Netbankrablók – veszélyben a banki ügyfelek 2005. május 22. (szerző: Fekete Emese)

Számos internetes banki visszaélés történt a közelmúltban a FigyelőNet információi szerint - külföldön és itthon is -, amit a pénzintézetek agyonhallgatnak. A bankok rendszerei sem feltörhetetlenek, de a nagyobb kockázat tagadhatatlanul az ügyfélé!

A FigyelőNet értesülései szerint néhány héttel ezelőtt az egyik hazai bank legpénzesebb magánbanki ügyfelei estek rosszindulatú adathalászok áldozatául. A FigyelőNet úgy tudja, fejenként több tízmillió forinttal lopták meg őket, igaz, csak átmenetileg, mert kárukért állítólag szó nélkül helyt is állt a bank.

Egy másik banknál állítólag szinte a teljes ügyfélkör pinkód-állományát le kellett cserélni, megint máshol egy 10 millió forint összkárú online-betörés volt a szóbeszéd tárgya, amelynek során egy tucatnyi ügyfél fejenként legfeljebb egymillió forinttal rövidült meg, illetve csak rövidült volna, ha az érintett hitelintézet nem téríti meg gyorsan a kárukat.

Az efféle helytállások ugyanis még mindig kisebb anyagi áldozattal járnak, mint a nyilvános beismerés okozta presztízsveszteség. Megkeresésünkre természetesen egyik bank sem erősítette meg értesüléseinket, ám az mindenesetre elgondolkodtató, hogy miért szigorítanak egyre-másra az internetes játékszabályokon a hazai és nemzetközi bankok egyaránt.

Összetett kockázatok: Az internetes banki kockázatok közel 500 ezer embert érintenek, ennyien rendelkeztek ugyanis idén március elején elektronikus banki hozzáféréssel Magyarországon. Ehhez képest a Pénzügyi Szervezetek Állami Felügyeleténél (PSZÁF) internetes banki visszaélésekre utaló ügyfélpanaszok eddig igen kis számban jelentkeztek, és a felügyeletnek arról sincs tudomása, hogy az utóbbi időben sikeres feltörési kísérlet történt volna bármely hazai kereskedelmi bank online rendszerében – hangsúlyozta a FigyelőNet kérdésére Binder István szóvivő.

Ugyanezt erősítette meg a FigyelőNetnek Jakab Péter, a Bankszövetség Bankbiztonsági Munkabizottságának vezetője is. Abszolút biztonságos rendszerek márpedig nincsenek – hangsúlyozza Vinnai Balázs, a banki informatikai rendszerek tervezésében a hazai piacon élenjáró IND ügyvezető igazgatója. Ráadásul az utóbbi 1-2 évben mintha nem a biztonság lenne fókuszban – teszi hozzá a szakember. Ezzel együtt a bankok számítástechnikai rendszere a hivatalos nyilatkozatok alapján biztonságos, ám ez csak látszólag mond ellent lapunk értesüléseinek.

A feltörések ugyanis két oldalon történhetnek: a bankok szerverei mellett az ügyfelek saját gépére, azaz kliens-oldalon is bejuthatnak/bejuthattak rosszindulatú adathalászok, hiszen például úgynevezett trójai alkalmazásokkal elvileg bárkinek az otthoni számítógépéről lelophatják a banki műveletekhez szükséges pinkódokat és egyéb személyes adatokat.

Védekezni kell! A billentyűzetet figyelő programok ellen általában semmi sem véd tökéletesen, de a legjobb megoldásnak az tekinthető, ha a banktól kapott külön biztonsági eszköz adja meg a tranzakciókhoz használatos kódot.

Vinnai Balázs szerint a legmagasabb biztonsági szintet az online-bankoláshoz külön adott chip-kártya jelenti, amelyet például a K&H használ. Nem a legkényelmesebb megoldás (hiszen csak azon a gépen használható, amelyikre a kártyaleolvasót is telepítették), de minden egyes bejelentkezésnél és tranzakciónál igényli az ügyfél privát kulcsát.

A szakember szerint a biztonság szempontjából szintén hasonlóan magas szintű az úgynevezett token (amit például a HVB Bank alkalmaztat az ügyfeleivel). Ez az előbbinél ügyfélbarátabb eszköz szintén minden tranzakciónál új jelszót, kódot generál az ügyfélnek. Hasonló funkciót tölt be az úgynevezett mobil-aláírás is, amikor is egy mobiltelefonos kóddal történik az extra hitelesítés bejelentkezéskor vagy/és tranzakciónként. Ezt több bank is alkalmazza (például az Erste), és április elejétől a legnagyobb ügyfélkörrel bíró OTP is kötelezővé tette a napi 50 ezer forint feletti tranzakciók esetében.

