Pár hónapja egy új számítógépes kártevő garázdálkodik, amely a bankszámládon tartott pénzedre utazik.
Az eddigi keyloggerekhez képest, amelyek elküldték az összes billentyűleütést a vírus gazdájának ("Használt program: Internet Explorer cím: Xbank.hu felhasználónév: Prüntyöke jelszó: password1234"), az új kártevő már az SMS védelmet is ki tudja játszani.
Úgy működik, hogy azután veszi át a hatalmat a géped felett, hogy beléptél a netbankba. Amikor utalni akarsz, átírják az összeget és a címzettet, de te ebből csak annyit látsz, hogy sokat homokórázik a rendszer.
Majd megjön a biztonsági SMS, amit te el sem olvasol, csak legörgeted az aljára és beírod a kapott kódot.
Pedig ha elolvastad volna, láttad volna, hogy egy másik célszámla van megadva és az összeg is egy nullával több, mint amit utalni akartál.
A legcsúnyább a dologban, hogy a bankod sem téríti meg a károdat, mert pont azért kaptál sms-t, hogy ellenőrizd, hogy ennyit akartál-e utalni és arra a számlaszámra-e.
Ezért három dolgot tehetsz:
- Csak olyan gépről lépj be a netbankba, ami biztonságos és karban van tartva, garantáltan vírus és egyéb rosszindulatú programoktól mentes gép.
- Ha a netbank furcsán viselkedik, eltérő a megszokottól, főleg, ha gyanúsan lassú, akkor inkább zárd be az oldalt.
- Mindig olvasd el a kapott SMS-t, ne fuss csak át rajta! Helyes a számlaszám és jó az összeg?
További netes csalások itt, a bankkártyádat pedig így fosztják ki. (sok videóval)
Remélem, mától körültekintőbb leszel.
Ha szeretnél többet tudni a pénzügyekről, gyere el az Akadémiára, hamarosan indul a következő. Csekély 25 ezer forintért hat alkalom alatt megtanulsz mindent a pénzügyekről, amit alapfokon tudnod kellene.
Valódi pénzügyi tanácsadásra van szükséged, eleged van már az ügynökökből? Kattints a linkre további információért.
Olvasd el a többi pénzügyekről szóló írást is a kiszamolo.hu oldalon.
Ha szeretnéd tudni, hogy új poszt jelent meg a blogban, jelölj be minket a facebookon.
Vagy ha támogat a netbank sablonokat, mindenhez érdemes azt csinálni először, és akkor azt használva a számlaszámot nem írhatja át semmi.
A bejegyzés szövegébe nekem az is belefér, hogy az adatok elküldése után módosítják azokat.
De megtehetik, hogy a sablon helyett igazából egy más megbízást küldenek a szervernek, úgy, hogy te nem látod.
Ebből a szempontból a K&H-s tűnik a legátgondoltabbnak. Ha sablont küldesz a szervernek, arról nem küld sms-t, hanem azt kell beírnod jelszónak amit belépésnél adtál meg. Ha egy nem sablonos megbízást küldenél, akkor viszont jön róla új sms új kóddal. Egyből látod hogy valami nem oké. (Ersténél ugyanez, csak ott előre megadott sablonnál nem kell semmi jelszót megadni.)
Magyarországon nem igazán van bent a köztudatban, hogy egy számítógép nem csak hardevrből áll, hanem egy hardver+szoftver együttes képes csak a "számítógép" funkció ellátására. Én azt szoktam javasolni, hogy első lépésként legalább az oprendszert (ugyebár a normál egyszeri halandó a windows-al tud boldogulni, hiába ingyenes a linux), ÉS a vírusírtót vegye meg. Innentől nagyjából biztonságban van a gépe, hiszen a windows is automatikusan megkapja a biztonsági frissítéseket, és többnyire a vírusírtó is naponta frissül.
Ha pedig ez megvan, akkor csak és kizárólag ezen gépről lépjenek be az online banking rendszerükbe, és soha semmi más gépről.
