Üzleti tippek

Védelem internetes csalók ellen

Újabb „adathalász” támadások is várhatók. Néhány óvintézkedéssel megelőzhető, hogy bűnözők pénzt emeljenek le az internetbanki cégszámláról.

Nyolc ország legalább húsz szervergépe volt érintett azokban az akciókban, amelyekkel bűnözők magyar internetbanki ügyfelek adatait és számlaösszegeit próbálták megszerezni – állapította meg a kormány informatikai biztonsági incidenskezelő központja, a CERT-Hungary. Tavaly november vége és idén január közepe közt összesen öt támadás érte a Raiffeisen Bank (kétszer), a Szigetvári Takarékszövetkezet, az Erste Bank és a Budapest Bank (BB) ügyfélkörét.

A kár elenyésző volt, de szakértők egybehangzó véleménye szerint a veszély nem múlt el. Magyarország végérvényesen bekerült a kívánatos bűnözői célpontok körébe, hiszen immár sokan használják az elektronikus banki csatornákat, s nagy számlaösszegeket mozgatnak rajtuk.

Bűnelkövető pedig sok van: az internetes csalásokat figyelő egyik nemzetközi szervezet, a FraudWatch International szerint február közepén például párhuzamosan 1759 adathalász-akció zajlott a világban. E hónapban ugyanaznap támadták meg a világ több nagy hitelintézete (például: a HSBC, a Bank of America, a Lloyds TSB Bank és a Wester Union pénzküldő szolgálat) internetes ügyfélkörét. Öröm az ürömben, hogy az angolszász világhoz képest a hazai piac kicsiny, fajlagosan nagyobb egy-egy csalási akció költsége, s ez visszavetheti a támadókedvet.

Hamis honlap

Az „adathalászatnak” (phishing) nevezett módszerrel az elkövetők csellel megszerzik az érintettek online banki PIN kódjait és jelszavait. Ez történhet megtévesztő telefonhívással, sms írásával is, de a hazai hitelintézetek esetében – 2004, az első ilyen itthoni támadás óta – inkább e-mailekkel próbálták hamis, a valódihoz megtévesztően hasonlító banki oldalakra csalni az áldozatokat.
Sokszor arra hivatkoznak, hogy adategyeztetés, karbantartás miatt kell begépelni a bizalmas azonosítókat, s aki ezt nem teszi meg, annak zárolják a számláját. A módszer szerint az elektronikus levélhez mellékelt linkből kell kinyitni a pénzintézeti álweblapot. Ez a kódok megadása után továbbvezet az igazira, így akár valódi bankműveleteket is végezhetünk, anélkül, hogy észrevennénk a csalást (a magyar eseteknél sikertelen belépés lett a befejezés, így nem lehetett tranzakciókat végezni).

A magyar bankok elleni téli támadásban a bűnözők különféle adatbázisokból illegálisan megszerzett e-mail címekre küldték leveleiket, de az is megesik, hogy a levélcímeket véletlenszerűen generálják. Ehhez a nemzetközi internetes alvilágban bérelhetnek szervereket, esetleg mit sem sejtő cégek, magánszemélyek komputereit használják „zombi gépként” az adattovábbításra.

Mivel a hatósági felderítés is egyre gyorsabb, a bűnözőknek sietniük kell, még akkor is, ha az e-maileket küldő szervereket folyamatosan váltogatják. Az adathalászat ellen harcoló egyik nemzetközi szervezet, az Anti-Phising Working Group (APWG) 2006. végi jelentése szerint egy online támadás átlagos időtartalma csak 4 nap. Ha valamilyen bankszámláról ennek során sikerül pénzt leemelni, azt internetes csevegőszobákban toborzott, jutalékkal megfizetett (s a bűncselekményről nem tudó) strómanok segítségével, több lépcsőben utalják külföldre.

Trójai falovak

Két éve a bűnözői csoportok a világban (és meg nem erősített hírek szerint itthon is) végrehajtanak úgynevezett pharming támadásokat. Ilyenkor a bankok valódi internetes megjelenését irányítják át a csalók. Ennek során feltörik a honlap címsorba beírt nevét, illetve az azt azonosító IP-címet (a weblapok azonosítására szolgáló, számokból álló kódsort) összekapcsoló közvetítő számítógépet, s a böngészőbe beírt címhez egy másik IP-címet rendelnek. Így tehát a valódi banki webcímet begépelve is áloldalra jutunk.

Mivel a hazai hitelintézetek ügyelnek szervereikre, az ilyen akciók nálunk aligha vezethetnek sikerre. Nem véletlen, hogy a csalók elsősorban nem a megfelelő védelemmel ellátott banki rendszereket, hanem a „leggyengébb láncszemnek” tartott ügyfeleket próbálják behálózni. Az előbbiekhez képest egyszerűbben kivitelezhető módszer, ha a telefonbanki, egyéb mobil kommunikációt lehallgatják.

Az is megeshet, hogy az ügyfél bizonytalan forrású szoftvert tölt le magának, amelynek „potyautasaként” kémprogramok is befészkelik magukat gépébe. E „trójai falónak” nevezett alkalmazások megjegyzik és továbbítják a felhasználó által leütött billentyűk sorrendjét, így külső felhasználó is hozzáférhet a jelszavakhoz. Elképzelhető, hogy olyan vírusok is érkeznek, amelyek feladata a komputer védelmi rendszereinek megbénítása.

