A feleségem tagja egy zárt Facebook csoportnak, ahol telefonon elkövetett bankos átveréseket tárgyalnak ki. Ott volt nemrég egy férfi, aki fel volt háborodva, hogy úgy hívták fel, hogy mindent tudtak róla. Nem kérdezték az adatait, hanem mondták: neve, születési ideje, stb.
Megmondták a kártyája lejáratát és így tovább. A hívószám is stimmelt, az volt a bankkártya hátulján is.
(A mostani magyar banki protokoll szerint a banki ügyintéző nem megad adatokat, hanem kérdezi azokat. Ezt szeretné megváltoztatni az MNB, hogy mindkét fél mondjon adatot az ügyfélről, hogy az ügyfél is lássa, hogy a hívó nem vaktában próbálkozik csak. Mint látható, ettől nem feltétlen lesz biztonságosabb a rendszer.)
Biztos feltörték a banki rendszert vagy van a csalóknak egy belsős emberük a bankban, aki kiadja ezeket az adatokat, szólt a vélekedés a hozzászólásokban.
Az elsőre reagálni is kár, aki fel tud törni egy banki rendszert, az nem fog telefonálgatni, anélkül is kisöpörné az összes számlát.
A második sem valószínű, mert aki dolgozott bankban, az tudja, hogy hónapokra, ha nem évekre visszamenőleg le lehet kérdezni, hogy ki, mikor, honnan lépett be egy számlába. Állandó probléma, hogy az ügyintézők be akarnak lépni egymás számláiba, hogy lássák például, ki mennyi bónuszt kapott. Azonban ennek könnyen lekérdezhető nyoma van és minimum fegyelmi jár érte. Egy banki ügyintéző tudja, hogy azonnal lebukna, ha ő adná ki ezeket az adatokat.
De akkor hogyan tudtak róla mindent a csalók?
Gondoltam, írok egy cikket, hogyan tudod kicsit biztonságosabbá tenni a Wise számládat, ekkor futottam bele a Wise blogoldalán egy nagyon jó írásba a témával kapcsolatban.
A titok a kétlépcsős lopásban van.
Mindenki találkozott már adathalász SMS-ekkel, Facebook reklámokkal, e-mailekkel. A kínai csomagod elakadt a postán, vámot/ügyintézési díjat kell rá fizetni 420 forintot, kattints a linkre. Az első ötszáz jelentkező 800 forintért vehet egy Samsonite bőröndöt. A telefonszámlád 817 forint hiányt mutat, fizesd be most, vagy kikapcsolják az előfizetésed. És így tovább, végtelen lehetőség van, ami egy kamu oldalra visz, ami megtévesztésig hasonló az igazi oldalhoz.
S rálépsz az oldalra, félálomban, egy telefon kicsi kijelzőjén, egyébként is vársz egy csomagot Kínából, ami késik és kitöltöd az adatokat, ami kell ahhoz, hogy megkapd a csomagot, el legyen intézve a vámolás: megadod a neved, születési dátumod, kártyaszámot, lejáratot, telefonszámot és mindent, amit kérdeznek. Az összeg jelentéktelen, azzal nem törődsz, nem is sokat gondolkodsz rajta.
A tranzakció sikeres volt, írja az oldal, mindenki boldog. (Igazából nem volt semmilyen tranzakció, ha ellenőrzöd a számládat utána. Kivéve, ha éppen a bankkártya adataidat akarták ellopni, de akkor sem ez a tranzakció lesz rajta, hanem sok másik ezután...)
Innentől kezdve már mindenki tudja, hogy működnek ezek a dolgok. Napokkal, hetekkel, akár hónapokkal később felhívnak és bemondják azokat az adatokat, amiket megadtál a kamu weboldalon. A telefonszámot hamisítani pofonegyszerű, ha már telefonáltál VOIP telefonnal interneten, akkor tudod, hogy bár nem a saját számodról hívsz valakit, mégis a hívó a te rendes telefonszámodat látja, mintha a rendes előfizetésedről hívnád. Eddig tart egy bank telefonszámát is leutánozni. A megadott bankkártyád számából lehet tudni, hogy melyik bank bocsátotta azt ki.
(Használhatnak még a csalók feltört webáruházak adatait is, Európában nem, de az USA-ban gyakran a bankkártyák adataihoz is hozzáférnek. Persze ekkor sok adatot nem tudnak rólad, de esetleg annyit igen, hogy elhidd, hogy tényleg a bankból hívnak.)
Innentől rávesznek, hogy változtasd meg a jelszavadat erre, vagy helyezd biztonságba a pénzed, ebben segítenek, csak add meg a kódot, amit SMS-ben kaptál. Azt is kérhetik, hogy a biztonság kedvéért töröld le az appot, ez csak azért kell, hogy időt nyerjenek, te nem tudj utána belépni.
