Államkincstár: tátongó rések a pajzson
Úgy döntöttem, hogy egy kicsit jegelem ezt a cikket, hogy rossz arcoknak ne adjak tippeket. Az üzenet biztos eljutott a címzetthez, mert a sajtóosztályuk este képes volt írni, jóval a munkaidő vége után, na nem azért, hogy kijavítsa a cikkben leírtakat, hanem hogy vegyem le, mert egyébként.
Visszaírtam nekik, de csak a mailer daimon válaszolt, más is panaszkodott, hogy már nem fogadnak e-mailt.
Szóval a cikk remélem elérte a célját és lesznek hathatós változások az Államkincstár online felületén.
A cikk végét azért bemásolom, add tovább mindenkinek a közeledben.
Addig is, amíg az Államkincstár csinál valamit, minden hozzátartozódat figyelmeztesd, különösen az idősebbeket, hogy ha bármilyen indokkal állítólag az Államkincstártól hívják, ne csináljon semmit, amit kérnek tőle, hanem tegye le a telefont és ő tárcsázza a 1811-es rövid hívószámot. Ha tényleg gebasz van, ott úgyis megmondják, s akkor biztos, hogy tényleg velük beszél.
Hívd fel a figyelmüket, hogy semmit nem jelent, hogy a telefonja mit ír ki a képernyőjén hívó számnak, hiába látja bejövő hívásnak ezt a számot, azt lehet hamisítani. Ezért érdemes felírnia (felírni neki) az összes szükséges telefonszámot (Államkincstár, a bankjának a száma, stb.) és a lelkére kötni, hogy bárki hívja állítólag bankból vagy Államkincstárból, vonal bontása és ő tárcsázza a biztos jó banki számot.
Én is rettegéssel tapasztaltam, hogy bármit el lehet végezni másdodlagos azonosítás nélkül is…
Amin gondolkodok, hányan vannak olyanok, akik nem is tudják, hogy néhány hete-hónapja kirabolták őket. Az átlagember nem szokott belépegetni az államkincstári számlájába, ha nincs miért.
De hát ez is valami, örüljünk a kicsinek is. 🙂
Ettől független biztonsági szempontból nagyon gáz ez így, ahogy leírtad. Gondolom valami nagyon tehetséges ner haver cége fejlesztette le nekik csilliárdokért.
Halálom, amikor munkaidőben kell ügyintézni, mert ők is csak akkor érnek rá, amikor nekem is dolgom van. Ülök a váróban, cseverésznek az ügyintézők, elmennek ebédelni, ha beüt a dél, nekem megy pörög számláló, hogy mennyi kurva sokba van, hogy ott ücsörgök. 2023-ban 1x kelljen bemenni személye azonosításra az okmányirodába, kapjon az ember egy mindenre is jó user\password kombót, és azzal hitelesítsen minden magyar hivatal és cég!
De ha konstruktívak akatunk lenni, akkor csak annyit kérjünk, hogy
– az értesítési telefonszámot csak személyesen lehessen módosítani, ezt az opciót, hogy belépve is át lehet írni, szüntessék meg
– az utalásokat is sms kóddal kelljen engedélyeztetni (elég mondjuk akkor, ha a napi összeg meghaladja az 1 millió forintot)
– a minimum lenne, hogy ha 1 millió felett utalsz új számlaszámra, akkor felhív az ügyfélszolgálat (a régi számodon), beazonosít (olyan adatokkal, amit online nm tuhatnak meg rólad, bár úgy tűnik, hogy egyelőre nincs ilyen adat) és csak akkor engedi el az utalást, ha minden rendben van.
Én mondjuk szerencsére viszonylag gyakran belépek, asztali gépről, úgyhogy vélhetően hamar felfedezném, ha valami gebasz lenne, bár igazából már tökmindegy, hogy két nappal vagy két hónappal később fogom felfedezni.
Egyedül a start-számlákat érzem biztonságban, mert azokhoz még az ügyfél sem tud hozzáférni egy adott időpillanatig.
Megerősítő üzenet tranzakciók végrehajtásához
A négyzet bepipálásával valamennyi WebKincstáron kezdeményezett tranzakció
végrehajtásához megerősítő biztonsági kód kerül kiküldésre, függetlenül a megerősítő üzenet
típusától. Amennyiben a Megerősítő üzenet típusa PUSH-ra lett beállítva, akkor a tranzakciók
jóváhagyását is PUSH üzeneten keresztül kell elvégezni.
