Netes utalás: olvasd el a kapott sms-t!
Pár hónapja egy új számítógépes kártevő garázdálkodik, amely a bankszámládon tartott pénzedre utazik.
Az eddigi keyloggerekhez képest, amelyek elküldték az összes billentyűleütést a vírus gazdájának (“Használt program: Internet Explorer cím: Xbank.hu felhasználónév: Prüntyöke jelszó: password1234”), az új kártevő már az SMS védelmet is ki tudja játszani.
Úgy működik, hogy azután veszi át a hatalmat a géped felett, hogy beléptél a netbankba. Amikor utalni akarsz, átírják az összeget és a címzettet, de te ebből csak annyit látsz, hogy sokat homokórázik a rendszer.
Majd megjön a biztonsági SMS, amit te el sem olvasol, csak legörgeted az aljára és beírod a kapott kódot.
Pedig ha elolvastad volna, láttad volna, hogy egy másik célszámla van megadva és az összeg is egy nullával több, mint amit utalni akartál.
A legcsúnyább a dologban, hogy a bankod sem téríti meg a károdat, mert pont azért kaptál sms-t, hogy ellenőrizd, hogy ennyit akartál-e utalni és arra a számlaszámra-e.
Ezért három dolgot tehetsz:
– Csak olyan gépről lépj be a netbankba, ami biztonságos és karban van tartva, garantáltan vírus és egyéb rosszindulatú programoktól mentes gép.
– Ha a netbank furcsán viselkedik, eltérő a megszokottól, főleg, ha gyanúsan lassú, akkor inkább zárd be az oldalt.
– Mindig olvasd el a kapott SMS-t, ne fuss csak át rajta! Helyes a számlaszám és jó az összeg?
További netes csalások itt, a bankkártyádat pedig így fosztják ki. (sok videóval)
Remélem, mától körültekintőbb leszel.
Ha szeretnél többet tudni a pénzügyekről, gyere el az Akadémiára, hamarosan indul a következő. Csekély 25 ezer forintért hat alkalom alatt megtanulsz mindent a pénzügyekről, amit alapfokon tudnod kellene.
Valódi pénzügyi tanácsadásra van szükséged, eleged van már az ügynökökből? Kattints a linkre további információért.
Olvasd el a többi pénzügyekről szóló írást is a kiszamolo.hu oldalon.
Ha szeretnéd tudni, hogy új poszt jelent meg a blogban, jelölj be minket a facebookon:www.facebook.com/kiszamolo vagy RSS-en
Ha pedig ez megvan, akkor csak és kizárólag ezen gépről lépjenek be az online banking rendszerükbe, és soha semmi más gépről.
Amit még el szoktam mondani az az, hogy lehetőleg mobil eszközről (okostelefon, tablet) is kerüljék az online bank használatot, főleg Android oprendszer esetén. Ezek jelenleg jóval nagyobb kockázatnak vannak kitéve, mint egy (védett) számítógép.
Novemberben is feltesszük a téli gumit az autónkra, áprilisban pedig a nyárit, ilyen egyszerű, és akkor túl nagy meglepetés nem érhet.
A jogtiszta oprendszer + antivírus kombó elégséges védelmet nyújt az átlagos ember átlagos számítógépének.
de végül is nem szükséges teljesen lecserélnie a windows-t: kell egy legalább 1GB-os pendrive (vagy SD kártya, ha laptopja van), erre felrakni egy live linux-ot (ennek mikéntje max. fél óra alatt megtanulható! a google segítségével), és amikor netbankra, vagy hasonlóan védendő feladat elvégzésére van szükség, a gép bekapcsolása előtt egyszerűen csak bedugja a pendrive-ot.
