Úgy döntöttem, hogy egy kicsit jegelem ezt a cikket, hogy rossz arcoknak ne adjak tippeket. Az üzenet biztos eljutott a címzetthez, mert a sajtóosztályuk este képes volt írni, jóval a munkaidő vége után, na nem azért, hogy kijavítsa a cikkben leírtakat, hanem hogy vegyem le, mert egyébként.
Visszaírtam nekik, de csak a mailer daimon válaszolt, más is panaszkodott, hogy már nem fogadnak e-mailt.
Szóval a cikk remélem elérte a célját és lesznek hathatós változások az Államkincstár online felületén.
A cikk végét azért bemásolom, add tovább mindenkinek a közeledben.
Addig is, amíg az Államkincstár csinál valamit, minden hozzátartozódat figyelmeztesd, különösen az idősebbeket, hogy ha bármilyen indokkal állítólag az Államkincstártól hívják, ne csináljon semmit, amit kérnek tőle, hanem tegye le a telefont és ő tárcsázza a 1811-es rövid hívószámot. Ha tényleg gebasz van, ott úgyis megmondják, s akkor biztos, hogy tényleg velük beszél.
Hívd fel a figyelmüket, hogy semmit nem jelent, hogy a telefonja mit ír ki a képernyőjén hívó számnak, hiába látja bejövő hívásnak ezt a számot, azt lehet hamisítani. Ezért érdemes felírnia (felírni neki) az összes szükséges telefonszámot (Államkincstár, a bankjának a száma, stb.) és a lelkére kötni, hogy bárki hívja állítólag bankból vagy Államkincstárból, vonal bontása és ő tárcsázza a biztos jó banki számot.
Teljesen validak ezek a felvetések... Ha eddig nem repültek rá a csalók erre, akkor ezek után szinte garantált 🙂
Én is rettegéssel tapasztaltam, hogy bármit el lehet végezni másdodlagos azonosítás nélkül is...
Már rárepültek, ne aggódj.
Amin gondolkodok, hányan vannak olyanok, akik nem is tudják, hogy néhány hete-hónapja kirabolták őket. Az átlagember nem szokott belépegetni az államkincstári számlájába, ha nincs miért.
Mobilkincstárba nálam ujjlenyomattal lehet bejelentkezni (a jelszót nem tudja, habár azt én sem 🙂 ), de onnantól valóban azt csinál az ember amit akar. Egy lehellettel jobb mint az elmentett jelszó.
Az ujjlenyomat valami új lehet, mondom, én letöröltem egy ideje, úgyhogy nem követem a változását.
De hát ez is valami, örüljünk a kicsinek is. 🙂
Érdemes a kincstár oldalán kikapcsolni a Mobilkincstár alkalmazást, mert tuti elérhető a belépés másik telefonról. de itt már megadható biometrikus ellenőrzés. Bekapcsolni ugyan nem tudtam, igyekszem a lehető legkevesebb pénzügyi cuccot tartani a telefonomon. (ehhez képest a levágott ujjammal mindenből ki tudnának forgatni)
Elméletben megy a kétfaktoros belépés. A mobil appban le kell okézni a belépést. Nem azt mondom, hogy feltörhetetlen lesz így, de jóval nehezebb és nekem, mint laikusnak ötletem sincs rá, hogy ezt hogyan tudnák megoldani a csalók. Pontosabban ezek nem csalók, hanem tolvajok.
Ettől független biztonsági szempontból nagyon gáz ez így, ahogy leírtad. Gondolom valami nagyon tehetséges ner haver cége fejlesztette le nekik csilliárdokért.
Isten ments, hogy személyesen kelljen bemenni! Gyűlölöm! Én akkor kapok pénzt, amikor dolgozom, ha dolgozom jó pénzt kapok, igy megéri nem lógnom. Nyaralni is fájó szívvel megyek, mert többe van a kiesett bevétel, mint a nyaralás költsége.