Amit még el szoktam mondani az az, hogy lehetőleg mobil eszközről (okostelefon, tablet) is kerüljék az online bank használatot, főleg Android oprendszer esetén. Ezek jelenleg jóval nagyobb kockázatnak vannak kitéve, mint egy (védett) számítógép.
ha a "normál egyszeri halandó" meg tudta tanulni a windows-t, akkor a linux-ot is meg tudja. a kérdés csak az, hogy akarja-e? a pénze biztonsága megér-e neki ennyit?
de végül is nem szükséges teljesen lecserélnie a windows-t: kell egy legalább 1GB-os pendrive (vagy SD kártya, ha laptopja van), erre felrakni egy live linux-ot (ennek mikéntje max. fél óra alatt megtanulható! a google segítségével), és amikor netbankra, vagy hasonlóan védendő feladat elvégzésére van szükség, a gép bekapcsolása előtt egyszerűen csak bedugja a pendrive-ot.
"ha a “normál egyszeri halandó” meg tudta tanulni a windows-t, akkor a linux-ot is meg tudja."
A normál egyszeri halandók közül sokan azt sem tudják, hogy a windows nevű valamin kívül (amiről amúgy is csak ködös fogalmaik vannak) más is hajthatja a gépet. 🙂
DE pont ezt akartam írni: ellentétben egy évtizeddel ezelőttel, sok Linux már ugyanúgy néz ki, mint a Windows (pl. az Ubuntu, amiről ezeket a sorokat írom, kifejezetten a Win7-et koppintotta, amiben nem, abban meg a Macintosht), tehát miért kellene külön megtanulni?!
Szerintem nem kell ez túlparázni, akinek nincs az állandó antivírusos védelmében "keylogger" program, az telepítsen le egyet, vagy ha utal, akkor Firefoxot használjon a megfelelő kiegészítővel.
Novemberben is feltesszük a téli gumit az autónkra, áprilisban pedig a nyárit, ilyen egyszerű, és akkor túl nagy meglepetés nem érhet.
Érdekes, hogy épp a napokban talált meg engem több helyről is több ügynök is, akik a keyloggerek ellen kínálnak védelmi szoftvert (billentyűzet titkosítót...) épp a netbankot védendően. Persze, egy MLM-ben terjesztendő termékről van szó, így kapásból hárítottam...
Azt anti keyloggerekkel érdemes vigyázni, olyan elven működnek többnyire, ami sokszor zavart okoz a normál üzemszerű működésben, és a nem szakember normál földi halandók nagyon nehezen, vagy egyáltalán nem jönnek rá, hogy mitől őrült meg a gépük. Nem hülyeség a használatuk, de én szükségtelen bonyolításnak tartom egy normál átlagos esetben.
A jogtiszta oprendszer + antivírus kombó elégséges védelmet nyújt az átlagos ember átlagos számítógépének.
A tokenes kódnál is van vírus trükk? Mert szerintem az teljesen biztonságos, az én egyik tokenemen a számsor 50 másodpercenként változik. Az elem a tokenben 2 évig bírja. Elemet csak a bank cserélhet elvileg.
A másik tokenem egy olyan ami pendrive -ként lehet csatlakoztatni a géphez, egy előre telepített programra. Amelyet a bank telepített fel.
Ezeknél a tokenes védelmi megoldásoknál sokkal kisebb szerintem a csalás pénzleszívás esélye.
A tokennél számomra nagyobb kockázat (és aggodalom) az elvesztése, mint amekkora nyugalom a nagyobb védettség. 🙂
Az összeg és a címzett átírása melyik fázisban történik? Mert miután beírjuk és jóváhagyjuk az adatokat nem rögtön kerül elutalásra a pénz, hanem megjelenik egy összegzés a megadott adatokról és csak ezt jóváhagyva kerül kiküldésre az sms. Ha ez előtt írja át a kártevő az adatokat akkor már az összegző oldalon is észre kéne vennünk a turpisságot (persze csak ha nem ugrik át ezen is az ember ész nélkül 🙂 ).
