Új ClickFix támadások CVE-2025-31324: Kritikus hiba D-Link DIR-600L sebezhetőség Phishing kampány: Horabot Google adatvédelmi per Ismerje meg a legújabb termékeket a kínálatunkban! Kövessen Minket a LinkedInen!
CybroAI

Értesítés és jóváhagyás nélkül utalták szét az áldozatok pénzét a banki csalók

Az utóbbi időben kiugróan sokan keresték meg a Makay Kiberbiztonsági Kft.-t netbanki csalásokkal és nagyösszegű lopásokkal kapcsolatban, végül pedig a rendőrség is közzétett egy cikket (police.hu) két esetről, ami sokakban gyanút fogalmazhat meg a banki rendszerek biztonságával kapcsolatban.

A támadások nagyon hasonló forgatókönyv szerint folynak le: Az ügyfél megpróbál belépni a számítógépén a bankja webes felületére, ami a felhasználónév-jelszó páros után kér egy SMS-kódot is, viszont a belépés mégis meghiúsul. Végül a sikeres belépést követően az áldozat már csak azzal szembesül, hogy a pénze számos kisebb tranzakcióban elutalásra került több magyar fél számlájára.

„Nem kapott üzenetben az utalás megerősítéséhez szükséges kódot, sem értesítést az utalásról.”

A problémát a fenti mondatban találjuk, ugyanis joggal merülhet fel a kérdés, hogy ezek szerint sebezhetőségek lennének a magyar banki rendszerekben? Innentől tiltsuk le a webes és appos hozzáférés lehetőségét, hogy már csak személyesen intézhessük pénzügyeinket a bankfiókokban?

Szerencsére (ha lehet így fogalmazni), a helyzet sokkal prózaibb: A támadók trükkje azoknál a leghatékonyabb, akik még mindig jobban bíznak egy védelem nélküli Windows operációs rendszerben és egy potenciálisan veszélyes kiegészítőket használó böngészőben, mint egy jóval erősebben védett, alig támadható banki mobilalkalmazásban – tehát következetesen egy kockázatos számítógépes környezetben „netbankolnak”.

Gyakori ugyanis, hogy az ügyfeleket hivatalosnak tűnő e-mailekkel, telefonhívásokkal vagy a találati lista tetején megjelenített Google-hirdetésekkel csalják az eredetihez megszólalásig hasonlító, de a gyakorlatban adathalász banki bejelentkező felületekre.

MBH bejelentkezés

A támadók célja az, hogy az adathalász felületen a potenciális áldozat megadja a netbanki belépési adatait, valamint a kétfaktoros kódokat. A támadók ezek felhasználásával már hozzá tudják adni a saját banki mobilappjukat a célpont bankszámlájához.

Az áldozatok így nem kapnak értesítő vagy jóváhagyást kérő üzeneteket – azokat ugyanis már a támadók kapják a fiókhoz kapcsolt mobilappjukba.

A kisebb összegekre szétbontott utalásokat magyar állampolgárok számára utalják szét, hogy a bankok riasztási küszöbét ne érjék el, ezt követően pedig értesítik a kedvezményezetteket, hogy téves utalás történt, ezért kérik az összeg továbbutalását a megadott számlaszámra.

Összességében tehát ezúttal sincs szó arról, hogy a kiberbűnözők felfedeztek volna egy rejtélyes (és amúgy meglehetősen költségesen azonosítható) sebezhetőséget a banki rendszerekben. A legkönnyebben támadható pont a folyamatban továbbra is az ember. Ezzel a módszerrel viszont (az MNB adatai szerint) 2024-ben 8,2 milliárd forintot loptak el az áldozatoktól.

Mit tegyünk, ha megtörtént a baj?

Az első lépés a bankunk azonnali értesítése, amely során az ügyintézők elindítják az ilyenkor meghatározott zárolási folyamatot, valamint tájékoztatást adnak a további teendőkről.

A következő lépés az illetékes és érintett hatóságok (Magyar Rendőrség, Nemzeti Kibervédelmi Intézet, NAV stb.) felé való bejelentés.

Hogyan előzhetjük meg ezeket a támadásokat?

Sérülékenységvizsgálat és penetrációs teszt szolgáltatás Biztonságtudatossági oktatás és támadásszimuláció
A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Hírek, események, termékek és riasztások

Hírek, események, termékek és riasztások

Iratkozzon fel hírlevelünkre és ne maradjon le a legfontosabb kiberbiztonsági hírekről, eseményekről, termékekről és riasztásokról!

FELIRATKOZÁS
Megosztás