G DATA. A BIZTONSÁG NÉMETÜL. G DATA AZ INTERNETES BANKOLÁS ÉS VÁSÁRLÁS VESZÉLYEI



Hasonló dokumentumok
A Ket. végrehajtási rendeletei

Fehér Krisztián Bártfai Barnabás. Android kézikönyv avagy okostelefonok kezelése laikusoknak

A Compliance Data Systems Kft ös adatszivárgási felmérésének eredménye

6. MEZŐGAZDASÁGI ÉS ÉLELMISZER-IPARI GÉPÉSZMÉRNÖK FELSŐOKTATÁSI SZAKKÉPZÉS

K&H e-bank. felhasználói kézikönyv. utolsó frissítés dátuma:

Tájékoztató a K&H e-bank biztonságos használatáról

Általános szerződési feltételek

a Magyar Nemzeti Bank 5/2015. (V. 05.) számú ajánlásáról.

Az Olympus többtengelyes technológiája több szinten is új mércét állít fel

Végleges iránymutatások

Szuperszerviz Általános vállalási feltételek

SZOLGÁLTATÓI, KÁRTYAELFOGADÁSI SZERZŐDÉS

Felhasználói leírás v1.0

A hatálybalépés időpontja: FEBRUÁR 1. Hatályos: /97

A Gyorstelepítés rövid leírását lásd a hátsó borítón.

általános szerződési feltételek

Tájékoztató és szabályzat a sütik alkalmazásáról. (Tájékoztató letöltése ITT)

TRIOTEL Távközlési Kft Pápa, Tókert u. 8. Adószám:

A teljesítményértékelés és minősítés a közigazgatási szervek vezetésében

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA

Hatodik lecke A bankok

PRÉMIUM Önkéntes Egészség- és Önsegélyező Pénztár KÁRTYAKEZELÉSI ÉS HASZNÁLATI SZABÁLYZAT. Hatályos: április 1-től

A hatálybalépés időpontja: DECEMBER 1. Hatályos: /138

A Vidanet Kábeltelevíziós Szolgáltató Zrt. egységes Általános Szerződési Feltételei

Az informatika tárgy oktatásának folyamata. Dr. Nyéki Lajos 2015

Kezdeményezı és nyitott üzleti döntéshozók

AZ OKOSTELEFONRA LETÖLTÖTT OTPAY MOBILALKALMAZÁS ÁLTAL NYÚJTOTT SZOLGÁLTATÁS AKTIVÁLÁSA ELŐTT FIGYELMESEN OLVASSA EL AZ ALÁBBIAKAT!

INTERNETES HIRDETMÉNY Portfolio Online Tőzsde, Portfolio Online Tőzsde Pro, Portfolio Online Tőzsde mobil és táblagép applikáció

FELHASZNÁLÓI ÚTMUTATÓ

Partnerség erősítésének lehetőségei az Önkormányzat és a település lakossága között TANULMÁNY

3 Hogyan határozzuk meg az innováció szükségszerűségét egy üzleti probléma esetén

Tisztelt Közép/Nagyvállalati Ügyfelünk!

Az állásfoglalás a következő fontosabb megállapításokat tartalmazza: Az e-kereskedelem nemzetközi, és nem szorítható az EU határai közé.

J/7331 BESZÁMOLÓ A NEMZETI MÉDIA- ÉS HÍRKÖZLÉSI HATÓSÁG ELEKTRONIKUS HÍRKÖZLÉSSEL ÖSSZEFÜGGŐ ÉVI TEVÉKENYSÉGÉRŐL

Médiahasználat a magyar ifjúság körében

A Magyar Telekom Nyrt. helyhez kötött műsorterjesztési szolgáltatásra vonatkozó Általános Szerződési Feltételei (rövid neve: TV ÁSZF)

