, vagy viszed tovább legacy rendszerként, egy mondjuk postai betétkönyvet dettó (volt hozzá szerencsém pár évvel ezelőtt - egy idősebb hölgy volt a fiókban, aki tudta, hogyan és mit kell vele csinálni a hátul egy külön pécéről elérhető rendszerben...

Ezt mind értem (ebből élek én is), csak azt az apró, icike-picike részletet hiányolom a történetből, hogy én, mint ügyfél, miért találkozom ezzel a problémával a frontend rétegben. Az, hogy régóta működő cégek tele vannak legacy rendszerekkel, az nem újdonság, mindenhol ez van.

Csak más iparágakban ezt nem úgy oldják meg, hogy egy legacy rendszer = egy mobilapp, hanem van valami middleware a kettő között, ami a 30 éves hitelterméket rámappeli egy közös struktúrára.

( n.balazs v | 2025. 04. 16., sze – 00:14 )

Lölőbank. Nem lepődök meg rajtuk.

Megjegyzem, hogy az sms-nél vannak már biztonságosabb módok is.
Nekem a K&H régi rendszere tetszett, ahol adtak egy smart cardot és olvasót. Vállalkozói számla volt.

Ha tényleg annyira lyukasak, mint ahogy állítod, akkor irány MNB. Hadd szóljon a bírság - úgyis jól jön az most az MNB-nek.

( deje | 2025. 04. 16., sze – 00:56 )

Az egyik előddel, a Takarékbankkal van tapasztalatom. Ismerősnek vitték a pénzét, szerencsére nem sokat, talán másfél éve, vagy ilyesmi.

Volt 2 faktoros auth: SMS. Ami kiderült, 2 dolog kellett a lopáshoz:

  1. "Újrahasznosított" jelszó - azaz az illető ugyanezzel az email-el ugyanezzel a jelszóval máshol is regisztrált, úgyhogy ez biztosan kikerült
  2. Takarékbank lyukas rendszere

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t. Ezt a saját szememmel is láttam...

Rendőrségi ügy lett belőle. Eredmény: semmi. Nyomoznak. Azóta is. Kártérítés nuku, felelősök nincsenek.

Mikor kellően sok ember járt már a rendőrségen, a bank "betömte" s biztonsági rést: letiltották a biometrikus azonosítás engedélyezését.

Egy büdös említés sem volt erről semelyik újságban sem, beleértve az "ellenzéki" sajtót is.

Meneküljetek innen.

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t.

Én azt nem értem, hogyan jutott el arra a felületre sima user/pass párossal bárki bekapcsolt SMS-es 2FA mellett a számlatulajdonos közreműködése nélkül, amelyiken be lehet kapcsolni a már élőtől eltérő második faktort... Merthogy az MFA bekapcsolás jellemzően nem a login screen-en van user/pass megadása, de a 2FA előtt...

Ezen felül az szerintem általános, hogy ha többféle második faktor van bekapcsolva, akkor az user/pass mellé bármelyiket elfogadja a legtöbb rendszer, nem kell az össes további faktorral egyszerre hitelesíteni magunkat. Ezért van a belépési ablakokban lehetőség a használt második faktor kiválasztására.

Szóval ehhez a hozzászóláshoz is jó lenne a pontosítás, hogyan is történt részletesen leírva a telefonos biometrikus 2FA beállítása, ha már volt SMS-es kód.

A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal, ebben az esetben kikerülte a másik faktort, pl SMS-t. Ezt a saját szememmel is láttam...

Volt SMS-es 2faktoros beállítva. Azonban a biometrikus azonosítás engedélyezéséhez nem kellett belépni, és így kikerülte az SMS tokent - legalábbis ez az, amit a saját szememmel láttam, ugyanis nekem is van számlám náluk. Csodálkoztam is, de nem jutott eszembe szólni nekik. Amire már nem emlékszem, hogy az SMS token helyett volt-e email-es jóváhagyás, mert az lehet, hogy kellett. Az illetőnek az email fiókját is vitték, mivel oda is ugyanazt a jelszót használta - pont ez volt az elkefélés az ő részéről, és pont erre lenne való a 2FA...

