Így fosztják ki a bankszámládat
Egyre nagyobb számban esnek emberek áldozatul bankkártyás-bankszámlás csalásoknak, ezért szeretnék néhány ismert trükköt bemutatni, hogy ti elkerülhessétek ezeket a csapdákat.
Szeretném kiemelni, hogy ez csak a jéghegy csúcsa, ha csak a csalások felét szeretném bemutatni, az is egy könyvet ölelne fel. Két bejegyzésbe vettem a mondanivalómat, mert még így is túl hosszú lett.
Íme az első rész, ami az online csalásokkal foglalkozik:
E-mailben érkező csalások
Gyakoriak a bankok nevében kiküldött hamisított e-mailek, ahol valamilyen problémára, lejáró jelszóra, vagy bármi egyébre hivatkozva kérik, hogy keresd fel a bank oldalát és lépj be. Ehhez mindjárt egy linket is mellékelnek, amire kattintva megnyílik a banki oldalhoz megtévesztésig hasonló oldal, ahol gyanútlanul megadjuk az adatainkat és a jelszavainkat is.
Ki is próbálhatjuk, hogyan működnek ezek a linkek. Ha erre a linkre kattintasz: kiszamolo.hu akkor az origo címlapja fog bejönni, mert nem oda mutat a mögöttes link, mint a neve sejteti. Ha akarnám, az is megoldható lenne, hogy egy futó pillantás erejéig a címsor mezőben is az eredeti címhez hasonló cím fogadjon (na persze nem az origonál… 🙂 ). E-mail címet hamisítani meg már a hétéves gyerekek is tudnak.
Megoldás: Soha nem kattintunk e-mailben érkező linkre, hanem kézzel nyitjuk meg a bankunk oldalát. Ha a banktól egy rendhagyó e-mailt kapunk, először hívjuk fel a bankot, hogy valóban ők írtak-e. A bankok soha nem kérnek téged e-mailben semmi olyanra, amihez bármilyen jelszavad megadására van szükség.
Update: egy nap sem telt el és éppen az OTP ügyfeleit bombázzák ilyen levelekkel. Részletek itt.
Rosszindulatú programok:
Rengeteg trójainak hívott kártékony program kering az interneten, amelyek egyre nagyobb számban a jelszavainkra és a bankszámláinkra utaznak. A keylogger programok minden billentyűleütést naplóznak és elküldenek a készítőjének, aki egy ilyen jelentést fog kapni:
Használt program: internet explorer kitöltve: www.xxxbank.hu ablak: felhasználónév kitöltve: Jozsika77 ablak: jelszó kitöltve: Marika99
Ugyanígy ellopja a paypal bejelentkezésedet, a postafiókod jelszavát, az internetes vásárláskor a megadott kártyaadataidat, mindent.
Megoldás: kizárólag megbízható gépről jelentkezünk be az internetbankba és nagyjából bárhová máshová is. Ha nem vagyunk benne biztosak, hogy a saját gépünk biztonságos-e, kérjünk meg egy hozzáértőt, hogy tegye rendbe a gépünket és lássa el a szükséges védelemmel.
Nyitott internetkapcsolat:
Kényelmes dolog a nem lezárt wifit használni, de tudjunk róla, hogy bárki látja, amit forgalmazunk. Tele a net olyan programokkal, amivel nyitott wifi kapcsolaton keresztül a másik forgalmát ellophatjuk. Ezért éttermekben, kocsmákban még a facebook oldalunkra sem lépünk be, nemhogy az internetbankba. Otthon pedig lezárjuk a wifit, de nem WPA meg WEP-pel, amit pár perc alatt feltörnek (a kínai wifi-s termékhez alapból mellékelik a cd-t, amivel fel lehet törni a szomszéd titkosítását, én is ilyet kaptam, amikor Kínából rendeltem.), hanem a biztonságosabb WPA2-öt használjuk. Ha nem értünk hozzá, szintén kérjünk segítséget.
Hogy mennyire egyszerű rácsatlakozni a gépedre egy McDonald’s-ben, olvasd el itt.