A feleségem az elmúlt két hétben három ilyen adathalász hirdetést jelentett a Facebooknak (Iphone, bőrönd, serpenyőkészlet, akármi szinte ingyen, gazda nélküli csomagok eladása 500 forintért a Magyar Postától), egyre még nem válaszoltak, kettőt teljesen rendben talált a Facebook, szerinte ezek teljesen tisztességes hirdetések.
Én a jófogásnak jeleztem egy csaló hirdetését néhány hete, aki egy telefont árult gyanúsan olcsón Budapesten. Mondom, hol lehet megnézni. Ő most Balassagyarmaton van négy napig, utána tudja megmutatni, addig csak posta. Semmi gond, van egy haverom ott, átmegy, megnézi. Jó, de ő sokat dolgozik, leghamarabb jövő hét hétfőn tudja megmutatni, ha addig el nem viszik. Az account természetesen frissen kreált, volt egy másik hasonló átverős hirdetése még. (Meg gondolom száz másik más néven.)
A jófogás kilenc nap múlva(!!!!!) reagált az e-mailemre, mondván, még semmit nem csináltak, csak átadták a másik osztálynak az észrevételemet. De azért köszönik, hogy szóltam nekik.
Szóval ennyire reménykedj, hogy egyszer vége lesz ezeknek a csalásoknak. A Facebook szerint semmi baj ezekkel a hirdetésekkel, a jófogásnak kilenc nap nem volt elég, hogy bármit csináljon egy csaló hirdetésével, a bankoknak nem fáj a csalás, ezért senki nem csinál semmit.
De akkor visszatérve az eredeti témához, amiről cikket akartam írni, hogyan tudod némileg biztonságosabbá tenni a Wise számládat.
Az első, hogy a weben kapcsold ki a kényelmi beállítást, hogy ne kérjen másodlagos azonosítást, amikor belépsz. (A böngésződben tárolt adatokat ellopva el lehet hitetni az oldallal, hogy a csalók böngészője az a böngésző, amit te eddig használtál.)
Ezt itt tudod megtenni: Jobb felső sarok, a nevedre kattintva Beállítások gomb.
Ezután Automatikus ellenőrzésnél kapcsold ki a csúszkát. (A képen a bekapcsolt állapotot látod, ez az alapértelmezett, ezt változtasd meg.)
Ezután beállíthatsz egy kódot, amit a Wise minden e-mailben közölni fog, innen tudod, hogy nem adathalász e-maillel van dolgod. Ez lehet a macskád neve, az autód rendszáma, bármi, igazából csak arra való, hogy a Wise azonosítsa magát az e-mailekben.
Ha akarod, letölthetsz egy hitelesítő appot a telefonodra, például a Google Autentikátort. (De több app is elérhető, tudsz választani.) Ez annyit tud, hogy néhány másodpercenként egy hatszámjegyű kódot generál, internetkapcsolat nélkül is. Ezt a kódot kell beírni a belépéshez, nagyjából ugyanaz, mint az SMS-ben kapott kód, ami egy percig érvényes csak. Ha ezt használod, se internet, se SMS nem kell a belépéshez.
A Wise oldalán, ha be akarod állítani az autentikátort, megjelenik egy QR-kód, ezt a telefonoddal beolvasod az autentikátor appnak, innentől kezdve ismerni fogják egymást. Ennyi az egész, nem egy komplikált dolog.
Amit én még megcsináltam, hogy a banki telefonszámokat a saját, használatban lévő telefonszámom helyett átírtam egy feltöltős kártyára, amit mindig kikapcsolva tartok. Először butatelefonban volt a kártya, aztán átraktam a normál mobilom második SIM kártyájára, de tettem rá PIN kódot, így nem lehet távolról bekapcsolni. Ezt a kártyát mindig kikapcsolva tartom, mert egyébként sem használom hívásokra. Ha nagy ritkán kell a belépéshez a mobilra kapott SMS, akkor kézzel bekapcsolom, beütöm a PIN-t, miután megkaptam az SMS-t, kikapcsolom.
Ne felejtsd el az éves adategyeztetést a második SIM kártyádra és a legtöbb cég el is várja, hogy legalább évente egyszer tölts rá pénzt. (A Vodafone már nem várja el ezt sem, ott elég az adategyeztetés.) A feltöltött pénzt aztán autópálya matricára, parkolásra vagy akármire el tudod költeni.
(Amíg a cikket írtam, a háttérben nyitva volt a Wise böngészőablaka. Azt vettem észre, hogy félóránként ha megnéztem valamit a számlámon, de nem léptetett ki közben. Más bank öt perc inaktivítás után kiléptet. Ez sem tetszik annyira. De ezt már csak így zárójelben.)