Én idejekorán bekapcsoltam a biometrikus azonosítást, ráadásul nem használok újra jelszavakat, így engem nem érintett a sérülékenység. Az mindenestre eléggé beszédes, hogy pár hónappal az eset után jött a kör-email, hogy a biometrikus azonosítás engedélyezése le lett tiltva meghatározatlan ideig (a mai napig). A már beállított biometrikus azonosítás működik a mai napig.

Az MBH-s egyesülés során pedig ahogy látom új informatikai rendszerre térnek át, asszem az MKB szoftverére migrálnak mindenkit szép lassan, a mobilalkalmazásuk is ki lett (lesz, mert még működik a régi...) cserélve.

"Volt SMS-es 2faktoros beállítva. Azonban a biometrikus azonosítás engedélyezéséhez nem kellett belépni,

16.-án még mást írtál:

"A hiba abból állt, hogy ha még nem volt telefonos app-al biometrikus azonosítás bekapcsolva, akkor azt pusztán a usernév/jelszó párossal be lehetett kapcsolni tetszőleges telefonnal"

https://hup.hu/comment/3180343#comment-3180343

Vagyis mégis belépett?https://hup.hu/comment/3180343#comment-3180343

https://hup.hu/comment/3180343#comment-3180343

( kvarga | 2025. 04. 16., sze – 02:04 )

Ne haragudj az értetlenkedésért, de részletek nélkül ezt így nem tudom feltörésnek definiálni. PSD2 kijátszhatóságára tippelek, de ez csak meglévő hitelesító adatok birtokában működhet.

A részleteket szándékosan nem írom le, amíg le nem zárul az ügy.

 

Abban igazad van, hogy nem feltörés, hanem csalás történt. Pontosabban a bank autentikációs folyamatának a kijátszása.

 

Arra irányult a fórumbejegyzés, hogy aki hasonló cipőben jár ennél az intézménynél, azzal tudjunk egyeztetni, hogy mit lehet tenni effektíven a pénzt visszaszerzése érdekében.

Most akkor arról van szó, hogy alapból nincs erőltetve a multifaktor, jól értem?

De mi az, hogy "nincs erőltetve"? A 2FA már egy ideje kötelező a bankoknál, nem? Ha akarom sem tudok egyfaktoros beléptetést használni a netbanki felületeken.

Nemrég írt a K&H, hogy a kényelmes login utolsó védőbástyája, a szépkártyás felület is innentől 2FA-s lesz, nehogy mindenféle jöttment hacker lekérdezhesse a kártyám egyenlegét.

Meg kell novelni a buntetesi tetelet annak a buncselekmeny tipusnak, amit a Telenorba hamis szemelyivel befarado bunozo elkovetett.

Egyeb esetben hamarosan veget er a digitalis civilizacio.

(Nem csak Magyarorszagon problema, es ez volna a torvenyhozok feladata, nem a transzjogokon valo vitatkozas.)

Ez egy régi sztori - amennyiben igaz.
SIM csere fél éve a Telekomnál úgy zajlott, hogy az előfizetőnek személyesen meg kellett jelenni (meghatalmazást nem fogadnak el), a SIM-nek is ott kellett lennie. Mindkettőt ellenőrizték + küldtek ki a cserélendő számra SMS-t, hogy cserét kezdeményeztek és a delikvens azonnal hívjon egy megadott számot, ha nem ő kérte a dolgot.

( kassaiviktor | 2025. 04. 16., sze – 07:02 )

ez így csak hangulatkeltés. 

inkább írj tényeket vagy semmit!

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Az miért lenne bűncselekmény, ha megosztja, hogy

  • melyik korábbi banki (MKB/Budapestbank/Takarék) rendszer MBH-ra rebrandelt változatával történt, azaz hol volt korábban ügyfél,
  • hogyan történt a csalás,
  • mire érdemes ügyfélként figyelni, elkerülendő a hasonló eseteket? (ezt nyomokban tartalmazza mondjuk a topicindító)?

(Személyesen nem vagyok érintett, de ismerősi körben vannak, akik valami furcsa perverzió okán ott bankolnak, emiatt mégiscsak érdekel valamennyire.)

