A betörés menete: jól szervezett csalók
Egyik nap édesanyám hívást kapott a nyugdíjmegtakarításait kezelő intézettől: gyanús tranzakcióra lettek figyelmesek, amiről gyorsan kiderült, hogy csalás. Az intézmény azonnal zárolta a számláját. Ekkor ellenőrizte a másik – egy teljesen különálló – banknál vezetett folyószámláit is, és döbbenten látta, hogy napok óta folyamatosan utalnak el pénzt mindkét számláról egy ismeretlen számlára. Az érintett bank azonban semmit sem vett észre az átutalásokról, nem riadóztatott, nem blokkolt.
A bűnözők közben feltörték a Gmail-fiókját is, majd spam-szűrővel automatikusan a kukába irányították minden tőle származó banki vagy pénzügyi értesítést, hogy ő maga se szerezzen tudomást a történtekről vagy az ő nevében kreált kamuszámlákról.
Hosszú órákat töltött ügyfélszolgálatosokkal, akik nem hitték el, hogy idegenek lophattak tőle; inkább családtagokat gyanúsítottak.
A gyenge láncszemek és a kényelem ára
Nem lehet pontosan tudni, hogyan jutottak be a csalók a fiókokba, de tény, hogy édesanyám sok helyen ugyanazt vagy nagyon hasonló jelszót használta. Az is kiderült, hogy legalább egy olyan szolgáltatásnál, ahol regisztrált, évekkel korábban adatszivárgás történt, így a szükséges információk hozzáférhetővé váltak a neten. A csalók ezekkel az adatokkal egyszerűen feltörték a nyugdíjszámlát, a bankszámlákat és a Gmailt is.
Ez mind elkerülhető lett volna, ha mindenütt alapértelmezetten kötelező lett volna a többfaktoros hitelesítés. Hasonlóan a Google és a szóban forgó bank is csak opcionálisan kínálja fel az extra védelmi szintet.
Hasonlóképpen a magyar ügyfelek is gyakran feltételezik, hogy minden bank megköveteli a 2FA-t, pedig sok helyen ez csak egy lehetőség, nincs kikényszerítve. Gregory Shein fintech szakember szerint a pénzügyi szektor azért tart tőle, mert minden extra lépés csökkenti az ügyfélélményt, bonyolítja az ügyfélszolgálatot, elriasztja a technikában kevésbé jártas ügyfeleket.
Több nagybank – például a Bank of America, a Chase vagy a Capital One – csak opcionálisan biztosítja az MFA-t, ahogy a Google is, míg például a PNC már kötelezővé tette.
Végül visszakapott pénz – túl sok akadály után
Több heti huzavona, majd belső vizsgálat után végül visszatérítették az ellopott összeget. Másfelől az USA-ban nincs garancia arra, hogy az ellopott pénz visszakerül a tulajdonoshoz, főleg ha a bank úgy ítéli meg, hogy a tranzakciók valódiaknak tűntek. Ha a bank hajthatatlan, az egyetlen lehetőség ügyvédhez fordulni, és perrel visszaszerezni a pénzt.
Első pillantásra tűnhet úgy, hogy maga az ügyfél is hibázott az ismétlődő jelszavak használatával. Mégis a fő felelősség a bankokat terheli, amelyek egy minimális szintű biztonságot sem követelnek meg az ügyfeleiktől.
A pénzintézetek és nagy techcégek is szándékosan a kényelmet helyezik előtérbe, akkor is, ha ezzel az ügyfelek vagyona forog kockán.
Még mindig túl gyenge a 2FA?
A Microsoft egyik jelentése alapján az MFA használata akár 99,9 százalékkal visszaszorítaná a fiókfeltöréseket. Ugyanakkor szakértők szerint a valóságban számos kerülőút létezik: a legtöbb helyen továbbra is egyszer használatos jelszavakat (OTP-t) küldenek SMS-ben vagy e-mailben, ezt pedig a csalók könnyedén kijátszhatják SIM-cserével vagy e-mail-feltöréssel. A megtévesztő weboldalak, adathalász technikák szintén működnek.
A mai legbiztonságosabb eljárás a passkey: ilyenkor titkosított kulcspár van a felhasználónál és a szolgáltatónál, aminek használatához az eszközön PIN-t, biometrikus azonosítást (arcfelismerés, ujjlenyomat) vagy fizikai kulcsot (YubiKey) kell használni. A passkey-t nem lehet elhalászni vagy feltörni, ezért ellenáll az adathalász próbálkozásoknak.
Elkeserítő azonban, hogy a legtöbb bank ma is az egyszer használatos, SMS-ben vagy e-mailben érkező jelszónál ragad le, sőt, opcióként rendszerint PIN vagy arcfelismerés csak a mobilappban elérhető, a honlapon nem.
A leggyengébb láncszem a banki biztonságban
A bankok sokszor nem értik meg, hogy a biztonsági rendszer csak annyira erős, mint a leggyengébb pontja: hiába van MFA a mobilappban, ha a weboldalon már nincs. Ha opcionális a védelem, a többség nem aktiválja – a támadók pedig ezt az utat választják.
Ha továbbra is a kényelem kerül előtérbe a biztonság helyett, egyre több ügyfél veszti el a megtakarításait, a bankok pedig végül maguknak okoznak kárt a visszatérítésekkel és a pereskedéssel.
Nem várható, hogy rövid időn belül mindenhol kötelező lesz a passkey használata, de minél előbb vezetik be, annál hamarabb lesz mindenkinek alapértelmezetté – ahogy a bankbetét, a PIN vagy a biztosítás is az lett.
Ezt nem lenne szabad tovább halogatni.