Halálom, amikor munkaidőben kell ügyintézni, mert ők is csak akkor érnek rá, amikor nekem is dolgom van. Ülök a váróban, cseverésznek az ügyintézők, elmennek ebédelni, ha beüt a dél, nekem megy pörög számláló, hogy mennyi kurva sokba van, hogy ott ücsörgök. 2023-ban 1x kelljen bemenni személye azonosításra az okmányirodába, kapjon az ember egy mindenre is jó user\password kombót, és azzal hitelesítsen minden magyar hivatal és cég!
Mobilappnál nálam is biometrikus azonosítás van már legalább másfél éve. (fingom sincs amúgy már, hogy mi a jelszavam)
Nevetséges az állam minden rendszere, ne lepődjünk meg, ha az egészet a 2011-es deviza- és adósságválság után Rogán Antal személyesen gründolta, hogy le tudjunk válni a gaz nyugati hitelezőkről.
De ha konstruktívak akatunk lenni, akkor csak annyit kérjünk, hogy
- az értesítési telefonszámot csak személyesen lehessen módosítani, ezt az opciót, hogy belépve is át lehet írni, szüntessék meg
- az utalásokat is sms kóddal kelljen engedélyeztetni (elég mondjuk akkor, ha a napi összeg meghaladja az 1 millió forintot)
- a minimum lenne, hogy ha 1 millió felett utalsz új számlaszámra, akkor felhív az ügyfélszolgálat (a régi számodon), beazonosít (olyan adatokkal, amit online nm tuhatnak meg rólad, bár úgy tűnik, hogy egyelőre nincs ilyen adat) és csak akkor engedi el az utalást, ha minden rendben van.
Olcsó húsnak híg a leve?
És akkor mi a megoldás? Amíg nincs ez javítva, addig pl. kérjem a webkincstár inaktiváĺását, hogy csak személyes ügyintézésnél lehessen csak hozzáférni?
Valaki írhatna egy sablon emailt a fenti pontokkal, amit tömegesen el lehetne küldeni az ÁK-nak.
Köszi szépen, átállítottam, amit lehetett, a mobilkincstárat már korábban töröltem a telómról, pont az itt olvasottak miatt.
Én mondjuk szerencsére viszonylag gyakran belépek, asztali gépről, úgyhogy vélhetően hamar felfedezném, ha valami gebasz lenne, bár igazából már tökmindegy, hogy két nappal vagy két hónappal később fogom felfedezni.
Egyedül a start-számlákat érzem biztonságban, mert azokhoz még az ügyfél sem tud hozzáférni egy adott időpillanatig.
A mobilos app-ban be lehet állítani az ujjlenyomatos belépést a Beállítások menüben. Innentől kezdve nincs SMS csak a webkincstárhoz. A többivel egyetértek, tényleg kellene minden tranzakcióhoz egy ujjnyomatos engedélyezés, ha már a belépéshez megoldották.
Nekem van mobilappom és ujjlenyomattal lépek be. A webes felületre szintén az app segítségével, küld a mobilra egy kétfaktoros hitelesítési kérelmet amit szintén ujjlenyomattal engedélyezek (mint a bankom esetén). Miklós, vannak a cikkben tök jogos felvetések de azért pontatlanságok is.
Egyéb beállításokban van egy ilyen:
Megerősítő üzenet tranzakciók végrehajtásához
A négyzet bepipálásával valamennyi WebKincstáron kezdeményezett tranzakció
végrehajtásához megerősítő biztonsági kód kerül kiküldésre, függetlenül a megerősítő üzenet
típusától. Amennyiben a Megerősítő üzenet típusa PUSH-ra lett beállítva, akkor a tranzakciók
jóváhagyását is PUSH üzeneten keresztül kell elvégezni.
iOS-en nekem FaceID-van beállítva, azt szerencsére minden belépés esetén kéri.
De ezek a biztonsági megoldások tényleg nagyon gyengék.
Kis kriptográfia: a speciális karakterek hiánya nem feltétlen jelenti azt, hogy nem erős a jelszavad. A jelszó erősségét alapvetően a jelszó hossza határozza meg és csak másodsorban, erősen lemaradva az, hogy tartalmazhat e speciális karaktereket. Ráadásul könnyebben meg is lehet jegyezni, mint a fölösleges krikszkrakszokat.
Ez egy fontos cikk, köszi.