Azért, mert - tekintettel arra, hogy a posztoló feljelentést tett - mindez az információ egy már folyamatban levő nyomozás része. Ezek az infók csak akkor oszthatóak meg, ha a nyomozás már lezárult, különben a nyomozás akadályozása-befolyásolása miatt részben őt is elővehetik, részben pedig emiatt hátrányba kerülhet a nyomozás.

Privátban szerintem tudtok egyeztetni, de ezek a részletek a jelenlegi helyzetben valóban nem oszthatóak meg publikusan.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igazatok lehet, hogy a hiba pontos ismeretében más is visszaélhetne vele, akkor csak annyit lenne célszerű megosztani, hogy mire érdemes figyelni, valahogy csak elindult a csalás és ehhez szerintem felhasználói interakció kellett.  Ha nem ez a helyzet, akkor azonnal le kell kapcsolni az egész banki rendszert és a hiba kijavítása/workaround után újra elindítani.  Ha igaz, ami a topic indítójában volt, hogy a bank tudatában volt valamilyen tervezési problémának, akkor pedig kártalanítsák az ügyfelet és tegye a pénzügyi felügyelet a dolgát.

Ne haragudj, ezzel nem értek egyet.

 

(1) kiváncsi vagyok, hogy mással is történt-e ilyen eset mostanság, ugyanis együtt könnyebben fel lehet lépni a pénz visszaszerzése ügyében.

 

(2) ez egy visszajelzés, hogy ennek a banknak a biztonsági rendszere szuper könnyen kijátszható. Válasszatok olyan bankot, ahol ez nem áll fenn. 

 

(3) ez nem hangulatkeltés, hanem kurva drága tapasztalat, ugyanis a mi családunkban történt egy nagyon súlyos lopás, ahol minket rendkívül súlyos kár ért a bank hanyagsága miatt.

( guszti | 2025. 04. 16., sze – 07:34 )

Anyósomnak ott van számlája. Két hete kapott egy tájékoztató levelet, amiben valami ePIN-ről volt szó. Amit internetes vásárlásokhoz kell/lehet? használni. Mivel anyósom havonta egyszer-kétszer használja a kártyáját pénzkivételre és nem internetbankol, nem internetezeik. A bakszámla adatai nem kerültek fel az internetre, így nem igazán foglalkoztunk vele. Nincs okostelója, egy e-mail címe van, amivel a messengerbe van beléptetve. Ez mondjuk lehet támadási faktor. Ránézünk majd.

( ggallo | 2025. 04. 16., sze – 07:47 )

Nem a bankok védelmében mondom, de a felhasználók (a műszaki területen jártasak is) nagyon nem ügyelnek a biztonságra, azokkal a biztonsági elemekkel sem élnek, amik rendelkezésre állnak.

Maga az állítás is hibás, mert soha nem feltörik a bank rendszerét (ehhez a szoftverükben kellene kiskaput találni és érvényes hitelesítő adatok _nélkül_ hozzáférni a rendszerhez), hanem normál módon authentikálnak lopott, talált vagy kicsalt hitelesítő adatokkal. És ha nincs semmi plusz ideiglenes/személyhez-/eszközhöz kötött faktor engedélyezve (ebből általában többfélét kínál jó ideje minden hazai bank), akkor már lehet is vinni a pénzt.

A bank annyiban mindenképp nevezhető hibásnak, hogy nem szól _naponta_ az ügyfélnek (csak kb. havonta, én minden bankomtól kapok ilyen rendszerességgel tájékoztató levelet a csalások-lopások megelőzésnek módjairól), hogy vigyázzon a náluk lévő pénzére, és ehhez az alábbi módszereket ajánlják:... De amennyi hír ilyen csalásról, átverésről már megjelent az utóbbi években, úgy annak egy kő alaltt a világtól elzárva kell élnie, aki erről még nem hallott a banki értesítégetés nélkül is.

És akkor most aki nem éri a mondandóm lényegét, annak lehet ide írni, hogy milyen szemét áldozathibáztató vagyok, meg, hogy miért védem a NER-es bankot, satöbbi.

A probléma ebben az esetben ott van, hogy vélelmezésem szerint kiskapu volt  a bank rendszerében.

 

A bank ebben az esetben több esetben is hibás:

 - kiskaput hagy a rendszerben

 - észleli a gyanus tranzakciót, mégis jóváhagyja a user értesítése nélkül

 - nem add semmiféle tájékoztatást a történtekről, ügyfélszolgálata ezügyben _lényegileg_ elérhetetlen.

