Furcsa banki csalásos esetekről számolt be a 24.hu ma. Ebben a cikkben arról írnak, hogy nem szokásos banki csalások történnek az MBH banknál, olyanokat lopnak meg mobilapplikáción keresztül, akiknek soha nem volt mobilapplikációja, ennek ellenére a tudtuk nélkül valaki feltelepített egyet magának az ő számlájuk kárára, annak ellenére, hogy a feltelepítéshez rengeteg adatot kellene ismernie a csalóknak.
Az eset nem a szokásos átverésnek tűnik, mint telefonos csalás vagy kamu linken keresztüli csalás. A károsultak Facebook csoportjában már hatszáz tag van, állítólag már a rendőrség is észlelte a megnövekedett esetszámot.
Egyelőre nem lehet tudni, mi van a háttérben, az se világos, hogy minden ügyfelet érinthet vagy csak mondjuk a volt takarékszövetkezetes ügyfeleket, de ha te is MBH-s vagy, kövesd figyelemmel a híreket.
Update: egy facebookos hozzászóló szerint már napok óta nem lehet aktíválni a bank mobilappját, ez összefüggésben lehet az esettel.
Update 2: reagált az MBH is egy közleményben, szerintük nincs itt semmi látnivaló, csak a szokásos, ismert bankos adathalász csalásoknak estek áldozatul az ügyfelek.
Azért felmerülnek kérdések, hogyan lehet ennyire könnyen kijátszani a bankot. Amikor telefont váltok, utána az összes banki app vérré szívat, gyakran hetekig, csak mert új telefonról akarok utalni, meglévő és már gyakran használt számlaszámokra. SMS-t küldtünk, e-mailt küldtünk, kattintson rá, irja be, igazolja vissza. Gyakran hetekig szívatnak ilyenekkel, mire belenyugodnak, hogy tényleg én váltottam telefont.
Például a Raiffeisennél még mindig kapom ezt a képernyőt, pedig csak a biztosítóknak utalom a szokott összeget a szokott számlaszámra és már nem először az új telefonról:
Ehhez képest egy újonnan telepített mobilbankból egy új számlára kiutalnak minden pénzt és ezt gond nélkül több százszor, ezerszer megtehetik? (Csak a Facebook csoportban van hatszáz károsult, ennél nyilván sokkal több van.) Ez még akkor is nagy gáz, ha igaz, hogy mindenről csak az ügyfelek tehetnek.
S sok kérdést felvet az is, hogy az ügyfelek hogy nem vettek észre ebből semmit? Hogyan lehetett eltéríteni a biztonsági SMS-t, ha volt egyáltalán? Miért nem kaptak egyenlegértesítőt? Ha volt mobilbankjuk, az miért nem jelzett? Hogy lehetett átírni a biztonsági SMS számot a tudtuk nélkül egy új számra? A leírások szerint a csalók több részletben utalták el a pénzt és mindig meg tudták tenni. A klasszikus átveréseknél egy SMS-t szereznek meg csak és az csak arra elég, hogy azt az egy tételt elutalják maguknak. (Vagy az ügyféllel az összes kapott SMS-t beolvastatják. DE NEM TUDJÁK MEGVÁLTOZTATNI, HOGY NE AZ ÜGYFÉL KAPJA AZ SMS-t.
Nem egy komplett mobilbankot telepítenek vele és utalnak utána akármennyit úgy, hogy maga a tulajdonos ebből semmit nem vesz észre.
Szóval vannak súlyos kérdések az üggyel kapcsolatban, még akkor is, ha elhisszük, hogy tényleg az ügyfeleket tévesztették meg. (Pedig egy esetet kivéve ezt mindenki határozottan cáfolta a fenti cikkben.)
S itt egy áprilisi fórum, abban azt írják, hogy már akkor tudtak a banknál a problémáról. (Krisztián hozzászólásából.)
Ha jól értem a gondolatmenetet, azért lehet megcsinálni ezt a csalást, mert nincs alapból beállítva a kétfaktoros hitelesítés, ami egyébként uniós előírás lenne. Ha ez tényleg így van/volt, az nagyon nagy gáz. (De nem tudom, mert ügyfél sem vagyok és az esetről sem tudok többet, mint amit olvastam a fenti linkekben.)
