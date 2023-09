Pár hete derült ki, hogy több mint 50 embertől 440 millió forintot loptak el a Magyar Államkincstár ügyfeleit célzó csalók. Nem véletlen, hogy a tudatosabb ügyfelek is kapcsoltak, és megvizsgálják, mindent megtettek-e befektetéseik védelme érdekében. Könnyen lehet tátongó réseket hagyni a rendszeren, ezért mutatjuk, szerintünk melyek azok az óvintézkedések, amelyeket mindenképpen érdemes megetenni.

Banking Technology 2023 A banki kiberbiztonsággal és a csalásokkal is foglalkozunk november 7-ei Banking Technology konferenciánkon. Regisztráció itt!

Megérkeztek a csalók

Az elmúlt időszakban a csalók célba vették az államkincstárnál számlát nyitó ügyfeleket is. Ez egy új keletű jelenség, erre korábban nem volt példa – jelentette ki szeptember elején Bugár Csaba, a Magyar Államkincstár (MÁK) elnöke a KiberPajzs edukációs programmal kapcsolatos sajtótájékoztatón.A szélhámosok nem az államkincstár rendszereit támadják, hanem az ügyfeleket célozzák.

EDDIG TÖBB MINT 50 EMBERT VERTEK ÁT, ÉS 440 MILLIÓ FORINTNYI MEGTAKARÍTÁSHOZ JUTOTTAK HOZZÁ.

A legalacsonyabb kicsalt összeg 1 millió, a legmagasabb 50 millió volt. A telefonos csalások során pénzintézeti munkatársként mutatkoznak be a csalók, és egy hibás tranzakció apropóján csalják ki az ügyféltől az adatokat.

A pszichológiai megtévesztés ellen a tudatosság és az éberség az egyik legjobb eszköz, ám a csalók elleni védekezés másik fontos eszköze, hogy technológiailag ellehetetlenítjük, vagy legalábbis megnehezítjük a dolgukat.

A Mobilkincstár és Webkincstár biztonságosságával, beállításaivak kapcsolatos kérdéseinkkel a MÁK illetékese informálisan a rendszer fejlesztőjéhez, a Dorsumhoz fordított minket, ők viszont visszairányítottak minket a MÁK-hoz, mint az ügyben illetékes szervhez. MÁK-közeli nem hivatalos forrásból úgy tudjuk, már dolgoznak az esetleges biztonsági rések feltárásán, és azon, hogy a jelenlegi lehetőségeken túl még milyen lépésekkel lehetne megerősíteni a rendszerek védelmét.

Mobilkincstár

A Magyar Államkincstár egy mobilappot és egy online platformot is üzemeltet, amelyen keresztül közvetlenül a kincstárnál (egy bank vagy befektetési szolgáltató közbeiktatása nélkül) lehet állampapírt vásárolni, eladni, ügyeket intézni. Az online felület a Webkincstár, a mobilapp a Mobilkincstár.

Ahogy arra még július közepén felhívtuk a figyelmet, hatalmas kockázatot vállal, aki egyetlen azonosító és egy jelszó kombinációjára bízza az állampapír-befektetéseinek kezelését biztosító appot, ám mivel nem kötelező mindenkinek beállítani a biztonságos azonosítást, sokan még mindig így használják az államkincstár mobilappját, a Mobilkincstárt.

A Mobilkincstárral azért is foglalkoztunk júliusban, mert több kollégánkról, olvasónkról derült ki, hogy míg korábban működött náluk a biometrikus azonosítás, ez „valamikor eltűnt”, és csupán a nem túl biztonságos azonosító-jelszó párossal lépnek be a mobilappba.

A biztonságosabb belépés „eltűnésének” körülményeit sajnos nem tudtuk meg, előfordulhat, hogy csak „user erroról” van szó, azaz például mobilváltáskor elmaradt a biometrikus azonosítás beállítása az appban. Annak viszont utána jártunk, ha valakinél nem aktív ez a védelem, hogyan lehet bekapcsolni pillanatok alatt.

A Mobilkincstárba lépve a „Beállítások” menüpont alatt az „Egyéb” fülre kell mennünk, ahol kiválasztható az azonosítás/hitelesítés alatt a biometrikus azonosítás is (esetünkben egy iPhone 12-esről készült a képernyőfotó, amelyen arcfelismerés (Face ID) működik. A kis négyzet kipipálását és a "beállít" mentést követően már a biztonságos belépéssel működik legközelebbi alkalommal a Mobilkincstár.

Webkincstár

A kétfaktoros azonosítás a Webkincstár esetében kötelező elem a bejelentkezéskor, az azonosító és a jelszó mellett a platform vagy sms-ben küld egy kódot, vagy ha van Mobilkincstárunk, és engedélyeztük ezt a funkciót, push-értesítésben is kérhetjük a megerősítő üzenetet. Igaz, ez nem egy biometrikus azonosítás lesz, mint a Mobilkincstári belépésnél (pedig a mobilbankoknál is láthatjuk, hogy technikailag ez is lehetséges lenne) hanem csak egy sima jóváhagyás, ellenben kényelmesebb, mint az sms-kódot bepötyögni. (Alább egy belépéskor küldött push-üzenet, az azonosítót és a nevet természetesen töröltük a képernyőfotóról):

Ami fontosabb, hogy a Webkincstáron belül - ahogyan azt egyébként a legtöbb mobilbankban is megszokhattuk - be lehet állítani, hogy gyakorlatilag minden tranzakciót meg kelljen erősíteni egy második faktoros üzenettel. Ezt pedig a Webkincstár bal oldali menüsorában a beállítások menüpontban az értesítési beállítások almenüben lehet beállítani, ezen belül az egyéb beállítások fülön lehet bekapcsolni. Be kell pipálni a "Megerősítő üzenet tranzakciók végrehajtásához" négyzetét, illetve itt lehet a push-üzenetet is kérni a Mobilkincstárra, és a különböző egyéb értesítéseket is testre szabni.

Forrás: MÁK, Webkincstár demo verzió

Banking Technology 2023 A banki kiberbiztonsággal és a csalásokkal is foglalkozunk november 7-ei Banking Technology konferenciánkon. Regisztráció itt!

Címlapkép forrása: Getty Images