Több mint 16 ezer mobilt megkerülve raboltak le bankszámlákat

A bűnözők 16 ezer felhasználó telefonját emulálták, melyekkel képesek voltak a kétlépcsős azonosítást is megkerülni. Az áldozatok sokszor csak jóval később vették észre a veszteséget - írja a Computerworld a legújabb mobilos csalásról.
Szabó Dániel, 2021. január 2. szombat, 14:03
Fotó: Getty Images

Az IT-biztonsági szakemberek visszatérő mantrája, hogy a felhasználók a saját biztonságuk érdekében állítsanak be kétlépcsős azonosítást a webes szolgáltatásokhoz: a jelszó mellé például ujjlenyomatolvasást is kérjenek, vagy SMS-ben küldött belépési kódot válasszanak. Utóbbiról viszont kiderült, hogy ezt is könnyen ki tudják játszani a csalók: a Microsoft figyelmeztetett most arra, hogy az SMS-t használó kétfaktoros azonosítás nem a legbiztonságosabb, és az IBM Trusteer kutatói fel is fedeztek egy új lopási módszert.

Csalóknak több millió dollárt sikerül online bankfiókokról ellopnia úgy, hogy telefonos emulátorokat használtak. Ezek segítségével sikerül megtéveszteniük a bankok beléptető rendszerét, és 16 ezernyi felhasználói mobilt "utánoztak", ami azt jelenti, hogy sikerült az SMS-ben kapott azonosítóval belépniük olyan fiókokba, melyek adatait korábban valamilyen módon megszerezték - írja a Computerworld a módszerről. Ennek lényege az, hogy úgy tettek, mintha a felhasználók próbálnának hozzáférni számlájukhoz, viszont a visszaigazoló kód nem az eredeti tulajdonos mobiljára érkezett, hanem a csalók által futtatott virtuális telefonokra.

"Az adatforrások, szkriptek és egyedi alkalmazások, amelyeket a támadók készítettek, egy átfogó, automatizált folyamat részei voltak, amelyek olyan sebességet biztosítottak számukra, amelynek köszönhetően több millió dollárt tudtak kicsalni az áldozatul esett bankoktól" - olvasható az IBM Trusteer közleményében.

A PSD2 szabályozás 2021-ben lépett életbe, ami újabb biztonsági elemeket követel a banki hozzáféréseknél, amelyekről itt olvashat.

HOZZÁSZÓLÁSOK
 

gondolkoggyunk, 2021.01.03 13:56

@tepsi: Ha ott fut a mobilodban a hacker "mindent látó és mindenhez hozzáférő" szoftvere, akkor a gépben lévő tokent is ugyanúgy tudja használni, ahogy te. A token csak akkor jelent valódi plusz biztonságot, ha kizárólag a tranzakció pillanatában van kapcsolatban a számítógéppel/mobiltelefonal, a következő pillanatban FIZIKAILAG (tehát nem szoftveresen) megszakad a kapcsolat a token és a gép között. És itt a pillanatot tessék szó szerint érteni: egy milliomod másodperc. És még ez a mósdszer sem 100 százalékos, mert a hacker előre felkészülhet ara a pillanatra, amikor legközelebb bedugod a gépbe a tokent és mire te elkezded a tranzakciót, addigra ő már be is fejezte a sajátját :)
A valóban biztonságos megoldást lentebb leírtam: ne fusson a gépben olyan alkalmazás, ami hozzáfér mindenhez és olyan sem, amit nem tesztelt előtted már több millió felhasználó.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

tepsi, 2021.01.02 21:47

@gondolkoggyunk: Ezért kell tokent használni. :)
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

gondolkoggyunk, 2021.01.02 18:22

Az effajta lopások sorerzatosan fognak előfordulni, egyre gyakrabban. A dolog megszűnéséhez olyan dolgoknak kellene megtörténnie, amelyek soha nem fognak megtörténni:
- a bankoknak nem lenne szabad faját mobilalkalmazást használniuk, mert azok megbízhatósága erősen kétséges,
- az operációs rendszereknek (pl: Andriid) nem lenne szabad lehetővé tenniük, hogy az egyik alkalmazás hozzáférhessen a másik alkalmazás adataihoz,
- a felhasználókat meg kellene tanítani arra, hogy ne talepítsenek fel a telefonjukra olyyan alkalmazást, amely a telefon olyan részeihez is hozzáférést követel magának, amihez a valójában nincs szükség az alkalmazás működéshez
Na ezek a dolgok nem fognak soha megvalósulni. Mert a bank is és az operációs rendszer is ragaszkodik a felhasználó utáni kémkedés lehetőségéhez, a felhasználók pedig leszarják a biztonságot, ha az a kényelmük rovására megy.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html