Általános Szerződési Feltételek VNTV Fesztivál

MOZGÓKÉPKULTÚRA ÉS MÉDIAISMERET 10 OSZTÁLY HELYI TANTERV

Gyarmati Andrea: A tevékenységadminisztráció informatizálásának lehetőségei a gyermekvédelemben

UPC Magyarország Telekommunikációs Korlátolt Felelősségű Társaság

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

Számítógép kártevők. Számítógép vírusok (szűkebb értelemben) Nem rezidens vírusok. Informatika alapjai-13 Számítógép kártevők 1/6

Céginfo.hu Általános Szerződési Feltételek

ELŐTERJESZTÉS a KÉPVISELŐTESTÜLET május 17-i ülésére

Felhasználói Kézikönyv P2P WP2P WiFi alapú Biztonsági kamera

A tűzoltás módjai. A nem tökéletes égéskor keletkező mérgező anyagok

Moodle tanulói kézikönyv

Eötvös Loránd Tudományegyetem Társadalomtudományi Kar Szociológia Doktori Iskola Szociálpolitika program. Tézisfüzet.

A Magyar Telekom Nyrt. egyéni előfizetők részére nyújtott mobil szolgáltatásokra vonatkozó Általános szerződési feltételei

EDUCATIO 1997/1 INNOVÁCIÓ ÉS HÁTRÁNYOS HELYZET

ÁLTALANOS SZERZŐDÉSI FELTÉTELEK

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK ÉS AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK

PENTAFON KFT. ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

feladatok meghatározása során elsősorban az eszközök ismeretére, az eszközökkel megvalósítható lehetőségek feltérképezésére és az alkotó

Nokia 2730 classic - Felhasználói kézikönyv

DEBRECENI EGYETEM ÁLLAM- ÉS JOGTUDOMÁNYI KAR KÖZIGAZGATÁSI JOGI TANSZÉK KÖZIGAZGATÁSI JOG ÁLTALÁNOS RÉSZ II. FÉLÉV 1. ZH SEGÉDANYAG /2013.

Az információs társadalom lehetőségeivel csak azok a személyek tudnak megfelelő módon élni, akik tudatosan alkalmazzák az informatikai eszközöket,

A tudás alapú társadalom iskolája

Összefoglaló az SMS Center által nyújtott szolgáltatásokról

INFORMATIKA HELYI TANTERV

A siker technológiája és a technológia sikere

Számlakészítés a SPRINT programmal

INFORMÁCIÓTECHNOLÓGIA ÉS FOGLALKOZTATÁSI INNOVÁCIÓK MTA VILÁGGAZDASÁGI K UTATÓINTÉZET NKTH MECENATÚRA PÁLYÁZAT SZANYI MIKLÓS

Általános Szerződési Feltételek

Gyarmati Dezső Sport Általános Iskola. Informatika HELYI TANTERV 6-8. ÉVFOLYAM. KÉSZÍTETTE: Oroszné Farkas Judit Dudásné Simon Edit

GroupWise 5.2 használói jegyzet

ÚTMUTATÓ. a tömegtermelés vásárlói igényekhez való igazításához. Legjobb Gyakorlatok. Union Regionale delle Camere di Commercio del Veneto

Általános Szerződési Feltételek

Bakonyvidéke Takarékszövetkezet

Gyakori kérdések és. válaszok. az internetes vásárlás. témaköréből

Általános Szerződési Feltételek kivonata

DUNAÚJVÁROSI FŐISKOLA

Elektronikus ügyfélszolgálat Regisztrált ügyfelek felhasználói kézikönyv

A Pápai Református Teológiai Akadémia minőségbiztosítási rendszere

Adatkezelési Szabályzat

Az informatika tantárgy fejlesztési feladatait a Nemzeti alaptanterv hat részterületen írja elő, melyek szervesen kapcsolódnak egymáshoz.