S ha nem olvastad volna az előző cikket, ami miatt ez megszületett, akkor azt itt tudod elolvasni:
ok, akkor íme a kiábrándító valóság: egy közepesen szarul fizetett IT-s dolgozó nyomtalanul képes az egész ügyféltörzset lenyúlni. Ha nincs a tesztrendszer anonimizálva, akkor naagyon könnyen, ha csak az éles rendszerből lehet, akkor csak egy kicsit nehezebb.
Bocs a kegyetlen valóságért.
FB-on jelentettem egyszer egy cikket, aminek a kezdőképén ISIS általa levágott fejek voltak egy kerítésre aggatva. Szerintük teljesen tendben volt ♂️
Nem várok tőlük semmit.
Semmilyen komoly változás nem lesz amíg a banknak nem lesz felelőssége.
ITs ként látom, hogy 2 hetente 10-20 olyan security update érkezik a szerverekre amivel az információkat el lehet lopni, és elég gyakran olyan is amivel teljes kontrolt lehet szerezni. Telefonhoz annyira nem értek de oda is gyakran érkeznek frissítések.
Ezeket akik adatokat lopnak már nyilván előtte is ismerik gyakran hiszen évekig nem voltak javítva.
Sajnos szerintem az igazi védelem az lenne, ha bizonyos összeg felett csak személyesen lehetne intézni a dolgokat.
De hiszem, hogy ha a bank fizetné a csalás felét csak, kiderülne 3 hónap alatt, hogy ki tudnak találni olyan rendszert, amit nem lehet átlag csalóknak kihasználni, és 1%ra csökkenne a csalás a mostanihoz képest.
Haragszom kb az összes itthoni szereplőre (állam, bankok, biztosítók, stb.), hogy kb. senki nem ad lehetőséget a HW-es kulcsok használatára a 2FA-hoz.
Azt néztem állam kincstárnál, ha lelopják a jelszavad. Akkor alkalmazáson keresztül betudnak lépni, bármilyen másodlagos azonosító nélkül. Erre valamilyen tipp, valakinek?
@mindigmasnevem-van
Amióta az RSA kulcsok szerveréről sikerült ellopni a lényeget ( nem midnen hw kulcsét, de sokét), azóta a világ inkább sw tokeneket ad (RSA biztos)
Azt vettem észre, hogy félóránként ha megnéztem valamit a számlámon, de nem léptetett ki közben. Más bank öt perc inaktivítás után kiléptet.
A Wise meg 2 perc után - ha bekapcsolod amit kell.
S mit kell bekapcsolni és hol és miért nincs alapból bekapcsolva?
Ennek a hozzászólásnak így semmi értelme, azonkívül, hogy megtudtuk, hogy milyen okos vagy.
Gondolom, nem is volt más célod a hozzászólással.
@Kiszamolo én még hozzátenném, hogy rengeteg gagyi wordpress és hasonló webshop amit nem tart karban a tulajdonosa, onnan tömegesen töltik le az adatokat hackerek. Tehát amikor internetről rendelsz egy apró köcöréket, mert épp ott olcsó/lehet kapni, lehet, hogy már kint is vannak az adataid. még rossz linkre sem kell kattintanod/megnyitnod.
Ilyen webshopokkal tele a net.
érdemes regisztrációkor beleírni a nevedbe/címedbe valami extrát (mondjuk kamu második keresztnév), minden webshopnál más és más (a postást nem fogja érdekelni), és akkor tudni fogod honnan került ki az adatod. emailekből meg vissza tudod keresni, meg sem kell jegyezni.
A "második, mindig kikapcsolt" SIM-kártyánál az is lehet megoldás, hogy az összes SMS-t, amit kapnál a szolgáltatótól (Adategyeztetés, egyenlegfeltöltés, lejárat előtti figyelmeztetés), az elsődleges SIM-edre kéred. Legalábbis a Vodafonnál van rá lehetőség, még úgyis, hogy a másik kártyám nem Vodafone-os.
@attila
"Semmilyen komoly változás nem lesz amíg a banknak nem lesz felelőssége."
Miért nem merül fel, hogy a jófogásnak, vagy a FB-nak legyen felelőssége a posztban leírt esetek miatt?
Máshol lesz a dolog nyitja. Renderen törnek fel webshopokat, ahonnan a teljes vásárlói adatbázist viszik. Ott van a neved, címed, esetleg születési adatok, telefon, email, bankkártya szám, lejárat (ha nem külsős megoldásuk van erre). Már csak annyi a dolguk hogy ráállítanak pár embert akik végigtelefonálják mondjuk a 70 évnél idősebbeket első körben.
Az utolsó tanácsot nem igazán értem - az MHB (volt Budapest Bank) a mai napig SMS-ben küldözgeti az értesítéseket a kártyahasználatról. Ha kikapcsolt telefonszámra jönnek ezek, akkor az pont csökkenti a biztonságot, nem?
