Bevezetésképpen egy nevezetes dátumot, fordulópontot érdemes megemlíteni. A bűnözőknek nagyon is kifizetődő lett a különféle számítógépes kártevőkkel, csalásokkal, átverésekkel foglalkozni, hiszen 2005-ben az USA-ban ebből már több pénzük származott - 105 milliárd dollár - mint a drogkereskedelemből. Vélhetően ez a szaldó azóta is ebben az irányban pozitív.
Ezúttal egy érdekes átverés újabb darabjáról írtak az újságok, ez pedig már sorozatban is nagyjából a "naiv lakásvásárló ügyfél találkozása a dörzsölt bűnözővel" kaptafára illeszkedik, így érdemes erről az esetről, de a tanulságokról is beszélni.
Az első, idén márciusi ilyen jellegű incidensről itt lehetett először olvasni, míg a második júniusiról már sokkal több utánközlő beszámolót láthattunk, de az első megjelenés ezen a helyen volt megtalálható. Egyébként még egy bevezető jóslatról beszéljünk, amit az azonnali átutalás bevezetésekor olvashattunk arról, hogy részben emiatt is, de növekedés várható a csalások területén.
Vegyük akkor szépen sorba a szereplők viselkedését, mit csináltak jól, illetve kevésbé jól, mit kellene tenni az ilyen SIM Swap csalások ellen, és mit lehetne változtatni a jelenlegi gyakorlaton, hogy az ilyen esetek a jövőben elkerülhetőek legyenek. Négy különböző csoport képviselője volt itt jelen: a bűnöző, az áldozat, a bank és a mobilszolgáltató.
Először is mi az a SIM Swap? Ez egy egyre inkább terjedő csalási forma, ahol a célszemélyről begyűjtött, kiszivárgott, ellopott személyes adatok birtokában, pontosan ezekkel visszaélve az ügyfél nevében SIM kártya cserét kezdeményeznek a mobilszolgáltatónál, és onnantól kezdve már ők kapják a banki kétfaktoros jóváhagyó és tájékoztató SMS üzeneteket.
Kezdjük akkor a bűnözőkkel. Sok személyes adatot loptak és lopnak el folyamatosan világszerte, a Have I Been Pwned adatbázisába 2019-ben óránként 19 ezer új lopott account került bele. Mostanra, 2020. júniusára pedig 9.7 milliárd feltört, kiszivárgott jelszó található ebben az adatbázisban. De hogyan lehetne a sok lopott személyes adatközül kiválasztani azokat, akiknek jelenleg is sok pénz lehet a bankszámláján? Hát aki autót vagy lakást akar venni, az már jelent valamit, tehát őket akarják lépre csalni.
Olvashattunk korábban már a Totalcar oldalán is külföldi szálas, előreutalós trükköket, de most lássuk ugyanezt lakásfronton. Ami viszont azonnal feltűnik, hogy mindkét vonalon megegyezik a gyanúsan alacsony, hívogató ár. Régen is voltak ilyesmik, például a pályaudvaron aranygyűrűnek látszó, de valójában rézgyűrűt venni alkalmilag meséje.
Jöjjön akkor a felhasználó. Erről az oldalról már azonnal láthatunk hibákat, mulasztásokat. Mindkét esetben közös például a már említett gyanúsan alacsony ár. Ennek mi is a célja? Hogy hamar és sok áldozat jelentkezzen, és azonnal legyen benne egy a csalásokra nagyon is jellemző sürgetés: aki lemarad, az kimarad. Elég sok csalásról számoltunk már be itt a 10+ év alatt, és az egyik fő tanulság: ami túl szép, hogy igaz legyen, általában nem is igaz. Egyéb intő jelek is voltak: külföldi szál (ilyenkor illik ügyvéddel is egyeztetni), csak OTP-s vevő.
Súlyos mulasztás volt az is, hogy a telefonos hibánál napokig nem foglalkoztak vele. Meg kell tanulni mindenkinek, ha ilyen elnémulós probléma van, akkor annak azonnal utána kell járni. Az e-mailben aztán rákattintottak valamire, amiről nem tudják, mi is volt az - itt biztosan alacsony volt a biztonságtudatosság.
Állítólag az Anydesk távvezérlő-, és távkarbantartó szoftver volt a mellékletben (több hasonló, alapból hasznos segédprogramot ismerünk pl. Teamviewer, VNC), amelyek használatához azonban minden egyes futtatáskor külön jóváhagyás szükséges, egy egyszer használatos user ID-t megadni az adott géphez. Hogy aztán itt volt-e további kattintás, vagy egy preparált verzió lehetett, nem tudjuk. Lehetett még valamilyen sebezhetőséget kihasználó kémprogram is, ami ellen egy naprakész vírusvédelem fel tudott volna lépni.
