A lány, aki végrehajtotta a világ egyik legnagyobb hackertámadását, majd ezzel hencegett
Üzlet

Néhány hét, és csalók tömegei repülhetnek rá a magyar bankszámlákra

Portfolio
Már sokan várják, hogy március másodikán elinduljon az azonnali fizetési rendszer Magyarországon, az újdonságokra azonban rendszerint azonnal rárepülnek a hackerek, a csalók, illetve különböző motivációjú, technikailag képzett érdeklődők, akik tesztelgetik majd, mennyire stabilak a bankok rendszerei. Az instant fizetésnél, ha valaki csalást követ el, akkor a csalás is azonnal megtörténik, így különösen fontos lesz, hogy a bankok és az ügyfelek is résen legyenek – véli Zala Mihály, az EY kiberbiztonsági szakértője.
A kiberbiztonságról illetve az azonnali fizetési rendszerről és az erre épülő új fizetési szolgáltatásokról is szó lesz a Portfolio Financial and Corporate IT konferenciáján, június 4-én az Intercontiental Hotelben. Regisztráció itt!

Már csak pár hét, és az azonnali fizetési rendszer egész évben, 0-24 órában, a hét minden napján elérhető lesz minden banki ügyfélnek, a tranzakciók tipikusan 1-2 másodpercen (de maximum 5 másodpercen) belül teljesülnek, a pénz a címzett számlájára kerül, és akár egyből el is költhető. A magánszemélyek esetében néhány kivételtől eltekintve minden 10 millió forint alatti átutalás azonnali lesz, a vállalatok és egyéb szervezetek által indított utalások esetében csak a 10 millió forint alatti és egyedi, egyesével benyújtott utalásokra vonatkoznak az új, kötelező szabályok. 

Az azonnali fizetési rendszerben másodlagos bankszámla azonosítóval is indíthatók utalások, mint pl. mobiltelefonszám vagy e-mail cím, és egy új típusú tranzakció, a fizetési kérelem is szerepel majd benne. Ezek segítségével egyrészt csak e-mail vagy telefonszám megadásával is utalhatunk illetve küldhetünk fizetési kérelmet majd (bankszámlaszám ismerete nélkül), másrészt bolti mobilfizetési és személyek közötti fizetési megoldások is születhetnek. Azonnali fizetési rendszerek más országokban már működnek, de még így is az early adopterek között lesz Magyarország, ráadásul míg máshol nem kötelező minden banknak a csatlakozás, itthon ez kötelező minden szereplőnek.

Megszaporodhatnak a csalások

Amikor egy új megoldás születik, valaki bevezet egy új platformot, egy új terméket, egy új alkalmazást, arra nagyon sokan rá szoktak repülni a bankszektoron kívülről is. Kísérletező kedvűek, kevésbé fehérkalapos hackerek, vagy ne adj isten versenytársak. Ezekre a támadásokra az azonnali fizetési rendszer elindulása utáni első hetekben számíthatunk

- mondja lapunknak Zala Mihály, az EY Magyarország kiberbiztonsági tanácsadó üzletágának vezetője.  Márpedig ha valami, akkor ez a fejlesztés nagy újdonság lesz, ráadásul az egész bankszektor IT-infrastruktúráját alaposan fel is forgatta (lásd keretes írásunkat).

Miért volt nagy feladat az AFR a bankoknak?

Az azonnaliság, mint követelmény megjelenése miatt valahogy meg kellett oldaniuk, hogy éjjel-nappal, hétvégén is, és real-time működjenek azok a rendszerek is, amiket évtizedekkel korábban nem erre terveztek. A bankok Magyarországon általában legalább 20 éves, vagy ennél is régebbi mainframe számlavezető rendszerrel rendelkeznek, mely köré bonyolult alkalmazás-infrastruktúra települt az évek során. Amikor jelentkezik náluk egy új üzleti fejlesztési igény, amit lehetőleg minél gyorsabban végre kell hajtani, akkor a banki IT nem mondhat mást, mint hogy rendben, akkor a lehető leggyorsabban megoldjuk, és ennek legtöbbször egy új modul, egy új alrendszer elindítása volt a módja, ami egy középső rétegen, közvetítő szoftveren (middelware) keresztül kommunikál az alaprendszerrel, illetve a többi alkalmazással. Azonban amikor az egyik rendszerben megváltozik egy adat, akkor annak az összes többi ezzel kapcsolatban álló rendszeren is át kell futnia, és ha valahol gubanc van, egy rendszer valamiért leáll, akkor könnyen megbénulhat az egész ökoszisztéma, és például használhatatlan lesz a netbank, vagy nem tudnak hozzáférni a számlájukhoz az ügyfelek.

Fontos különbség lesz a korábbiakhoz képest, hogy ha valaki az instant fizetésekkel követ el csalást, akkor a csalás is azonnal megtörténik. Legfeljebb öt másodperc alatt lezajlik a tranzakció, ami egy elképesztően rövid időt jelent. Ez egy nagyon vonzó dolog, hiszen azonnal el lehet téríteni a pénzt. Aki a pénzt jogosulatlanul megkapja, egyből továbbutalja, és pár perc alatt már a tizedik tulajdonosnál landol az elcsalt összeg. Ezzel szemben korábban a pénzintézeteknél órák álltak rendelkezésre a gyanús tranzakciók kiszűrésére.

