Lakásvásárlás, de csak ha OTP-s vagy

2020. június 10. 13:22 - Csizmazia Darab István [Rambo]

Bevezetésképpen egy nevezetes dátumot, fordulópontot érdemes megemlíteni. A bűnözőknek nagyon is kifizetődő lett a különféle számítógépes kártevőkkel, csalásokkal, átverésekkel foglalkozni, hiszen 2005-ben az USA-ban ebből már több pénzük származott - 105 milliárd dollár - mint a drogkereskedelemből. Vélhetően ez a szaldó azóta is ebben az irányban pozitív.

Ezúttal egy érdekes átverés újabb darabjáról írtak az újságok, ez pedig már sorozatban is nagyjából a "naiv lakásvásárló ügyfél találkozása a dörzsölt bűnözővel" kaptafára illeszkedik, így érdemes erről az esetről, de a tanulságokról is beszélni.

Az első, idén márciusi ilyen jellegű incidensről itt lehetett először olvasni, míg a második júniusiról már sokkal több utánközlő beszámolót láthattunk, de az első megjelenés ezen a helyen volt megtalálható. Egyébként még egy bevezető jóslatról beszéljünk, amit az azonnali átutalás bevezetésekor olvashattunk arról, hogy részben emiatt is, de növekedés várható a csalások területén.

Vegyük akkor szépen sorba a szereplők viselkedését, mit csináltak jól, illetve kevésbé jól, mit kellene tenni az ilyen SIM Swap csalások ellen, és mit lehetne változtatni a jelenlegi gyakorlaton, hogy az ilyen esetek a jövőben elkerülhetőek legyenek. Négy különböző csoport képviselője volt itt jelen: a bűnöző, az áldozat, a bank és a mobilszolgáltató.

Először is mi az a SIM Swap? Ez egy egyre inkább terjedő csalási forma, ahol a célszemélyről begyűjtött, kiszivárgott, ellopott személyes adatok birtokában, pontosan ezekkel visszaélve az ügyfél nevében SIM kártya cserét kezdeményeznek a mobilszolgáltatónál, és onnantól kezdve már ők kapják a banki kétfaktoros jóváhagyó és tájékoztató SMS üzeneteket.

Kezdjük akkor a bűnözőkkel. Sok személyes adatot loptak és lopnak el folyamatosan világszerte, a Have I Been Pwned adatbázisába 2019-ben óránként 19 ezer új lopott account került bele. Mostanra, 2020. júniusára pedig 9.7 milliárd feltört, kiszivárgott jelszó található ebben az adatbázisban. De hogyan lehetne a sok lopott személyes adatközül kiválasztani azokat, akiknek jelenleg is sok pénz lehet a bankszámláján? Hát aki autót vagy lakást akar venni, az már jelent valamit, tehát őket akarják lépre csalni.

Olvashattunk korábban már a Totalcar oldalán is külföldi szálas, előreutalós trükköket, de most lássuk ugyanezt lakásfronton. Ami viszont azonnal feltűnik, hogy mindkét vonalon megegyezik a gyanúsan alacsony, hívogató ár. Régen is voltak ilyesmik, például a pályaudvaron aranygyűrűnek látszó, de valójában rézgyűrűt venni alkalmilag meséje.

Jöjjön akkor a felhasználó. Erről az oldalról már azonnal láthatunk hibákat, mulasztásokat. Mindkét esetben közös például a már említett gyanúsan alacsony ár. Ennek mi is a célja? Hogy hamar és sok áldozat jelentkezzen, és azonnal legyen benne egy a csalásokra nagyon is jellemző sürgetés: aki lemarad, az kimarad. Elég sok csalásról számoltunk már be itt a 10+ év alatt, és az egyik fő tanulság: ami túl szép, hogy igaz legyen, általában nem is igaz. Egyéb intő jelek is voltak: külföldi szál (ilyenkor illik ügyvéddel is egyeztetni), csak OTP-s vevő.

Súlyos mulasztás volt az is, hogy a telefonos hibánál napokig nem foglalkoztak vele. Meg kell tanulni mindenkinek, ha ilyen elnémulós probléma van, akkor annak azonnal utána kell járni. Az e-mailben aztán rákattintottak valamire, amiről nem tudják, mi is volt az - itt biztosan alacsony volt a biztonságtudatosság.

Állítólag az Anydesk távvezérlő-, és távkarbantartó szoftver volt a mellékletben (több hasonló, alapból hasznos segédprogramot ismerünk pl. Teamviewer, VNC), amelyek használatához azonban minden egyes futtatáskor külön jóváhagyás szükséges, egy egyszer használatos user ID-t megadni az adott géphez. Hogy aztán itt volt-e további kattintás, vagy egy preparált verzió lehetett, nem tudjuk. Lehetett még valamilyen sebezhetőséget kihasználó kémprogram is, ami ellen egy naprakész vírusvédelem fel tudott volna lépni.

