Kockázatos lépés a magyar Erste Banknál

Írta: Dajkó Pál
Forrás: IT café
2014-04-09 18:05

Érintett kollégáim és barátaim jelezték ma, hogy olyan változást tapasztaltak az Erste Bank magyar netbankjának oldalán, ami komoly aggodalommal töltötte el őket. Mégpedig azt, hogy az Erste a netbankba való bejelentkezés során megszüntette a korábbi kétfaktoros autentikációt – vagyis azt, hogy az azonosító és a jelszó megadása nem elég a belépéshez, hanem egy gyorsan elavuló, az ügyfél mobiljára érkező biztonsági kódot is be kell ütni.

Ez már önmagában is meglepetés, hiszen az érzékeny adatokat (vagy mondjuk: pénzt) kezelő szervezetek és intézmények a kiberbűnözés egyre terjedő mértéke és egyre kifinomultabb módszerei miatt folyamatosan szigorítanak, a kétfaktoros autentikáció egy bank esetében ma már nem opció, inkább elvárt kötelezettség.

A helyzet drámaiságát az is tovább növelhette (legalábbis azt tapasztaltam, hogy különösen ezért szólt nagyot a változtatás), hogy épp a napokban került nyilvánosságra egy olyan sebezhetőség a világ webszervereinek kétharmada által használt OpenSSL könyvtárban, ami már kb. két éve tette sebezhetővé az ezt alkalmazó szervezetek szervereit – és a friss hírek szerint a javítás is meglehetősen vontatottan és szakadozottan folyik. Jelen esetben ugye az volt a probléma, hogy a világon számtalan bank is használja az OpenSSL-t, köztük – más magyar pénzintézetekkel együtt – az Erste Bank is.

De hol is a gond? Ott, hogy ma már a legkörültekintőbb biztonsági intézkedések ellenére is megszerezhetnek rosszindulatú támadók jelszó/azonosító párosokat – akár egy adott szerver, az ott található információk ellopása érdekében, de még inkább az a jellemző, hogy nagy forgalmú oldalakról nyúlnak le tíz-, százezer- vagy milliószámra ilyen adatokat, majd automatizáltan kipróbálják ezeket más, fontos oldalakon is (bankok, kormányhivatalok stb.). Mivel a felhasználói tudatosság e téren igen csekély, így sokan használnak azonos bejelentkezési adatokat több oldalon is, megkönnyítve ezzel a bűnözők dolgát.

És akkor mi van?

Na, itt a probléma magja. Az említett OpenSSL-hiba, illetve egyéb támadások következtében crackerek megszerezhettek, megszerezhetnek jelszó/azonosító párosokat, olyanokat amik érvényesek az Erste netbankjában is. Ha az Erste megszünteti az sms-es megerősítést a fiókba való bejelentkezéshez, akkor egy támadó ezzel beléphet.

Az Erste netbankjának kezdőoldalán olvasható tájékoztató látszólag megnyugtató:

Az egyszerűbb bejelentkezés érdekében elegendő mindössze NetBank azonosítóját és Bejelentkezési jelszavát megadnia, a bank nem küld belépési SMS kódot. A tranzakciók indításának és jóváhagyásának folyamata nem változik, azok továbbra is egyszer használatos Tranzakciós kód megadásához kötöttek, melyet SMS-ben küldünk el az Ön által megadott mobiltelefonszámra.

Meg is nyugodhatnánk: oké, akkor nem fér hozzá a pénzünkhöz a bűnöző vagy akárki akkor sem, ha belép a fiókba.

De a helyzet nem ilyen egyszerű

Itt ugyanis arról van szó, hogy az Erste kinyitott egy kaput, az esetleges illegális belépőt egy szinttel beljebb engedte a jogosultsági hierarchiában (legalábbis ezt kell feltételeznünk, amíg az Erste informatikusai nem cáfolják meg). Ezzel kapcsolatban idézném egy általunk megkérdezett biztonsági szakértő leírását:

…a [z OpenSSL-] sebezhetőség következtében lehetőség volt hozzájutni az ügyfelek banki azonosítójához és jelszavukhoz, így további hitelesítés nélkül be lehetett jelentkezni és a számlakivonatukat, számlatörténetüket és lekötött betétjeiket, valamint személyes adataikat meg lehetett tekinteni (a banki azonosító „számsorból” és a nem feltétlenül beszédes jelszóból így lett meg a támadóknak egyes banki ügyfelek vezetékneve, keresztneve, pontos lakcíme, email címe, telefonszáma, valamint az aktuális és korábbi pénzügyi helyzete, valamint egyfajta „kapcsolati háló”, azaz, hogy kinek szoktak utalni és honnan kapnak pénzt…

Ez a probléma természetesen más esetben is előjöhet. Egy fertőzött weblap által telepített trójai szintén képes lehet a netbank belépési adatok ellopására és a kétfaktoros hitelesítés hiányában az ügyfelek még csak észre sem veszik, hogy valakik bejelentkeztek a nevükben a netbankba. A „személyes adatok” menüpont alatt megtalálható mobil telefonszám megszerzésével pedig a támadók tovább mehetnek és akár a tranzakció megerősítéséhez szükséges kódot is képesek lehetnek ellopni. Ez elsőre ugyan szofisztikáltnak tűnhet, de egyáltalán nem az. A statisztikák alapján az Android-alapú okostelefonok különösen nagy százalékban vannak fertőzve különböző kártékony szoftverekkel. Egy ilyen nagy volumenű fertőzési kampányt kivitelező támadó könnyedén össze tudja párosítani a telefont a banki ügyféllel a telefonszám alapján, majd az SMS üzeneteket kezelő applikációt az okostelefonon képes lehet úgy befolyásolni, hogy a megérkezett banki tranzakciós kódot csak ő lássa és a felhasználó ne is kapjon róla értesítést. Ennek következtében az ügyfél napokig, vagy akár hetekig nem is fog értesülni a problémáról és a bank sem fogja tudni megszakítani, vagy visszavonni a (potenciálisan nemzetközi) tranzakciókat.