A baj az, hogy amit a böngészőben látsz adatokat, azokat simán lehet cserélgetni. A bank leküldi a módosított adatokat tartalmazó lapot neked, míg a kártevő felülcsapja a megfelelő adatokat az általad megadottakkal... fel se tűnik. Tehát hiába látod a saját adatodat a böngészőben, attól még a bank a kártevőset fogja megkapni, és arról is küld sms-t.
@mrgeez: A sablonokkal nem mész semmire - ahogy a művelt júzer mondja: "az ellen nem véd"
@steckler: A tokenes rendszereket nem ismerem de elméletileg ezeknél is működhet a csel (ráadásul a tokened nem tudja kiírni az utalás adatait ha jól sejtem)
@Zsoca: A megerősítő oldalt is lehet manipulálni (a bank a valódi adatokat küldi el neked, de a böngésződ már mást mutat)
Jogtiszta sw + víruskergető alap, de ezek megléte mellett is simán be lehet nyalni mindenféle okosságot. Otthoni gépen Tessék a legújabb (Win7-es) IE-t, vagy Chrome-ot használni, a Java-t pedig letörölni - ez az első lépés a boldogsághoz.
Mondd ezt a CIB-eseknek (a Java-t) 🙂
En a kovetkezot javasolnam Windows eseten:
1. Windows Update automatikus, mindig friss.
2. Security Essentials
3. Secunia PSI
4. Keepass/Lastpass mint jelszokezelo progi
5. Java-t fel se tenni, Flash-t fel se rakni ha nem muszaj (youtube siman megy java nelkul is pl.). Ha muszaj akkor 2 kulon browser, jellemzoen IE + valami. A fo browserben semmi sincs engedelyezve, a masikban lehet java + flash.
Linux alatt egyszerubb:
1. apt-get update && upgrade rendszeresen (naponta cron-bol)
2. Keepass/Lastpass ugyanugy mukodik
3. megegyzik a fenti 5. ponttal.
@buherator: Miért ne védene? A sablont ne úgy képzeld el, hogy előre kitölti a számlaszám mezőt, és te szabadon átírhatod, hanem sablonnal csak a sablon létrehozásakor megadott fogadófélnek tudsz pénzt küldeni, ezt nem írja át a 'vírus'. Ha meg csak az összeget írják át, az nem olyan vészes egy ismert partner esetében.
A sablonok létrehozásánál meg egyrészt jobban figyelünk a címzettre, másrészt még a vírus létrehozása előtt készen vannak, harmadrészt kis valószínűséggel avatkozik be a vírus ilyen felületen.
"sablonnal csak a sablon létrehozásakor megadott fogadófélnek tudsz pénzt küldeni"
Ez melyik hazai bank netbankján van így?
Eddig OTP, Budapest, CIB és Magnet ügyfél voltam, egyiknél sem emlékszem ilyen kötött sablonra.
Az Erstenek ilyen van.
Ersténél, Gránitnál, K&H-nál biztosan van. Bár Gránitnál nem sablon az, inkább csak egy előre kitöltött ív, amit lehet módosítani utalás előtt is.
"A tokenes rendszereket nem ismerem de elméletileg ezeknél is működhet a csel"
A token a gépbe dugva sűrűn változó kódot ad, mégpedig - legalábbis feléd - *vizuálisan* (van egy kis kijelzője, másolni-beilleszteni nem lehet). Komoly további vírusfejlesztést igényel, hogy a kártevő ezt a kódot is képes legyen lekérdezni.
ugyanugy te adod meg a kodot mint az sms-nel. Miert kene itt tobbet fejleszteni?
Kedves Kiszámolo!Abban teljesen igazad van,hogy nagyon sok ember el sem olvassa amit a banktól kap ,hogy mikor mekkora összeget és hova kívnánja utalni, csak a jelszó-számsort, betűsort keresi és gépelni be.
Az én bankom pl. egyáltalán nem küldi el sms-ben az tranzakcíós adatokat, csak a biztonsági kódot.