Annyit azért az általános jótanácsokba bele lehet foglalni, hogy minden a magánfelhasználóknak, mind a cégmérettől független vállalkozásoknak fontos a vírusvédelmi alkalmazás. Különösen ha cégről, kisvállalkozásról van szó, akkor egyszerűen nem tehetjük meg, hogy ne foglalkozzunk a kiberbiztonsággal, ehhez itt egy korábbi rövid útmutatónk.

Térjünk rá a mobilszolgáltatóra. Elvileg SIM cserénél kérhetnék leadásra a régi SIM-et, de a gyakorlatban szinte sosem teszik, pedig ekkor ez is jogosultsági ellenőrzési lehetőség lenne. Szerencsés az lenne, ha csak az intézhetne bármilyen flotta ügyet, aki vezetőként személyi igazolvánnyal és bélyegzővel megjelenik, vagy egy előre meghatározott dedikált meghatalmazotti listán rajta van, nem pedig bármelyik dolgozó személyivel. (Hogy itt ki és milyen személyivel intézkedett, nyilvánosan nem derült ki, lehetett lopott is.) A telefonos supportos ügyintéző válasza - "kőbányán gond van" - is erősen mulasztásszagú, hogy nem nézett utána alaposan az egyedi esetnek, na meg ki tudjon mindent a SIM Swap csalásokról, ha nem ők.

De nagyobb szigor kéne ennél az ügyintézésnél, hogy soha semmilyen esetben ne valósulhasson meg protokoll sértés. Mondunk példát: banknál az állandó lakcím, vagy hogy az SMS szolgáltatás milyen telefonszámra érkezzen, ez egy kritikus adat, amit csak és kizárólag személyesen, fiókban lehet intézni. Bármelyiknél próbálkoznánk, tutira nem járnánk sikerrel. Itt viszont Kevin Mitnicknek sem kell hozzá lenni, ha bármelyik mobilszolgáltatónál ugyanezt kipróbálnánk, 10 telefonból biztosan találnánk 1-2 olyat, aki telefonhívásra is hajlandó lenne készségesen átírni ezt a születési hely, idő, anyja neve bemondása után. Az egyiknél le is teszteltük, és sikerrel.

Végül jöjjön a bank, ahol úgy tűnik, semmilyen hibát nem követtek el. Sőt mind a két esetnél korrektek és jóindulatúak voltak, amiért utólag megtérítették a kárt. Valószínű, hogy a gyanús pénzmozgási tranzakciókat egy darabig még le lehetett követni, de ha például Dél-Afrikában kivették egy Bitcoin automatából, vagy további összevissza offshore számlákra utalták, akkor technikailag egy szint után már nem lehet visszaszerezni, ekkor valószínűleg már csak a bank biztosítása téríthette meg az összeget.

Amit a bankok egyébként tanácsolnak, hogy kérjünk minden pénzmozgásról azonnali értesítést, ez igen hasznos. Amíg él a telefon, rögtön értesülhetünk minden eseményről, arról is, ha ellopták a banki adatainkat, és a bűnözők tesztelik azok helyességét egy kis összegű, fél dolláros átutalással például a Vörös Keresztnek.

Tanulságok azért ezen felül is bőven vannak. Valami olyan eljárás lenne jó, hogy SIM csere esetén 2 másik alternatív csatornán is értesíteni (jóváhagyatni) kellene az ügyfelet, céget, hogy SIM csere volt. Például e-mail, online távirat, cég esetében vezetékes telefon, fax. Már említettük, hogy temérdek személyes adat kering a neten, amiket a bűnözők idővel fel is használnak. Két komoly visszaélés típust is említünk a végén ezekkel kapcsolatban. Az egyik az úgynevezett support csalás, ahol a bűnözők néha arcátlanul akár a Microsoft nevében jelentkeznek, és nemlétező hibákra hivatkozva kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat.

A másik, jobbára céges környezetben előforduló átverés az úgynevezett "főnöki utalás", amelynél a pénzügyes látszólag a főnökétől kap olyan e-mail üzenetet, amelyben azonnali, később jóváhagyandó nagy összegű utalást kér, ám csak később derül ki, hogy csalás az egész. Erre tavaly nyáron hazai példa is volt, amiben egy brit energetikai vállalat 220 ezer eurót utalt át, mert látszólag a főnök hangján kérték ezt telefonon.

