(fotó: Xapo)
Harminc és ötvenmillió forint közötti összegeket loptak el ismeretlen tettesek lakásvásárlásra készülő emberektől – írja a 24.hu. Volt, akinek még a lekötött állampapírjait is pénzzé tették a netbank kifosztása előtt. Az ügyben nem lehet egyértelműen kijelenteni, hogy csak az áldozatok voltak felelőtlenek.
A netbanki belépési adatokat úgy szerezték meg a támadók, hogy rábeszélték a reménybeli lakásvásárlókat egy távoli asztal kapcsolat létesítésére alkalmas programot. A szoftver az Anydesk volt, de ilyen, a számítógép távirányítására alkalmas programból több is létezik. Eredeti céljuk, hogy lehetővé teszik például a távoli hibaelhárítást, így nem kell autóba ülni, ha a nagyszülők számítógépe „nem akar működni”. Viszont, mivel a program alapvetően legitim, ezért a telepítését nem is kifogásolják a vírusirtók.
A kétlépcsős azonosítás elvben védene azokban az esetekben, amikor a felhasználónevet és a jelszót megtudták a támadók. A 24.hu által megszólaltatott egyik áldozatnak azonban a mobilja felett is átvették az uralmat a csalók. Ezt viszont nem az áldozatok tették lehetővé, hanem a Telenor. A mobilszolgáltató hosszú vizsgálat után megállapította, hogy egy ismeretlen személy cseréltette ki, lopásra hivatkozva, a károsultak SIM-kártyáit. A régi SIM-eket pedig le is tiltatta. Ezek után már ő kapta meg a banki belépéshez szükséges azonosító SMS-eket.
Nem érzik, hogy hibáztak volna
Az eset legijesztőbb része, hogy bár a tettesek hamis papírokkal azonosították magukat, a Telenor ügyintézőjét megtévesztve szerezték meg az új SIM-kártyákat, a társaság szerint nem történt mulasztás. Mindezt úgy, hogy a hamis papírokon hamis aláírás szerepelt, amelyet össze lehetett volna hasonlítani a Telenor rendszerében tárolt valódi aláírással.
Frissítés: A Telenor lapunkhoz eljuttatott közleménye szerint a cégnek nem kötelessége tárolnia az eredetileg bemutatott aláírási címpéldányt és szintén nem kötelessége összehasonlítani az ügyintézés során bemutatott dokumentumokat az esetleg tárolt iratokkal. „Aaz ügyintéző feladata, hogy az előfizető személyazonosságáról vagy a meghatalmazott személy képviseleti felhatalmazásáról szóló, a helyszínen bemutatott dokumentumok eredetiségét, beleértve vállalkozás esetén az aláírási címpéldány (vagy aláírásminta) eredetiségét is, a lehetőségeknek megfelelően, az elvárható mértékben ellenőrizze és amennyiben a dokumentum hitelességét tekintve kételye támad, az ügyintézés folytatását megtagadja” – írja a közlemény, azzal folytatva, hogy a vizsgálat szerint az ellenőrzésre az elvárható részletességgel sor került. Az SMS biztonsági kérdéseivel a továbbiakban is foglalkozunk.
A SIM-cserét sem a csalás kitervelői hajtották végre. A cikk szerint egy, a feladatra betanított ember járt a szalonban, majd pedig ő rakta be a kártyákat neki kiküldött telefonokba. A csalók távolról irányították az embereket, majd a pénz megszerzése után több lépcsőben kriptovalutára váltották át. Két OTP ügyfelet, akik hasonló csalásnak estek áldozatul, már kártalanított a bankjuk. A 24-hu által megszólaltatott MKB-ügyfél azonban egyelőre tehetetlen.
Minden jobb az SMS-nél
Az esetnek két fontos tanulsága van a magyar fintech világ számára. Az első, hogy a SIM-cserés támadás, amely az Egyesült Államokban számított eddig igazán elterjedtnek, Magyarországon is megjelent. Hiába hittük, hogy az erősebb azonosítási előírások, a személyi igazolvány és egyéb iratok bemutatásának megkövetelése nem elég védelem. Hamisított iratokkal és meggyőző szöveggel ki lehet cseréltetni az állítólag ellopott SIM-kártyát.
A másik, hasonlóan lényeges tanulság pedig az, hogy az SMS alkalmatlan arra, hogy az azonosítás második lépcsője legyen. Ez a módszer a legelterjedtebb, és a legsebezhetőbb is. Az okostelefonon futó kódgenerátor alkalmazás, a hardveres token (pl. Yubikey) vagy a netbanki appnak küldött push üzenet is nagyobb biztonságot jelent.
Szólj hozzá