Nyolc ország legalább húsz szervergépe volt érintett azokban az akciókban, amelyekkel bűnözők magyar internetbanki ügyfelek adatait és számlaösszegeit próbálták megszerezni – állapította meg a kormány informatikai biztonsági incidenskezelő központja, a CERT-Hungary. Tavaly november vége és idén január közepe közt összesen öt támadás érte a Raiffeisen Bank (kétszer), a Szigetvári Takarékszövetkezet, az Erste Bank és a Budapest Bank (BB) ügyfélkörét.
A kár elenyésző volt, de szakértők egybehangzó véleménye szerint a veszély nem múlt el. Magyarország végérvényesen bekerült a kívánatos bűnözői célpontok körébe, hiszen immár sokan használják az elektronikus banki csatornákat, s nagy számlaösszegeket mozgatnak rajtuk.
Bűnelkövető pedig sok van: az internetes csalásokat figyelő egyik nemzetközi szervezet, a FraudWatch International szerint február közepén például párhuzamosan 1759 adathalász-akció zajlott a világban. E hónapban ugyanaznap támadták meg a világ több nagy hitelintézete (például: a HSBC, a Bank of America, a Lloyds TSB Bank és a Wester Union pénzküldő szolgálat) internetes ügyfélkörét. Öröm az ürömben, hogy az angolszász világhoz képest a hazai piac kicsiny, fajlagosan nagyobb egy-egy csalási akció költsége, s ez visszavetheti a támadókedvet.
Hamis honlap
Az „adathalászatnak” (phishing) nevezett módszerrel az elkövetők csellel megszerzik az érintettek online banki PIN kódjait és jelszavait. Ez történhet megtévesztő telefonhívással, sms írásával is, de a hazai hitelintézetek esetében – 2004, az első ilyen itthoni támadás óta – inkább e-mailekkel próbálták hamis, a valódihoz megtévesztően hasonlító banki oldalakra csalni az áldozatokat.
Sokszor arra hivatkoznak, hogy adategyeztetés, karbantartás miatt kell begépelni a bizalmas azonosítókat, s aki ezt nem teszi meg, annak zárolják a számláját. A módszer szerint az elektronikus levélhez mellékelt linkből kell kinyitni a pénzintézeti álweblapot. Ez a kódok megadása után továbbvezet az igazira, így akár valódi bankműveleteket is végezhetünk, anélkül, hogy észrevennénk a csalást (a magyar eseteknél sikertelen belépés lett a befejezés, így nem lehetett tranzakciókat végezni).
A magyar bankok elleni téli támadásban a bűnözők különféle adatbázisokból illegálisan megszerzett e-mail címekre küldték leveleiket, de az is megesik, hogy a levélcímeket véletlenszerűen generálják. Ehhez a nemzetközi internetes alvilágban bérelhetnek szervereket, esetleg mit sem sejtő cégek, magánszemélyek komputereit használják „zombi gépként” az adattovábbításra.
Mivel a hatósági felderítés is egyre gyorsabb, a bűnözőknek sietniük kell, még akkor is, ha az e-maileket küldő szervereket folyamatosan váltogatják. Az adathalászat ellen harcoló egyik nemzetközi szervezet, az Anti-Phising Working Group (APWG) 2006. végi jelentése szerint egy online támadás átlagos időtartalma csak 4 nap. Ha valamilyen bankszámláról ennek során sikerül pénzt leemelni, azt internetes csevegőszobákban toborzott, jutalékkal megfizetett (s a bűncselekményről nem tudó) strómanok segítségével, több lépcsőben utalják külföldre.
Trójai falovak
Két éve a bűnözői csoportok a világban (és meg nem erősített hírek szerint itthon is) végrehajtanak úgynevezett pharming támadásokat. Ilyenkor a bankok valódi internetes megjelenését irányítják át a csalók. Ennek során feltörik a honlap címsorba beírt nevét, illetve az azt azonosító IP-címet (a weblapok azonosítására szolgáló, számokból álló kódsort) összekapcsoló közvetítő számítógépet, s a böngészőbe beírt címhez egy másik IP-címet rendelnek. Így tehát a valódi banki webcímet begépelve is áloldalra jutunk.
Mivel a hazai hitelintézetek ügyelnek szervereikre, az ilyen akciók nálunk aligha vezethetnek sikerre. Nem véletlen, hogy a csalók elsősorban nem a megfelelő védelemmel ellátott banki rendszereket, hanem a „leggyengébb láncszemnek” tartott ügyfeleket próbálják behálózni. Az előbbiekhez képest egyszerűbben kivitelezhető módszer, ha a telefonbanki, egyéb mobil kommunikációt lehallgatják.
Az is megeshet, hogy az ügyfél bizonytalan forrású szoftvert tölt le magának, amelynek „potyautasaként” kémprogramok is befészkelik magukat gépébe. E „trójai falónak” nevezett alkalmazások megjegyzik és továbbítják a felhasználó által leütött billentyűk sorrendjét, így külső felhasználó is hozzáférhet a jelszavakhoz. Elképzelhető, hogy olyan vírusok is érkeznek, amelyek feladata a komputer védelmi rendszereinek megbénítása.
Gépelje csak be!