23 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

onlajnok · http://www.onlajnok.com 2020.06.11. 11:04:50

Tehát akkor itt annak, hogy OTP az érintett bank, az ég világon semmi jelentősége nincs, az áldozat és a mobilszolgáltató hanyagságán múlott a dolog.

Sörnyelő 2020.06.11. 12:00:12

Ilyen zavaros cikkel rég találkoztam.

Kezdjük ott, hogy ha a szerző egy esetet analizál, akkor ugyan vegye a fáradságot és foglalja is össze, ne csak linkeket tegyen be.

CyberPunK 2020.06.11. 14:11:14

"Amit a bankok egyébként tanácsolnak, hogy kérjünk minden pénzmozgásról azonnali értesítést, ez igen hasznos. Amíg él a telefon, rögtön értesülhetünk minden eseményről, arról is, ha ellopták a banki adatainkat, és a bűnözők tesztelik azok helyességét egy kis összegű, fél dolláros átutalással például a Vörös Keresztnek."

Há' de a sim swap miatt pont szart se kapnánk ilyen esetben...

Btw, a sim swap legjobb védelme az lenne, ha swap előtt dobna susmust eredeti sim-re, hogy akkor te most offolva leszel.

Sluck Ödön 2020.06.11. 15:03:59

@onlajnok: Azt hiszem ez egy igen lényeges pont. Ha OTP kell, akkor ott valami bűzlik. (Mondjuk leginkább ők használják az SMS azonosítást?)

onlajnok · http://www.onlajnok.com 2020.06.11. 15:28:06

@Sluck Ödön: jó, hagyjuk már az ilyen hülye előítéleteket. Nyilván, ha valaki ragaszkodik, hogy csak egy adott banktól hajlandó utalást fogadni, az egyből felejtős, nem csak az OTP esetében. Én most a valós zínűsíthető indokra vagyok kíváncsi. Az SMS lehet egy jó tipp, bár ugye ott sem az az egyetlen lehetőség, én sem azt használom. Más bankkal én nem vagyok kapcsolatban, ez ennyire egyedi megoldás lenne?

Pierr Kardán 2020.06.12. 08:32:17

A bűnözőknek van beépített embere a mobilszolgáltatónál, különben nem lehetne a SIM kártya cserét ilyen egyszerűen megcsinálni. Amikor én cseréltem SIM kártyát, akkor minden papírt elkértek, majdhogynem a születési anyakönyvi kivonatot is be kellett mutatni.

Szóval hiába szigorítanák még jobban a SIM csere adminisztrációját, a beépített ember úgyis ki tudja játszani.

Medgar 2020.06.12. 09:00:40

@Sluck Ödön: Az otpnek semmi köze a történethez. A vándor bölcsek megszerezték a céges papírokat jelszavakat, lecserélték a simeket és átregisztrálták a netbankot az új simre...

Sluck Ödön 2020.06.12. 09:39:52

@Medgar: Nem regisztrálták át a netbankot, ott semmi nem változott. Csak ellopták az ügyfél telefonszámait. Ha az otp-nek semmi köze ehhez, akkor miért bukkan fel a kérdések közt, hogy otps-e a kedves 'vevő' ? Félreértés ne essék semmi bajom az otp-vel, csak érdekel, miért e kérdés? Ha ellopkodja a jelszavakat, akkor azt is tudhatja, melyik bankot használja. Ámbár megkönnyíti a dolgot, ha az ügyfél ezt elárulja még a lopás előtt/alatt az igaz. Lehet, hogy csak ennyi, felteszem nem csak az otp használja ezt az sms alapú azonosítást. Ha olyan bankja van, aki nem ezt az SMS azonosítást használja akkor fújhatja (vagy rafináltabb módszer kell). Csak ennyi volna az érdeklődésem mögött.

Sluck Ödön 2020.06.12. 09:42:00

@Medgar: Ja és még egy: A magam részéről a Telekom felelősségét is firtatnám, meglehet náluk is van gond az ügyfelek azonosításával.

Medgar 2020.06.12. 10:00:57

@Sluck Ödön: Az új telefonra regisztrálák át a netbankot, az új simmel.