Van még hová fejlődnie a bankbiztonságnak az MBH-nál.
Milyen adatokat kell ismerni, hogy feltelepíthessen egy appot a saját telefonjára a csaló ami az ügyfél számlájához van kapcsolva?
(cikk paywall mögötti részét nem olvastam előfizetés hiányában)
Az applikáció beüzemeléséhez sem rendszerüzenetet, sem letöltést igazoló üzenetet, sem jelszót nem kaptak, és az emailcímükre sem érkezett üzenet, hogy az applikációt aktiválták – közölte lapunkkal Hámori Zsuzsanna, hozzátéve: az egész mobilapp-telepítésből semmit nem észleltek, nem volt róla tudomásuk
A neten található egy hivatalos MBH-s videó arról, hogyan megy az applikáció létesítése, regisztrációja. A fiók létrehozásához ismerni kell a bankkártya vagy a számla számát. Aztán meg kell adni az MBH netbankos felhasználói nevet és azonosítót. Ezután küldenek egy sms-kódot a profilhoz regisztrált telefonszámra. Utána meg kell adni egy szabadon választott, hatjegyű mPIN-t, amit meg kell jegyezni. Kérdés, hogyha az ügyfél nem adta meg senkinek a kártya- vagy számlaszámát, a netbanki felhasználónevét és az azonosítóját, valamint a telefonjára nem kapott kódot, vagy ha kapott is, nem adta meg senkinek, akkor hogyan tudnak mások mobil appot regisztrálni a nevében. Ezt kérdeztük a banktól is, de választ nem kaptunk.
Lenullázták a kft. kasszáját
Egy másik olvasónk arról számolt be, hogy egy családi kft. számlájáról összesen 24 millió forintot utaltak el április 26-án estefelé a tudtuk és hozzájárulásuk nélkül. Előző nap a cég megtakarítási számlájáról egy nagyobb összeget áthelyeztek a csalással érintett számlára, és elutaltak egy kisebb összeget innen egy másik számlára, ami célba is ért. Szokatlan mozzanatot nem tapasztaltak. Később kaptak egy sms-t a banktól, hogy valaki el akar utalni a számlájukról 500 ezer forintot, és hogy ők indították-e ezt az utalást. Felhívták a bankot, hogy nem ők indították az utalást, mire közölték, hogy akkor zárolják a számlájukat.
Mások is hasonló módon jártak pórul. Egyik kollégáját is megkárosították, és amikor panaszt tett a banknál, neki is azt mondták, hogy mobilappot hoztak létre a közreműködésével. Az illetőnek egyébként nincs is internetképes mobiltelefonja, és ő sem észlelt mindebből semmit. Az elmondása alapján összesen közel 10 millió.
Tetemes lehet a kár
A horgászegyesület vezetőjének kezdeményezésére a zárt károsulti csoportban elkezdték összegyűjteni, hányan és milyen módon károsultak, illetve mennyi pénzük veszett el – beszélgetésünkkor a kezdeti több mint húsz visszajelzés alapján a többségnek mobilappot létesítettek a tudtuk nélkül a csalók, és már 100 millió forint feletti volt a kár. Ebből arra lehet következtetni, hogy ennél jóval nagyobb lehet az az összeg, ami eltűnt a számlákról, hiszen már több mint 600-an vannak a károsulti csoportban. A károsultak zöme egyébként magánszemély, a legmagasabb összeg, amit megkaparintottak a csalók, 40 millió forint volt.
Imádom ezt a tempót, megírja a 24.hu de fizetős cikk, és utána körbemegy a fél magyar médián, miközben épp csak az nem derült ki, hogy valójában mi történt? Mondjuk nem átvennék a cikket hanem nekiállna kinyomozni az újságíró, hogy mi történt, és írna egy rendes cikket.
Az persze teljesen rendben van, hogy kitetted, mert amúgy nálad szoktam ezeket először olvasni, de hát milyen furcsa ez már, valakik csak úgy a semmiből feltelepítgetik a banki appot és utalgatnak?
