A Forbes oldalán megjelent egy cikk egy Revoluttal és ApplePay-jel kapcsolatos csalásról, amiről írtam is néhány hete.
Most megjelent a cikk folytatása, amiből az is kiderül, hogyan történhetett a csalás.
Röviden a lényeg, ahogy valószínűleg történt. Nem a telefonodat, hanem a számítógépedet fertőzik meg, ha mással nem, egy e-mail csatolmánnyal, árajánlatkérés pdf-ben vagy excelben, stb. De jöhet a link Skype-on, Viberen, bárhogy. Aztán hetekig semmi nem történik. Ha be van kapcsolva az üzenetek tükrözése a telefonról a számítógépre, akkor nyert ügy, de ha nincs, az se baj, majd a vírus bekapcsolja. Ez azért kell, hogy az érvényesítő SMS-hez ők is hozzáférjenek. (Amit aztán törölnek is, hogy neked ne tűnjön fel.) Sajnos ilyen funkció (számítógép-telefon összehangolása) a Windowson is van, így nem csak az almások veszélyeztettek. Szerencsére mondjuk Windows alatt komplikláltabb az összekapcsolás. Valószínűleg ezért gyakoribb a történet Iphone-nal és Apple Pay-jel.
Figyelik a géped, hogy megadod-e valahol a bankkártya adataidat egy vásárlásnál. Ekkor megvan a bankkártyád minden adata. (Ezért jó egyszer használatos bankkártyát használni a vásárláshoz még egy megbízható oldalon is.)
Szintén figyelik, mikor vagy inaktív, például mikor alszol.
Egy másik telefonra felrakják a kártyádat az ApplePay vagy Google Pay alá, amikor vélhetően alszol, a Revolut vagy Wise SMS-ében lévő kódot kiolvassák, hála az üzenetszinkronizálásnak és már ürítik is le a kártyádat. Azért ApplePay, mert abban megbíznak a bankok, nem kell külön azonosítás minden egyes alkalommal. Azért Revolut és Wise, mert két ismert nemzetközi cég, sok ügyféllel és gyakran pocsék ügyfélszolgálattal. (A napokban vissza akartam hívni egy Wise utalást délután. Na, a Wise-nál senki nem volt elérhető, sem a chat, sem a telefon nem élt, mert naponta csak néhány órát van ügyfélszolgálat. Ezt így mégis hogyan? Nem voltam annyira ideges, mint a múltkor, de ha csaló lennék, örülnék az ilyen késlekedéseknek.)
A Revolut lerázza a károsult ügyfeleket, mondván, ő mindent jól csinált. Persze, teljesen életszerű utalások miatt zárolja a kártyát, de nem találja gyanúsnak, hogy az éjszaka közepén ötször háromszáz eurót terhel egy kétes hírű kereskedő a kártyára úgy, hogy nincs is annyi a kártyán, igénybe kell venni az automatikus feltöltést is többször.
Mit tudsz tenni ellene?
Miután az elmúlt hetekben több ilyen sztori is eljutott hozzám, töröltem az összes kártyát a Google Payből. Egyszerűen semmi szükségem nincs rá az igazság szerint. Nagyon trendi és nagyon frenki órával meg telefonnal fizetni, de bőven lehet élni nélküle. Most a telefon tokjába beleteszem a fizikai bankkártyát, mint régen, azaz öt-hat éve (plusz egy húszezres bankjegyet) és mindig kéznél van. Tudok "telefonnal" is fizetni, csak éppen a tokban lévő fizikai kártyával. (A jelen helyzetben a Google Payról a kártyák letörlése nem segített volna, hiszen a csalás lényege az volt, hogy másik alá feltelepítették a lopott kártyaadatokat, de mivel felesleges és felesleges sérülékenység az Apple Paybe és a Google Paybe felhalmozott kártyák, ezért töröltem őket.)
Nem azt mondom, hogy soha ne regisztráld egyetlen bankkártyádat se a telefonodba, de érdemes elgondolkodni, hogy miért regisztrálod az összeset, azt is, amelyik ahhoz a számlához van csatolva, amin komoly pénzt tartasz? Regisztrálj egy Wise vagy Revolut kártyát, amin soha nincs több pénz, mint szükséges.
Leszedtem a banki appokat is, mert azok sem kellenek. A példa kedvéért az Államkincstárhoz minek app, ráadásul elég gagyi védelemmel? Ha néhány havonta kell valamit intézni az Államkincstárnál online, akkor weboldal, belépés, SMS. Semmit nem ad az életemhez a mobilapp, csak egy felesleges és egyre nagyobb veszélyforrás. Ideje elgondolkodni, miért is telepítjük fel az összes banki alkalmazást a telefonunkra, amivel aztán egész nap a neten lógunk és egész nap fizikailag is visszük mindenhová.
Ha véletlenül utalnom kellene utazás közben, de azonnal, (egyébként mióta és miért lett nekünk ennyire sürgős utalni, de azonnal és mindig?) belépek a netes felületen a bankomba, mint régen, a hőskorban, ezelőtt 5-6 évvel. Kér jelszót és ha azt megadtam, csak utána küld SMS-t. Az olyan banki appok, amik kellenek, mert anélkül nem működnek (pl. Wise), az pedig egy tableten van, amin se üzenetküldő alkalmazás, se levelezés és senki nem tölt rá semmilyen programot. Utalnom kellene valamit? Felírom a Google naptárba és este számítógépről elutalom. Ennyi az egész.