Rosszindulatú oldalak:
Egyre nagyobb divat az internetes vásárlás és az ezzel való visszaélés is. Amikor interneten vásárlunk, minden olyan adatot meg kell adnunk, ami elég a bűnözőknek, hogy visszaéljenek a kapott információval. Az adatokat felhasználva másodpercek alatt lemeríthetik a számlánkat.
Megoldás: Először is csak ismert oldalon vásárlunk és ott is csak akkor, ha meggyőződtünk, hogy tényleg a valódi oldalon vagyunk és nem egy utánzaton csak. Ne használjunk internetes vásárlásra olyan bankszámlát, amin sok pénzt tartunk. Váltsunk ki egy alacsony költségű számlát és azon csak annyi pénzt tartsunk, ami elég a vásárlásra. Több bank kínál webkártyát is. Az internetes vásárlásról itt írtam.
Telefonos megkeresés:
Felhívnak a bankból ellenőrzés céljából, hogy mi vásároltunk-e egymillió forintért Miaimiban az elmúlt percben. Erre kiver a hideg veríték, mert persze hogy nem. Hogy bebizonyítsuk, hogy a kártyát nem adtuk ki a kezünkből, kérik, hogy diktáljuk be a kártya számát, lejáratát és a hátulján lévő CVV kódot. Megköszönik, hogy bizonyítottuk, hogy nem lopták el a kártyánkat és ígérik, hogy törlik a tranzakciót.
Nos, éppen ebben a pillanatban lopták el a kártyánkat, ugyanis minden adatot megadtunk, ami ahhoz kell, hogy interneten üresre szívják a kártyánk.
Megoldás: a bank SOHA nem kéri el se a PIN-kódunkat, se a kártyán megtalálható CVV kódot. A bank ha azonosítani akar, az anyánk nevét kérdezi és a levelezési címünket. Ha hasonló hívást kapunk, kérjünk egy telefonszámot, ahol visszahívhatjuk őket. Ha ilyet nem kapunk, azonnal hívjuk a rendőröket, hogy nyomozzák le a telefonszámot, amiről telefonáltak.
A következő rész tartalmából: kártyaklónozás, CVV kód ellopása, buherált ATM automaták és társaik.
Valódi pénzügyi tanácsadásra van szükséged, eleged van már az ügynökökből? Kattints a linkre további információért.
Szeretnél többet tudni a pénzügyekről? A hat alkalmas tanfolyamról itt találsz további információt.
Olvasd el a többi pénzügyekről szóló írást is a kiszamolo.hu oldalon.
Ha szeretnéd tudni, hogy új poszt jelent meg a blogban, jelölj be minket a facebookon:www.facebook.com/kiszamolo vagy RSS-en
Érdemes pwgen-el 16 karakteres véletlenül generált jelszót választani.
– access pointot atnevezni (tehat ne Linksys meg Dlink meg hasonlo neve legyen, hogy ne lassak rogton h milyen eszkozzel van dolguk)
– a kutyu jelszavat termeszetesen megvaltoztatni
– MAC filtering beallitasa csak az altalad hasznalt eszkozokre (ez hozzaertonek persze semmit sem szamit, de a szorakozo hulyegyerekeket talan elriaszt)
– access pointot rejtette tenni semmit nem er, csak problemakat okozhat egyes programokkal
– router firmwaret frissiteni vagy DD-WRT, Tomato, OpenWRT, stb. jellegut tenni ra (ezek egyreszt tobb funkciot adnak, masreszt jellemzoen gyakrabban frissitik mint a gyariakat, harmadreszt tobb biztonsagi lehetoseget is nyujtanak)
– jelerosseget (=kisebb teruleten mukodik csak stabilan) is lehet csokkenteni (persze a gyari szoftverben nem nagyon). Gyarilag jellemzoen ezek eleg magas ertekek, nekem pl. az utcan 1 falon es ~30meteren tul is boven 70% koruli a wifi-m telefonrol!
Amugy meg az aranyszabaly: a Wi-Fi NEM biztonsagos semmilyen modon, aki teljesen paranoid az drotozzon.
CD-t en meg egy routerhez sem lattam/hasznaltam 🙂
Webes feluleten kell mindet beallitani.