Ezek szerint egyelőre az a legbiztonságosabb megoldás, hogy ha államkincstári számla helyett valamelyik banknál vagy befektetési forgalmazónál nyitunk számlát, és azon keresztül vesszük az állampapírokat? Feltéve persze, hogy azoknál nincsenek ilyen tátongó biztonsági rések.
Ha igen, akkor érdemes volna a meglévő állampapírokat ilyenre transzferálni? Lehet ilyet egyáltalán csinálni? Vagy marad az a lehetőség, hogy eladom az államkincstári papírokat, a pénzt elutalom, és abból veszek állampapírokat?
Hasonló, és évek óta nyugtalanít, hogy a már egyre többek által használt Barion tárca is mindössze egy email és jelszó párossal elérhető, minden kiutalható belőle, egyáltalán nincs sms semmiről (nem is lehet megadni telefonszámot a rendszerben), se a belépéshez se az utaláshoz. Jelenleg ők biztosítják a legolcsóbb lehetőséget bankkártya elfogadáshoz, ezért látom, hogy egyre több webshop használja (mi is), így a cégeknek pillanatok alatt gyűlik fel rajta sokmillió ft-juk. A belépés pedig csak egy email és egy jelszó, ráadásul nincs arra sem mód, hogy monitorozzuk ki lép be a számlához, így a cégnél elkerülhetetlen, hogy több kolléga is tudja az egyetlen jelszót. Agyrém. (annyi óvintézkedést tudok tenni, hogy minden nap átutaljuk onnan a pénzt rendes banki számlára) És pár éve kaptak hatalmas befektetést, több országban is elindultak, egyszerűen nem is értem.
Ismét nagyon fontos dologra hívtad fel a figyelmet. Köszi.
Egy jó ideje engem is aggaszt ez.
Olvastam egy fórumban, hogy van lehetőség az új banszamlaszan hozzáadásának online tiltására, de nem volt egyértelmű, hogy mi kell hozzá.
Írok is nekik, tényleg jó lenne rendbe tenniük ezeket a dolgokat.
Régebben félévente lejárt a jelszó, gondolom, sokakat zavart, ezért most átestek a ló túloldalára, 5 éve nekem nem kellett változtatnom rajta. Appot használom, újlenyomattal, de akkor is...
Magas szinten ők is érzik, hogy van dolguk. Ennek már csak le kellene fordulnia praktikus intézkedésekké
allamkincstar.gov.hu/hirek/a-kincstar-is-bekapcsolodott-a-kiberpajzs-osszefogasba
Van egy olyan beállítás hogy:
"Megerősítő üzenet tranzakciók végrehajtásához "
Ez nem kétlépésest jelent?
ilyen az amikor a haverok cégei fejlesztenek
Mi azt vezettük be anyukámmal a kincstáras számlája kapcsán, hogy mivel úgyis én piszkálom, én tudom a jelszavát, ő viszont nem. Cserébe az sms belépési jelszavát ő kapja, amit telefonon nekem bediktál, így ketten kellünk mindenhez. Ha valaki más felhívná a kódért, azonnal feltűnne neki, hogy csalás. Emellett mindent átküld nekem, amit a Kincstártól kap. Ha bármiért nélkülem szeretne, vagy kéne intézzen valamit, akkor személyesen még mindig meg tudja tenni.
Miután az állam szépen szivattyúzza mindenki megtakarításait a kincstári számlákra, és kritikus összegek vannak ott kezelve, lehet rendszerszinten is lenne értelme egy controller személy beiktatásának az online műveletekhez, vagy azok egy részéhez (számlaszám rögzítése kimondottan ilyen kéne legyen). De a kritizált dolgok hiánya (vagy épp megléte) tényleg tragikus 2023-ban, és a többségük megoldása filléres tétel lenne.
Ujjlenyomatosoknak: miért jobb, mint a jelszó? Meg tudod változtatni? Nem adtad meg a munkahelyednek/államodnak/tech cégeknek/idegen államoknak vagy hagytad ott bárhol vagy érted és ismered minden esetben a mögötte álló technológia matematikáját?
Szerintem azért nincs tragédia.
