Kockázatos lépés a magyar Erste Banknál

Érintett kollégáim és barátaim jelezték ma, hogy olyan változást tapasztaltak az Erste Bank magyar netbankjának oldalán, ami komoly aggodalommal töltötte el őket. Mégpedig azt, hogy az Erste a netbankba való bejelentkezés során megszüntette a korábbi kétfaktoros autentikációt – vagyis azt, hogy az azonosító és a jelszó megadása nem elég a belépéshez, hanem egy gyorsan elavuló, az ügyfél mobiljára érkező biztonsági kódot is be kell ütni.

Ez már önmagában is meglepetés, hiszen az érzékeny adatokat (vagy mondjuk: pénzt) kezelő szervezetek és intézmények a kiberbűnözés egyre terjedő mértéke és egyre kifinomultabb módszerei miatt folyamatosan szigorítanak, a kétfaktoros autentikáció egy bank esetében ma már nem opció, inkább elvárt kötelezettség.

A helyzet drámaiságát az is tovább növelhette (legalábbis azt tapasztaltam, hogy különösen ezért szólt nagyot a változtatás), hogy épp a napokban került nyilvánosságra egy olyan sebezhetőség a világ webszervereinek kétharmada által használt OpenSSL könyvtárban, ami már kb. két éve tette sebezhetővé az ezt alkalmazó szervezetek szervereit – és a friss hírek szerint a javítás is meglehetősen vontatottan és szakadozottan folyik. Jelen esetben ugye az volt a probléma, hogy a világon számtalan bank is használja az OpenSSL-t, köztük – más magyar pénzintézetekkel együtt – az Erste Bank is.

De hol is a gond? Ott, hogy ma már a legkörültekintőbb biztonsági intézkedések ellenére is megszerezhetnek rosszindulatú támadók jelszó/azonosító párosokat – akár egy adott szerver, az ott található információk ellopása érdekében, de még inkább az a jellemző, hogy nagy forgalmú oldalakról nyúlnak le tíz-, százezer- vagy milliószámra ilyen adatokat, majd automatizáltan kipróbálják ezeket más, fontos oldalakon is (bankok, kormányhivatalok stb.). Mivel a felhasználói tudatosság e téren igen csekély, így sokan használnak azonos bejelentkezési adatokat több oldalon is, megkönnyítve ezzel a bűnözők dolgát.

Hirdetés

És akkor mi van?

Na, itt a probléma magja. Az említett OpenSSL-hiba, illetve egyéb támadások következtében crackerek megszerezhettek, megszerezhetnek jelszó/azonosító párosokat, olyanokat amik érvényesek az Erste netbankjában is. Ha az Erste megszünteti az sms-es megerősítést a fiókba való bejelentkezéshez, akkor egy támadó ezzel beléphet.

Az Erste netbankjának kezdőoldalán olvasható tájékoztató látszólag megnyugtató:

Az egyszerűbb bejelentkezés érdekében elegendő mindössze NetBank azonosítóját és Bejelentkezési jelszavát megadnia, a bank nem küld belépési SMS kódot. A tranzakciók indításának és jóváhagyásának folyamata nem változik, azok továbbra is egyszer használatos Tranzakciós kód megadásához kötöttek, melyet SMS-ben küldünk el az Ön által megadott mobiltelefonszámra.

Meg is nyugodhatnánk: oké, akkor nem fér hozzá a pénzünkhöz a bűnöző vagy akárki akkor sem, ha belép a fiókba.

De a helyzet nem ilyen egyszerű

Itt ugyanis arról van szó, hogy az Erste kinyitott egy kaput, az esetleges illegális belépőt egy szinttel beljebb engedte a jogosultsági hierarchiában (legalábbis ezt kell feltételeznünk, amíg az Erste informatikusai nem cáfolják meg). Ezzel kapcsolatban idézném egy általunk megkérdezett biztonsági szakértő leírását:

…a [z OpenSSL-] sebezhetőség következtében lehetőség volt hozzájutni az ügyfelek banki azonosítójához és jelszavukhoz, így további hitelesítés nélkül be lehetett jelentkezni és a számlakivonatukat, számlatörténetüket és lekötött betétjeiket, valamint személyes adataikat meg lehetett tekinteni (a banki azonosító „számsorból” és a nem feltétlenül beszédes jelszóból így lett meg a támadóknak egyes banki ügyfelek vezetékneve, keresztneve, pontos lakcíme, email címe, telefonszáma, valamint az aktuális és korábbi pénzügyi helyzete, valamint egyfajta „kapcsolati háló”, azaz, hogy kinek szoktak utalni és honnan kapnak pénzt…