A normál egyszeri halandók közül sokan azt sem tudják, hogy a windows nevű valamin kívül (amiről amúgy is csak ködös fogalmaik vannak) más is hajthatja a gépet. 🙂
DE pont ezt akartam írni: ellentétben egy évtizeddel ezelőttel, sok Linux már ugyanúgy néz ki, mint a Windows (pl. az Ubuntu, amiről ezeket a sorokat írom, kifejezetten a Win7-et koppintotta, amiben nem, abban meg a Macintosht), tehát miért kellene külön megtanulni?!
A másik tokenem egy olyan ami pendrive -ként lehet csatlakoztatni a géphez, egy előre telepített programra. Amelyet a bank telepített fel.
Ezeknél a tokenes védelmi megoldásoknál sokkal kisebb szerintem a csalás pénzleszívás esélye.
@steckler: A tokenes rendszereket nem ismerem de elméletileg ezeknél is működhet a csel (ráadásul a tokened nem tudja kiírni az utalás adatait ha jól sejtem)
@Zsoca: A megerősítő oldalt is lehet manipulálni (a bank a valódi adatokat küldi el neked, de a böngésződ már mást mutat)
Jogtiszta sw + víruskergető alap, de ezek megléte mellett is simán be lehet nyalni mindenféle okosságot. Otthoni gépen Tessék a legújabb (Win7-es) IE-t, vagy Chrome-ot használni, a Java-t pedig letörölni – ez az első lépés a boldogsághoz.
Az én bankom pl. egyáltalán nem küldi el sms-ben az tranzakcíós adatokat, csak a biztonsági kódot.
Pedig tényleg csak pár perc az egész,hogy akinek a bank viszaigazolást küld az utalás adatairól, az ellenőrizze azokat,mielőtt beírja a biztonsági kódot.
Abban viszont egy kicsit ellen kell mondjak neked, hogy ilyenkor a bank “jogosan ” nem téríti meg a kárt,ha nem megfelelő összeg és nem arra a számlára érkezett, ahova utalni akartuk.
Szerintem a banknak ugyanúgy felelőssége,hogy a saját netes rendszerét olyan vírusvédelemmel lássa el , vagy tűzfalakkal, hogy az illetéktelen használatot minimalizálják, hiszen nem kevés pénzt tartunk a bankokban.
De ez csak az én privát véleményem.
Bocs mindenkitől az elírások miatt:(
En a kovetkezot javasolnam Windows eseten:
1. Windows Update automatikus, mindig friss.
2. Security Essentials
3. Secunia PSI
4. Keepass/Lastpass mint jelszokezelo progi
5. Java-t fel se tenni, Flash-t fel se rakni ha nem muszaj (youtube siman megy java nelkul is pl.). Ha muszaj akkor 2 kulon browser, jellemzoen IE + valami. A fo browserben semmi sincs engedelyezve, a masikban lehet java + flash.
Linux alatt egyszerubb:
1. apt-get update && upgrade rendszeresen (naponta cron-bol)
2. Keepass/Lastpass ugyanugy mukodik
3. megegyzik a fenti 5. ponttal.
Vírusírtóval sem kell sokat szenvedni, nem mész pornóoldalakra és kész 😀
Java eléggé fontos dolog, főleg ha az ember szeretne programozni… nekem ez már vagy két ötéves tervben szerepelt, de egyszerűen nem érek rá…
Én annyival lerendezem, hogy lekérdezem az egyenleget és kész. Számlán csak épp annyi van, amennyi kell, lekötést meg nem bolygatom nagyon. Tegnap néztem pl. otp-s rendszer alapból összeomlik, nem kell ahhoz hacker…
A sablonok létrehozásánál meg egyrészt jobban figyelünk a címzettre, másrészt még a vírus létrehozása előtt készen vannak, harmadrészt kis valószínűséggel avatkozik be a vírus ilyen felületen.
Ez melyik hazai bank netbankján van így?
Eddig OTP, Budapest, CIB és Magnet ügyfél voltam, egyiknél sem emlékszem ilyen kötött sablonra.