Minden esetben 2 faktoros belépés kell, banki szintű SSL kapcsolat van.
Ha betartod az alapokat:
1. nem telepíted fel a mobile appot (mert a telefonodat ellopják, leitatnak és kinyitják az ujjaddal, etc)
2. nem adod meg soha senkinek semmilyen adatodat telefonon
3. A jelszavadat széfben őrzöd, más nem férhet hozzá
4. Mindig közvetlenül a webkincstar.allamkincstar.gov.hu/ oldalon lépsz be (5x ellenőrzöd hogy ott vagy-e.), nem holmi linkeken keresztül jutsz egy másolathoz.
Akkor nem lehet baj.
Ha ezt a 4 pontot betartod, akkor bőven elég a 2 faktoros+SSL, amit a kincstár nyújt.
Ha ezeket nem tartod be, akkor kb mind1. Amiket Miklós ír, az kicsit segít, de a bajt nem kerüli el.
(az új kiutalási számlaszám is kikerülhető ha más kincstári számlára vezeti át a csaló)
Szóval szubjektív mérnök informatikus véleményem szerint ez a post enyhe túlzás.
Már csak ctrl+c, ctrl+v le kell másolni ezt a cikket, le kell fejleszteni az államkincstár belépéshez hasonló oldalt, és a cikk végére oda kell írni nagy betűvel és hyperlinkkel, hogy "ITT BELÉPHETSZ ÉS KIKAPCSOLHATOD A MOBILKINCSTART ÉS ELLENŐRIZHETED AZ EGYENLEGED.". Szerintem egy párszáz millió tuti bejönne belőle...
*Gondolkodtam: inkább ne menjen ki a hozzászólás, mert valaki tényleg megcsinálja. De azért már csak elküldöm.
Minden, ismétlen MINDEN esetben használjatok képernyő-billantyűzetet belépéskor -én Ügyfélkapunál, biztosító, bank, Államkincstár, stb esetében feltétlenül használom. Tudom, hogy kényelmesebb bepötyögni a hosszú, speciális karakterekkel teli jelszót, de sokkal nehezebben feltörhető így a fiókod.
Be lehet állítani, hogy ne SMS kóddal, hanem push üzenettel engedjen belépni. Tehát a webes belépéshez kell a telefonon levő mobilapp és azzal tudod engedélyezni.
Mindjárt jön, hogy Miklós a Fidesz ellen dolgozik, nehogy sikeres legyen az állampapír jegyzés.
Felkészül, 3,2,1 ...
@pif pedig a telefon a sandbox működés miatt biztonságosabb, mint egy laptop
Nem rég változtattam meg a telefonszámom a webkincstárban, hogy az értesítések oda jöjjenek, de ettől függetlenül a belépési kódot még a régi számomra küldte el.
Személyesen mentem be, hogy írják át a mobilszámot az újra, hogy a belépési kódot is az új számra küldjék.
(De az is lehet, csak én nem találtam meg, hol kell átírni, hogy a belépési kódot is az új számomra küldjék)
A leírtak csak részben tudok egyetérteni.
1.) Nagypn régen van ujjlenyomatos azonosítás, ezt jo - igaz mamár alap.
2.) Kétségtelen ha bent vagy mindent megy ezzen lehetne finomítani ez igaz
3.) Ma már azért alap a beállítás egy telefonnál a 5-10-20 sec utáni zárás, a biometrikus azonosítás tehát nem látom ilyen rossznsk a helyzetett, azért azt megnézem aki mondjuk megtöri a samsung knox rendszerét
4.) Az kétségtelen,hogy hiányoznak dolgok: pl.
- számla rögzítés 24 órás moratoriummal
- többszöri autentikáció (tranzakciónkként)
- zárolási lehetőség pl befektett eszközök felszabadítása 48 órás moratoriummal kivéve fordulónapon (de ez is opcipnális legyen)
- kiutalási limitek
- stb.
A beírt felhasználonév , jelszó kombóra javaslat: egy fake kombináció rögzítése és a biometrikus használata
Az Erste értékpapírszámlámnál is volt olyan 1 éve, hogy belépés után kb. a valós befektetéseim ötöd részét mutatta.