Közös a felelősség.

Tipikus esetek A legjellemzőbb bűncselekmény az „adathalászat" (phishing), amellyel tavaly novemberben az OTP Direkt ügyfeleit is megpróbálták átverni. Visszaélés a hírek szerint nem történt, miután egy-két tájékozottabb ügyfél időben jelzett a banknak, amely azután sms-ben figyelmeztette netbanki ügyfeleit, hogy semmiképpen ne dőljenek be a hamis felszólításoknak és ne adják meg adataikat.

A phishingnél ugyanis a csalók e-mailen vagy telefonon ráveszik a számlatulajdonost, hogy árulja el jelszavát, adjon meg bizalmas adatokat, illetve indítson el bankinak látszó alkalmazást a kapott linkről. A billentyűzetet figyelő programok láthatatlanul regisztrálják, hogyan használjuk a klaviatúrát, milyen banki jelszavakat, kódokat ütünk be. Jelszavak ide, kódok oda, a visszaéléseket nem lehet teljes mértékben kiküszöbölni.

Nagy kérdés viszont, hogy kit terhel a felelősség baj esetén. Alaphelyzetben a visszaélés bejelentéséig és legfeljebb 45 ezer forintig az ügyfél viseli a kárt, ezt követően és efölött már a bank térít mindent (ezt a banki alapszolgáltatásokról szóló kormányrendelet határozza meg, minden bankra egységes módon). Ez alól a bank akkor mentesül, ha a kár bizonyíthatóan az ügyfél gondatlansága folytán következett be (ekkor a bejelentést megelőzően felmerülő károkat 45 ezer forint felett is az ügyfél állja).

Hogy mi minősül gondatlanságnak, az viszont már nehezebb kérdés, lévén, hogy ezt nem definiálja semmilyen jogszabály. Jakab Péter szerint erre igazából csak az első per fog majd választ adni, de annyi valószínűleg az elvárható gondosság kategóriájába mindenképpen beletartozik, hogy az otthoni PC-k jogtiszta szoftverekkel és jól beállított tűzfallal működjenek, valamint legalább naponta frissített vírus- és kémirtó programok fussanak rajta.

A monitorra post-it-ezett jelszavak, a születési dátumra hajazó pinkódok, a vírusirtó és egyéb biztonsági alkalmazások hanyagolása vagy a spamekben érkező ál-felszólítások teljesítése gyakran előforduló hiba – meséli tapasztalatait Forrai Péter, az OTP elektronikus banki szolgáltatások igazgatóságának ügyvezető igazgatója -, ez például aligha tekinthető kellő védekezésnek. A nyilvánosság (k)ára Ezenkívül az is kérdés, hogy lehet-e, kell-e, érdemes-e feljelentést tennie bárkinek, amennyiben visszaélés történik. Az ügyfeleknek mindenképpen érdemes (még ha ezzel az adott káreseten már vajmi keveset tudnak enyhíteni), a bankoknak viszont annál kevésbé.

Nekik egyébként nincs is ilyen kötelezettségük, de jelezhetik a rendőrség felé, ha saját rendszerük vagy ügyfeleik számlája internetes csalók áldozatául esett. Ez esetben viszont azt kockáztatják, hogy az információ a széles publikum elé kerül, és esetleg még többet buknak az ügyön a hírnevük csorbulása révén. Talán ezért is van az, hogy az utóbbi években alig hallani olyan esetekről, amikor banki rendszereket törtek fel – ennek oka nem a hatalmas biztonság, inkább az ügy „meg nem történtté" hallgatása.

Azt gondoljuk, talán mindenkinek „joga" és érdeke lenne értesülni ezekről az esetekről, hiszen az igazi, olykor életbevágó kockázat itt éppen az ügyfelek, a netbanki alkalmazásokat használók oldalán van. Ha valami, hát éppen a megtörtént esetek nyilvános feltárása hívhatná fel a figyelmet arra, mekkora rizikót is rejt, ha valaki a hackerek ellen nem kellően felkészített, otthoni géppel bankol a világhálón…

Forrás: http://www.fn.hu