Annyit azért az általános jótanácsokba bele lehet foglalni, hogy minden a magánfelhasználóknak, mind a cégmérettől független vállalkozásoknak fontos a vírusvédelmi alkalmazás. Különösen ha cégről, kisvállalkozásról van szó, akkor egyszerűen nem tehetjük meg, hogy ne foglalkozzunk a kiberbiztonsággal, ehhez itt egy korábbi rövid útmutatónk.
Térjünk rá a mobilszolgáltatóra. Elvileg SIM cserénél kérhetnék leadásra a régi SIM-et, de a gyakorlatban szinte sosem teszik, pedig ekkor ez is jogosultsági ellenőrzési lehetőség lenne. Szerencsés az lenne, ha csak az intézhetne bármilyen flotta ügyet, aki vezetőként személyi igazolvánnyal és bélyegzővel megjelenik, vagy egy előre meghatározott dedikált meghatalmazotti listán rajta van, nem pedig bármelyik dolgozó személyivel. (Hogy itt ki és milyen személyivel intézkedett, nyilvánosan nem derült ki, lehetett lopott is.) A telefonos supportos ügyintéző válasza - "kőbányán gond van" - is erősen mulasztásszagú, hogy nem nézett utána alaposan az egyedi esetnek, na meg ki tudjon mindent a SIM Swap csalásokról, ha nem ők.
De nagyobb szigor kéne ennél az ügyintézésnél, hogy soha semmilyen esetben ne valósulhasson meg protokoll sértés. Mondunk példát: banknál az állandó lakcím, vagy hogy az SMS szolgáltatás milyen telefonszámra érkezzen, ez egy kritikus adat, amit csak és kizárólag személyesen, fiókban lehet intézni. Bármelyiknél próbálkoznánk, tutira nem járnánk sikerrel. Itt viszont Kevin Mitnicknek sem kell hozzá lenni, ha bármelyik mobilszolgáltatónál ugyanezt kipróbálnánk, 10 telefonból biztosan találnánk 1-2 olyat, aki telefonhívásra is hajlandó lenne készségesen átírni ezt a születési hely, idő, anyja neve bemondása után. Az egyiknél le is teszteltük, és sikerrel.
Végül jöjjön a bank, ahol úgy tűnik, semmilyen hibát nem követtek el. Sőt mind a két esetnél korrektek és jóindulatúak voltak, amiért utólag megtérítették a kárt. Valószínű, hogy a gyanús pénzmozgási tranzakciókat egy darabig még le lehetett követni, de ha például Dél-Afrikában kivették egy Bitcoin automatából, vagy további összevissza offshore számlákra utalták, akkor technikailag egy szint után már nem lehet visszaszerezni, ekkor valószínűleg már csak a bank biztosítása téríthette meg az összeget.
Amit a bankok egyébként tanácsolnak, hogy kérjünk minden pénzmozgásról azonnali értesítést, ez igen hasznos. Amíg él a telefon, rögtön értesülhetünk minden eseményről, arról is, ha ellopták a banki adatainkat, és a bűnözők tesztelik azok helyességét egy kis összegű, fél dolláros átutalással például a Vörös Keresztnek.
Tanulságok azért ezen felül is bőven vannak. Valami olyan eljárás lenne jó, hogy SIM csere esetén 2 másik alternatív csatornán is értesíteni (jóváhagyatni) kellene az ügyfelet, céget, hogy SIM csere volt. Például e-mail, online távirat, cég esetében vezetékes telefon, fax. Már említettük, hogy temérdek személyes adat kering a neten, amiket a bűnözők idővel fel is használnak. Két komoly visszaélés típust is említünk a végén ezekkel kapcsolatban. Az egyik az úgynevezett support csalás, ahol a bűnözők néha arcátlanul akár a Microsoft nevében jelentkeznek, és nemlétező hibákra hivatkozva kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat.