@mindigmasnevem-van
Cib hard token. Másról nem tudok
Nem teljesen ide kapcsolódik, de nekem meg az a security dolog nem tetszett, hogy ~7 éve megszüntettem a CIB Bank-os számlámat, aztán most úgy hozta az élet, hogy náluk volt a legjobb a hitel, így amikor megnyitottam az "új" számlámat, akkor az tartalmazott adatokat a korábbi számlámról, például kedvenc partnereket. Meg a belépési azonosítót is olyan egyszerű volt megjegyezni, hogy van egy olyan érzésem, hogy ugyanazt kaptam. Nincs valamilyen 1-3-5 éves határ, amin túl meg kellene semmisíteni a személyes adataimat?
Esetleg arról tudnál írni, hogy egy szakember mit mond, melyik a legbiztonságosabb 2FA telefonszám alapján? Wise felajánlja hogy SMS, hang hívás vagy Whatsapp legyen. Ha jól értem a RAT-ok az SMS trükközést használták ki macOS és iPhone között, ezért az nem szimpi. Hang hívás vagy Whatsapp között gondolkodom.
Az összes hardver tokennel az a baj, hogy semmit nem véd a man-in-the-middle jellegű támadások ellen. Azaz fogalmad sincs, hogy mit írsz vele alá, annak nem feltétlenül van köze ahhoz, amit a képernyőn látsz. Nem véletlenül nem nagyon vannak már használatban bankoláshoz.
@cib-bank Eddig nem volt, pár éve jött ki, hogy van ilyen jogszabály, de ha belegondolsz kb. megvalósíthatatlan. Minden órában/nap/héten/hónapban/negyedévben/évben biztonsági másolat készül az adatbázisokról. A haviakat biztos megőrzik évekig, ha elveszne valami, akkor vissza lehessen állítani. (Talán 10 év a tárolási idő kötelezően). Viszont neked 5 év után vissza kéne tölteni szalagról az ügyféladatokat és kitörölni róla az adataidat. Egy szalagról visszatöltés, ha fél évnél régebbi, teljes adatbázisra, hetekbe telik. (Struktúra visszaállítás és társai). Még akkor is nagyon nehezen megugorható, hogy töröljék az adataidat, ha ténylegesen akarják törölni.
A belépési azonosítót biztos nem tárolják le plain text-ként a cibnél, az lehet mindenkinek egyszerű, az OTP-s sms azonosítók is nekem meglepően egyszerűek.
Én az egésznek azt a részét nem értem, hogy hogy kerül ki a pénz a rendszerből úgy, hogy nem kapják el a csalókat. Amíg egy bankszámlán van a pénz, addig annak van egy gazdája (még ha kamu is). Legkönnyebben kp-t ATM-en keresztül lehet belőle csinálni, de ott nem készül felvétel arról, aki felveszi a pénzt? Tényleg ennyire lehetetlen utánajárni?
Gary, a bankok nem járnak utána, mert nem az ő pénzük.
Egyébként meg egy rakás stróman van, aki húszezerért engedi, hogy számlát nyissanak a nevére.
Persze megint ott a kérdés, hogy nem jelez a bank rendszere, hogy gebasz van, egy újonnan nyitott számlára elkezd ömleni a pénz ismeretlenektől, amit azonnal felvesznek készpénzben vagy továbbutalnak.
Azért ez nem egy olyan komplikált mintázat, amit ne ismerne fel egy automata csalásfigyelő.
jött az otptől tobbszor email ertesites hogy megprobaltak belepni.a feladó cim rendben volt, az emailben a link az otp oldalara vezetett.
valószínűleg igazi volt. nade otp nél van ugyfelkod,pin es a ket faktor. akkor hogy tudta a rendszer hozzam kotni hogy en probalmoztam? tudtta az ugyfelkodot ami csak 2 helyen volt meg: regebben lastpass(amit feltörtek) most pedig a nevjegyzekemben volt felirva(a jelszó nyilvan nem)
szerintem egy egy gyári android app ami hozzáférhet a névjegyzekemhez megszerezte abból es úgy tudtak probalkozni.
sose irjatok fel semmit a telefonkönyvbe/névjegyzekbe.
más:
a @telekom.hu email cimen a jelszot csak úgy lehet megvaltoztatni 2023ban, ha a telefonos ügyintezonek bemondjuk a kívánt jelszót szóban..no comment... ja és két faktoros hitelesítés NINCS a telekomnál... vicc
Félig OFF:
Kaptam egy e-mailt, volt benne egy link, félálomban rákattintottam telefonról, hülye voltam, tutira kamu volt (Valami PayPalos cucc volt, sajnos elsőre nagyon hihető kamu).