Pedig tényleg csak pár perc az egész,hogy akinek a bank viszaigazolást küld az utalás adatairól, az ellenőrizze azokat,mielőtt beírja a biztonsági kódot.
Abban viszont egy kicsit ellen kell mondjak neked, hogy ilyenkor a bank "jogosan " nem téríti meg a kárt,ha nem megfelelő összeg és nem arra a számlára érkezett, ahova utalni akartuk.
Szerintem a banknak ugyanúgy felelőssége,hogy a saját netes rendszerét olyan vírusvédelemmel lássa el , vagy tűzfalakkal, hogy az illetéktelen használatot minimalizálják, hiszen nem kevés pénzt tartunk a bankokban.
De ez csak az én privát véleményem.
Ott tevedsz, hogy nem a bank sajat felulete sebezheto/megfertozott, hanem a te geped. Ehhez pedig a bankodnak semmi koze.
Szia pdw!
Annyira elképzelhetetlennek tartod, hogy a bank rendszerét meg hackeljék??Én nem:(Tökéletes védelem nem létezik, mert mindig lesznek olyanok, akik rájönnek,hol a hiba...és ki is fogják használni.
Ui:
Bocs mindenkitől az elírások miatt:(
Win frissítést inkább be sem kapcsolom, ha egy biztonsági rést befoltoznak, ugyan azzal a lendülettel nyitnak három másikat...
Vírusírtóval sem kell sokat szenvedni, nem mész pornóoldalakra és kész 😀
Java eléggé fontos dolog, főleg ha az ember szeretne programozni... nekem ez már vagy két ötéves tervben szerepelt, de egyszerűen nem érek rá...
Én annyival lerendezem, hogy lekérdezem az egyenleget és kész. Számlán csak épp annyi van, amennyi kell, lekötést meg nem bolygatom nagyon. Tegnap néztem pl. otp-s rendszer alapból összeomlik, nem kell ahhoz hacker...
De ezt egy vállalkozói számlánál nem tudod megcsinálni, ott ha minden partnernek készpénzzel fizetsz a járulékokat akkor is utalással kell fizetned. A végső konklúzió így is úgy is ugyanaz: olvassuk el az sms tartalmát!
Mivel elég sokat programozok Windows alá, ezért az első mondatodat meg sem hallottam. Éljen a Linux, az kettő elvakult használja, az is egyre inkább windozosodik. Amúgy erről nekem nagybátyám jut eszembe, aki filmrendező, és neki mindig a Alma Ata-i filmfesztivál győztese a kedvenc filmje…
A vírusirtó dologgal egyet értek veled (+ ne torrentezzünk), abban a szegmensben a marketingesek uralják a cégeket, és gerjesztik a vásárlást. Ha mindenki elhinné, hogy annyi vírus van, akkor már rég bezárhatnánk a boltot. Én 10 éve lógok neten napi 14 órában, és saját hibámból egyszer kaptam vírust, azt is a rohadt facebookon.
Igen a Java kell, sőt a SilverLight is néhány (hirado.hu, rtlmost.hu, azaz az aspben íródattokhoz) oldalhoz. Amit utolsó bekezdésben írtál, az tökéletesen igaz, én is így csinálom, és igaz, az OTP rendszere egy kőbaltás túlterhelési támadás esetén másodperceken belül elesik.
Az MKB-s netbankárt tudom leírni, hogy működik:
Amikor belépsz, kapsz egy sms-t, hogy (és benne van az azonosítód) beléptél a netbankárba.
Utaláskor szintén sms-ben kapod meg az aláíró kódot, ez azt hiszem, öt percig él.
Ezután kapsz a teljesításről is egy sms-t.
A CIB-nél nem kértem sms értesítést, de ott is szépen dolgozik a Java, nincs baj vele.
"Thanks for the Oracle the Sun is never shine again."