Irinyi József Általános Iskola 4274 Hosszúpályi Szabadság tér HELYI TANTERV Informatika 4. osztály 2013

1. számú melléklet KÉPZÉSI PROGRAM (2010) Divat- és Stílustervező szakképesítés

Általános szerződési feltételek Üzletszabályzat

művészeti értekeinek megismerése

Internet penetráció és internet használat - NRC letölthető elemzés -

UPC Magyarország Telekommunikációs Korlátolt Felelősségű Társaság. vezetékes műsorterjesztési szolgáltatás nyújtására vonatkozó

ÜGYFÉLSZOLGÁLATI MONITORING VIZSGÁLAT A FŐTÁV ZRT. RÉSZÉRE MÁSODIK FÉLÉV

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK INTERNETSZOLGÁLTATÁSRA. Szolgáltató: Station Net Kereskedelmi És Szolgáltató Kft.

POW5633 HU 1 LEÍRÁS CSOMAGOLÁS TARTALMA JELZÉSEK ÁLTALÁNOS BIZTONSÁGI SZABÁLYOK... 3

Személyautó üzemeltetetési és szerviztanácsadói szolgáltatás ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI

A-PBT-A-34/2013. Ajánlás

Inter.Net Hitelesítés Szolgáltatási Utasítás A NetLock Kft. Szolgáltatási Szabályzatának szolgáltatás specifikus rendelkezései

VI. MELLÉKLETEK. Tartalomjegyzék. PDF created with pdffactory trial version

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA A BIZOTTSÁG KÖZLEMÉNYE A TANÁCSNAK. Jelentés a 139/2004/EK rendelet működéséről {SEC(2009)808}

TARR ÉPÍTŐ, SZOLGÁLTATÓ és KERESKEDELMI KFT.

SAJÓSZENTPÉTERI KÖZPONTI NAPKÖZI

Általános szerződési feltételek bankkártya szolgáltatásokra vonatkozóan

1 / :17

EUMINI_51. GSM kommunikátor. GM360-ra adaptált és módosított. változat dokumentációja. SeaSoft kft

Irányelvek. az E.ON Hungária Társaságcsoport lakossági kintlévőség kezelésére

Nemzeti Közszolgálati Egyetem. Informatikai és kommunikációs hálózat használatának és üzemeltetésének szabályai

A NEMZETI MÉDIA - ÉS HÍRKÖZLÉSI HATÓSÁG MÉDIATANÁCSÁNAK. 79/2011. (I.12.) sz. HATÁROZATA

Átírás:

G DATA. A BIZTONSÁG NÉMETÜL. G DATA AZ INTERNETES BANKOLÁS ÉS VÁSÁRLÁS VESZÉLYEI

A pénzügyi haszonszerzés régóta a magas mérnöki tudással rendelkező kiberbűnözők és az internetes szervezett bűnözés első számú motivációja. Ezért nem meglepő, hogy a banki ügyeiket az interneten keresztül intéző felhasználók folyamatosan növekvő csoportja az első számú célpontja a támadásoknak. Hiszen mi más kecsegtetne nagyobb haszonnal, mint az interneten keresztül mozgó pénzfolyam közvetlen megcsapolása? A BITKOM szakmai szervezet adatai szerint Németországban 7 millióról 37 millióra nőtt az interneten bankolók száma 0 és 04 között. A 4 és 74 év közötti inter - netezők 47 százaléka már online intézi pénzügyeit. Ugyanebben az időszakban Magyarországon is jelentős növekedés volt, és mára az internetezők többsége online intézi pénzügyeit. Az online vásárlásról szóló felmérések pedig rendre azt támasztják alá, hogy egyre többen és többen használják kreditkártyájukat internetes vásárlásra. 1 A károk pedig nagyok. A Német Szövetségi Rendőrség (Bundeskriminalamt BKA) adatai szerint 03-ban 6,4 millió euró közvetlen kárt okozott a banki tranzakciók megcsapolása, ugyanakkor a hatóság a teljes összeget 80 millió euróra becsüli, mivel jellemzően a támadásoknak csak 0 százaléka kerül bejelentésre a rendőrséghez. A bűnözők átlagosan 4 ezer euró kárt okoznak egy felhasználónak. Egy felmérés szerint az internetezők százaléka vált már online csalás áldozatává, 7 százalék pedig azoknak az aránya, akiknek a közvetlen ismerősei vagy családtagjai sérelmére követtek el ilyen cselekményt. Összességében kimondható tehát, hogy relatív könnyű online átverés ál dozatává válni. A támadás módjai ugyanakkor alapvetően megváltoztak az elmúlt évek során. Eredetileg az egyszerű átverés (adat halászat a hiszékenységre épülő becsapással, szakkifejezéssel social engineering) volt az uralkodó módszer. Ebben az esetben jellemzően egy hamis e-mailt küldtek a bank nevében a bűnözők, melyben elkérték a felhasználó belépési azonosítóját, jelszavát és esetleges titkos kódjait (PIN vagy tranzakció-azonosító). Mára azonban a bankok kétlépcsős azonosítási rend - szereket vezettek be (például jelszó és SMS üzenetben érkező tranzakció-azonosító szám), így a támadások módja is komplexebbé vált. Szinte kivétel nélkül rendkívül fejlett kártevőt (banki trójait) alkalmaznak, a kártékony kódot akár évekig fejlesztik. Emellett már nem csak a számítógépeket, hanem a mobiltelefonokat is megtámadják. 2 3

Az Azonosítás módja A bankok ma jellemzően egy internetes banki felületen (webportálon) keresztül szolgálják ki az ügyfeleiket, akik a böngészőjüket használják az ügyintézésre. Az azonosítási folyamat alapja, hogy a weben keresztül végzett banki műveletek kezdeményezéséhez egy felhasználónévre és jelszóra vagy PIN kódra van szükség, majd a műveletek jóváhagyáshoz egy tranzakció-azonosítóra (transaction authentication number, azaz TAN) van szükség. Mivel a tranzakció-azonosító rendkívül fontos szerepet játszik ebben a folyamatban, a bankok mindent meg - tesznek annak érdekében, hogy ezt a kódot a lehető legmegbízhatóbb módon generálják le és juttassák el a felhasználókhoz. Így ma már nem jellemző, hogy a tranzakció-azonosítót e-mailben küldjék ki, a legáltalánosabb mód az SMS-TAN alkalmazása. Általános, hogy a TAN manipulációjának megakadályozása érdekében a bankok már csak az adott tranzakcióhoz érvényes, az összeghez és a felhasználó számlaszámához is kötött azonosítót küldjenek a felhasználó mobilszámára. Ez rendkívül megnehezíti, hogy az azonosítót harmadik fél kikövetkeztesse. Mindazonáltal fennáll a veszélye annak, hogy az SMS üzenetet a mobiltelefonra telepített kémprogram elfogja és a bűnözők telefonszámára továbbítsa. A FOTÓ-TAN esetében a banki művelet elvégzése után a számítógép képernyőjén egy színes kép jelenik meg, melyet a mobiltelefonnal kell lefotózni. A képet ezután a mobiltelefonra telepített banki alkalmazás konvertálja tranzakció-azonosítóvá. Opcionálisan egy olvasó is értelmezni tudja a grafikát. Ez növeli a biztonságot, mivel a mobiltelefonnal ellentétben az ilyen célhardvert nehezebb manipulálni. A PUSH-TAN módszer esetében a tranzakció adatait internet kapcsolaton keresztül a mobiltelefonra telepített banki alkalmazásba küldik, ahol ellenőrzésre kerülnek, majd az alkalmazás TAN azonosítót generál az adatokból. Mind a FOTÓ-TAN, mind a PUSH-TAN módszer segítségével megakadályozható, hogy a TAN azonosítókat tartalmazó SMS üzeneteket egy kémprogram elfogja a telefonon. Ezzel együtt a telefonra telepített banki alkalmazás szintén támadható és adott esetben feltörhető. A CHIP-TAN (E-TAN vagy a SMART-TAN) alkalmazása tovább növeli a tranzakciók biztonságát. A CHIP-TAN módszer egy elektronikus eszközt használ az érvényes tranzakcióazonosítók generálásához. A SMART-TAN esetében egy ügyfélkártya tartozik a számlához, melyet be kell helyezni a TAN generátorba, amely gombnyomásra érvényes azonosítót generál. Az egyik probléma ezekben az esetekben, hogy az eszköz betöréssel vagy rablással megszerezhető, és annak letiltásáig felhasználható. Végül több bank egy úgynevezett villogó (flickering) kódot használ a tranzakciók azonosítására. Ez 5 fehér és fekete blokkból áll, és a számítógép képernyőjén jelenik meg. A kód egy optikai szenzorral rendelkező TAN generátor segítségével olvasható. Mivel a kedvezményezett számlaszáma és az átutalni kívánt összeg is ezen a módon került továbbításra, a felhasználó ellenőrizheti ezeket, mielőtt legenerálja az eszközön a TAN azonosítót. Jelenleg ez a legbiztonságosabbnak elfogadott azonosítási módszer. 3