Ez a probléma természetesen más esetben is előjöhet. Egy fertőzött weblap által telepített trójai szintén képes lehet a netbank belépési adatok ellopására és a kétfaktoros hitelesítés hiányában az ügyfelek még csak észre sem veszik, hogy valakik bejelentkeztek a nevükben a netbankba. A „személyes adatok” menüpont alatt megtalálható mobil telefonszám megszerzésével pedig a támadók tovább mehetnek és akár a tranzakció megerősítéséhez szükséges kódot is képesek lehetnek ellopni. Ez elsőre ugyan szofisztikáltnak tűnhet, de egyáltalán nem az. A statisztikák alapján az Android-alapú okostelefonok különösen nagy százalékban vannak fertőzve különböző kártékony szoftverekkel. Egy ilyen nagy volumenű fertőzési kampányt kivitelező támadó könnyedén össze tudja párosítani a telefont a banki ügyféllel a telefonszám alapján, majd az SMS üzeneteket kezelő applikációt az okostelefonon képes lehet úgy befolyásolni, hogy a megérkezett banki tranzakciós kódot csak ő lássa és a felhasználó ne is kapjon róla értesítést. Ennek következtében az ügyfél napokig, vagy akár hetekig nem is fog értesülni a problémáról és a bank sem fogja tudni megszakítani, vagy visszavonni a (potenciálisan nemzetközi) tranzakciókat.

További gondok

Mivel az sms-es belépés eltörlése egy jogosultsági szinttel feljebb emelte az esetleges támadót, akkor ő – a bank teljes rendszerének ismerete nélkül ez feltételezés, felhívom erre a figyelmet! – kihasználhatott az Erste rendszerében egy kényelmi funkciót is. Ez a funkció arra szolgál elvileg, hogy a felhasználó az általa megbízhatónak tartott partnereket felvegye egy megbízhatósági listára, és az ő esetükben a bank a tranzakciókat a gyorsabb lebonyolítás érdekében nem köti kétfaktoros autentikációhoz, vagyis sms-kód nélkül lehet pénzátutalást lebonyolítani.

Így amennyiben a támadó bejut a fiókba, akkor használhatja ezt a megbízhatósági listát. Itt ugyan korlátozott a visszaélések lehetősége, de azért akad bőven. A legjobb példát egy megkérdezett biztonsági szakember említette, aki arra utalt, hogy ha egy egymás jelszavait ismerő rokoni, családi közösségben megromlik a személyes viszony, akkor a sértett fél „lenyúlhatja” a másik teljes betétjét, hiszen nem szükséges az sms a jóváhagyáshoz (bíróságon egy ilyen lépés ugyan talán orvosolható, de igen nehezen bizonyítható a szándékos károkozás). De az is megtörténhet – az elvi esély megvan rá –, hogy valakinél olyan átutalást indítanak el, ami vagy kompromittálja az illetőt, vagy pedig lemeríti a bankszámláját.

Erste

És még egy fontos dolog. A bejelentkezési szabályok változásáról az ügyfelek nem közvetlenül, hanem a weboldal látogatásakor értesültek. Ez nem biztos, hogy elegendő tájékoztatás, hiszen az emberek többsége fel sem figyel arra a webes környezetben „apró betűsnek” számító értesítésre, ami a hírfolyam tetején van ugyan, de nem igazán figyelemfelkeltő. Ahogy arról sem kaptak az ügyfelek semmiféle tájékoztatást, hogy az sms-es bejelentkezés nem tűnt el a rendszerből, ám most opt-in lett, vagyis a fiók beállításai között lehet visszakapcsolni. A közösségi oldalakon egyébként a konkrét ügyben ez volt a legnépszerűbb információ, az erstések adták tovább, hogyan kell visszaállítani a régi módot, és mivel még mindig gond, Cathfaern leírása segíthet:

  • belépsz a netbankba
  • rákattintasz az "Ügyfélszolgálat" menüpontra. Ne csak fölé vidd az egeret, kattints is rá! Ugyanis a fölévitelkor előjövő menülistában nincs ott a szükséges pont!
  • a bejövő oldalon a "Személyes beállítások" rész alatt megtalálható a "Belépési SMS kód" menüpont, amire kattintva visszakapcsolható

Erste

 

Ellenlépések és hivatalos reakció

Természetesen megkerestük az Erste Bankot is az ügyben.

A jelen állás szerint a kétfaktoros autentikáció megmaradt, de választható, és ezt a bank szóvivője a következőképp magyarázta meg:

Az Erste Bank a rendelkezésére álló információk alapos elemzése után döntött a NetBank bejelentkezés egyszerűbbé tétele mellett. A változtatás a tranzakciók indításának és jóváhagyásának folyamatát nem érintette, azok továbbra is egyszer használatos tranzakciós kód megadásához kötöttek, amelyet a korábbiakhoz hasonlóan SMS-ben küld meg a bank az ügyfelei számára. A NetBankba való belépéshez szükséges belépési SMS kód küldését a bank nem szüntette meg, mindössze választhatóvá tette az ügyfelek részére. Amennyiben egy ügyfél továbbra is szeretne belépési SMS kódot kérni a NetBankba való belépés előtt, akkor ezt beállíthatja magának a NetBankban.

Az OpenSSL-beli hibát az Erste Bank azonosította és természetesen megtette a szükséges lépéseket.

Hirdetés

Azóta történt

Előzmények