 

A másik probléma, hogy a mi családunkból lopták el egy _bankból_ egy autó árát.

 

Arra van a bank, hogy olyan autentikációs rendszert találjon ki, ahol nincs lehetőség lopásra.

Ha pedig lopnak, azért vállalja a felelősséget.

Egyelőre nem látom hogy kizártad volna a "social engineering" vagy a sikeres "phishing" támadás lehetőségét. Teljesen kizárni kb úgy lehet hogy 'már volt bekapcsolva rendes 2FA'-ja (nem SMS alapú). 

Amúgy nem véletlenül tették kötelezővé (szakmailag sztem helyesen) hogy a bankok vezessék be a DÁP / ügyfélkapu+ alapú authentikációt. 

Gábriel Ákos

( gabrielakos v | 2025. 04. 16., sze – 08:42 )

CTO-t keresnek az illetékes céghez, ha valaki esetleg érezné a kihívást :)

Gábriel Ákos

( dirtydriver | 2025. 04. 16., sze – 09:25 )

Én jelenleg 3 olyan esetet tudok, hogy lenyúltak milliókat az elmúlt 2-3 hétben. Az egyik egy egyesületi számla onnan 4.5M-et húztak le, a másik egy privát számla ahol nem is használt az illető internet bankot mindent a bankfiokban intézett magának onnan 5M húztak le majd bement a fiókba, hogy mi történt ott nem igazán voltak felhasználó barátok, de zárolták a számlát és vettek fel jegyzőkönyvet. Majd 2 napra rá az illető kapott még 1 sms-t a banktól hogy átutaltak 300K-t a számlájáról, úgy hogy az zárolva volt. Bankban csak néztek és nem tudtak rá mit mondani, keresték a központot a fiókbol és ott se tudták megmondani, hogy ez hogy lehetett, A harmadikhoz nincs sok infóm csak annyi, hogy ott is milliók tüntek el a számláról.

( gemnon v | 2025. 04. 16., sze – 09:31 )

Szerkesztve: 2025. 04. 16., sze – 09:36

Biztos kapott napispamet az "MBH"-tól (akik valamiért 90%-ban, ruszki alexusMailer-t használnak megtört siteokon :)) , hogy zárolták a számláját,majd jól rákattintott egy hasonló linkre:

hxxps://smartidcard[dot]online/admin/assets/fonts/MmbMmbmM/mkb/signin.php

Belépett és csodálkozott, hogy eltűnt a mani. :D

( hanzo v | 2025. 04. 16., sze – 09:35 )

szia!

 

Egy balassagyarmati egyesulet penzet nyultak le igy sajnos... semmi gyanus dolgot nrm talaltam en se naluk....

http://szolarenergia.hu

A hálózatépítést csak elkezdeni lehet, befejezni soha

( XYBeR | 2025. 04. 16., sze – 09:41 )

Ha google-ban néhány hete rákerestél az mbh oldalára, akkor az mbhbank.nu címre dobott el, és MIM jelleggel átvitt még a kétfaktoros azonosításon is. Tetszőleges magyar lakossági bank netes oldalát képes volt utánozni.

( szomi | 2025. 04. 16., sze – 10:04 )

Szerencsére nem vagyok érintett, de sajnos az MBH-nál vagyok, még. Annyi tűnt fel, hogy a decemberben lejárt cserélt bankkártyámat cserélték kb. 3 hete. Kérdeztem a telefonos házibankot vagy mi a csodát, de csak tereltek, hogy ügyfeleik érdekében folyamatosan fejlesztenek, de akkor sejtésem beigazolódni látszik, ezek szerint megint valami biztonsági adatszivárgás lehetett, ahol kimentek kártyaadatok.