Ha rácsatlakozol kábellel, általában nem kell CD hozzá, anélkül is tudod buherálni. Beírod a böngészőbe a kért címet (dlinknél valami http://dlinkruoter minden pont és hu vagy com nélkül) és már lehet is állítani. Linksysnél nem tudom, de a gugli segíteni fog, ha újra le kell tölteni a beállító cd-t.
Ha rácsatlakozol kábellel, általában nem kell CD hozzá, anélkül is tudod buherálni. Beírod a böngészőbe a kért címet (dlinknél valami http://dlinkruoter minden pont és hu vagy com nélkül) és már lehet is állítani. Linksysnél nem tudom, de a gugli segíteni fog, ha újra le kell tölteni a beállító cd-t.
Ha rácsatlakozol kábellel, általában nem kell CD hozzá, anélkül is tudod buherálni. Beírod a böngészőbe a kért címet (dlinknél valami http://dlinkruoter minden pont és hu vagy com nélkül) és már lehet is állítani. Linksysnél nem tudom, de a gugli segíteni fog, ha újra le kell tölteni a beállító cd-t.
Ha rácsatlakozol kábellel, általában nem kell CD hozzá, anélkül is tudod buherálni. Beírod a böngészőbe a kért címet (dlinknél valami http://dlinkruoter minden pont és hu vagy com nélkül) és már lehet is állítani. Linksysnél nem tudom, de a gugli segíteni fog, ha újra le kell tölteni a beállító cd-t.
azert a sima WPA nem olyan rossz (a WEP-nel sokkal tobbet er)
es a WEP toresehez nem kell 20 perc sem ha van rajta minimalis forgalom 😀
a kriptikus, ertelmetlen jelszo meg olyan sokat nem szamit, nem probalkozassal meg szotarral fognak nekiallni torni, hanem a levegoben ropkodo csomagokbol szedit ki, szoval a megjegyezhetetlen jelszo tobb problemat okoz mint amennyit megold SZVSZ…
biztos van reset gomb a routeren, nyomd be par masodpercig, az majd elintezi 🙂
szóval ha valaki adakozó fajta, akkor nyugodtan legyen nyílt wifi-je, a legtöbb neves szolgáltató (pl. google /keresés/, gmail, facebook) pont emiatt https-re tereli gyárilag a forgalmat. 🙂
Aki tud hozzá tenni, vagy van kedve segíteni, ömlessze az ismereteit a kiszamolo kukac indamail pont hu e-mail címre
Aki tud hozzá tenni, vagy van kedve segíteni, ömlessze az ismereteit a kiszamolo kukac indamail pont hu e-mail címre
Aki tud hozzá tenni, vagy van kedve segíteni, ömlessze az ismereteit a kiszamolo kukac indamail pont hu e-mail címre
Aki tud hozzá tenni, vagy van kedve segíteni, ömlessze az ismereteit a kiszamolo kukac indamail pont hu e-mail címre
A Fon-t, mint kezdeményezést ismered-e?
http://corp.fon.com/en
Valószínűleg ők még gumit se húznak, mielőtt nekiállnak hancúrozni! 😀
Nem latom, hogy erre kinek van szuksege:
Aki uzleti utra megy, annak ott a ceges halozat/mobilnet.
Aki baratokat latogat az hasznalhatja az oveket.
Aki csak turista annak meg nem lesz szuksege jelszavas, titkos WiFire, mert csak arra kivancsi h hol olcso a sör, azt pedig barmely sima WiFi-n megtalalja.
Persze a pelda kicsit tulzas, de en igy latom. Meddig tart lejelszavazni? 2 perc? Utana soha semmi gondja nem lesz vele, mert a Linux/Windows/akarmi megjegyzi.
Igazából semmilyen HIVATALOS szolgáltató/cég/partner SEM kéri el e-mailben a náluk levő jelszavadat. Nincs rá szükségük, a rendszergazdáik látják, ha akarják. Nem kell tőled elkérniük.
Nyitott internetkapcsolat: van olyan ingyenes alkalmazás/shield ami (kívánságra) úgy elrejti a gépedet az interneten, (többszörös proxy, stb.) hogy pl. a Hulu is nézhető rajta keresztül, mert azt hiszi, hogy valahol az USA-ban próbálod használni.