Nagyon gyanús, hogy ezzel a sztorival valami nagyon nem stimmel, vagy ha meg így volt, az mégis hogy lehet?
https://hup.hu/node/187774#new
Hozzászólás a facebookról:Akkor most már értem, hogy napok óta miért írja az app, hogy technikai ok miatt szünetel az app-ban való regisztráció. Egyébként évek óta meg a bénázás a különböző bankok technikai integrációjával és a mai napig nem mindegy milyen volt bank ügyfele voltál. Totál amatőr egy társaság!
Nem szünetel. Munkanap 8-16 óráig lehet aktiválni. Gondolom, Micike rá lett állítva a központban, hogy rányomjon az Enterre.
Amikor AI-jal generálsz program kódot, néha csinál olyan anomáliákat, hogy 2 faktoros beléptetés esetén a 2. faktor opcionális ha ismered a végpontot.
Legutóbb olyat csinált, hogy a másik e-mail-címével és az én 2 faktoros hitelesítő kódommal be tudtam lépni, hogyha ismertem a végpontot.
De persze, simán lehet, hogy a HI (Human Intelligence) volt itt a hunyó
A Postabank botránynál eldöntöttem, hogy magyar banknál soha nem fogok számlát nyitni.
Így van. Többek között ezért nyitottam számlát anno a Bayerische Landesbank (jelentős) többségi tulajdonában álló Magyar Külkereskedelmi Banknál 🙂 Azóta változtak a tulajdonosok, az elnevezések, a színvonal pedig folyamatosan esik..
Eddig az volt az álláspontom, hogy nem telepítek mobil bankot, mert akkor én leszek a gondatlan. Most már nem is kell telepítenem, anélkül is gondatlan lehetek, úgynézki 🙁
Mindenesetre mindjárt írok egy bedványt (expressz ajánlva) a bankomnak, hogy én nem kérek mobil appot és ezt a rendelkezésemet csak személyesen vonhatom vissza.
(csak úgy zárójelben: a CIB-nél csak fiókban lehet mobilappot aktiválni. Nade utána mindened is a mobilodon van, ahogy az elvárhaató egy korszerű személytől)
Telefonon is lehet aktiválni a CIB-nél a mobilappot, én 2 hete aktiváltattam. Egyébként a kényszerűség vitt rá, mert sokadjára tiltott le a CIB-es hard tokenem, amit viszont tényleg csak személyesen a bankfiókban lehetett feloldani.
"a CIB-nél csak fiókban lehet mobilappot aktiválni"
"Telefonon is lehet aktiválni a CIB-nél a mobilappot, én 2 hete aktiváltattam."
Ezért imádom a kommentmezőt is olvasni, mert valaki azt mondja "A", a következő meg rámondja hogy "B".
Nekem meg fogalmam sincs mi van a CIB-nél 🙂
De van egy fura szokásom hogy ha nagyon érdekel egy téma akkor az összes kommentet elolvasom.
Már várom, hogy ezért is megfenyegessenek téged egy perrel.
Azt már le sem merem írni, hogy vajon nem kaptak/szereztek-e az oroszok hátsó bejáratot a bankhoz, mert jön az ÁVH, aztán listára kerülök.
Azt hittem ilyen csak az a Revoluttal történhet meg. 😀
Nekem a https://hup.hu/node/187774 link nem jön be.
A hup.hu bejön és látom is az "MBH Bank számla feltörés" topikot, de ha rákattintok, akkor PR_CONNECT_RESET_ERROR hibát kapok.
Más topikok megnyílnak.
Kicsit furcsa.
Disclaimer: Amit írok, az csak feltételezés.
A HUP fórum alapján vmi brutál biztonsági hiba volt a banknál, (még nem jöttem rá, pontosan mi), amiről már tudtak is egy ideje. Gondolom valami nagyobb külföldi csoport is tudott róla és egy batchban lenyúltak egy nagyhalom pénzt.
Amennyire értem a történteket, az MBH a saras és majd kártalanítania kell mindenkit, de annyi pénzről van szó, hogy ez jó sokáig el fog húzódni, ha egyáltalán van annyi pénze a banknak.
A hétfői részvényárakra kíváncsi vagyok, gondolom akkor már több infó lesz nyilvános.