S újfent: nem azt mondom, hogy egyetlen banki appot se tegyél fel a telefonodra, de fel kell-e tenni az összeset? Azt is, ami olyan számlához tartozik, amelyiken milliókat tartasz vagy olyan céges számlához, amin akár tízmilliók is lehetnek? Legyen egy app a telefonodon, olyan számlához, amin nincs sok pénz.
Sokszor mondtam már, online cégeknél szabad szemmel is látható összeget nem tartunk. Olvasd el a cikket, a Revolut károsult írhatott a litván felügyeletnek, amelyik formai (!!!) okok miatt többször visszadobta a megkeresést, majd végül csak kénytelen volt befogadni, 90 nap múlva litván nyelven állást foglal majd, ami csak arra lesz jó, hogy azzal már mehetsz pereskedni, valószínűleg Litvániában. Sok sikert hozzá.
Online vásárlás kizárólag Revolut kártyával, amin soha nincs több néhány tízezer forintnál. (Maximum vásárlás előtt töltesz rá pénzt, ha nem elég az egyenleg.) Automatikus feltöltés szigorúan kikapcsolva. Ha a Netflix nem tudta levonni a pénzt kevés egyenleg miatt, fog kiabálni, hidd el.
Ha van lehetőséged, használj geolockingot, hogy csak idehaza lehessen használni a kártyádat. Esetleg kapcsold ki az online vásárlás lehetőségét, ha erre van mód, ha egyébként is egy másik kártyával vásárolsz online, amin mindig kevés pénz van.
Néha segít, ha az aktuálisan nem szükséges pénzt perselyben/széfben tartod, amihez nem férnek hozzá bankkártyával. A jelen esetben nem segített volna, mert a sztori szerint a Revolut számlába is beléptek (hiszen a Revolut app telepítését is SMS-ben kapott kóddal kell visszaigazolni és az elfelejtett jelszóhoz a link e-mailben jött (vagy az is SMS-ben jön? Aki tudja, leírhatná), amit szintén láthattak), de gyakran elég az is, ha félrerakod egy megtakarítási számlára az aktuálisan felesleges pénzt.
Esetleg egy külön SIM kártya egy butatelefonban sem elvetendő ötlet, amit csak banki SMS-ekre használsz. Évente háromezer forinttal kell feltölteni és azt is elköltheted autópályamatricára vagy bármi másra. Tartsd otthon a számítógép mellett, ahonnan utalni szoktál. (Az éves feltöltőkártyás azonosítási agyhalált ne felejtsd el azért.) Mivel a csalók nem tudják, milyen számra kapod az SMS-t, nem is férnek hozzá, ha az nem az okostelefonodban van. Az összes ilyen csalást kivéded pusztán azzal, hogy nem arra az okostelefonodra érkezik a megerősítő SMS, amit használsz és amihez hozzáférnek.
Ne vedd félvállról a jelszavakat sem, használj hosszú jelszavakat és a banki jelszavaidat ne használd máshol és legyen minden bankban másik jelszavad.
Sajnos egyre nagyobb veszélyben van a pénzed és nem csak akkor, ha átlagos felhasználó vagy, aki szó nélkül rákattint egy SMS linkre vagy letölt a telefonjára egy apk appot, esetleg minden e-mail csatolmányt szó nélkül megnyit.
Amíg a bankok nem csinálnak semmit, nagyon észnél kell lenned és úgy tűnik, egyre jobban. Gondold át, kell-e neked ennyi banki (és egyébként minden egyéb) app a telefonodra, kell-e neked mindig azonnal utalni.
SMS manapság? Sikeres emberek push-t használnak, százszor védettebb, mint az SMS.
Ja, csak az a lényeg, hogy nem használsz feleslegesen banki appot. Ha egy butatelefonra jön az SMS, ahhoz nem férnek hozzá.
3 banknál vagyok, magyar erste, wise, és holland bunq, mindhárom a telefonos appal azonosít a 2. lépcsőben, nem nagyon tudok megválni tőlük (meg nem is akarok)
viszont _elvileg_ mindhárom app, és ezáltal mindhárom azonosítás csak az én ujjlenyomatommal működik
mindenesetre a cikket köszi, a téma fontos (bár az a véleményem, ami szinte az összes cikkednél, hogy pont azokhoz nem jut el, akikhez kéne) - mert azért szerintem egy alapműveltség felett az ember nem nyit meg csatolmányokat, pdfeket, nem írja be a jelszavát akármilyen oldalakra, stb
aki igen, az inkább pl az idős korosztály, ők viszont nem tudom mennyire pörgetik pl a kiszámoló blogot, tartok tőle hogy nem nagyon
(offtopic: van bármilyen statisztika az olvasokról? egyáltalán a látogatók száma, egyedi látogatók, új látogatók, ilyenek?)
NGergő, ha van appod, akkor alapesetben azon akarnak azonosítani, mert az a legolcsóbb a banknak. De ha nincs app, a legtöbb banknál van B verzió is.
Szerintem Windows alatt nem olyan egyszerű az üzenetek tükrözését bekapcsolni, mert el kell indítani a csatolt telefon app-ot és párosítani. És ha ez nincs meg, akkor már hiába fertőznek. Legalábbis szerintem.
És még egy tipp: Wise és Revolutban is van persely/széf, oda kell betenni nagyobb összeget és ne legyen sok az egyenlegen, így ha a kártya adataival fizetnének is, nem tudnak annyit levenni vagy semmit... bármennyi ilyen persely/széf létrehozható, mindenféle devizában és gyorsan, pillanatok alatt lehet ki és betenni összeget... én még kereskedelmi bankoknál is ha tudok, létrehozok egy másik ingyenes alszámlát és ott tartom pénz nagy részét és nem azon a számlán, amelyhez egy bankkártya is csatolva van...
És persze az automatikus kártyás egyenlegfeltöltést ki is kell kapcsolni, mert szerintem azt tényleg egy felesleges kényelmi funkció...
Azért picit árnyalnám a képet, hogy a számítógépre rátelepüljön valami olyan program (virus), ami mindent figyel, ahhoz azért általában rendszergazda jogosultság kell. Ehhez viszont bőven kell a felhasználó is. Már a Microsoft is rájött, hogy hülyebiztosra kell megcsinálnia a Windows-t, így a Win10 már ilyen, ott nincs alapból rendszergazda jogod, mint a Windows7-nél (XP-nél), ahol boldog boldogtalan rendszergazda volt jelszó nélkül, hogy még könnyebb dolga legyen a rosszarcoknak.
Célszerű a gépet is időnként ténylegesen kikapcsolni, mert lehet, hogy az aktuális állapotában elindult egy ilyen figyelő app, de ha leállítjuk a gépet, az újrainduláskor nem fog elindulni.
Másodlagos biztonsági ellenprzésnek pedig nem e-mail, sms-t kell beálítani, hanem valamilyen biometrikus azonosítást.
A fő lépés, hogy ne klikkelgessünk mindenféle linkre. Ha nem értjük ne klikkeljünk.
Revolutnál nincs jelszó, csak a négy számjegyes kód az appba belépésnél.
Online meg a telefonos appon kell jóváhagyni a belépést. Ott sajnos nem lehet hosszú és trükkös jelszóval védekezni.
Mi történik, ha a telómat elvesztem? Hogy tudok valaha belépni a Revolutba?
"Ha egy butatelefonra jön az SMS, ahhoz nem férnek hozzá."
Még ez sem 100%, pár éve volt olyan csalás ahol azt hiszem céges sim kártya helyett hamis papírokkal aláírási címpéldánnyal igényeltek másik sim kártyát és arra jött az sms. Persze ez már komolyabb szint mint kiküldeni párezer vírusos pdf-et hátha néhány useren/vírusírtón átcsúszik, csak egy példa, hogy nem is lehetetlen.
Huhh... Kemény story.. Nekem már a múltkori cikkből is átjött a tanulság, hogy Google Pay-t felejtsem el.
Én épp szintén trendiségi okokból kezdtem el párszor poénból telefonnal fizetni, de igazából semmi értelme, szóval a cikk elolvasása után nyugodt szívvel töröltem ki a Revolut kártyám a Google Pay-ből, aztán úgy ahogy van az egész appot leszedtem.
(egy napi szinten Revolut használó)
ui.: kop-kop-kop. Nekem amióta 2 éve fő kártyaként használom az appot semmi problémám nem volt még sosem Revoluttal.
Bőven elég a "mindent lebutítok" helyett az a tanácsod, hogy a Revoluton nincs (elérhetően) pártízezernél több. Ott van a széf funkciója, az is jó lett volna a cikkben írt helyzetekben (persze auto-topup default kikapcs, ezzel teljesen egyetértünk).
(egyébként a GPayból hiába szedted ki a kártyád, mert a csalás úgy történt, hogy egy másik telefonon beletették... azt továbbra is meg fogják tudni tenni, ha sikerül eltéríteniük az authentikáló smst)
Igen, én is értettem, hogy a jelen helyzetben másik Apple Paybe tették fel a kártyát. Viszont a következő esetben majd a Google Payben lévő kártya lesz a gyenge láncszem és igazából felesleges. A sztori első részében be is léptek a Revolut fiókba, a széf azon nem segít.
Tehát az egész sztori itt is úgy indul: a user megnyit egy filet amit valakitöl kapott, akit nem ismer és nem vár töle semmi filet. De azért megnyitja, hátha tényleg ö a nigériai király örököse, vagy tényleg egy CEO pozival talâltâk meg. nincs a gépén egy minimálisan elégséges virusirtó sem, de legalább mindene össze van syncelve mindennel és gondolom a jelszava a születési éve is az ilyeneknek.
Néhány embernek tényleg jobb, ha a butatelefonnàl, készpénznél, kp-s utânvétnél marad.
Windows sebezhetőségről, mobilra távolról felrakható lehallgató és kémprogramról még nem is hallottál, igaz?
Arról nem is beszélve, ha az a dolgod, hogy árajánlatokat írj, kénytelen vagy megnyitni "ismeretlentől" jött fájlt.
De ismerősnek is feltörhetik a Viber fiókját és azon keresztül is jöhet egy ártatlan fotónak tűnő valami, ami egy sebezhetőséget kihasználva a te megkérdezésed nélkül(!!!) települ a gépedre.
Le kéne szállni a magas lóról, nem mindenki hülye, akit megtalálnak.
Informatikusok szívták már meg, pedig azoknak még a kutyáját is úgy hívják, hogy L43$jk89WqZ.
Lehet régimódi vagyok, de mobiltelefonon soha nem használok banki appot és nem is fogok. Ma már az ujjlenyomatos védelmet is simán feltörik a telefon hátuljáról leszedett ujjlenyomataiddal... Egy telefon még mindig túl kicsi, seperc alatt ellopják vagy ottfelejted valahol (ne mondja senki, hogy egyszersem fordult vele elő!) és fel se tűnik. Arra ott a laptop. Az azért hamarabb feltűnik ha meglovasítják (egy egész hátizsák tűnik el) s igen azt is feltörhetik (integrált SSD-t nem fogják tudni kiszedni, erős jelszóval is bibelődnek kicsit, a jelszóvédő erős jelszavával utána megint) de az eltart annyi ideig amíg feltűnik a hiány és mindent tiltok. A bankomnál kis kütyü van s azzal kell generálni a belépési kódot minden egyes alkalommal, e nélkül belépni nehéz. Az érintős izét se használom, veszélyes. Persze 100%-os védelem nincs, a netről is próbálkozhatnak.
"töröltem az összes kártyát a Google Payből"
Es az mire jo? Nem az Apple/Google Paybol loptak el a kartyaadatokat, hanem egy uj fiokhoz adtak hozza a szamitogeprol ellopott adatokkal a kartyat, tokmindegy szerintem hogy neked hozza van-e adva vagy sem... Sot, talan meg elony is lehet, hogy ha a te accountodon ott a kartya, es hirtelen egy teljesen idegen accounton is megjelenik, akkor tudod bizonyitani hogy te a sajatodon mar X eve hasznalod.
Nem logikus, hogy a számítógéphez fértek hozzá, nem a telefonhoz, ezért ezentúl csak számítógépet használunk, telefont nem. Az sem logikus, hogy a bankkártyánál jóval biztonságosabb mobiltárcát kidobjuk és ehelyett újra pötyögjük a bankkártya adatainkat, mert pont emiatt lehetett a fenti módszerrel ellopni. Azzal viszont teljesen egyet lehet érteni, hogy ha valaki ezt a 2 eszközt használja 2 faktoros hitelesítéshez, akkor véletlenül se szinkronizálja őket, mert onnantól az csak 1 faktor.
@Kiszamolo ma már a Windows-on sem gyakoriak az olyan típusú sebezhetőségek, amik egy sima email melléklet megnyitásával, vagy linkre való kattintással ilyen vírust tudnak telepíteni. Ez kb. a Windows Vistáig volt lehetséges. Azért van a UAC (a rendszergazdai engedélykérés) hogy ilyesmi ne történhessen meg. Természetesen semmi sem tökéletes, de szakmabeliként mondhatom, hogy 100-ból 99 eset azért történik, mert a felhasználó óvatlan és ha felugrik egy ilyen ablak, akkor csak a minél gyorsabban eltüntetendő akadályt látja benne, és gondolkodás nélkül megadja az engedélyt bárminek (hiába volt váratlan a kérés).
Egy app authenticator mitől biztonságosabb mint egy SMS?
Vagy csak akkor, ha ujjlenyomatot kér az app?
Bocsi az offért, hátha esetleg tud valaki válaszolni.
Amúgy is fizetem most a vállalkozásomat, bele merjek vágni az ilyen mobilbankáros/biztosító ügynökös munkákba? Azért szeretném kipróbálni, mert most úgymond nem tudok bukni rajta, hiszen amúgy is fizetem a járulékokat (meg van pár havi tartalékom, ha esetleg nem megy a bolt). Másrészt érdekel valamilyen szinten a pénzügyi világ. Középfogú gazdasági végzettségem van (OKJ), meg egy diplomám, de az nem gazdasági vonalon. Vagy maradjak inkább a bankfióki munkalehetőségeknél?:)
A fő kérdés az, hogy nagyon extra képességek kellenek, hogy valaki megéljen ebből, vagy azért tanulható a dolog?
Érdemes hardver tokent használni a jelszógeneráláshoz, bár van olyan bank, ahol már külön kell fizetni érte.
Nos akkor.. a Mac (és a MacOS) az egyik legjobb gép a linux mellett, ha biztonságról van szó.. nem annyira célpontja a hekkereknek, mint a Windows, hisz nincs úgy elterjedve. Ahhoz, hogy egy Macen bekapj valami vírust ami ilyet csinál, elég nagy idiótának kell lenni, de ez általában is igaz, Windowson is. Nem kell megnyitni ismeretlen leveleket, FB oldalakat, linkeket,nem kell warezolni,stb. Ésszel kell élni, mint az élet egyéb területén is, körültekintőnek kell lenni.
Az üzenetek "tükrözése" az egyik legjobb funkció, nem kikapcsolni kell :DDD Ne haladjunk már visszafelé 1990 irányába. Meg kell tanulni biztonságosan használni ezeket a dolgokat.
Most megemlíthetném azt is, hogy az androidot el kell felejteni, mert az iOS 100x biztonságosabb (az sem tökéletes persze), de egy öt éves készülék is naprakész biztonsági szempontból,de ezzel vallásháborút indítanék,úgyhogy ilyet nem mondhatok
"Windows sebezhetőségről, mobilra távolról felrakható lehallgató és kémprogramról még nem is hallottál, igaz?"
Nyilván mindenki hallott a Pegasusról, amihez még felhasználói interakció sem kellett.
Mivel nincs tökéletes szoftver sem, ezért mindnek van sebezhetősége.
De ha már ezen pörög valaki, akkor használjon kp-t, butatelót, internet közelébe se menjen és a legjobb ha elköltözik a puszta közepébe. Ja és az alusisak minimum.
Nyilván mindent fel lehet törni, be lehet jutni bárki rendszerébe, kisebb vagy nagyobb erőbefektetéssel. De azért ezeknek a csalásoknak kis százaléka szerintem ilyen kifinomult.
A legtöbbször végül kiderül, hogy a felhasználó klikkelt valami olyanra, amire nem lett volna muszáj. Szóval, ahogy a pénzügyekben is a nagy átlag az igenis tájékozatlan, az informatikában is hasonló az arány.
Szerencse kérdése az egész, de egy alap védekezés is jobb, mint a semmi.
A telefonos NFC-s fizetés alternatíva a társkártyára... Egyébként az egyszer használatos kártya hogy segített volna ebben az esetben? Ha jól értem, az áldozat számítógépéhez teljeskörű hozzáférésük volt, így nyilván hozzáférnek a felülethez is, ahol az egyszer használatos kártyaszámot generálják és akkor annyit generálnak, amennyit jól esik...
Nagyon aktuális a cikk egy pontja. Mégpedig a webkincstárba belépés és bankolás/jóváhagyásos része. Vásároltam erre a célra egy SIM-et a Vodánál tavaly, amit egy fapados mobilban a használok és a PC-m mellett tartom. Van ez az évi adategyeztetés a Myvodafone-n keresztül. Egy előre kitöltött elektronikus nyomtatványt kell egy klikkel jóváhagyni. Az adatok stimmelnek. Na most, azzal az üzenettel fogad, hogy nem egyeznek az adatok a Magyar Kormány adatbázisával a klikk után. Ennek is cammogás lesz a vége az ügyfélszolgálatra :(. Ha évente eljátszák ez velem, ez elég kellemetlen lesz.De még mindig olcsóbb és biztonságosabb.Járt már így valaki?
@mr-gibbon Én többször nekifutottam a Vodánál adategyeztetésnek márciusban, többször hibára futott. Nem az adatok voltak rosszak, nem működött a rendszer.
Ráhagytam, annyira nem volt fontos a kártya, engedtem elveszni.
A hivatkozott cikkben a pénz elvesztésén kívül minden csak spekuláció (illetve önsajnáltatás).
A leírt tanácsok szerintem ezzel együtt is korrektek, bár én nem esnék át a ló túloldalára. Egy átlag felhasználó nem lesz célzott támadás áldozata, a nem célzottak sikerének az esélyét pedig bőven lehet csökkenteni. Könnyű azzal dobálózni, hogy ‘mindent meghekkelnek’, de a valóság ennél jóval összetettebb.
Az elektronikus pénzre is úgy kéne tekinteni, mint a kp-ra. Egyszerre nem tartunk túl sokat magunknál, ha muszáj, akkor jobban figyelünk a védelemre, stb.
Én mondjuk nem GP-t használok, hanem Simple-t (és abban sincs benne a Revolut kártya, mert állandóan sipákol, hogy melyik az alapértelmezett kártya). És nekem tök jó, hogy tudok telefonnal is fizetni, mert általában használok mellé pl. egy törzsvásárlói kártyát, ami szintén a Simple-ben van eltárolva. Egyedül a Supershop az, ami miatt elő kell bányásznom a pénztárcámat, de ha amúgy megoldható a simple-ből, akkor már fizetni is onnan fogok. Értem, hogy a fizikai kártyámat meg beletehetem a telefontokba, de azt meg elhagyhatom, ellophatják a villamoson, és a paypass miatt előbb költenek le róla, minthogy letilthatnám. A Simple-t meg legalább a telefon képernyőzára védi (ha épp nem kér pin kódot az app).
Amúgy a MÁK appot én kifejezetten szeretem, mert sokkal átláthatóbb, mint a weboldal. Az mondjuk jogos, hogy ezt felesleges a telefonon tárolni, ha nincs rajta napi intéznivaló.
@mr-x mit jelent az, hogy felesleges meg trendi? Én például nem szeretek egy komplett, vastag pénztárcát magamnál hordani. A telefontokomban van egy-két papírpénz, ha bármi miatt kellene, telefonos appba befotózva minden hűségkártya, értelmes jelszószéfben (pl. BitWarden ingyenes és elég jó) a kártyáim, igazolványaim adatai, konkrétan egy telefon van nálam átlag hétköznap.
A 2 faktoros azonosítás lényege az lenne, hogy két független eszközzel azonosítod magadat egyszerre. Ebből remekül lehet másfél(?) faktorosat csinálni, ha össze vannak kötve.
Én azt javasolnám első körben, hogy az eszközök közötti szinkronizáció, ha nagyon fontos, akkor is felügyelt és korlátozott legyen. Pontosan azt szinkronizáld és úgy, ahogy az neked fontos és kell. A legtöbb embernek ez kb a nulla, vagy maximum a fényképek.
A nagyon fontos dolgokra pedig legyen külön e-mail címed. Tehát ne az ezer helyen használt e-mail címed legyen az apple azonosítód. Csak pár helyre kell külön cím, mint ügyfélkapu, apple id... A mindenféle helyekre regisztrációra meg egy másik.
Ilyen apró dolgok olyan mértékben tudják nehezíteni a csalók dolgát, hogy nem éri meg vesződni veled, és nem igényelnek komoly informatikai tudást, meg bonyolult eljárásokat.
"Mi történik, ha a telómat elvesztem? Hogy tudok valaha belépni a Revolutba?"
Csak tippelek, de a Revoluthoz kell ugyebár a telefonszámod. Ha elveszted a telódat, akkor érzésem szerint simán szólhatsz a szolgáltatódnak, hogy ez történt, az elveszett teló simkártyáját letiltják és kérhetsz egy újat, ua. telefonszámmal. Szóval fogsz egy másik telefont, letöltöd a revolutot és belépsz azon.
De tényleg csak tipp, lekopogom, még sose vesztettem el telót 🙂
@Kiszamolo valahogy nagyjából ugyanazokat talâlják meg mindiv ilyenekkel és törik fel a viberjük, facebookjuk, stb., akiket a piacon is âtvernek a visszaadással, aki a parkolós "parfümárus" meg a marketplace kamu-Nikecipö emberek célpontja. Árajánlatokkal foglalkozik, de ki van kapcsolva a Windows Defenderje?
Akinek megy annyira az IT felhasználói oldal, hogy összelinkelje azokat a dolgokat ami mindehhez kell, attòl talán elvárható bizonyos szintü felhasználói tudatosság is. Mindig, de mindig azok szopjâk be ezeket, akik szeretik hangoztatni maguk: ök a felhasználók királyai, ök mindent mindennel összelinkelnek, az mennyivel fejlettebb felhasználói élmény.
Egyébként eszembe jutott még valami, ami szerintem evidencia kéne, hogy legyen, Revoluttól és minden technikai megoldástól függetlenül.
Nálunk az a családi taktika, hogy hónap elején megérkeznek a fizetések, és még azon a napon mindent, amit csak lehet (lakbér, rezsi, megtakarítások, számlák, iskolai befizetnivaló stb.) elutalunk/befizetünk. Amúgy is meg kellene ejteni ezeket, de így legalább ennyivel is kevesebb pénz ül a számlánkon, amit, ha egyszer kifizettünk, már nem tudnak lenyúlni. Nyilván ez a megmaradó pl. havi kajapénzt nem védi, de nekünk a fent felsoroltak is jelentős része a költségvetésnek, és nyugodtabb vagyok, hogy legalább ezt nem fogják lenyúlni tőlünk.
A SIM kártyara érkező üzenet eltéríthető, ezért kér több cég SMS helyett időalapú tokent.
Alapvetően az alábbiakat kell észben tartani:
- csak legális szoftverek használata
- csak google play / appstore
- windows/mac alá vírusírtó (linux alatt ésszel is eléldegélsz)
- csatolmányt csak akkor nyiss meg, ha vársz valamit (word es pdf is lehet veszélyes)
- ha emailben pptm-et, docm-et kapsz, az esetek 99%-aban kérdés nélkül töröld. Tudni fogod, ha mégse.
- ha több helyen ugyanaz a jelszavad, akkor azt kezeld úgy, mintha publikus lenne
- minden fizetési limited legyen mininumon
- kártyaadatokat csak megbízható oldalon adj meg (és egy esetleges keylogger ellen ez se véd). Ha egy random webshop saját formon kéri a kártyaadataidat, ott ne várásolj.
- legjobbak az eldobható kártyák
> Ha egy butatelefonra jön az SMS, ahhoz nem férnek hozzá.
Sajnos hamis. Még a telefonod sem kell hozzá. Az pedig, hogy buta, okos, kikapcsolt vagy bekapcsolt, teljesen mindegy. Kulcsszó a kereséshez: "SS7 vulnerability".
Sokkal biztonságosabbak a push értesítések, amik az alkalmazásban érkeznek. A push értesítésekről (vagy egy kétfaktoros autentikátor alkalmazásról) visszaváltani SMS-re egy hatalmas downgrade biztonsági tekintetben.
Németeknél vagy 10 éve kötelező volt a fizikai token, nem lehetett SMS authorizáció, mondván hogy nem biztonságos
Mobilnál rootolást el kell felejteni, csak hivatalos app Store-ból app, pár naponta újraindítás. Laptop/gép meg csak akkor menjen ha használva is van, jelszavakat meg nem mentünk, kalózkodást is felejtős. És mindenhol több lépcsős azonosítás. És minden netre között eszköz up-to-date sw-en legyen. Így már inkább mást fognak megtörni, Low hanging fruit van elég…
"Nagyon trendi és nagyon frenki órával meg telefonnal fizetni, de bőven lehet élni nélküle."
Parasztasszony nagyanyámnak volt erre egy kifejezése: ez csak úri huncutság. A felesleges, az életet csak túlbonyolító dolgokat hívta így. Én az ő nevelése vagyok, nekem még okosmobilom sincs, a buta is kártyás, kb. 7-8 havonta feltöltve 3 ezerrel használom, mert alig-alig kell. Mégis tudok élni nélküle, bankolni is tudok, online rendelni is tudok, anélkül, hogy megadnám bárhol a bankkártyám adatait.
Nem csak azért csinálom így, mert biztonságosabb, hanem mert így jobban lehet takarékoskodni.
Volt most SZÉP kártyám, azzal fizettem online, de az egyszerűsége (és a bankkártyával fizetésé is) baromira csábít a költekezésre. Kp-val fizetve jobban meggondolja az ember, hogy az adott dolog valóban kell-e neki vagy sem.