Zala Mihály szerint annak is megvan a kockázata, hogy a bankok ellen túlterheléses támadást indítanak. Mint elmondta, egy pénzintézetet el lehet árasztani egyszerre több számláról indított egyforintos tranzakciókkal, ennek alacsony a költsége, ráadásul már nem állunk messze attól, hogy interneten keresztül számlát lehessen nyitni.  Egy csaló is nyithat számlát, vagy ellophatja valakiét, és utána elkezdi egyforintos átutalásokkal terhelni a rendszert. Minden átutalási rendszernek megvan a maga korlátja, és ha valaki kipécéz egy bankot, és automatizált utalásokkal támadja meg, azzal olyan szinten túlterheli a rendszert, hogy annak előbb-utóbb lesz valamilyen kellemetlen következménye: például használhatatlanná válik a netbank, elérhetetlenek lesznek a számlák stb.

De egy támadás sosem ok nélkül történik, hanem azért, hogy valaki valamilyen előnyhöz jusson. Ha egy túlterheléses támadást elterelésre használnak, és ezalatt egy csaló hozzáférést szerez az adatbázisához, akkor már pontosan tudni fogja, hogy kinek kell majd adathalász e-maileket írni, s mit kell írnia ahhoz, hogy át tudja verni, és megtegye azt a szívességet, hogy úgy utal, ahogy ő szeretné.

A mobilbankolás terjedésével annak is megnő a kockázata, hogy a mobileszközökön keresztül támadják meg a bankokat, olyan rosszindulatú szoftverekkel, melyek a felhasználónév-jelszó párost szerzik meg, majd hamisított SMS-eket küldhetnek a két faktoros azonosítás megkerülésére. Egyre gyakoribbak az adathalász-támadások is, ezeket végre lehet hajtani mobilalkalmazás szinten is. És a  csalók előszeretettel csalnak tőrbe óvatlan ügyfelek azzal, hogy pénzt kínálnak egy alkalmazás telepítéséért, amely aztán rosszindulatú kódot tartalmaz, és megfertőzi az eszközt  – említ egy másik példát a szakember.

A legtöbbet a bankszámlák biztonságáért a bankok tehetik, ugyanis a támadások döntő része nem közvetlenül a bankokat éri, hanem a beszállítókon keresztül történik. Mindig egyszerűbb megtámadni egy startupot, és ide beépülni. Rengeteg beszállító és partner dolgozik egy-egy pénzintézetnek, ezeket is érdemes lenne ellenőrizniük. Az egyszerű felhasználónak az a legnagyobb kockázata, hogy adathalász támadás során kiadja az adatait a kezéből, ez ellen fokozott körültekintéssel lehet védekezni.

Nem attól az adathalászattól kell félni, amelyiknél Google-fordítóval, rossz magyarsággal jelennek meg a levelek, hanem amit gyönyörűen testre szabnak, a legékesebb magyarsággal, tévedhetetlen célpontokkal.

Szintén felmerült szakmai körökben, hogy e-mail adatbázisokat viszonylag könnyen megszerezhetnek a csalók, melyekre az újfajta tranzakcióval, fizetési kérelemmel könnyen küldhetnek nagy tömegben rosszindulatú fizetési kérelmeket (pl.: közműszolgáltatói számlának álcázva) a hackerek. A figyelmetlen ügyfelek pedig könnyen lehet, hogy befizetik majd ezeket, és ez esetben bottal üthetik majd a pénzük nyomát.

Kiberbiztonsági összefogás

Míg Magyarországon csupán kettő úgynevezett Computer Emergency Response Team, azaz  CERT működik, addig Csehországban ilyenből ötven van, Amerikában százas nagyságrendben találni, Németországban negyvenhét CERT működik. Ezek olyan gazdasági szervezetek, melyeket egy adott szektor, például a bankszektor finanszíroz. Ezért cserébe ágazati szintű monitoringot végeznek, támadás esetén riasztják a bankokat, és a védekezésben hasznos információkat osztanak meg, biztonsági résekre hívják fel a figyelmet, biztonságtudatossági oktatást nyújtanak.

Egy ilyen CERT éves működése 0,5-1 milliárd forint közötti összeg, ha mindegyik pénzintézet befizet a maga súlyához mérten évi 15-50 millió forintot, akkor az a CERT-nek a fenntartását bőségesen fedezné

– emeli ki Zala Mihály.

A kiberbiztonságról illetve az azonnali fizetési rendszerről és az erre épülő új fizetési szolgáltatásokról is szó lesz a Portfolio Financial and Corporate IT konferenciáján, június 4-én az Intercontiental Hotelben. Regisztráció itt!
koronavirus, mikroszkop
15 tőzsdei összeomlást okozott a Bank of America, most megfizeti az árát
kórház
kórház
kórház getty
Friss hírek TÖBB FRISS HÍR
2020. május 19.
Portfolio HR Revolution 2020
2020. május 21.
FM & Office 2020
2020. május 21.
Future City 2020
2020. június 2.
Smart Logistics 2020
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Ügyvédek

A legjobb ügyvédek egy helyen

Infostart.hu

Elemző / Vezető elemző

Elemző / Vezető elemző
Online kurzus
Akár 100 000 Ft-al elkezdhető, hosszú távú megtakarítási módszer.
A tőzsdei könyv
Útmutató, amely piaci pánikok esetén is használható.
gázmaszkos ember bénázik egy moslékos hordóval a menzán