Képernyőkép mentése és bejelentés után több héttel jött a felháborodott válasz, hogy minden rendben.
Szóval a bankoknál se mindig top üzemmódban zajlanak az események.
Ettől függetlenül ijesztő a rengeteg csaló mind a kereskedelmi bankoknál, mind az államkincstárnál vezetett értékpapírszámla esetén. Már közvetlen ismerős is járt pórul.
Egy élet munkáját, megtakarításait meglehetősen könnyen le tudják nyúlni. Valamit SOS tenni kellene!
Nagyon köszi, Miklós! Ezek nagyon fontos infók! Bele se gondoltam, de tényleg problémás az államkincstár rendszere. Volt tapasztalat telefonos banki csalókkal, sajnos biztos sokan beugranak. Sokkal komolyabban kellene venniük a pénzügyi szolgáltatóknak ezeket a problémákat!
Egyébként a két faktor tényleg megoldja a beállitások - egyéb beállitások alatt:
"Megerősítő üzenet tranzakciók végrehajtásához
X Minden tranzakció végrehajtásakor kérek megerősítő üzenetet!"
Így már nem tudtam SMS nélkül új emailcimet hozzáadni.
Mondjuk a telefonszámot nem tudom, hogy lehet megváltoztatni.
S ugyanannyi munka kivenni azt a pipát, ahogy betetted és mindjárt megint nem kér semmit....
A jelszavakban előírt speciális karakterekről a klasszikus: xkcd.com/936/ Egyébként a jelszavakkal az a legnagyobb baj, hogy (a jelszókezelőm szerint) 214 darab jelszót kellene ismernem - ennyi különböző, 3-6 havonta változó jelszót esélytelen észben tartani.
Teljesen jó a cikk, de szerencsére már van megoldás és érdemes használni az applikációt, mivel ott biometrikus azonosítás van, valamint a weboldalon keresztüli belépés után a beállításoknál be kell pipálni, hogy minden változásról küldjön megerősítő üzenetet!
En megprobaltam felhivni az allamkincstart, de ok arrol tajekoztattak, hogy ok ilyen beallitasokat, amik a cikkben javasolva vannak, nem tudnak modositani, leven, hogy erre a rendszer nem kepes. Ezt probalta mar mas is? Vagy masnak volt esetleg sikere ezzel kapcsolatban?
Csutak
Az sms megerősítés nem feltétlen jelent biztonságot, mert eltéríthető , klónozás esetén , vagy aktív figyelés esetén a támadó is megszerzi.
Pl megoldás lehetne , hogy kiutalást személyesen kell megerősíteni vagy csak megegyező tulajdonosnak utalhatsz ki pénz.
A speciális karakterek az igazából nem probléma. Főleg, ha értelmes szavakban betűket helyettesít. a helyett @ pl. Ezt a hihetetlen trükköt biztos nem lehet egy szoftverben implementálni. 🙂 A lényeg a minél több karaktert tartalmazó jelszó.
ez :k1skuty@ sokkal gyengébb jelszó mint ez: kecskemosógépfelhőalma.
qph.cf2.quoracdn.net/main-qimg-c4e19a16fd4f17c3c5f15ed2c2bc29c1-pjlq
És az Unicreditnél például van felső jelszó karakter korlát. Megáll az ész!
“Minden tranzakcióról kérek üzenetet” ezzel egy hiba van, ha csaló lép be és egyből azzal kezd, hogy ezt kikapcsolja, akkor ugyanúgy szívás, mert okos magyar módon a pipát megerősítés nélkül ki lehet venni.
K2, igen, már benne van a cikkben is, ha elolvasod. (Egy régebbiben nem volt benne, ha régebben nyitottad meg az oldalt.)
Köszi a leírást. Én is egy mezei felhasználó vagyok, de biztos nem gyengébb az államkincstár 2x authentikációs rendszere a többi Bank SMS alapu azonosításától. Ugyanígy van ilyen lehetőség otp-ben, Erstében, gránitbankban is. A regisztrációnál megadott telefonszámot nem módosíthatjuk, csak személyesen. Én is csak azért tudom, mert meg akartam szüntetni a régi előfizetésem, de aztán leáttam a leírásban hogy ez biza nem lehetséges.