kihívás A bűnözők számára A tranzakció-adatok és a TAN összekapcsolása, illetve a számítógépen túli hardvereszköz bevonása az érvényes tranzakció-azonosítók generálására jelentősen megnehezítette a bűnözők számára, hogy az átutalások elvégzéséhez szükséges adatokat megszerezzék. Ezért a támadások ma általánosan azon alapulnak, hogy a tranzakciós adatokat még azelőtt manipulálják, hogy a TAN legenerálásra kerül. Ennek érdekében a kiberbűnözők rendkívül fejlett trójai kártevőket használnak, melyek a világ legösszetettebb kártékony kódjai közé tartoznak. Általánosságban ezek a trójaiak hozzá vannak igazítva az ismert nemzetközi bankok online portáljaihoz. A böngészőkbe (Internet Explorer, Chrome, Firefox, Opera stb.) történő beépülés után a számítógép és a bank közötti kommunikáció eltérítésre kerül. A titkosított kommunikáció így megkerülhető, és hiába épül fel a számítógép és a bank portálja között egy titkosított adatkapcsolat, a trójai már minden adatot manipulál, mielőtt az még a böngészőben titkosításra kerülne. A man-in-the-middle (közbeékelődéses) így lesz man-in-the-browser támadássá, mely elegánsan megkerüli a titkosított kommunikáció által támasztott akadályokat. 4