Ha már megtörtént, (tegyük fel hogy benyeltem egy kémprogramot), akkor mi a teendő?...
(Samsung S23 - Android)
Azért azt lásduk be, hogy lehet, hogy logolja a bank rendszere, ki lép be és hova de a belső rendszer bőven add infot pl a priv, prem bankárnak, hogy nézd már Józsefnek 20 millió van a számláján oszt nincs befektetve .... és jön a telefon, meg email, hogy van egy jó beff ajánlatunk.
Aztán lehet x.y ügyintézo két kapura játszik, aki köt általa valamit azt.hagyja aki nem annak meg az adatait leadja ... így az összes.bankos cetilet irrogat tele az egyes elekekböl valo ki be lépésekhez mert a ctrl+c , v le van tiktva a kmaera meg nem mozog és ha a cetlure felkerül egy név , stb adat .... és máris van egy csomó adat ... aztán jöhet a facebook.profil meg.insta ... és máris van egy csomó adat. Tudjuk.a google a legjobb barátunk...
@cib-bank mondok jobbat, egyik ismerősöm neve a 2. keresztnév kivételével (Tóth Géza Arnold és Tóth Géza László) megegyezik az apjáéval. A srác bement a cib-be valami ügyet intézni, nem volt náluk számlája, az ügyintéző meg lecseszte, hogy miért nem frissítette a személyi igazolvány számát, amikor kapott újat egy éve. Mondja hogy nincs is számlája, na ne mondja, itt van minden adata.
Mint kiderült, a rég halott apja személyes adataiból kérdezte föl a kedves ügyintéző...
Személyes adatok forrása lehet bármelyik szolgáltató bármelyik ügyintézője, kamu webshop vagy valódi netes bolt feltört adatbázissal.
Senki ne intézzen komoly dolgot telefonon, bejövő hívás alapján.
A szolgáltatók "remek" ajánlataira is érdemes aludni párat.
Semmilyen ajánlatot nem kell azonnal elfogadni.
Ha sürgetni próbálnak, akkor főleg.
Megoldás:
Főbb internet szolgáltatók (Yettel, Telekom, Voda... ) DNS (névfeloldó) szervereinél tiltva legyenek az adathalász oldalak IP ill. domain címei, így további ügyfelek az adathalász oldal kattintásakor nem látnak semmit, mert a szolgáltatjuk már tiltotta az oldal elérését.
Ehhez együttműködésre és emberi erőforrásra van szükség az érintettek oldaláról.
Mennyire állja meg a helyét egy ilyen ötlet?
"jött az otptől tobbszor email ertesites hogy megprobaltak belepni"
2 hete az otp-nél karbantartás volt (de a lakossági bankszámlákat nem érintette), akkor kaptam egy real e-mailt az otp-től, hogy többszöri sikertelen belépési kísérlet miatt zárolták 24 órára a netbankomat (fun fact: a mobilapp viszont kb 5 órára rá már működött, a netbank tényleg csak 24 óra elteltével). Ez vasárnap du volt, hétfő de. felhívtam az otp-t, hogy mi volt ez. Az ügyintéző csak annyit tudott (vagy akart) megmondani, hogy valami Windows asztali gépről volt a próbálkozás, de semmi mást. Azt bezzeg rögtön megmondta, hogy este 21:07-kor az appba milyen típusú telefonnal (az enyém) sikerült belépni. Szóval nem derült ki semmi a próbálkozásról, de legkésőbb a 2FA megfogta. Az otp app viszont nem küld belépési kísérletkor pusht, tehát abban se lehetek biztos, hogy egyáltalán eljutott-e a QR leolvasásig a csaló.
A cikkben több témáról van szó, ezek egyike a Wise használatának biztonságosabbá tétele. Ezen belül olyan dolgokról van szó, amik arra engednek következtetni, hogy a Wise böngészőn keresztül történő használatáról van szó, nem a mobilappon keresztül való használatáról.
Kérdésem, hogy miért kellene bármilyen helyzetben mobilapp helyett böngészőt használni? Ha maradunk a mobilappnál, rengeteg kockázattól kíméljük meg magunkat, lásd a másik mai Wise-os cikknél pórul járt ember esetét, ahol mindegyik említett lehetséges feltörési kísérlet csakis böngészőn keresztül volt megvalósítható.
@peti
> @CIB Bank? Eddig nem volt, pár éve jött ki, hogy van ilyen jogszabály, de ha belegondolsz kb. megvalósíthatatlan
Dolgoztam banknál, az anyabankot az ottani felügyelet büntette meg pont ilyenért. Nagy trükkösen kértek olyan tranzakcióról adatot egy "vizsgálathoz", amihez 5 évnél régebbi ügyfél adatot kellett visszakeresni. A kollegák nagy szorgalmasan megkeresték, napokig dolgoztak mint a güzü, várták érte a dicséretet, aztán jött az, hogy "hogyhogy ez az adat megvan nektek, amikor 5 év után le kellett volna töröljétek? BÜNTI".