Nincs baj vele? 😀
Ne rohogtess az elmult 1-2 honapban 3 update volt CSAK kritikus biztonsagi hibak javitasra. Ennyire ne legyunk mar naivak.
http://www.cvedetails.com/product/1526/SUN-JRE.html?vendor_id=5
Ha nem hasznalsz CIB bankot akkor:
1. Ne rakd fel.
2. Ha valami programnak kell, akkor a Java contrl panelben kapcsold ki a browser plugint.
3. Ha a neten kell a java akkor hasznalj egy kulon bongeszot csak es kizarolag arra a honlapra amihez kell.
A Java web plugin ugy fos ahogy van, kerulni kell a hasznalatat.
Én ezt az egész cikket úgy ahogy van nem értem:
"
Úgy működik, hogy azután veszi át a hatalmat a géped felett, hogy beléptél a netbankba. Amikor utalni akarsz, átírják az összeget és a címzettet, de te ebből csak annyit látsz, hogy sokat homokórázik a rendszer.
"
ha a vírus csak sima keylogger, akkor miért homokórázna sokat a böngésző?: A banki rendszer attól nem lesz lassabb hogy tőled adatot loptak ki, és a böngésző sem.
Ha pedig arról beszélünk, hogy a felhasználó el lett térítve, és egy hamis oldalt lát, az megint egy másik eset... (legalábbis szerintem).
Ilyen szempontból az AXA netbankja korrekt, mert nem begépeled, hanem egérrel kattintod le a kódot aminél a számok helye mindig változik, tehát hiába is lopná le most az egyik kattintási sorrendet, legközelebb már más lesz...
A cikk arról szól, hogy nem egy egyszerű keylogger, ami nem tud mit kezdeni az SMS védelemmel és nem is hamis oldal. ami megint nem tud mit kezdeni az SMS védelemmel.
A rendes banki felületen adod meg a megbízást, csak mielőtt átküldenéd a banknak a képernyő tartalmát, átírják azt. Ez időbe kerül, eddig te csak homokórát látsz, a bank viszont már csak az átírt tranzakciós adatokat kapja meg és erről küld megerősítő SMS-t.
Ezért kell elolvasni azt.
Ja, axa és citi virtuális begépelés: már ezer éve vannak olyan keyloggerek, amik minden egérkattintásra csinálnak egy printscreent, úgyhogy annyit érnek ezek a virtuális billentyűzetek, mint halottnak a beöntés.
Igy van, szerencsere a Citinel meg is szunt az uj netbankkal. A regire meg volt greasemonkey script ami megszuntette 🙂
Teljesen igazuk van az előttem szólóknak, mindez sajnos valós veszély. Egy program simán átírhatja a böngésző beviteli mezőit (akár az elküldés előtti pillanatban) és ugyanígy a visszaigazoló oldalt is módosíthaja.
Hanem a következőt mondjátok meg nekem. Bizonyára sokan vanank itt akik CIB banknál akár csak Malacperselyt vezetnek. A CIBnél simán név/jelszó párossal kell belépni, külön biztonsági sms-es kód nincs. Bármilyen művelet végén mindőssze kell egy extra jelszó, ami simán keyloggerezhető. Semmilyen biztonsági, ellenörző, vagy összegző sms nincs. És ez volt az év bankja valamikor kétezer valamikor- ben.
Ha valaki csak simán leköveti a billentyűleütéseket, már megkopasztott.
Ezerszer megfordult már a fejemben, hogy mi van ilyenkor? A bank vállal felelősséget? Hogy védjem ki? Mondjam le a netbankot? Ti hogy viszonyultok a CIB netbankjához? Nem féltek?
De a legszebb, hogy ezt az extra jelszót tollal kellett egy papírra írni a bankban... 🙂
Amit nekem sikeresen el is baszott az ugyintezo. Mehettem be kulon. Azert lebasztam oket a primitiv modszeruk miatt.
Gondolom feltetelezik hogy mancika3 szokott a jelszo lenni, az enyem pedig valahogy igy nezett ki:
ls=@H7f/t01zDil\hA
😀
Kiszamolo!
A Kasperskynek van olyan virtuális billentyűzete, amelyik kivédi azt, amit írtál "2013-04-21 at 07:47" kommentedben. Egyszerre egy csomó kis nyíl van, de csak a felhasználó tudja, hogy melyik az igazi.