De ezek a biztonsági megoldások tényleg nagyon gyengék.
Ezek szerint egyelőre az a legbiztonságosabb megoldás, hogy ha államkincstári számla helyett valamelyik banknál vagy befektetési forgalmazónál nyitunk számlát, és azon keresztül vesszük az állampapírokat? Feltéve persze, hogy azoknál nincsenek ilyen tátongó biztonsági rések.
Ha igen, akkor érdemes volna a meglévő állampapírokat ilyenre transzferálni? Lehet ilyet egyáltalán csinálni? Vagy marad az a lehetőség, hogy eladom az államkincstári papírokat, a pénzt elutalom, és abból veszek állampapírokat?
Egy jó ideje engem is aggaszt ez.
Olvastam egy fórumban, hogy van lehetőség az új banszamlaszan hozzáadásának online tiltására, de nem volt egyértelmű, hogy mi kell hozzá.
Írok is nekik, tényleg jó lenne rendbe tenniük ezeket a dolgokat.
allamkincstar.gov.hu/hirek/a-kincstar-is-bekapcsolodott-a-kiberpajzs-osszefogasba
“Megerősítő üzenet tranzakciók végrehajtásához ”
Ez nem kétlépésest jelent?
Miután az állam szépen szivattyúzza mindenki megtakarításait a kincstári számlákra, és kritikus összegek vannak ott kezelve, lehet rendszerszinten is lenne értelme egy controller személy beiktatásának az online műveletekhez, vagy azok egy részéhez (számlaszám rögzítése kimondottan ilyen kéne legyen). De a kritizált dolgok hiánya (vagy épp megléte) tényleg tragikus 2023-ban, és a többségük megoldása filléres tétel lenne.
Minden esetben 2 faktoros belépés kell, banki szintű SSL kapcsolat van.
Ha betartod az alapokat:
1. nem telepíted fel a mobile appot (mert a telefonodat ellopják, leitatnak és kinyitják az ujjaddal, etc)
2. nem adod meg soha senkinek semmilyen adatodat telefonon
3. A jelszavadat széfben őrzöd, más nem férhet hozzá
4. Mindig közvetlenül a webkincstar.allamkincstar.gov.hu/ oldalon lépsz be (5x ellenőrzöd hogy ott vagy-e.), nem holmi linkeken keresztül jutsz egy másolathoz.
Akkor nem lehet baj.
Ha ezt a 4 pontot betartod, akkor bőven elég a 2 faktoros+SSL, amit a kincstár nyújt.
Ha ezeket nem tartod be, akkor kb mind1. Amiket Miklós ír, az kicsit segít, de a bajt nem kerüli el.
(az új kiutalási számlaszám is kikerülhető ha más kincstári számlára vezeti át a csaló)
Szóval szubjektív mérnök informatikus véleményem szerint ez a post enyhe túlzás.
*Gondolkodtam: inkább ne menjen ki a hozzászólás, mert valaki tényleg megcsinálja. De azért már csak elküldöm.
Felkészül, 3,2,1 …
Személyesen mentem be, hogy írják át a mobilszámot az újra, hogy a belépési kódot is az új számra küldjék.
(De az is lehet, csak én nem találtam meg, hol kell átírni, hogy a belépési kódot is az új számomra küldjék)
1.) Nagypn régen van ujjlenyomatos azonosítás, ezt jo – igaz mamár alap.
2.) Kétségtelen ha bent vagy mindent megy ezzen lehetne finomítani ez igaz
3.) Ma már azért alap a beállítás egy telefonnál a 5-10-20 sec utáni zárás, a biometrikus azonosítás tehát nem látom ilyen rossznsk a helyzetett, azért azt megnézem aki mondjuk megtöri a samsung knox rendszerét
4.) Az kétségtelen,hogy hiányoznak dolgok: pl.
– számla rögzítés 24 órás moratoriummal
– többszöri autentikáció (tranzakciónkként)
– zárolási lehetőség pl befektett eszközök felszabadítása 48 órás moratoriummal kivéve fordulónapon (de ez is opcipnális legyen)
– kiutalási limitek
– stb.