A támadás módja változatos A legegyszerűbb esetben a trójai úgy tesz, mintha a felhasználó nevében cselekedne, és a legenerált TAN segítségével a bűnöző számlájára történő utalást hagyja jóvá. Az ilyen támadás előnye, hogy a tranzakció teljesen jogszerűnek tűnik, és így jó eséllyel átmegy a biztonsági ellenőrzéseken. A hátránya viszont, hogy egy tudatos felhasználó azonnal felismeri a hamis utalást. A mobiltelefonok megfertőzésének általános módja, hogy a felhasználót a bank hamisított weboldalára irányítják, majd azon elhelyeznek egy figyelmeztetést. A figyelmez - tetés informálja a felhasználót, hogy az internetbankoláshoz egy plusz biztonsági alkalmazást kell a telefonjára töltenie, és bekérik a felhasználó telefonszámát is. A letöltésre kerülő szoftver megfertőzi a mobiltelefont, aminek köszönhetően a bűnözők már elfoghatják az SMS üzenetekben kiküldött TAN azonosítókat. Mindez lehetővé teszi számukra, hogy tranzakciókat indítsanak és hajtsanak végre. Megtörténhet, hogy a kártevő a tranzakciós adatokat a háttérben, a felhasználó tudta nélkül manipulálja, majd a manipulált adat alapján generálódik érvényes TAN. Az ilyen hamis átutalást csak akkor fedezi fel a felhasználó, ha a TAN megadása előtt még egyszer ellenőrzi a tranzakció adatait. Nemzetközi szintén példa van arra is, hogy a bank meghamisított weboldalán a bűnözők a valódi telefonos ügyfélszolgálat telefonszámát is lecserélték, és a gyanakvó felhasználók hívásait a saját call-centerükbe irányították át. Itt a bank munkatársa elmagyarázta az áldozatnak, hogy a kártevő által kijelzett információk megbízhatóak, és arra biztatta, hogy végezze el az átutalást. hogyan véd A g data bankguard A támadások ellen? A banki trójaiak elleni védelem első vonala a vírusvédelem telepítésével kerül a számítógépre. Ha a kártevő már ismert, a szignatúra alapú védelem azonnal azonosítja és ártalmatlanítja, amint a gépre kerülne. Amennyiben a hagyományos vírusvédelem nem képes felismerni a banki trójai legújabb változatát, a G Data a Bank- Guard technológia segítségével újabb, szabadalmaztatott védelmi vonalat kínál. A BankGuard technológia minden böngészőt védelmez a manipuláció ellen. Az internetes bankolás és az online fizetések során a banki portállal való kapcsolat titkosított, de a kódolásra és dekódolásra a számítógép memóriájában kerül sor. A G Data BankGuard folyamatosan összehasonlítja a memóriában lévő adatokat egy megbízható másolattal, melyet ő maga generált. Ha bármilyen manipulációt észlel, a BankGuard azonnal figyelmeztetést jelenít meg, majd lezárja a böngészőfolyamatot és megtisztítja azt a trójaitól. Androidos védelem Az androidos okostelefonokra és tabletekre telepíthető G Data InternetSecurity For Android hatékonyan növeli a védelmet olyankor, ha a bank a mobiltelefonhoz kötött módszert használ a tranzakciók azonosítására. A védelmi szoftver minden telepített alkalmazás engedélyeit átvizsgálja, és felismeri az adathalász alkalmazásokat. A vírus - védelmi komponens megkeresi és eltávolítja a kártevőket a letöltések és az alkalmazások között. Ez megakadályozza, hogy az SMS üzeneteket és TAN azonosítókat valamilyen kártevő elfogja. 5

felhasznált irodalom. BITKOM: Eurostat ebanking Usage Statistics (German) http://www.bitkom.org/de/markt_statistik/64034_656.aspx. BITKOM: 37 million Germans use online banking (German) http://www.bitkom.org/de/markt_statistik/64034_80365.aspx 3. Uli Ries: Bankraub Digital, c t edition 5/04, page 76 (German) http://www.heise.de/ct/ausgabe/04-5-millionenschaeden-durch-angriffe-aufs-online-banking-450695.html 4. Kurt Sagatz: Attacks on digital wallets increase (German) http://www.tagesspiegel.de/medien/digitale-welt/online-banking-angriffe-auf-den-digitalen-geldbeutelnehmenzu/00340.html 5. Initiative study: Online Banking Security pays (German) http://www.initiatived.de/wp-content/uploads/04/07/d_fiducia_studie_onlinebanking_04.pdf 6. Sara Zinnecker: Caution when Online Banking (German) http://www.handelsblatt.com/finanzen/steuern-recht/recht/ratgeber-hintergrund/sicherheitsluecken-vorsicht-beimonline-banking/943440.html 7. BITKOM: Online Banking Guidelines (German) http://www.bitkom.org/de/publikationen/38337_869.aspx Copyright 05 G DATA Software AG. V-Detect Antivírus Kft. Minden jog fenntartva. G DATA. A BIZTONSÁG NÉMETÜL. 6

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés