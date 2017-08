Hasonló témákról is szó lesz szeptember 7-ei GDPR konferenciánkon. Ne maradjon le róla! ÁTTEKINTÉS

már sorban a harmadik bank ügyfelei elleni támadást hajtották végre feltehetően ugyanazok az elkövetők,

az adathalászok legtöbbször csak e-maileket írnak, ezúttal SMS-t is kaptak az ügyfelek,

csak androidos telefonon nyíltak meg azok a weblapok, amelyeken adategyeztetésre hívták fel az ügyfeleket, és amelyekről egy app letöltését kérték,

az adathalász üzenetek nagy része eleve fordítóprogrammal íródik, vagyis a mondatok sokszor értelmetlenek, a mostani támadók viszont jól megfogalmazott magyar mondatokkal dolgoztak.

A visszapattant levelek száma alapján több tízezres, de akár 100 ezres is lehet azoknak a száma, akik megkapták az üzenetet.

A legutóbbi adathalász e-mail szövege Felhívjuk figyelmét, hogy az Budapest Bank Zrt. Felügyeleti Bizottság kérésére, adtatkezelési és adatvédelmi okokból szükséges mobileszközének regisztrációja a rendszerünben, mivel a telefonszolgáltatók részérol úgynevezett biztonságirés lehetoséget ad arra, hogy a rendszert támadók lemásolják a SIM kártyájukat és Ön helyett a támadó kapja meg az utaláshoz tartozó SMS kódot, ezzel az Ön tranzakciói illetéktelenek kezekbe juthatnak, ha nem teszi meg a szükséges lépéseket. Személyes adatainak és trazakciójinak védelmében töltse le Budapest Bank Széf alkalmazásunat mobilkészülékére, mely biztosít minket és Önt is arról, hogy csak az Ön készülékére érkezzen meg a visszaigazoló SMS. Amennyiben nem telepiti az alkalmazást az Budapest Bank Zrt. nem vállal a továbbiakban feleloséget az esetleges Netbankon keresztül történo visszaélésekkel kapcsolatban.

Adathalász próbálkozások elég gyakran, néhány havonta előfordulnak Magyarországon. Mivel minél több ügyfélre lőnek, annál jobbak az esélyeik, ezért gyakran az OTP netbankját másolják le, az ő ügyfeleiknek küldenek adathalász e-maileket. A mostani esetnek azonban van pár különlegessége:lapunknak elmondta, hogy nem csak a bank ügyfelei kaptak a Budapest Bank nevében írt adathalász levelet, hanem olyanok is, akik nem az ügyfeleik. Ebből arra lehet következtetni, hogy banki ügyféllistával nem rendelkeznek a támadók, hanem egy szélesebb rétegre lőttek a csalók. Mivel a levelek a bank nevében mentek ki (a feladó a bank publikus általános e-mail címe volt), a nem létező e-mail címekről visszapattanó levelek nem a feladót meghamisító támadóhoz, hanem a bankhoz érkeztek vissza. A nagyon sok visszapattanó levélből gyanús lett, hogy adathalász támadás zajlik.Ügyfelektől és a bank érintett dolgozóitól a bank megszerezte az eredeti adathalász leveleket, ezen a nyomon lehet elindulni. Ilyenkor a belső etikus hackerek végigkövetik az adathalász folyamatot, vagyis úgy tesznek, mintha őket érte volna támadás, "megfertőzik magukat", és elkezdik megadni a kért adatokat (nyilván nem valósakat). A folyamat végén kiderül, hogyan épül fel a támadás, majd a támadás szimulálása után a bank weblapján és netbanki felületén illetve a telebankon keresztül is tájékoztatják az ügyfeleket. Fontos, hogy ezzel párhuzamosan komoly biztonsági háttérmunka folyik a bankban, hogy az ügyfelek figyelmeztetése mellett a támadás forrását is mielőbb kiiktassák.A támadás egy letölthető mobilappon keresztül zajlott, ezt a bank ilyenkor feltölti nemzetközi víruselemző weblapokra, ahol kb. egy órán belül ellenőrzik az appot, és a folyamat végén vírusként kezdik el nyilvántartani az alkalmazást.Ezen kívül a banknak van egy szerződött partnere arra, hogy ilyen esetekben a támadó weblapot a szolgáltatónál töröltesse, letiltsa, vagyis ha valaki most megnyitná a levelet,A hamis weblap egyébként egy panamai szolgáltatónál bejegyzett oldal volt.Az MNB tegnapi figyelmeztetésében hangsúlyozta, hogy a magyarországi bankok soha semmilyen alkalommal nem kérik el ügyfeleik titkos adatait e-mailben, SMS-ben, vagy postai úton. Célszerű az ilyen típusú üzeneteket haladéktalanul törölni, a kapott e-mail mellékleteket pedig nem szabad megnyitni. A hiteles tájékoztatás, információkérés érdekében az ügyfélnek érdemes minél hamarabb kapcsolatba lépni (például a telefonos ügyfélszolgálatok révén vagy akár személyesen) számlavezető intézményével. Szintén haladéktalanul fel kell venni a kapcsolatot a bankkal akkor is, ha valaki óvatlanul mégis megadta adatait az elkövető bűnözői körnek.