A kritikus pont szerintem a keyloggerek! Es itt van a felelossege a bankoknak is! Az nem erdekel ha be tudnak esetleg lepni a webbankomba, az a kritikus, ha onnan tranzakciot tud inditani. Es itt nem mindegy, hogy maga a bank milyen biztonsagi szintet epitett fel a sjat rendszerebe ezekkel az illetektelen belepesekkel kapcsolatban.
-CIB: Alapbol nem adnak tokent, csak egy szimpla user nev es pw vedi a webbank belepest, utalashoz meg egy alairo kod kell, de ez fix marad! HA egyszer megvan, akkor utana kasza..
-Citibank: Belepesnel egy virtual billentyuzetrol kell bepotyogni az adatokat, keyloggerek ellen nagyobb vedelem. Elutalni penzt csak elore rogzitett szamlaszamokra lehet, amit egy sms-ben kuldott kod alapjan lehet csak felvinni a rendszerbe. Hitelkartya forgalmat nagyon figyelik, ha van vmi elozo atlagostol eltero, akkor alapbol nem engedelyezik a fizetest es fel is hivnak. Eddigi legjobb magyar vedett rendszer amit hasznaltam.
-OTP: belepeshez szamlaszam es usernev pw plusz sms-ben kuldott kod. Sajnos a tranzakciokhoz nem tartozik kulon sms azonosito vagy hasonlo, igy ha az elejen leszedtek a belepesed, akkor utana azt csinalnak amit akarnak.
-Raiffeisen: Ezt meg nem ismerem annyira, de nagyon ugy tunik, hogy 1 szimpla user nev es pw vedi a penzt.
Errol meg lehetne irni. Nalam alap lenne, hogy egy webbankos tranzakciot tranzakcionkenti egyedi biztositas vedjen!!
Nemetorszagban pl. un. TAN kodokkal kell jatszani. Eleg gyermeteg, de jobb mint a magyar rendszerek. Utalasnal, ker egy TAN kodot egy listabol, amit elozetesen megkapott az illeto. 100db szamozott kod. Utalasnal mindig ker egyet a 100bol.
Hollandoknal nem tudom mennyire alap, de ABN AMRO pl. alapbol tokent ad! Nincs utalas egyedi azonositas nelkul!
A CIB harmatgyenge védelme nálam is betette a kaput.
A CIB harmatgyenge védelme nálam is betette a kaput.
A CIB harmatgyenge védelme nálam is betette a kaput.
A CIB harmatgyenge védelme nálam is betette a kaput.
K&H belépés: azonositó, jelszó sms kód, tranzakció: belépéskor kapott sms kód, de lehet vannak olyan esetek, amikor külön küld sms-t (ez nem 100%)
CIB: én is lehaltam ezen a komoly védelmen.
1. Nem használjuk a gépet Adminisztrátorként!!!!! Főleg XP-n és korábbiakon.
Admin csak telepítéshez/buheráláshoz kell. Internetezéshez, szövegszerkesztéshez, fészbukozáshoz nem kell. A munkahelyemen is kiakadtam, amikor a sales-esek a default Administrator-t használták anno. Persze be is gyűjtöttek ilyen-olyan virust / trójait.
2. Ha megjelenik egy ablak váratlanul, amin egy gomb van, hogy Klikkelj ide az ablak bezárásához, akkor NE klikkelj oda, inkább a jobb felső sarokban levő X-et nyomd meg, igy zárd be az ablakot. Ki tudja mi hajtódik végre a gomb megnyomásakor (főleg, ha még adminisztrátori jogosultságod van)
3. Vigyázni kell a különböző serial key generáló programokkal is (nem mintha ajánlanám, hogy használj ilyet, inkább vedd meg az eredetit), mert sokszor ebbe rejtik el a trójait, és a serial key mellett kaphatsz egy ilyet is. Ilyenkor lehet Sandbox-ban inditani a kulcsgenerálót, igy nem okoz kárt a rendszerben. A Comodo Firewall-nak van ilyen Sandbox módja, ha jól emlékszem. Ilyenkor elindul a program, de csak egy virtuális rendszerben fut, nem tudja módosítani a rendszert, igy nem is tud telepiteni trójait. Eleve a gyanús programokat futtasd igy és nem okoznak kárt.