( zslaszlo v | 2025. 04. 16., sze – 11:35 )

Kb 4 éve a társasházunk számlájáról 10 milliót nyúlt le az előző közös képviselő. Mi választottunk újat, a régi meg egyszerűen besétált a bankba (MBH, akkor talán még takarék volt) néhány hamisított jelenléti ívvel és 10 millió forintot vett le a számláról, ahová a közös költséget utaljuk. Feljelentés, rendőrség minden megvolt, pénz/felelős azóta sincs. Itt a vége, fuss el véle...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Ja. Ő egy hamísított papírt vitt, hogy még mindig ő a közös képviselő. Nem volt már rajta a kedvezményezetti listán, de miután bebizonyította, hogy még jogosult hozzáférni a számlához (pontosabban ismét ő jogpsult hozzáférni) kiadták a pénzt. Utána az új közös képviselőbek nem akartak hozzáférést adni. Gyönyörű történet volt.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( csabezs | 2025. 04. 16., sze – 11:55 )

Marha jó, nemrég csináltattam náluk számlát, de akkor alapból kellett a 2FA, másképp nem is tudok belépni. Appot nem használok.

Es ezek csak az utolso osszeolvadas bankjai. Ha jol tudom, korabban az MKB-be is olvadt bele mas kisebb. A "nagy" Takarek is tobb kisebb videki Takarekbol jott ossze.

Nem lehet konnyu ott az IT-s elete. El is jottek onnan azok, akik megtehettek.

Nem azokkal van a baj, akik eljöttek, hanem azokkal, akik maradtak.

A Takarékbankkal nincsen tapasztalatom, de az MKB-val van, onnan időben elmenekültem. A Budapest Banknak viszont hibátlan informatikai rendszere volt, minden szempontból. Ehelyett az volt a koncepció, hogy addig húzzák a három rendszert, ameddig lehet és azután összegyúrnak ezekből egy negyediket. Nem lett volna ez rossz megoldás, ha értettek volna ilyesmihez. Be kellett volna látniuk, hogy nem értenek hozzá és meg kellett volna tartani a BB rendszerét. Ilyenkor azonban nagy a szakmai önérzet és mivel az informatikus általában szegény ember idehaza, jól áll az arcszinéhez a válllakozó kedv és önbizalom. A tulajdonosok számára sem okvetlenül idegen egy olyan költés, ahol a pénzt egy másik vállalkozásukba öntik számolatlanul. 

Ez a feladat nem lett volna lehetetlen, sőt, viszonylag olcsón meg lehetett volna úszni. 

A "Takarek" elott volt valami TakerekBank (ha igy hivtak) ami osszeolvasztotta az osszes takarekot es az FHB-t (ami pedig korabban Allianz Bank volt). En az Allianz Banknal kezdtem az MBH-s palyafutasomat, az FHB rendszere jo volt, a Takarekbanknal online semmit nem lehetett intezni, az MBH-s osszeolvadas a godor alja volt, semmi nem mukodott normalisan, ott le is leptem.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Üdv a klubban. Annak idején az OTB Banktól menekültem az Allianzhoz, amint elkezdték lakossági szolgáltatásukat. Aztán a lakossági portfóliót átvette az FHB. Az Allianz-cal semmi gond nem volt, "szerettem" őket. FHB-nál egyetlen esetben szívattak meg, egy Karácsony előtti céges bulin a számlámat nem tudtam rendezni, mert a bankkártyámat a bank letiltotta, ahogy egy csomó szerződött ügyfélét. Rohadt kellemetlen volt fizetésénél...

FHB után Takarékbank, sok vizet nem zavart, de miután beolvadtak az FHB-ba csak szívok. Korábban beállított havi ütemezett fizetések nem mentek, a vállalati ingatlanvásárlásra felvett hitelem számlaszámát (egy másik beolvadt vidéki takarékszövetkezet) megváltoztatták, amiről értestés nem jött. Pár hónap után vettem, észre, hogy nem teljesülnek az automatizált átutalásaim, de persze az elmaradásról sem kaptam értestést. Bankfiókba kellett bemenni személyesen, hogy megtudjam mi történt. Katasztrófa. Jövőre lekettyen a piaci alapú lakáshitelem is és pattanok tőlük azonnal.

( peterszky | 2025. 04. 16., sze – 13:14 )

A közvetlen környezetemben (szerencsére nem családtag...) az elmúlt 1-2 évben háromszor volt olyan, hogy vitték a folyószámla tartalmát. Különböző bankokból. Minden esetben user error volt az alapja, mert valahogy kicsalták tőlük a belépést, ez ellen meg a 2FA se véd, ha nem villog a piros jelzés az ember fejében. Feltételezem, hogy a jelszó ebben az esetben is kikerült, különben azt a hitelesítő SMS-t se tudták volna elintézni maguknak, szóval erre simán ráhúzná akármelyik pénzintézet, hogy az ügyfél hibája. Sajnos nincsenek elég hatékonyan üldözve ezek az esetek.