A token a gépbe dugva sűrűn változó kódot ad, mégpedig – legalábbis feléd – *vizuálisan* (van egy kis kijelzője, másolni-beilleszteni nem lehet). Komoly további vírusfejlesztést igényel, hogy a kártevő ezt a kódot is képes legyen lekérdezni.
A vírusirtó dologgal egyet értek veled (+ ne torrentezzünk), abban a szegmensben a marketingesek uralják a cégeket, és gerjesztik a vásárlást. Ha mindenki elhinné, hogy annyi vírus van, akkor már rég bezárhatnánk a boltot. Én 10 éve lógok neten napi 14 órában, és saját hibámból egyszer kaptam vírust, azt is a rohadt facebookon.
Igen a Java kell, sőt a SilverLight is néhány (hirado.hu, rtlmost.hu, azaz az aspben íródattokhoz) oldalhoz. Amit utolsó bekezdésben írtál, az tökéletesen igaz, én is így csinálom, és igaz, az OTP rendszere egy kőbaltás túlterhelési támadás esetén másodperceken belül elesik.
Amikor belépsz, kapsz egy sms-t, hogy (és benne van az azonosítód) beléptél a netbankárba.
Utaláskor szintén sms-ben kapod meg az aláíró kódot, ez azt hiszem, öt percig él.
Ezután kapsz a teljesításről is egy sms-t.
A CIB-nél nem kértem sms értesítést, de ott is szépen dolgozik a Java, nincs baj vele.
“Thanks for the Oracle the Sun is never shine again.”
”
Úgy működik, hogy azután veszi át a hatalmat a géped felett, hogy beléptél a netbankba. Amikor utalni akarsz, átírják az összeget és a címzettet, de te ebből csak annyit látsz, hogy sokat homokórázik a rendszer.
”
ha a vírus csak sima keylogger, akkor miért homokórázna sokat a böngésző?: A banki rendszer attól nem lesz lassabb hogy tőled adatot loptak ki, és a böngésző sem.
Ha pedig arról beszélünk, hogy a felhasználó el lett térítve, és egy hamis oldalt lát, az megint egy másik eset… (legalábbis szerintem).
Ilyen szempontból az AXA netbankja korrekt, mert nem begépeled, hanem egérrel kattintod le a kódot aminél a számok helye mindig változik, tehát hiába is lopná le most az egyik kattintási sorrendet, legközelebb már más lesz…
A rendes banki felületen adod meg a megbízást, csak mielőtt átküldenéd a banknak a képernyő tartalmát, átírják azt. Ez időbe kerül, eddig te csak homokórát látsz, a bank viszont már csak az átírt tranzakciós adatokat kapja meg és erről küld megerősítő SMS-t.
Ezért kell elolvasni azt.
Ne rohogtess az elmult 1-2 honapban 3 update volt CSAK kritikus biztonsagi hibak javitasra. Ennyire ne legyunk mar naivak.
http://www.cvedetails.com/product/1526/SUN-JRE.html?vendor_id=5
Ha nem hasznalsz CIB bankot akkor:
1. Ne rakd fel.
2. Ha valami programnak kell, akkor a Java contrl panelben kapcsold ki a browser plugint.
3. Ha a neten kell a java akkor hasznalj egy kulon bongeszot csak es kizarolag arra a honlapra amihez kell.
A Java web plugin ugy fos ahogy van, kerulni kell a hasznalatat.
Hanem a következőt mondjátok meg nekem. Bizonyára sokan vanank itt akik CIB banknál akár csak Malacperselyt vezetnek. A CIBnél simán név/jelszó párossal kell belépni, külön biztonsági sms-es kód nincs. Bármilyen művelet végén mindőssze kell egy extra jelszó, ami simán keyloggerezhető. Semmilyen biztonsági, ellenörző, vagy összegző sms nincs. És ez volt az év bankja valamikor kétezer valamikor- ben.
Ha valaki csak simán leköveti a billentyűleütéseket, már megkopasztott.
