Vigyázzunk a bankszámlánkra! – Netes csalók kijátszhatják a kétfaktoros hitelesítést is
Vigyázzunk a bankszámlánkra! – Netes csalók kijátszhatják a kétfaktoros hitelesítést is
Vigyázzunk a bankszámlánkra! – Netes csalók kijátszhatják a kétfaktoros hitelesítést isAz azonnali utalás és a bankkártyás vásárlás kényelmét lassan már nem kell bemutatni senkinek sem. Napjainkban éppen azzal ismerkedünk, hogy már úgynevezett másodlagos azonosítókra (e-mail-cím, telefonszám) is lehet utalni, már ha ezt regisztráltuk bankunknál.
Sőt, az online vásárlások egy új biztonsági funkciója is itt kopogtat már: vannak bankok, ahol már most is aktívan működik a netes vásárlásokat még biztonságosabbá tevő kétfaktoros hitelesítés, amely lassan minden banknál kötelező lesz.
Ennek lényege, hogy vásárláskor az eddigieken túl szükséges egy megerősítő kód is, melyet bankunk SMS-ben küld meg. Ennek hiányában nem teljesül a bankkártyás vásárlás.
Ezek a plusz biztonsági funkciók mind azért vannak, hogy a felhasználók még nagyobb biztonságban tudhassák online pénzügyeiket.
Vigyázat! A biztonság rajtunk áll vagy bukik!
Azonban, ahogy a bankok biztonsági technológiája fejlődik, úgy lesznek a csalók is egyre kifinomultabbak. Az utóbbi hónapokban többször is lehetett hallani olyan esetekről, ahol már a kétfaktoros hitelesítést is kijátszották a csalók.
A több különálló esetben egy közös pont volt: ez pedig nem más, mint a felhasználó figyelmének kijátszása, megtévesztése, annak érdekében, hogy a csalók hozzájussanak a banki hozzáférésünkhöz.
Míg korábban az volt a netes bűnözők fő célpontja, hogy megszerezzék bankkártya adatainkat, majd azzal visszaélve vásárlásokat eszközöljenek, addig napjainkban már egyenesen a bankszámlánk hozzáférésének adataira vadásznak. Nem is csekély sikerrel!
Ennek egyik legtriviálisabb lehetősége, és egyben a leghatékonyabb is, hogy megtévesztő e-mailekkel bombázzák a felhasználókat. Egy-egy ilyen e-mail általában azt akarja velünk elhitetni, hogy saját bankunk nevében érkezett.
Valamilyen adategyeztetés, új funkció regisztrációja, esetleg egy szerződésmódosítás miatti adategyeztetésre hivatkozva kérnek, hogy lépjünk be internetes bankfiókunkba. Erre persze azonnal adnak is lehetőséget, kattintsunk a levélben szereplő linkre és máris beléphetünk! De ne tegyük!
Az online bankolás legegyszerűbb és leggyorsabb módja, ha bankunk okostelefonos applikációját használjuk - de a csalók ezzel is visszaélhetnek, ha nem vagyunk kellőképpen figyelmesek, és gyanakvóak
Az elmúlt hetek egyik legtöbbet emlegetett hasonló esete arról tanúskodik, hogy a csalók hozzáférve a kódokhoz, nemes egyszerűséggel elutalták a károsult számlájáról az összes pénzt egy távoli országban létrehozott saját számlájukra.
Jogos a kérdés: mégis hogyan?
Az eset a megtévesztő e-maillel kezdődött, ahol a felhasználó egy a valódi bank honlapjával szinte megszólalásig azonos honlapra jutott, azzal, hogy a rosszindulatú levélben szereplő linkre kattintva próbált meg belépni saját netbankjába.
A felhasználó ezen a csaló oldalon megadta a netbanki belépéshez szükséges felhasználónevét és jelszavát, melyet a csalók azzal a mozdulattal, hogy begépelték, már rögzítették is. Természetesen a netbanki belépés ilyenkor még nem valósul meg, mert a tényleges belépéshez szükséges a kétfaktoros azonosítás SMS-jelszava is.
És itt jön a csavar: különböző trükkökkel elodázzák a felhasználó figyelmét, hogy miért is nem sikerült a belépés.
Míg a felhasználó próbálkozik, és várja az SMS-kódot, addig a csalók a bank okostelefonos alkalmazását telepítve saját telefonjukra, létrehoznak egy regisztrációt a már kifürkészett, valós felhasználónévvel és jelszóval. Az okostelefonos alkalmazás regisztrációjának utolsó fázisa, hogy egy SMS-kóddal hitelesítsük magunkat.
Ez az SMS persze a valós felhasználó telefonjára érkezik meg, aki pedig várja a belépéshez szükséges SMS-kódot. Amikor az SMS megérkezik, akkor a felhasználó már nagy valószínűséggel annyit próbálkozott a hamis oldalon a belépéssel, hogy nem is figyeli az SMS-ben szereplő szöveget. És itt a figyelemelterelés lényege.
A bank az SMS-ben nem a belépéshez szükséges kódot küldte, hanem az okostelefonos alkalmazás aktiváló kódját.
De az áldozat, ha nem figyel, ezt úgy értelmezi, hogy megérkezett a belépő kód. Ezt a kódot begépelve a csaló oldalra máris lehetőséget adtunk arra, hogy idegenek a bank valós okostelefonos appján keresztül hozzáférjenek és rendelkezzenek a teljes bankszámlánk felett. Egy ilyen helyzetben másodpercek alatt lenullázhatják a bankszámlánkat, és nincs visszaút.
A megoldás csakis a megelőzés!
Az ilyen helyzetek elkerülését csak úgy tudjuk elérni, hogy igyekszünk napi szinten képben lenni, tájékozódni az éppen aktuális megtévesztő mailek hazai helyzetéről. Amennyiben valamelyik bank nevében ilyen megtévesztő e-mailekkel keresik meg tömegesen az ügyfeleket, akkor az rövid időn belül napvilágot lát a sajtóban és a bank saját honlapján is felhívja ügyfelei figyelmét erre.
Soha ne lépjünk be netbankba e-mailben kapott linkre kattintva! Csakis saját bankunk közvetlen elérésének a böngésző címsorába történő begépelésével lépjünk be! Esetleg ezt az általunk begépelt címet könyvjelzőként lementve rögzítsük a böngészőbe!
Legyünk figyelmesek! Egy-egy netbankolás alkalmával figyeljük meg netbankunk jellemző grafikai elemeit, a honlap működésének mechanizmusát, egy-egy folyamat lejátszódásának részletét és ha ebben egy kicsit is eltérőt tapasztalunk azonnal gyanakodjunk. A bankok folyamatosan értesítik ügyfeleiket a netbanki oldalak legapróbb módosításairól.
A bankok soha nem keresik meg ügyfeleiket olyan adategyeztetés céljából, ahol elkérnék az ügyfelek netbanki belépéshez szükséges adatait, sőt, a bankkártya adatokat sem kérik soha.