Na azt az SMS-t olvashatnátok, ami én a Polgári Takarékszövetkezettől kapok. 😀
Idézem: "EIB aláíró kód: 00x-97xxxxxxx5"
Mit írok alá? Kinek? Mennyiről?
GabenHUN!
Raiffeisen dettó:
"Az Ön által a Raiffeisen DirektNeten kezdeményezett TRANZAKCIÓ, MEGBÍZÁS JÓVÁHAGYÁSÁHOZ SZÜKSÉGES EGYSZER HASZNÁLATOS JELSZAVA: XXXXXXXX Raiffeisen Bank Zrt."
Igazából nem tudom, hogy elég-e ez, a biztonsági dolgok hátterébe nem látok bele.
Kiszámoló a véleményed ezekről?
Illetve, ha az ember nem fizet elő az extra SMS szolgáltatásra, akkor a bank téríti, ha megkopasztanak, jól gondolom?
Illetve egy link a megkopasztás módszerére elfért volna a cikkben, még ha angolul is van. Köszönöm.
Ma utaltam a Citi új netbank felületéről. Az újdonság, hogy az átutalás után jön egy e-mail. Ez áll benne:
Tárgy: átutalás megerősítése
Levélben viszont ez szerepel: Átutalási megbízását rögzítettük.
Alatta adatok honnan-hova-mennyit, stb., megerősítő link sehol.
A komoly pedig a levél alja: Amennyiben nem ön kezdeményezte a jelszó(!) megváltoztatását, kérjük hívja a CitiPhone Banking telefonos ügyfélszolgálatát.
Nem értem miért az a tárgy hogy átutalás megerősítése, ha nem várnak tőlem semmilyen megerősítést. És milyen jelszót változtattam én??? Tök hülyeség ami a levélben szerepel, egy átutalásról van szó, nem jelszó változtatásról. És ez egy bank...
Ma utaltam az UniCredit SpectraNet netbankos rendszerén, és most először a kódon kívül a teljes tartalmat is végigolvastam. 🙂
"SpectraNet tranzakciós kód: ***-*** ***"
Bezzeg az OTP esemeseiben számlaszámot meg összeget is írtak. Na, végre találtam valamit amiben jobb az OTP! 😀
Mivel az idézett poszthoz (//kiszamolo.hu/bankkartyas-csalasok-ii-resz-2/) nem tudok kommentelni, ezért ide.
"Igazán alapos emberek a kártyaszám néhány számjegyét is olvashatatlanná teszik." - ezt pontosan hogyan?
És mit szólsz ahhoz, hogy az amerikai Amazonon az ellenőrző CCV kód nélkül lehet vásárolni?
Továbba szerinted mi a helyes hozzáállás a PayPass technológiához?
A vége:
Ha a bank is azt tanácsolja, tartsd a kártyád RFDI-blokkoló tárcában és még "kötelezővé" is teszik a PayPass kártyakat (én vegyek azért RFID-blokkoló pénztárcát, hogy a pénztárosnak jobb legyen? (vitatott)), én a csip kinyírását tartom a helyes fogyasztói magatartásnak. Te?
Nem RFDI, hanem RFID:)
Szomorú dolog a Citibank új rendszerében, hogy átutalás megerősítésére kapott SMS-ben csak a kód szerepel, de a megbízás főbb adatai nem (pl. összeg, célszámla száma, stb...)
Így pont jól ki van téve a cikkben említett és egyébként korábban már Magyarországon sikerrel alkalmazott támadási módnak. Tényleg kár, hogy vadi újonnan bevezetett rendszerben ilyen hiba marad 2013-ban...
A Raiffeisennél olvassák a Kiszámoló blogot:
"Tisztelt Ügyfelünk!
Változás a DirektNet SMS-ben június 22-től.
egyetlen tranzakció aláírásához kapott SMS tartalma az egyszer használatos jelszó mellett kiegészül a tranzakció megnevezésével, összegével és a kedvezményezett számlaszámával"