Ezerszer megfordult már a fejemben, hogy mi van ilyenkor? A bank vállal felelősséget? Hogy védjem ki? Mondjam le a netbankot? Ti hogy viszonyultok a CIB netbankjához? Nem féltek?
A Kasperskynek van olyan virtuális billentyűzete, amelyik kivédi azt, amit írtál “2013-04-21 at 07:47” kommentedben. Egyszerre egy csomó kis nyíl van, de csak a felhasználó tudja, hogy melyik az igazi.
Idézem: “EIB aláíró kód: 00x-97xxxxxxx5”
Mit írok alá? Kinek? Mennyiről?
Raiffeisen dettó:
“Az Ön által a Raiffeisen DirektNeten kezdeményezett TRANZAKCIÓ, MEGBÍZÁS JÓVÁHAGYÁSÁHOZ SZÜKSÉGES EGYSZER HASZNÁLATOS JELSZAVA: XXXXXXXX Raiffeisen Bank Zrt.”
Igazából nem tudom, hogy elég-e ez, a biztonsági dolgok hátterébe nem látok bele.
Tárgy: átutalás megerősítése
Levélben viszont ez szerepel: Átutalási megbízását rögzítettük.
Alatta adatok honnan-hova-mennyit, stb., megerősítő link sehol.
A komoly pedig a levél alja: Amennyiben nem ön kezdeményezte a jelszó(!) megváltoztatását, kérjük hívja a CitiPhone Banking telefonos ügyfélszolgálatát.
Nem értem miért az a tárgy hogy átutalás megerősítése, ha nem várnak tőlem semmilyen megerősítést. És milyen jelszót változtattam én??? Tök hülyeség ami a levélben szerepel, egy átutalásról van szó, nem jelszó változtatásról. És ez egy bank…
Gondolom feltetelezik hogy mancika3 szokott a jelszo lenni, az enyem pedig valahogy igy nezett ki:
ls=@H7f/t01zDil\hA
😀
“SpectraNet tranzakciós kód: ***-*** ***”
Bezzeg az OTP esemeseiben számlaszámot meg összeget is írtak. Na, végre találtam valamit amiben jobb az OTP! 😀
“Igazán alapos emberek a kártyaszám néhány számjegyét is olvashatatlanná teszik.” – ezt pontosan hogyan?
És mit szólsz ahhoz, hogy az amerikai Amazonon az ellenőrző CCV kód nélkül lehet vásárolni?
Továbba szerinted mi a helyes hozzáállás a PayPass technológiához?
Ha a bank is azt tanácsolja, tartsd a kártyád RFDI-blokkoló tárcában és még “kötelezővé” is teszik a PayPass kártyakat (én vegyek azért RFID-blokkoló pénztárcát, hogy a pénztárosnak jobb legyen? (vitatott)), én a csip kinyírását tartom a helyes fogyasztói magatartásnak. Te?
Így pont jól ki van téve a cikkben említett és egyébként korábban már Magyarországon sikerrel alkalmazott támadási módnak. Tényleg kár, hogy vadi újonnan bevezetett rendszerben ilyen hiba marad 2013-ban…
Annyira elképzelhetetlennek tartod, hogy a bank rendszerét meg hackeljék??Én nem:(Tökéletes védelem nem létezik, mert mindig lesznek olyanok, akik rájönnek,hol a hiba…és ki is fogják használni.
Illetve, ha az ember nem fizet elő az extra SMS szolgáltatásra, akkor a bank téríti, ha megkopasztanak, jól gondolom?
Illetve egy link a megkopasztás módszerére elfért volna a cikkben, még ha angolul is van. Köszönöm.
“Tisztelt Ügyfelünk!
Változás a DirektNet SMS-ben június 22-től.
egyetlen tranzakció aláírásához kapott SMS tartalma az egyszer használatos jelszó mellett kiegészül a tranzakció megnevezésével, összegével és a kedvezményezett számlaszámával”