A másik, jobbára céges környezetben előforduló átverés az úgynevezett "főnöki utalás", amelynél a pénzügyes látszólag a főnökétől kap olyan e-mail üzenetet, amelyben azonnali, később jóváhagyandó nagy összegű utalást kér, ám csak később derül ki, hogy csalás az egész. Erre tavaly nyáron hazai példa is volt, amiben egy brit energetikai vállalat 220 ezer eurót utalt át, mert látszólag a főnök hangján kérték ezt telefonon.
onlajnok · http://www.onlajnok.com 2020.06.11. 11:04:50
Sörnyelő 2020.06.11. 12:00:12
Kezdjük ott, hogy ha a szerző egy esetet analizál, akkor ugyan vegye a fáradságot és foglalja is össze, ne csak linkeket tegyen be.
CyberPunK 2020.06.11. 14:11:14
Há' de a sim swap miatt pont szart se kapnánk ilyen esetben...
Btw, a sim swap legjobb védelme az lenne, ha swap előtt dobna susmust eredeti sim-re, hogy akkor te most offolva leszel.
Sluck Ödön 2020.06.11. 15:03:59
onlajnok · http://www.onlajnok.com 2020.06.11. 15:28:06
Sluck Ödön 2020.06.11. 15:37:50
FILTOL · http://hulyekkimeljenek.blog.hu/ 2020.06.11. 18:51:42
oszt jónapot
Pierr Kardán 2020.06.12. 08:32:17
Szóval hiába szigorítanák még jobban a SIM csere adminisztrációját, a beépített ember úgyis ki tudja játszani.
Medgar 2020.06.12. 09:00:40
Sluck Ödön 2020.06.12. 09:39:52
Sluck Ödön 2020.06.12. 09:42:00
Medgar 2020.06.12. 10:00:57
Medgar 2020.06.12. 10:01:54
desw 2020.06.12. 10:43:34
"Az új telefonra regisztrálák át a netbankot, az új simmel. "
Nem kellett átregisztrálni új telefonra. Az új SIM-et betették bármilyen telefonba, és arra jött az SMS kód.
desw 2020.06.12. 11:02:15
A Teamvieweren tudtommal van unattended install és használati mód.
Medgar 2020.06.12. 11:08:00
desw 2020.06.12. 11:19:03
" A telefonos netbankot át kell regisztrálni, de itt is sms-kódot kapsz... "
Tehát a mobilbankot. Igen, azt át kell regisztrálni, de a netbankot nem. Tudták a jeleszót és volt SIM, nem kellett mobilbank, elég volt a netbank.
Medgar 2020.06.12. 11:21:31
desw 2020.06.12. 11:35:15
Ezért nem értem, hogy az OTP miért kártalanította őket.
Medgar 2020.06.12. 11:43:35
Válasszunk · http://valasszunk.blog.hu 2020.08.24. 13:29:42
Hiszen új eszközről, új helyre, a régi eszköz eltűnése után nagyobb összeget átutalni gyanús lehet. És a bankrendszerbe, online bankolásba vetett bizalom alapja az a feltételezés, hogy a bank ismeri a kockázatokat és a hasonló problémák kiküszöbölését segítő policy-t használ. A bank választotta az SMS azonosítást, amikor pontosan tudja a kockázatokat.
És ugye sok esetben a céges telefon mellé sokan nem vesznek saját telefont, így az SMS, mint másodlagos azonosítási mód nem feltétlenül megbízható. És vannak más megoldások is: Pl. tokenek. Akár olyanok is, amiket csak biometrikus azonosítást követően tudunk használni. A bank érdeke az online bankolásba vetett bizalom megtartása.
Ha ugyanis azt hallja sok ügyfél, hogy a hagyományos offline bankolásra jellemző biztonság eléréséhez tanulnia kell, eszközökbe befektetnie kell, sok helyen vannak kockázatok, akkor éppen ez a bizalom veszik el, és van az a kör, aki ebben az esetben visszamenne a bankfiókokba költséget termelni, vagy otthon tartana több pénzt, stb. sok olyan dolog van ami a banknak nem érdeke.
A Sim-swap támadás kapcsán fontos tudni, hogy ez egy hosszabb idő alatt végrehajtott, személyes jelenlétet is igénylő és ezért kockázatos támadási forma. A támadás jelentős része célzott támadás. Szakértelmet igényel. Szakértelmet igénylő, célzott támadási módból többféle lehet. Ha sok ilyenről hallasz, mindig más a felelős, akkor azt a következtetést fogod levonni, hogy az egész online bankolás sok külső tényező miatt nem biztonságos. Ha a bankod neked biztonságossá tudja tenni, mert bizonyos kockázatokat ő vállal a díjakért cserében, akkor maradsz az online bankolásnál te is, és sok más is.
Innen az OTP csak azt méri fel neki mi a jó...
Sluck Ödön 2020.08.24. 14:02:18