A beírt felhasználonév , jelszó kombóra javaslat: egy fake kombináció rögzítése és a biometrikus használata
Képernyőkép mentése és bejelentés után több héttel jött a felháborodott válasz, hogy minden rendben.
Szóval a bankoknál se mindig top üzemmódban zajlanak az események.
Ettől függetlenül ijesztő a rengeteg csaló mind a kereskedelmi bankoknál, mind az államkincstárnál vezetett értékpapírszámla esetén. Már közvetlen ismerős is járt pórul.
Egy élet munkáját, megtakarításait meglehetősen könnyen le tudják nyúlni. Valamit SOS tenni kellene!
“Megerősítő üzenet tranzakciók végrehajtásához
X Minden tranzakció végrehajtásakor kérek megerősítő üzenetet!”
Így már nem tudtam SMS nélkül új emailcimet hozzáadni.
Mondjuk a telefonszámot nem tudom, hogy lehet megváltoztatni.
S ugyanannyi munka kivenni azt a pipát, ahogy betetted és mindjárt megint nem kér semmit….
Az sms megerősítés nem feltétlen jelent biztonságot, mert eltéríthető , klónozás esetén , vagy aktív figyelés esetén a támadó is megszerzi.
Pl megoldás lehetne , hogy kiutalást személyesen kell megerősíteni vagy csak megegyező tulajdonosnak utalhatsz ki pénz.
ez :k1skuty@ sokkal gyengébb jelszó mint ez: kecskemosógépfelhőalma.
qph.cf2.quoracdn.net/main-qimg-c4e19a16fd4f17c3c5f15ed2c2bc29c1-pjlq
És az Unicreditnél például van felső jelszó karakter korlát. Megáll az ész!
Ettől függetlenül nyilván nem szabad telefonon, megtévesztő chat ablakban megadni semmilyen adatot.
A mobilalkalmazást feleslegesnek tartom, hiszen nem lépegetek be naponta.
Azonban mindenki védve van, aki mobilkincstárat is használ – itt most az ezen a halmazon kívülieknek el kellene gondolkodni, hogy mennyire okos dolog a “mobilról nem bankolunk” hozzáállás.
A mobilapp pont ugyanúgy 2faktoros, mint bármelyik banki app, kell hozzá a telefon és valamilyen biomterikus jellemző. Ennyi erővel az összes banki app esetén is lehetne farkast kiáltani, de felesleges. Egy ellopott mobillal nem fog tudni senki sem semmit kezdeni, hiába “csak” egy ujjlenyomat vagy FaceID véd rajta mindent. De ne aggódjatok, ha valaki tudja, hogy sok pénzed van, akkor a mobillal együtt téged is el fog rabolni, és úgy utalsz majd mindent, mint a kisangyal.
Ha azt a néhány dolgot megcsinálnák, amit írtam a cikkben, nem volna értelme telefonos csalásokat szervezni az ott tárolt vagyon megszerzésére. Így sajnos túl könnyű dolguk van.
A többi bank is veszélyes üzem, de ott legalább külön van utalásnál SMS vagy push üzenet, de azokat is kicsalják a naiv ügyfelekből.
Ezen kellene változtatni újonnan rögzített számlaszámoknál és mindjárt nem lenne ennyi csalás.
A megoldás egyszerű, az akarat hiányzik.
Sajnos az azonnali átutalás rengeteg csalót kitermelt, a bankok meg a jegybank meg bambán nézi csak, ahogy kifosztják az embereket.
Ha csak annyit tennének, hogy újonnan felvitt számlaszámra százezer forint felett nem érvényes az azonnali utalás (kivéve telefonos megerősítés után), máris megszűnne a legtöbb csalás.
De nem teszik meg.
Ha már kriptográfia meg jelszóerősség, akkor elég rossz tanács megjegyezhető jelszóról beszélni, legalábbis ilyen nem elsődleges jelszavaknál, mint a Webkincstár is. A jelmondatok jók, de itt talán nem is alkalmazhatók, mert nem engednek(?) hosszú jelszót, másrészről ami nem elsődleges jelszó (tehát ami nem a jelszóadatbázisod vagy az elsődleges emailfiókod jelszava), azt az adott keretek között bonyolultnak választjuk (jelszógenerátor, ugye), és jelszókezelőbe mentjük, nem jegyezzük meg. (Nehéz is lenne, mert bonyolult.)