Független biztonsági szakemberek segítségével vizsgálta meg a brit Which? fogyasztóvédelmi csoport több bank biztonsági megoldásait. A próbán a Tesco Bank, a TSB és a Santander is elvérzett. A tanulságok között akadnak olyanok, amelyeket mi is megszívlelhetünk.
A Which? által felkért 6point6 azt vizsgálta, hogy a bankok online szolgáltatásai mennyire védettek. Több esetben találtak olyan lehetőségeket, amelyeket egy ügyes csaló arra használhat fel, hogy érzékeny adatokat szerezzen meg. Az ilyen adatokat puzzle-ként összerakva egy nagyobb támadás összeállításában lehet hasznosítani.
A teszten a Tesco Bank szerepelt a legrosszabbul, csupán 46 százalékos értékelést kapott. Nem szűrte az oldal a belépési kísérleteket megfelelően, nem biztonsági beállítások hiányoztak az online rendszerekből. Emellett a netbank ki se léptette a felhasználókat, ha elhagyták az oldalt, így a vissza gomb megnyomásával jelszó nélkül lehetett visszajutni a banki felületre.
A TSB netbankjából az erős ügyfélhitelesítésnek való megfelelés hiányzott. A mobilon már kétlépcsős azonosítást alkalmaz a bank, de a webes felületen ezt még nem valósították meg. A Santander pedig egyszerűen lehetővé teszi a bankoláshoz használt eszközök megbízhatónak jelölését, ennek a visszavonására viszont nincs lehetőség. Ráadásul a webbank nem szűr gyanús viselkedésekre.
A kevésbé rosszul szereplő bankoknál is akadtak arcpirító hibák. Akadt, ahol az elfelejtett jelszó pótlását lehetővé tévő biztonsági kérdésre adott válaszok – amely valójában egy gyengített jelszónak számítanak – túl egyszerűnek találtattak. Ez a bank ráadásul nem figyelmeztette a számlatulajdonost arra, ha lecserélték a jelszavát.
Bukási lehetőséget kínált az is, hogy a banki appok ellenőrizték-e, hogy rootolt telefonon futnak-e. A hackerek által felhasználható adatok elrejtésével mennyire próbálkozik az app. Ez utóbbin a Virgin Money alkalmazása vérzett el: több olyan funkcióhívást hagyott szem előtt, aminek a megtalálása segít a feltételezett támadóknak.
Szólj hozzá