Egyébként:

- Az összes mamut bankot kerülni kell, minél nagyobb a vízfej, annál többet húznak le az ügyfélről. Ez hatványozottan igaz azokra a nagybankokra, ahol több intézmény olvadt össze, mert hosszú ideig problémák lesznek (lásd MBH).

- A jelenlegi pénzügyi körülmények között én egy biztonsági tartalékon (max. 1-2m Ft) kívül amúgy se tartanék bankban pénzt.

- Közvetlen családi környezetben érdemes találni egy személyt, aki a "pénzügyes" (ért hozzá, nem qrják át egy hívással, stb...), aki kezeli a család számláit, persze ehhez nem árt, ha megbízol a családtagban, nyilván elképzelhető olyan helyzet, hogy ez nem áll fenn.

A jelenlegi pénzügyi körülmények között én egy biztonsági tartalékon (max. 1-2m Ft) kívül amúgy se tartanék bankban pénzt.

Keszpenzben tartani otthon nem biztonsagosabb szerintem es - osszegtol fuggoen - a logisztika sem konnyu.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Hol írtam, hogy otthon tartanám készpénzben? 

Nem irtad, felteteleztem, leirom lentebb miert.

Vannak pénzintézetek a kereskedelmi bankokon kívül is, mint pl. a MÁK vagy a vagyonkezelők.

Arrol volt szo, hogy feltortek egy bank (=penzintezet) rendszeret, a MÁK tarsai is feltorhetoek elvileg, ugy gondoltam erre valaszul irtad. Az infromatikai hatterukben nem lehet tul nagy kulonbseg egy bankkehoz kepest.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

MÁK tarsai is feltorhetoek elvileg

A MÁK rendszere is hasonló moslék, ugyanolyan jellegű logikai bukfencekkel, mint amit a topikban eddig fejtegettek. ("Mikor engedünk új, a felhasználó azonosítására szolgáló módszert hozzáadni -legyen az első vagy második faktor-, és melyikkel azonosítva magunkat melyik másik módosítható?")

https://kiszamolo.hu/allamkincstari-eszrevetel/

TL;DR: A mama személyesen létrehozott, webről soha nem kezelt kincstári fiókjához a hacker a kincstárban személyesen regisztrált tel.szám SMS kódja segítségével (kb. ez az egy faktor kellett hozzá) létrehozott egy WebKincstár fiókot, ahonnan vígan talicskázhatta ki a pénzt. Volna, ha a 2 napos várakozási időbe nem bukik bele, amit 1,5 éve implementáltak, az ezt megelőző, szintén kiszámoló blogos cikk alapján.

Ez a hiba még 1-2 hónapja -elvileg- fennállt, a helyreigazításos okoskodás ellenére.

 

Kiválóan tükrözi a fejlesztő-üzemeltető hozzáállását, hogy miután szóról szóra az eredeti cikk javaslatai szerint javították* ki a rendszerüket, és egy köszönömre sem futotta nekik, a második bejegyzés után pedig még nekiálltak helyreigazítással és perrel fenyegetni a cikk íróját. A válasz emailek persze közvetlenül >/dev/null.

*Olyan state-of-the-art megoldásokat alkalmazva, mint:

- ne lehessen két napig utalni új számlaszámra

- minden tranzakcióhoz kérjen (SMS 2FA) kódot

- tüntessék el az ügyfél személyes adatait az oldalról (t.i. a hacker korábban a belépése után azonnal az arcába kapta a Név - Születési hely, idő - Email - Telefonszám - Lakcím adathalmazt. Valaki írta is, hogy a lekérés és a válasz ugyanúgy ment-jött a backendtől a javítás után is, csak a GUI-n nem jelenítették meg többé.)