Gépelje csak be!

Noha a bűnözők ötletesek, néhány biztonsági intézkedéssel, illetve a megfelelő bank kiválasztásával kockázat nélkül intézhetők a pénzügyek az interneten. A pénzügyi felügyelet (PSZÁF) tanácsa szerint nem szabad bankinak látszó e-mailekre válaszolni, hiszen a hitelintézetek ezen az úton sohasem kérnek bizalmas adatokat. A levél mellékletét sem célszerű megnyitni, legföljebb akkor, ha előtte vírus- és kémirtó programmal megvizsgálták. Ha pedig egy pénzintézeti „ügyintéző” váratlanul telefonon jelentkezve érdeklődne az internetes azonosítónk iránt, a legjobb megoldás, ha inkább magunk hívjuk vissza a bankot, az általunk ismert valamelyik telefonszámon.

Noha fáradságos, a legbiztonságosabb megoldás, ha mindig úgy lépünk be az internetbanki oldalra, hogy előtte a címsorba begépeljük annak nevét. Veszélyes lehet, ha máshonnan, például egy keresőprogramból tesszük ugyanezt. Hasznos, ha nehezen kitalálható, kis- és nagybetűkből, illetve számokból álló kombinációt választunk azonosítónknak.

Védett gépek

A CERT-Hungary azt is javasolja, hogy az online bankügyleteket mindig a saját irodai, otthoni számítógépről intézzük, ne nyilvános helyről, például internetkávézóból. A hamis internetcímek néhány jelből felismerhetők: általában gyanúsak azok, amelyekben számok szerepelnek, illetve amelyekben a megszokott banknevet „beágyazzák” egy hosszabb főnévbe. Az internetes kapcsolat akkor biztonságos, ha a banki címsor „https”-sel kezdődik, amit a böngészőben megjelenő kis lakat formájú ikon is jelez. A tranzakciók végeztével soha ne felejtsünk el kilépni a rendszerből!
A bankműveletek biztonságossága mellett azért magukat a számítógépeket is védeni kell. A hazai cégek 90 százaléka alkalmaz valamilyen IT-biztonsági rendszert, például tűzfalat, vírusirtót, de 16 ezer, számítógépet használó kis- és középvállalatnál (kkv) ez még teljességgel hiányzik – derül ki a Bell Research tavaly júliusi tanulmányából. Hátrányban vannak az illegális szoftvert használó vállalatok is, mert nem juthatnak hozzá az operációs rendszerek biztonsági frissítéseihez. A lakosság mellett e kkv-kör a legvédtelenebb az internetbanki támadások ellen.

Több lépcsőben

Szerencsére a legtöbb hazai bank ma már olyan kétszintű azonosítási rendszert alkalmaz, amivel az internetes csalások döntő része kiszűrhető. A módszer lényege, hogy a megszokott állandó azonosító kódon túl az ügyfél egyszer felhasználható külön jelszót, PIN-kódot is kap hitelintézetétől. Utóbbit minden alkalommal sms-ben juttatja el ügyfeleinek például a BB, az Erste Bank és az OTP Bank (utóbbi csak az aktív bankműveleteknél, például az utalásoknál). A jelszó általában maximum egy-két percig „él”, ezt követően nem lehet vele sikeresen belépni. „A BB kifejezetten az elmúlt hónapok támadásaira reagálva tette mindenki számára kötelezővé az sms-ben vagy e-mailben érkező egyszeri jelszó használatát” – mondta el az Üzlet & Sikernek Keller András termékmenedzser.

Néhány hitelintézet más utat választott. A K&H Banknál az ügyfelek egyszeri sms-kódot is igényelhetnek, de lehetőség van csipkártyás azonosításra is. Ez a létező legbiztonságosabb kommunikációs megoldás, hátránya viszont, hogy helyhez kötött: külön kártyaleolvasó készüléket kell a számítógéphez kapcsolni. Ráadásul a kártya el is veszhet.

Az UniCredit Bank kézbe fogható, mobil véletlenjelszó-generáló eszközt, tokent alkalmaz. Még ezt is külön PIN kóddal kell aktivizálni, az általa felkínált jelszó pedig 30 másodpercig gépelhető be a komputerbe.

A kétszintű azonosítást még nem alkalmazó pénzintézetek közül a CIB Bank és a Raiffeisen Bank az ügyfél igénye esetén minden internetbanki műveletről utólagos sms-értesítőt küld, utóbbinál napi átutalási limit is beállítható – hasonlóan az UniCredit Bankhoz vagy az OTP Bankhoz. A bankok többsége három sikertelen belépési kísérlet után nem engedi be az ügyfelet a rendszerébe, egyeseknél pedig automatikusan kiléptetik azokat, akik néhány percen át nem végeznek semmilyen műveletet.

Ajánlott videó mutasd mind

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, a 24.hu Facebook-oldalán teheted meg. Ha bővebben olvasnál az okokról, itt találsz válaszokat.

Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.