@dani21
Ha nem vitt a Store-ba, hogy tölts le valamit, vagy nem akart egy apk-t telepíteni (ami pedig azért pár plusz okét kér még tőled), akkor nem települt rá semmi, ne aggódj.
@uhura
Ezt a második bekezdést be tudod írni kérlek újra, ember által is emészthető formátumban?
S mit kell bekapcsolni és hol és miért nincs alapból bekapcsolva?
másfél percre rá már írtam is, hogy bocsi, felületesen olvastam, mert te pc-s böngészőről beszéltél, az említett beállítás meg (ezek szerint) csak az app-ra vonatkozik - de human captcha error miatt nem ment át az üzenet. (nem, nem firefox)
@dani21 De miert kell neked ejszaka egyaltalan net kapcsolat? 🙂 Ez tipikus pebkac volt, a fontos ember, akinek mindig elerhetonek kell lennie.
Ha az adataid a felhobe vannak szinkronizalva, es gyanakszol, hogy valami a telefonodra kerult, akkor talan egy factory reset segit.
Mint kiderült, a rég halott apja személyes adataiból kérdezte föl a kedves ügyintéző…
S nem tűnt fel neki a minimum 25-30 év eltérés? 😀
A yt-on nemregen feldobott egy vallalkozo ficko oldalat, 10 milliot loptak el a ceges szamlajatol (MHB banknal van szamlaja) ugy,hogy semmilyen ketleoeses azonositot semmit nem kertek,senki fel nem hivta.
A bank jelentkezett hogy gyanus penzmozgas van a szamlajan,ö utalt? Majd amikor azt mondta nem, es allitsak le az utalast ,a bank nem csinalt semmit..az elsö 5 milliot sikerült visszakapnia,mert akinek utaltak az azonnal letiltotta szamlat,szemelyesen a bankfiokban.A masik reszet tovabbutaltak..rendörseg,bank füle botjat sem mozgatja.Most van ügyvednel az ügy.
Valoszinüleg a kartyajat lemasolhattak(nem tudom ez a helyes kifejezes).
Szerintem ez felelmetes.
Az allamkincstarban is volt egy hasonlo sztori(szinten valahogy a kartyajahoz fertek hozza).
Nagyobb baj, hogy ezekkel a rendőrség sem csinál semmit.
Egyszer az “E.on”-tól kaptam egy 30 ezres “számlát”. Egyetlen probléma, hogy nincs és soha nem volt E.Onnal szerződésem. Ezután kezdtem keresni a gyanús jeleket. Bejelentést tettem rendőrségen, és jeleztem a szolgáltatónál.
Rendőrségtől 1 hónap múlva kerestek, hogy befizettem az összeget? Nem? Akkor köszönjük, nem történt bűncselekmény, az eljárást megszüntetik.
Szolgáltató elküldött 1 sablon mailt, hogy mik az adathalász mailek ismertetőjegyei.
Máskor az “OTP”-től hívtak, hogy gyanús utalás történt a számlámon. Ami valóban gyanús, mert 10 éve nincs ott számlám. Rendőrségnek továbbítva az ügy. 1 hét múlva hívott a rendőr, hogy megadtam-e bármilyen személyes vagy banki adatot. Mivel nem adtam meg ilyet, ezért nem indítanak eljárást.
Magyarul megelőzés céllal ne is reménykedj, hogy a szervek csinálnak valamit…
ecs: a normál adatok oké, de a bankkártya adatokat nem menthetik. Ha van egy oldal ahol van kártyaelfogadás, akkor rendes audit nélkül nem lehetsz elfogadó, és a felkészülés kb második mondata az, hogy semmit sem szabad tárolni kártya adatot, a fizetés után el kell dobni (bár inkább az a jellemző, hogy amúgy is átirányítanak egy szolgáltatóhoz fizetéskor, az a szolgáltató meg tisztában van hogy kell, talán PCI audit a neve amit át kell ugrani)
Kedvencem mikor az ugyfelszolgalatos nem erti a telefonos azonositas miertjet. Egeszsegbiztositotol hivtak telefonon kerte azonositsam magam, en meg kertem a nevet hogy a kozponti szamukat visszahivom es kerem ot. Es nem ertette ezt miert akarom mert ugyis vele beszelek. Mikor visszakerultem hozza akkor flegman annyit mondot hogy mostmar akkor megmondom e az azonosito adatokat.
Nagyon keves helyen lehet beallitani szolgaltato oldali azonosito jelszot.