- a belépési jelszó ne csak betű és szám lehessen, ne csak maximum 16 karakter

 

Az eredeti témához visszatérve, a Facebooknál is volt néhány éve ilyen corner case, hogy talán valami ritkán használt mobilos (webes) felületről nem volt határa, hányszor próbálhatja megválaszolni a biztonsági kérdéseket. Én azt akkor nem hittem el. (Nem ugyanarra a flowra fut ki, bármelyik guit használja a parasyt?)

OTP:

MBH: nem kezdem el felsorolni, miket nyelt el, de a nagyon kicsiktől a nagyobbakig sok független pénzintézetből lett összekotyvasztva.

Erste: a Mezőbankot (a korábban beleolvadt Agrobankkal) vették meg, később a Citibank lakossági portfólióját is megvásárolták.

K&H: Hazai indulás, leánybankját (IBUSZ Bank) olvasztotta először be, privát izélés után a tulajdonos másik érdekeltsége (ABN AMRO Bank) lett beolvasztva.

Raiffeisen: csak név és tulajdonosi struktúra változott az évek alatt

Unicredit: Creditanstalt+HypoBank

CIB: Közép-európai Nemzetközi bank + CIB Hungária Bank

Az utóbbi kettő esetén a fúzionáló pénzintézetek anno eltérő céllal jöttek létre, általános kereskedelmi bankként gyakorlatilag csak a fúziót követően működtek, működnek.

 

Majdnem jó. Az ABN AMRO nem a K&H akkor viszonylag új tulajdonosa (KBC) másik érdekeltsége volt, hanem a holland ABN Amroé (ők vették meg a korábbi MHB-t). Aztán később a KBC - tudtommal több részletben - kivásárolta az ABN Amro részesedését.

Az Erste meg emlékeim szerint a csőd után a Postabankot is felvásárolta..

Akkor rosszul emlékeztem - nekem csak az volt meg, hogy a Postamaci hanyattvágta magát, és utána volt kavarás, és végül az Erste-nél "landoltak" a még megmaradt ügyfelek. Hogy ennyi idő eltelt közben, az totál kiesett - régen volt, na... :-D

CIB-nél kihagytad az Inter-Európa Bank merge-öt. Műkedvelők felfedezhetik, hogy a 2008-as merge után 15+ évvel is többé-kevésbé változatlan formában él tovább az eredetileg IEB-es eBroker szolgáltatás :D

Az OTP is olvasztott magába más pénzintézeteket, hazai pályán legutóbb talán az AXA Bankot.

Igen, az AXA Bank ügyfeleit átvette az OTP, de hogy ez úgy ment-e, hogy a rendszereket is átvették-e, azt nem tudom. Én AXA-s voltam, amikor jött az értesítő, hogy jön az OTP, gyorsan tipliztem is (kijelentették, hogy egy OTP-s csomagba fognak áttenni, így vélelmezem, hogy "csak" portfólió vásárlás volt, aztán átmigrálták valahogy a sajátjukba egyből az egészet).

Fun fact: az AXA - OTP "fúzió" után elég sok idő elteltével az MNB megvágta az AXA Bankot valamilyen szabálytalanság miatt, az egyik biztosítós fiókjukba kellett bemennem, mert csak papíron lehetett leadni nekik, hogy milyen számlaszámra utalják át a kötelező ügyfél kártalanítást (1-2 ezer Ft lehetett, már nem emlékszem pontosan).

( d3xt3r | 2025. 04. 17., cs – 07:26 )

x banknál vezetett kolléga számlájáról csaltak ki ~150e Ft-ot.

Felhívták hogy gond van és bedőlt. 50 perces beszélgetés volt és természetesen a guba nem jött neki vissza feljelentés után sem. (nem kis bank de nem a bank hibájából adódott a lopás)

60 éves kisnyugdíjas, sőt még a kártyáját is hozzáadták digitális tárcához.

Engem a zótépétől hívott egyszer egy rejtett erőforrás, hogy utaltam-e mészárosnak, mondom nem aztán kapcsolta az informatikus kollégáját aki viszont magyar volt, telepítettük az OTP-s Anydesk nevű vírusírtót a telefonra és vagy nyolcszor lediktáltam a kódot de nem tudott csatlakozni (azt nem mondta, hogy engedjem át a tűzfalon mondjuk...) a végén csak úgy rámcsapta a telefont (ez aztán az ügyintézés)

van egy pali aki erre szakosodott, hogy a csalóknak megadja a virtuális gépére telepített anydesk(vagy bármi más) számot. majd amikor beengedi, le is tiltja hogy tudjon bármit is csinálni. közben persze adja a hülyét. de mindeközben a kliens fájlkezelőjével elkezd szétnézni. általában bizonyítékokat gyüjt a csalásról, majd a végén töröl mindent!:D
zseni. amúgy segített az indiai hatóságoknak lefülelni jópár ilyen scamcentert.