> Évente háromezer forinttal kell feltölteni
Vodafone online feltöltés egy ideje már 1000 Ft-ra is 365 nap felhasználhatóságot ad.
Pár nappal ezelőtt hasonló cikk jelent meg:
24.hu/fn/gazdasag/2023/05/06/850-ezer-forintot-gomboltak-le-a-jofogason-egy-eladorol-a-foxpostra-hivatkozva/
Talán itt is hasonló dolog történt. Azt is leírják miként szerezték meg az Apple Pay kódot.
"NGergő, ha van appod, akkor alapesetben azon akarnak azonosítani, mert az a legolcsóbb a banknak. De ha nincs app, a legtöbb banknál van B verzió is."
Amiért esetleg fizetned kell, pl. CIB Hard Token.
De valóban, az Erstés netbankba, amit NGergő említ, én a mai napig sms-ben kiküldött azonosítóval lépek be, ingyé'.
A biometrikus azonosítós/ujjlenyomatos kollégákhoz lenne kérdésem (tényleg kérdés):
az ujjlenyomat az mennyivel több, mint egy bonyolult jelszó? Tehát ha a telefonod kompromittálódik (tudom, nem kattintunk semmire telefonról, de ha mégis), akkor vajon a rákerülő program az első használatnál megszerezheti-e azt az adathalmazt, ami az ujjlenyomatodat/arcodat/retinádat jelenti? És így, ha van egy appod, amivel a telefonról eléred a számlád másik faktor nélkül, akkor elvileg ki tudják üríteni a számládat, ha a telefonod kompromittálódik?
Létezik még egyáltalán sms? Nekem az Ersténél ha valami miatt nem jön push-up a telefonra, eszük ágában nincs sms-t küldeni. Volt már, hogy emiatt nem tudtam neten fizetni.
Egyébként az nem megoldás, ha a telefonomon nem tartom folyamatosan bekapcsolva az internetet, csak amikor tényleg használom? Éjszakára például mindig repülős üzemmódban van.
A nincsen feltörhetetlen rendszer és a többi ilyen közhelyre:
- Valóban nincs olyan, amit célzottan ne tudnának feltörni, csak nem mindegy, hogy mennyire nehéz, és mekkora szakértelmet kíván.
- Ezek sosem személyre szabottak, mert úgy nem lenne túl jó az órabér. Már az alapvető védelmi technikák is sokat segítenek.
- Ne találj ki laikusként saját megoldásokat, mert egyetlen hülye húzással le tudod nullázni az egész védelmet, csak kövesd a szakemberek utasításait.
- A banki applikációm telepítését bankfiókban kellett jóváhagyni személyesen, pushként jön az értesítés a telefonra. Aki egy ilyet feltör az annyi pénzt kap a törés miatt teljesen legálisan, hogy felesleges lopnia. Senki senki sem tudja másikra telefonra telepíteni és ellopni a pusht.
Amint jön automata megoldás az ilyen lopásra, user hiba nélküli, azonnal megáll a világ bankrendszere.
@yggdrasil MÁK csak olyan számlára utal ki ami a te neveden van, persze nyithatnak egy számlát hamis igazolványokkal, de ott már elég nagy a lebukás veszélye, tehát nem fognak ! 😉
Értékpapírszámlák szerintem mind csak ugyanarra a névre szól bankszámlára utalnak ki, ezért biztonságosabbak, nekem gyakorlatilag minden ilyeneken van....
Attila, te nyilatkozol, hogy a te neveden van a számla. Azért az nem ugyanaz.
Én megszüntettem a bankszámlámat, így biztosan nem férnek hozzá a csalók.
@kl A biometrikus azonosító azon felül, hogy egy nagyon erős jelszó (a biometrikus azonosítóból egy hash generálódik, ahogy a jelszavakból is, csak a bemenete elég nagy, és nem '1234', így elég nehéz brute forceolni), az nem hagyja el a telefont, és még egy új apple készülékre sem viszed el róla, hanem őrzi a kis telefon magában, és a szükséges hozzáférési jogosultság rendkívül magas. Ha ezt feltöröd, akkor gyakorlatilag az apple is adna neked százezer dollárokat és legális jól fizető munkát, illetve ezen esetben már bármit meg tudsz tenni a telefonon, tehát ez egy maximális besorolású biztonsági hiba lenne.
Azért egy pegasus kategóriájú sw többet ér, mint egy ilyen csalás, szóval aki ilyet tud, az legálisan keres végtelen pénzt.
A szükséges szakértelem szintje nagyon fontos tényező.
Ezeket a csalásokat úgy csinálják, hogy halásznak a könnyű célpontokra.
Nálam ezért is van viszonylag szigorú policy arra, hogy mi és hova telepíthető. Banki és egyéb azonosításra van egy külön telefon, amin csak ezek az alkalmazások futhatnak, még sim kártya sincs benne. Egyes telefonok tudnak olyat, hogy "extra energiatakarékos" azaz buta módban futnak. Ilyenkor akár 1-2 hét is lehet az üzemidő. 🙂
A rendes telefonon pedig csak telefonálok, nagyon kevés plusz alkalmazás van rajta, azok is olyanok amikben megbízok.
Az összes ilyen hasznosnak tűnő, de ki tudja mennyire megbízható alkalmazásra pedig van egy harmadik mobil eszköz.
A gépek és a mobilok nem kommunikálhatnak egymással. Fizikai kártya adatok sehol sincsenek mentve, nincs NFC-s fizetés sem.