Noha a bűnözők ötletesek, néhány biztonsági intézkedéssel, illetve a megfelelő bank kiválasztásával kockázat nélkül intézhetők a pénzügyek az interneten. A pénzügyi felügyelet (PSZÁF) tanácsa szerint nem szabad bankinak látszó e-mailekre válaszolni, hiszen a hitelintézetek ezen az úton sohasem kérnek bizalmas adatokat. A levél mellékletét sem célszerű megnyitni, legföljebb akkor, ha előtte vírus- és kémirtó programmal megvizsgálták. Ha pedig egy pénzintézeti „ügyintéző” váratlanul telefonon jelentkezve érdeklődne az internetes azonosítónk iránt, a legjobb megoldás, ha inkább magunk hívjuk vissza a bankot, az általunk ismert valamelyik telefonszámon.
Noha fáradságos, a legbiztonságosabb megoldás, ha mindig úgy lépünk be az internetbanki oldalra, hogy előtte a címsorba begépeljük annak nevét. Veszélyes lehet, ha máshonnan, például egy keresőprogramból tesszük ugyanezt. Hasznos, ha nehezen kitalálható, kis- és nagybetűkből, illetve számokból álló kombinációt választunk azonosítónknak.
Védett gépek
A CERT-Hungary azt is javasolja, hogy az online bankügyleteket mindig a saját irodai, otthoni számítógépről intézzük, ne nyilvános helyről, például internetkávézóból. A hamis internetcímek néhány jelből felismerhetők: általában gyanúsak azok, amelyekben számok szerepelnek, illetve amelyekben a megszokott banknevet „beágyazzák” egy hosszabb főnévbe. Az internetes kapcsolat akkor biztonságos, ha a banki címsor „https”-sel kezdődik, amit a böngészőben megjelenő kis lakat formájú ikon is jelez. A tranzakciók végeztével soha ne felejtsünk el kilépni a rendszerből!
A bankműveletek biztonságossága mellett azért magukat a számítógépeket is védeni kell. A hazai cégek 90 százaléka alkalmaz valamilyen IT-biztonsági rendszert, például tűzfalat, vírusirtót, de 16 ezer, számítógépet használó kis- és középvállalatnál (kkv) ez még teljességgel hiányzik – derül ki a Bell Research tavaly júliusi tanulmányából. Hátrányban vannak az illegális szoftvert használó vállalatok is, mert nem juthatnak hozzá az operációs rendszerek biztonsági frissítéseihez. A lakosság mellett e kkv-kör a legvédtelenebb az internetbanki támadások ellen.
Több lépcsőben
Szerencsére a legtöbb hazai bank ma már olyan kétszintű azonosítási rendszert alkalmaz, amivel az internetes csalások döntő része kiszűrhető. A módszer lényege, hogy a megszokott állandó azonosító kódon túl az ügyfél egyszer felhasználható külön jelszót, PIN-kódot is kap hitelintézetétől. Utóbbit minden alkalommal sms-ben juttatja el ügyfeleinek például a BB, az Erste Bank és az OTP Bank (utóbbi csak az aktív bankműveleteknél, például az utalásoknál). A jelszó általában maximum egy-két percig „él”, ezt követően nem lehet vele sikeresen belépni. „A BB kifejezetten az elmúlt hónapok támadásaira reagálva tette mindenki számára kötelezővé az sms-ben vagy e-mailben érkező egyszeri jelszó használatát” – mondta el az Üzlet & Sikernek Keller András termékmenedzser.
Néhány hitelintézet más utat választott. A K&H Banknál az ügyfelek egyszeri sms-kódot is igényelhetnek, de lehetőség van csipkártyás azonosításra is. Ez a létező legbiztonságosabb kommunikációs megoldás, hátránya viszont, hogy helyhez kötött: külön kártyaleolvasó készüléket kell a számítógéphez kapcsolni. Ráadásul a kártya el is veszhet.
Az UniCredit Bank kézbe fogható, mobil véletlenjelszó-generáló eszközt, tokent alkalmaz. Még ezt is külön PIN kóddal kell aktivizálni, az általa felkínált jelszó pedig 30 másodpercig gépelhető be a komputerbe.
A kétszintű azonosítást még nem alkalmazó pénzintézetek közül a CIB Bank és a Raiffeisen Bank az ügyfél igénye esetén minden internetbanki műveletről utólagos sms-értesítőt küld, utóbbinál napi átutalási limit is beállítható – hasonlóan az UniCredit Bankhoz vagy az OTP Bankhoz. A bankok többsége három sikertelen belépési kísérlet után nem engedi be az ügyfelet a rendszerébe, egyeseknél pedig automatikusan kiléptetik azokat, akik néhány percen át nem végeznek semmilyen műveletet.
Kevés menekültet érinthet a britek méregdrága Ruanda-terve, mégis nemzetközi precedens lehet belőle
Elfogadta a brit parlament felsőháza azt a törvényt, amely biztonságos országnak nyilvánította Ruandát. Így megvalósulhat Rishi Sunak egyik fő ígérete: a tengeren érkező menekültek Ruandába szállítása. Bár a kormányfő hatalmas sikerről beszél, rengeteg gond van a tervvel.