@-nb- Olyanra gondolok, mint pl. a Yubikey: yubico.com/products/yubikey-5-overview/ Ez pedig nem tudják csak úgy ellopni, mert ahhoz magát az eszközt kellene vinni, amit távolról elég nehéz megoldani. Egyébként minden picit is felvilágosult szolgáltató biztosít erre a lehetőséget.
@mad823 Ez "az ellen nem véd". A man-in-the-middle attackhoz elég csak a szerver certifcate-jét ellenőrizni a böngészőben. És ennyi.
A fentebb említett HW-es kulcs az autnetikáción segít, mert ahhoz hogy belépj kell egy ilyen kulcsot birtokolnod. A 2FA (two factor authentication) arra épít, hogy az alábbi opciók közül kettőt használsz a belépéshez:
- amit tudsz pl. jelszó
- amid van pl. HW-es kulcs
- amilyen vagy pl. ujj lenyomat
Nyilván ezt lehet tovább szofisztikálni és pl. a telefon az egyik leggyengébb "amid van" típusú factor.
"ok, akkor íme a kiábrándító valóság: egy közepesen szarul fizetett IT-s dolgozó nyomtalanul képes az egész ügyféltörzset lenyúlni. Ha nincs a tesztrendszer anonimizálva, akkor naagyon könnyen, ha csak az éles rendszerből lehet, akkor csak egy kicsit nehezebb."
Kiszámoló valószínűleg inkább csak user szempontból ismeri a banki rendszereket, ahogy az ügyintéző be tud lépni, és meg tud nézni dolgokat. De a rendszerek fejlesztői nincsenek így korlátozva, ők akár a teljes adatbázisra ráláthatnak, közvetlen adatbázislekérdezéseket csinálhatnak SQL vagy egyéb felületen keresztül, nem kell az ügyintézői felületet használniuk.
Az egész azon múlik, hogy a fejlesztők mennyire vannak szigorúan ellenőrizve, de ez is korlátos lehet csak (aki magát a banki rendszert tartja karban, fejleszti, annak gyakran kell, hogy közvetlen hozzáférése legyen a banki rendszerben hibakereséshez pl.).
Csalok mindenhonnan gyujtenek adatot. En nagyon odafigyelek arra,h nincs marketing megkereses es tarsai, igy nem is hivogat senki. Ellenben most felraktam a hazat eladni es azonnal erkezett a FuggetlenBefeketesiPereputtytol a hivas, hogy eloadas lesz es vegyek mar reszt. Masik platformon masik szamom volt megadva, azon is probalkoztak.
@Kiszamolo egyszer rendeltem egy jó értékelésü, megbizhatónak gondolható webshopról egy telefont. Kifizettem, "raktáron" volt. Hetek alatt se kaptam semmit, se kommunikáció; a pénzem felszólitásra is csak örizgették. (Ekkor tudtam meg: arukereso.hu-n webshop értèkelèshez se konkrét vásárlás, se regisztráció nem kell; kb egy unatkozó kollegista tud írni a kamus webshopodra reviewer botot)
A Raiffeisent megkeresve küldtek egy bankkártya reklamációs nyomtatványt. nem csak a kártyás fizetést de vagy 2 tucat use-caset jelenthettèl (pl. ATMböl kivett kp-val fizettèl vmièrt, amivel átvertek, vagy a kártyával foglalt szállás gyengébb kategóriás, és a hely nem kârpótolt) 2 nap múlva hivott egy fraud munkatárs, átbeszéltük, rá 3 nap múlva hivott a webshop "ügyvezetöje" hogy küldi a pènzem, mi a számlaszàmom.
Elvileg ez az MC és a Visa szolgáltatása, nem bankfüggö, és komolyan is veszik.
@Kiszamolo a bankot nem érdekli a pénzed proaktívan, az valóban igaz.
Viszont a Visa-t és az MC-t érdekli, nekik érdekük a kártyahasználat "jó imidzse". A raifis munkatárs szerint nagyjából 100% a sikeres reklamáció, ha hitelt érdemlö az ügyfél állitása ès érdemi cáfolat sincs rá. (Ha a reklamáciò nem megalapozott, akkor fizetned kell az eljárás diját) ès az se baj, ha te aktívan részt vettèl abban, hogy átverjenek, csak a bankkártyás tranzakcióra visszavezethetöség a lényeg
Szóval ilyen visszaèléses esetekben ez egy járható út lehet.
De egyébként simàn google + minimális social engineeringgel (jelszóemlékeztetöket kérsz, stb.) egèsz sok adatot lehet megtudni sok emberröl. Persze ez tömeges csalásokra nem alkalmas, azokhoz a darkweben árulnak gombokért adatbázisokat, tipikusan webshopokból ellopva.