Kényelmetlen? Hogyne. Bombabiztos? Valószínűleg nem. Elfogadható szinte redukálja a támadási felületet? Igen. Bárcsak ne kéne ennyit szüttyögni, de IT szakmabeliként látok dolgokat. 🙁
Egy további tipp keylogger ellen:
Windowsban pl a Ctrl+win+O kombinációval előhozni a virtuális billentyűzetet és ha mondjuk a netbankba lépsz be, akkor ezen pötyögöd be egérrel a jelszót, nem pedig a billentyűzeten.
Nem egyszer volt már rá példa, hogy az ilyen csak telós embereknek én fizettem ki a cuccát, mert nem működött. Nem bírt kiállni a parkolóból, nem tudott fizetni stb. Persze bankkártya vagy kp. nem volt nála, mert minek, ha ott a teló.
Tényleg fasza! Szerintem ültessetek a bőrötök alá chip-et, akkor telefon sem kell!
@nn “Ma már az ujjlenyomatos védelmet is simán feltörik a telefon hátuljáról leszedett ujjlenyomataiddal”
nagyon off de nem tudom elkepzelni hogy fòka vagy pingvin vagy-e. Itt olvasom ezt a telefonomon es mindket huvelykujjam az ELEJEN van a telefonnak, csakugy mint az esetek 99%-aban. Probald csak megfogni a telefon HATULJAT huvelykujjal es rajossz hogy te sem fogod meg ott. Pedig altalaban a huvelykujjrol hasznaljak az ujjlenyomatot mert ELOL van az olvaso ezert azzal all kezre megadni. Ettol persze levehetik a mintat az elejerol
"Windowsban pl a Ctrl+win+O kombinációval előhozni a virtuális billentyűzetet és ha mondjuk a netbankba lépsz be, akkor ezen pötyögöd be egérrel a jelszót, nem pedig a billentyűzeten."
Ez nagyon jó, meg a többi tipp is, csak pont az lenne a lényeg, hogy ne kelljen "pötyögni", a mindenféle kódokat, hanem mi lenne, ha egyszerűen be tudnék lépni.
@Kiszamolo, szerintem érdemes hozzátenni a javaslataid árnyoldalait is, hogy mindenki eldönthesse, hogy melyik veszélyt, milyen rizikót akar inkább elfogadni, kezelni.
fizikai kártya = mágnescsík, azt fizikailag használva másolhatók az adatok, klónozható a kártya
fizikai kártya + érintés, limit felett = pin kódot meg kell adnod, ami meglepően egyszerűen kifigyelhető
nincs app telepítve / regisztrálva = bank sms-ben fog veled kommunikálni, nem push-ban - cikkben említett sms sync ellen még kevésbé vagy védett
A cikk nyilván valós problémára próbálja felhívni a figyelmet, de elég fröcsögősre sikerült: a módszer tetszőleges bankkártyával / bankkal működött volna, amelyik SMS-t használ az applepay/googlepay-be való kártyaregisztrációkor. Arról meg ne is beszéljünk, hogy ha már a gépedre telepítettek valamit, akkor az emailedet is olvashatják, mehet is a jelszó reset-es támdás mindenfélére.
Itt mind a két esetben megvan a sztorikban a buktató, csak azokat elkeni az újságírónő. Az elsőben annyira lusta ugyebár az Úr, hogy még lerablása után sem állította le az automata feltöltést - itt elkenik azzal, hogy egyenként töltögetni nehézkes. Nem az. A másodikban pedig bizony ott volt az SMS, amiben figyelmeztették, de hát ha nem olvassuk, akkor nem olvassuk. És bizony egész sok a feltételezés és a teória. Nincs berakva feljelentés, jegyzőkönyv, se semmi - általában ezek nem véletlenül hiányoznak.
Ettől még valóban figyelni kell, de - nem kívánom, csak sejtem - az fog a végén kiderülni, hogy ügyfélgondatlanság miatt történt meg, ami történt. Lehet majd Litvániában a hiányzó 5.5000 euróért többért pereskedni - és erre az MNB számtalanszor fel is hívta a figyelmet a Revoluttal kapcsolatban.
te nyilatkozol, hogy a te neveden van a számla.
már csak arról van a nyilatkozás, hogy magánszemélyé a számla, most néztem meg.
A cikk több megállapításával nem értek most egyet, egyes védelmi reakciókat túlzónak tartok.
A Revolutra ráhúzod a vizes lepedőt, pedig nem is éjjel történtek a tranzakciók, hanem este 7kor, (ami teljesen reális), ráadásul itt nem ők hibáztak, valóban az apple pay-en mentek be a csalók.
Azt írod, a "bankok" nem csinálnak semmit, pedig nem is az ő, hanem a fintech cégek ügyfelei a célpontok.
A gyökérok egyértelmű: nagyobb összeg tartása, és automata feltöltés egy nehezebben felügyelhető (fintech) számlán. Ettől még nem kell mindent eldobni, és mindenhol veszélyt látni, ahogy a gyerek sem jár egész nap sisakban, miután beüti a fejét az asztal sarkába.
Nekem úgy tűnik, hogy a Wise-ba is be tudsz lépni a weboldalán, tehát ott sem kell app, illetve nem kell az sms-re se külön telefon, ha bemész a bankba személyesen utalni, vagy felhívod a netbankot 🙂