úgy hívják őket, hogy scambaiterek. rengeteg ilyen csatorna van. némelyik technikával tűnik ki, némelyik humorral. legismertebbek talán Pierogi, Kitboga, pleasant Green, Jim Browning, Rinoa Poison, IRLRosie

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

ennek nagyon kicsi az esélye, hogy pont téged hívnak fel aki megvezeti majd őket!:D
mivel bűnözőkről beszélünk, nem fog elmenni hozzád/se küldeni bárkit. mert akkor lebuktatja magát és az egész bandát.
szóval bármit csinálhatsz. te vagy az áldozat, neked lehet.
én szivatni szoktam őket. iszonyú balfaszok ezek azt tudni kell. mivel "alkalmazotti" státuszban vannak, előre megírt kérdésekkel/válaszokkal. anydeskes még nem volt (azt mondjuk tudnám élni egy virtuális géppel), csak ilyen banki azonosítós móka volt többször is.

Lehet, hogy szerencsés vagyok, engem még egyik módon se találtak meg banki témában. Időnként kapok valós számlalevélnek tűnő gázszámlát (nem arra a címre, amire egyébként szokott jönni), meg rémisztgetnek arról, hogy a freemailes fiókomat felfüggesztik, ha nem erősítem meg a linket (itt még arra sem figyelnek, hogy a feladó címét rendesen meghamisítsák), és ennyi.

Az emailben a normál értesítőben sem szerepel név, szolgáltatási hely címe. A mellékletben nyilván, de a mellékleteket nem szoktam megnyitni a levélből (nem véletlenül), hanem böngészőben megnyitom (nem az email linkje alapján) az MVM oldalát. Az email értesítés nekem csak arra jó, hogy lássam: teendőm van.

jaja. mobilon viszont szívás hogy nem mutatja hogy mi van a link alatt... feleségem bele is szaladt egy ilyenbe. 1:1-ben lemásolták a fizetési értesítőt, kattintson ide a befizetéshez és egy gyanús oldalra mutatott...az volt a szerencséje hogy azt már letiltották...
de amúgy szar volt a felhasználói azonosító is!:D
a megszokásra játszanak.

Tapasztalatból mondom. Kíváncsiságból megnéztem a mellékletet is, s tényleg ijesztően hasonlított egy valódi számlára, beleértve a rezsicsökkentős szöveget, a színeket, szinte mindent. Csak, ahogy írtam, ott bukik a történet, hogy nem volt rajta a nevem, lakcímem, meg effélék. Annyira megtetszett ez az adathalász levél, hogy nem töröltem le, ha valamitől jókedvre szeretnék derülni, csak ránézek. :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Akkor minek van ott a melléklet? Épp a hitelesség látszatának növelésére, ami felületes szemlélőnél el is éri a hatást a hasonló kinézettel, betűtípussal színekkel, de ha valaki picit is figyelmes, csak kiszúrja, hogy a minimum az, ha nekem jött a számla, akkor az névre szól.

Amúgy azon is megbuknak ezek, hogy az adathalász oldalra odateszik linkként az adatvédelmi nyilatkozat szöveget, ami aztán jól nem mutat sehova, egy # az URL. Ezen is jót szoktam mosolyogni. Meg a befizetem link valami bámulatosan izgalmas helyre mutat. Tényleg vannak olyan idióták, akik nem pillantanak kattintás előtt az URL-re?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( neutrino v | 2025. 04. 20., v – 11:54 )

Megtudtuk már a teljes történetet, vagy még mindig csak ködösítés megy és bank szidás?

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

( KGer | 2025. 04. 21., h – 09:56 )

nem vagyok képben, de ha a bank autentikációs flow-jában van sebezhetőség amit kijátszanak, szerintem azért a bank a felelős és tudtommal ez eddig is így volt.