A CIBen egyre tobbet aggodok, mert hat nehogy mar csak ennyi vedje a megtakaritasi szamlat! Malacperselynel ezt is figyelembe kellene venni.
BAr ugy tunik a Raiffeissen se eros ebben. Az AXA milyen?
Mi tortenik ilyenkor ha egy keylogger miatt feltorik a webbankot? A bank vallal felelosseget a sajat vacak rendszere miatt?
1.) Ezzel egyetertek, azonban UAC max fokozaton mar igen hatekonyan kerdez ra minden “komolyabb” programfuttatasra.
2.) Ezt az iskolaban kene tanitani szerintem.
3.) Ezt pedig megerdemled ha keygen-ezel.
Hétfőn olvashatjátok majd.
Hétfőn olvashatjátok majd.
Hétfőn olvashatjátok majd.
Hétfőn olvashatjátok majd.
Van elkepzelesem a netbiztonsagrol. Azert kerdeztem, hogy mit mond a tudo az ugyrol?
OTP nél:
– tranzakciónként is tudja kérni a jelszavadat
– Utalásonként is kérhetsz sms -ben azonosítót amit engedélyezned kell
CIB Token -el jobb, de valóban a sok jelszó között elveszik az ember és nem olyan biztonságos. SMS -ben küldött kód sokkal jobb lenne. (Nem mintha erre nem létezne törés, bár ez a bank rendszerét kell hogy megfertőzze, és átirányítsa más telefonszámra az üzenetet)
Kívülről pedig a Takszöv rendszer a legstabilabb, legbiztonságosabb külső behatolással szemben, … stb. A Karakteres felület ne tévesszen meg senkit. Semmi köze a DOS hoz.
Persze ha a felhasználó adatait megszerzik, akkor ők is tehetetlenek.
OTP nél:
– tranzakciónként is tudja kérni a jelszavadat
– Utalásonként is kérhetsz sms -ben azonosítót amit engedélyezned kell
CIB Token -el jobb, de valóban a sok jelszó között elveszik az ember és nem olyan biztonságos. SMS -ben küldött kód sokkal jobb lenne. (Nem mintha erre nem létezne törés, bár ez a bank rendszerét kell hogy megfertőzze, és átirányítsa más telefonszámra az üzenetet)
Kívülről pedig a Takszöv rendszer a legstabilabb, legbiztonságosabb külső behatolással szemben, … stb. A Karakteres felület ne tévesszen meg senkit. Semmi köze a DOS hoz.
Persze ha a felhasználó adatait megszerzik, akkor ők is tehetetlenek.
OTP nél:
– tranzakciónként is tudja kérni a jelszavadat
– Utalásonként is kérhetsz sms -ben azonosítót amit engedélyezned kell
CIB Token -el jobb, de valóban a sok jelszó között elveszik az ember és nem olyan biztonságos. SMS -ben küldött kód sokkal jobb lenne. (Nem mintha erre nem létezne törés, bár ez a bank rendszerét kell hogy megfertőzze, és átirányítsa más telefonszámra az üzenetet)
Kívülről pedig a Takszöv rendszer a legstabilabb, legbiztonságosabb külső behatolással szemben, … stb. A Karakteres felület ne tévesszen meg senkit. Semmi köze a DOS hoz.
Persze ha a felhasználó adatait megszerzik, akkor ők is tehetetlenek.
OTP nél:
– tranzakciónként is tudja kérni a jelszavadat
– Utalásonként is kérhetsz sms -ben azonosítót amit engedélyezned kell
CIB Token -el jobb, de valóban a sok jelszó között elveszik az ember és nem olyan biztonságos. SMS -ben küldött kód sokkal jobb lenne. (Nem mintha erre nem létezne törés, bár ez a bank rendszerét kell hogy megfertőzze, és átirányítsa más telefonszámra az üzenetet)
Kívülről pedig a Takszöv rendszer a legstabilabb, legbiztonságosabb külső behatolással szemben, … stb. A Karakteres felület ne tévesszen meg senkit. Semmi köze a DOS hoz.
Persze ha a felhasználó adatait megszerzik, akkor ők is tehetetlenek.
Szoval ezt eleg biztosnak latom ilyen szempontbol.