@mad823
Azért nem egészen. És ezt személyes tapasztalatból is tudom. CIB utalásnál a számlaszám utolsó 4 számjegyét, és az utalandó összeget is meg kell adni a token eszköznek.
cib.hu/Maganszemelyek/digitalis_bank/psd2/psd2_azonositas/hardtoken.html
Az elég valószínűtlen, hogy a csaló pont akkora összeget akar küldeni, mint te, és a számlaszám utolsó 4 számjegyet pont megegyezik a tieddel.
Köszi Miklós a tippeket. Az "Automatikus ellenőrzés" csúszkája a 2 lépcsős azonosítás menüpont alatt található azoknak, akik ezt már bekapcsolták. Bezártam a böngésző ablakot (nem jelentkeztem ki), mert ki akartam próbálni az új beállítást és a kedvencekben eltárolt linkre kattintva simán minden felhasználónév és jelszó kérés nélkül újra megnyílt a wise.
A cikkben is van igazság, hogy jobban oda kell figyelni mikor, hol, milyen adatot adsz meg. Én speciel sehol semmilyent, nincs okostelefonom, és az emailjeimet szigorúan átnézem. Ha várok csomagot ha nem, ismeretlen oldalak esetén azonnal ellenőrzöm. Például vettem ebayen műszaki cikket, amit vámolni kellett, 12 üzenetet kaptam az elsőnél még ellenőriztem onnan jött-e, persze nem. A többi ment a kukába, főleg amikor az ebay tájékoztatott, hogy az esetleges plusz pénzt az átadásnál kell fizetni, nem írkálnak külön emaileket.
Ugyanakkor jó tudni, hogy Magyarországon egyes bankok például a cetelem, az ún "hitelkártyájánál" eleve azonnal átadja magánvégrehajtónak, a csekket valójában nekik fizeted, és nagyjából a havi törlesztőd 80%-a az övék. Befizetsz havi 20 ezret és kártyádon még fél év múlva is csak 3 ezer forinttal kevesebb a tartozás. Ilyen úton is kikerülhetnek az adataid.
Én nagyon egyszerűen kitalált nevet mondok anyám neve helyett. A banki ügyintéző ilyenkor lefagy kicsit, mert nem azt hallja, amit szeretett volna. 😀
Egyszer hívott OTP nevében csaló, az megköszönte az azonosítást, és haladt volna tovább, én meg mondtam, hogy én is rögzítem a beszélgetésünket, erre letette a telefont. Érthetetlen...:D
Én annyit csináltam meg még a WISE-nál, hogy a két alapértelmezett digitális bankkártyából az egyiket zároltam, a másikat pedig hozzárendeltem a Google Wallet-hez, majd ez utóbbinál a "Fizetési módok kezelése" ablakban mindent kikapcsoltam (pl. ATM-használat), csak a "Mobiltárcát" hagytam bekapcsolva. Így a Google Pay-jel használható maradt a kártya, minden más használat tiltva van.
A Google Wallet ráadásul még a WISE kártya számát is maszkolja, vagyis az eladó nem a WISE kártya valós számát látja a fizetésnél, hanem azt a számot, amit a Wallet hozzárendelt az appban.
Ez még egy plusz védelem lehet a kártyaadatok illetéktelen felhasználásának megelőzésére. 🙂
@alomorszag : ha csak a kártyát klónozzák, akkor még nem fognak tudni utalást indítani a számláról
Erre nem megoldás a hitelkátya? Itt ugye a bank pénzét költöm. A bank csak érdekelt a saját pénzének a visszaszerzésében.
Még egy biztonsági lépcső az e-mail alias mindenhol. Persze, ha valaki külön e-mail címet használ akkor tárgytalan, de szerintem kényelmesebb az egyetlen e-mail címedet elrejteni.
Nem feltétlen a Wise biztonsági opcióit javítja, hanem a saját digitális személyazonosságod fellelhetőségét.
Arra hasznos, hogy ne feltétlen tudja egy elkövető egyértelműen beazonosítani, hogy neked milyen helyeken vannak accountjaid. Pl.: Wise esetén az e-mail cím a felhasználónév.
Ha te felhasználod az e-mail címed mindenhol és valamelyik helyről ellopják ezeket az adatokat. Aki megveszi ezt az adatot használhatja arra, hogy megpróbáljon behálózni téged Wise-on a wise accountodért mondjuk.
Azért egy két helyen érzik már, hogy reagálniuk kell a csalókra.
Erste Netbrokerben pl. már nem tudtam új számlaszámot felvinni, deviza számlát sem, a telefonos ügyintéző azt mondta, hogy ez egy friss szigorítás, csak személyesen lehet intézni, vagy emailben. Ez nyilván elég bosszantó lehet (nekem pl. most az), de ennyi elég is ahhoz, hogy ne tudják egyszerűen kipucolni a befektetési számládat.
Webkincstár még most is elég necces ilyen szempontból.