Ettől függetlenül nyilván nem szabad telefonon, megtévesztő chat ablakban megadni semmilyen adatot.
BJ, az a baj, hogy onnantól, hogy beléptél, már nem kér semmit.
Ha azt a néhány dolgot megcsinálnák, amit írtam a cikkben, nem volna értelme telefonos csalásokat szervezni az ott tárolt vagyon megszerzésére. Így sajnos túl könnyű dolguk van.
A többi bank is veszélyes üzem, de ott legalább külön van utalásnál SMS vagy push üzenet, de azokat is kicsalják a naiv ügyfelekből.
Ezen kellene változtatni újonnan rögzített számlaszámoknál és mindjárt nem lenne ennyi csalás.
A megoldás egyszerű, az akarat hiányzik.
Sajnos az azonnali átutalás rengeteg csalót kitermelt, a bankok meg a jegybank meg bambán nézi csak, ahogy kifosztják az embereket.
Ha csak annyit tennének, hogy újonnan felvitt számlaszámra százezer forint felett nem érvényes az azonnali utalás (kivéve telefonos megerősítés után), máris megszűnne a legtöbb csalás.
De nem teszik meg.
Nekem sms kód jön a belépéskor, az nem elég biztonságos?
A mobilalkalmazást feleslegesnek tartom, hiszen nem lépegetek be naponta.
A webkincstár így - kötelező 2faktor híján gáz, ehhez nem fér kétség.
Azonban mindenki védve van, aki mobilkincstárat is használ - itt most az ezen a halmazon kívülieknek el kellene gondolkodni, hogy mennyire okos dolog a "mobilról nem bankolunk" hozzáállás.
A mobilapp pont ugyanúgy 2faktoros, mint bármelyik banki app, kell hozzá a telefon és valamilyen biomterikus jellemző. Ennyi erővel az összes banki app esetén is lehetne farkast kiáltani, de felesleges. Egy ellopott mobillal nem fog tudni senki sem semmit kezdeni, hiába "csak" egy ujjlenyomat vagy FaceID véd rajta mindent. De ne aggódjatok, ha valaki tudja, hogy sok pénzed van, akkor a mobillal együtt téged is el fog rabolni, és úgy utalsz majd mindent, mint a kisangyal.
@zoli
Ha már kriptográfia meg jelszóerősség, akkor elég rossz tanács megjegyezhető jelszóról beszélni, legalábbis ilyen nem elsődleges jelszavaknál, mint a Webkincstár is. A jelmondatok jók, de itt talán nem is alkalmazhatók, mert nem engednek(?) hosszú jelszót, másrészről ami nem elsődleges jelszó (tehát ami nem a jelszóadatbázisod vagy az elsődleges emailfiókod jelszava), azt az adott keretek között bonyolultnak választjuk (jelszógenerátor, ugye), és jelszókezelőbe mentjük, nem jegyezzük meg. (Nehéz is lenne, mert bonyolult.)
Ha már IT Security, ezt mindegyik banknak kellene írni:
- Állítsák be a DMARC-t Reject-re. SPF +DKIM.
Aki nem tudja mit jelent:
Egy kellően jó email szerverrel a mai napig tudok úgy e-mailt küldeni, hogy az pontosan valamelyik bank domainjét tartalmazza. (Nem tömegesen, 10 / nap kb a limit.)
Webkincstárat sem kell feltétlen használni. Aki bevállalja a sorbanállást, maradjon offline.
Bankáros, nem tudom, voltál-e az elmúlt évben Államkincstárban. Sorban mondanak fel az ügyintézők, fél óra várakozás az az ünnep, két óra várakozás bármikor összejöhet. Még egy nyugdíjasnak sincs feltétlen ennyi ideje.
(Végre újra egy hasznos cikk!)
Már írtam is az ügyfélszolgálatnak ... és ti?
Köszi!
@richmond az semmit sem er, egy valamire valo keylogger kepernyofotokat is keszit, tehat ugyanugy megszerzik a jelszavad, ha kompromittalt geprol jelentkezel be!