Medgar 2020.06.12. 10:01:54

@Sluck Ödön: Igen a telekomnál van a probláma, hamis meghatalmazással adták ki az új simeket.

desw 2020.06.12. 10:43:34

@Medgar:

"Az új telefonra regisztrálák át a netbankot, az új simmel. "

Nem kellett átregisztrálni új telefonra. Az új SIM-et betették bármilyen telefonba, és arra jött az SMS kód.

desw 2020.06.12. 11:02:15

Érdekes dolog ez a biztonság kérdése. Két éve alighogy kiértem Vietnámba, ellopták a telefonomat a magyar SIM kártyával együtt. Az OTP-s telebankon keresztül sem tudtam módosíttatni a telefonszámomat. Az ügyintéző azt mondta, hogy fáradjak be a legközelebbi bankfiókba. Mondtam neki, hogy ez tök jó ötlet, tízezer kilométerre van a legközelebbi. Hat hónapig nem tudtam használni a netbankot és a mobilbankot, nem jött SMS a tranzakciókról, stb.

A Teamvieweren tudtommal van unattended install és használati mód.

Medgar 2020.06.12. 11:08:00

A telefonos netbankot át kell regisztrálni, de itt is sms-kódot kapsz...

desw 2020.06.12. 11:19:03

@Medgar:

" A telefonos netbankot át kell regisztrálni, de itt is sms-kódot kapsz... "

Tehát a mobilbankot. Igen, azt át kell regisztrálni, de a netbankot nem. Tudták a jeleszót és volt SIM, nem kellett mobilbank, elég volt a netbank.

Medgar 2020.06.12. 11:21:31

@desw: Igen. De itt akkor nem az OTP hibázott, hanem a telekom.

desw 2020.06.12. 11:35:15

@Medgar:

Ezért nem értem, hogy az OTP miért kártalanította őket.

Medgar 2020.06.12. 11:43:35

@desw: Egy malomban evezünk :)

Válasszunk · http://valasszunk.blog.hu 2020.08.24. 13:29:42

@Sluck Ödön: Azért lehetnek különbségek a bankok között. És nem csak abban, hogy melyik helyen követik megbízhatóan a protokollt, hanem abban is, hogy milyen protokollt követnek. Pl. a szokatlan és gyanús átutalás ellenőrzése esetén milyen eljárásokat követnek. Mikor mit tartanak olcsóbbnak: Az adott esetben ellenőrizni és megállítani sok gyanús tranzakciót, kártalanítani, vagy lenyelni a nyilvános ügyfélvitában azt, hogy más esetben hasonló gyanús tranzakcióra a bank is többféle ellenőrzéssel reagál.

Hiszen új eszközről, új helyre, a régi eszköz eltűnése után nagyobb összeget átutalni gyanús lehet. És a bankrendszerbe, online bankolásba vetett bizalom alapja az a feltételezés, hogy a bank ismeri a kockázatokat és a hasonló problémák kiküszöbölését segítő policy-t használ. A bank választotta az SMS azonosítást, amikor pontosan tudja a kockázatokat.

És ugye sok esetben a céges telefon mellé sokan nem vesznek saját telefont, így az SMS, mint másodlagos azonosítási mód nem feltétlenül megbízható. És vannak más megoldások is: Pl. tokenek. Akár olyanok is, amiket csak biometrikus azonosítást követően tudunk használni. A bank érdeke az online bankolásba vetett bizalom megtartása.

Ha ugyanis azt hallja sok ügyfél, hogy a hagyományos offline bankolásra jellemző biztonság eléréséhez tanulnia kell, eszközökbe befektetnie kell, sok helyen vannak kockázatok, akkor éppen ez a bizalom veszik el, és van az a kör, aki ebben az esetben visszamenne a bankfiókokba költséget termelni, vagy otthon tartana több pénzt, stb. sok olyan dolog van ami a banknak nem érdeke.

A Sim-swap támadás kapcsán fontos tudni, hogy ez egy hosszabb idő alatt végrehajtott, személyes jelenlétet is igénylő és ezért kockázatos támadási forma. A támadás jelentős része célzott támadás. Szakértelmet igényel. Szakértelmet igénylő, célzott támadási módból többféle lehet. Ha sok ilyenről hallasz, mindig más a felelős, akkor azt a következtetést fogod levonni, hogy az egész online bankolás sok külső tényező miatt nem biztonságos. Ha a bankod neked biztonságossá tudja tenni, mert bizonyos kockázatokat ő vállal a díjakért cserében, akkor maradsz az online bankolásnál te is, és sok más is.

Innen az OTP csak azt méri fel neki mi a jó...

Sluck Ödön 2020.08.24. 14:02:18

@Válasszunk: Teljesen egyetérten. Annyi csak, mivel sim-swap támadásra volt már példa nem egyszer (nemcsak itthon, másutt is) nem ártana egy speciális kód vagy valami bevezetése, amit a kedves ügyfél a sim eszközén kell meg adjon. Ekkor a sim-swap támadás nem működik immár. De az is igaz, hogy a kártalanítás olcsóbb (pláne ha nem kell mindig).
süti beállítások módosítása