További gondok

Mivel az sms-es belépés eltörlése egy jogosultsági szinttel feljebb emelte az esetleges támadót, akkor ő – a bank teljes rendszerének ismerete nélkül ez feltételezés, felhívom erre a figyelmet! – kihasználhatott az Erste rendszerében egy kényelmi funkciót is. Ez a funkció arra szolgál elvileg, hogy a felhasználó az általa megbízhatónak tartott partnereket felvegye egy megbízhatósági listára, és az ő esetükben a bank a tranzakciókat a gyorsabb lebonyolítás érdekében nem köti kétfaktoros autentikációhoz, vagyis sms-kód nélkül lehet pénzátutalást lebonyolítani.

Így amennyiben a támadó bejut a fiókba, akkor használhatja ezt a megbízhatósági listát. Itt ugyan korlátozott a visszaélések lehetősége, de azért akad bőven. A legjobb példát egy megkérdezett biztonsági szakember említette, aki arra utalt, hogy ha egy egymás jelszavait ismerő rokoni, családi közösségben megromlik a személyes viszony, akkor a sértett fél „lenyúlhatja” a másik teljes betétjét, hiszen nem szükséges az sms a jóváhagyáshoz (bíróságon egy ilyen lépés ugyan talán orvosolható, de igen nehezen bizonyítható a szándékos károkozás). De az is megtörténhet – az elvi esély megvan rá –, hogy valakinél olyan átutalást indítanak el, ami vagy kompromittálja az illetőt, vagy pedig lemeríti a bankszámláját.

És még egy fontos dolog. A bejelentkezési szabályok változásáról az ügyfelek nem közvetlenül, hanem a weboldal látogatásakor értesültek. Ez nem biztos, hogy elegendő tájékoztatás, hiszen az emberek többsége fel sem figyel arra a webes környezetben „apró betűsnek” számító értesítésre, ami a hírfolyam tetején van ugyan, de nem igazán figyelemfelkeltő. Ahogy arról sem kaptak az ügyfelek semmiféle tájékoztatást, hogy az sms-es bejelentkezés nem tűnt el a rendszerből, ám most opt-in lett, vagyis a fiók beállításai között lehet visszakapcsolni. A közösségi oldalakon egyébként a konkrét ügyben ez volt a legnépszerűbb információ, az erstések adták tovább, hogyan kell visszaállítani a régi módot, és mivel még mindig gond, Cathfaern leírása segíthet:

belépsz a netbankba
rákattintasz az "Ügyfélszolgálat" menüpontra. Ne csak fölé vidd az egeret, kattints is rá! Ugyanis a fölévitelkor előjövő menülistában nincs ott a szükséges pont!
a bejövő oldalon a "Személyes beállítások" rész alatt megtalálható a "Belépési SMS kód" menüpont, amire kattintva visszakapcsolható

Ellenlépések és hivatalos reakció

Természetesen megkerestük az Erste Bankot is az ügyben.

A jelen állás szerint a kétfaktoros autentikáció megmaradt, de választható, és ezt a bank szóvivője a következőképp magyarázta meg:

Az Erste Bank a rendelkezésére álló információk alapos elemzése után döntött a NetBank bejelentkezés egyszerűbbé tétele mellett. A változtatás a tranzakciók indításának és jóváhagyásának folyamatát nem érintette, azok továbbra is egyszer használatos tranzakciós kód megadásához kötöttek, amelyet a korábbiakhoz hasonlóan SMS-ben küld meg a bank az ügyfelei számára. A NetBankba való belépéshez szükséges belépési SMS kód küldését a bank nem szüntette meg, mindössze választhatóvá tette az ügyfelek részére. Amennyiben egy ügyfél továbbra is szeretne belépési SMS kódot kérni a NetBankba való belépés előtt, akkor ezt beállíthatja magának a NetBankban.

Az OpenSSL-beli hibát az Erste Bank azonosította és természetesen megtette a szükséges lépéseket.

Hozzászólások (138)

Azóta történt

Megszólalt az OpenSSL hibájáért felelős programozó

A nyílt projektben dolgozó német fejlesztő tagadja a szándékosságot, és egyszerű programozási hibáról beszél.

Biztonság 2014-04-11 61
A kémek állítólag már rég kihasználták az OpenSSL súlyos hibáját

Folyik a kommunikációs háború: a nemzetbiztonsági ügynökség tagadja a vádakat, de a Bloomberg úgy tudja, az NSA nem mond igazat.

Biztonság 2014-04-14 9
Valóban kinyerhetőek a privát kulcsok az OpenSSL hibája nyomán

Egy svéd szakember egy VPN-rendszeren mutatta be, hogy a rést kihasználva sikeresen hozzá lehet férni a fontos információkhoz.

Biztonság 2014-04-17 2
Nagyon kevés a pénz a bankoknál az informatikai fejlesztésekre

A bankoknál a technológiai fejlődés kikényszeríti a folyamatos alkalmazkodást, de ez egyelőre csak a rendszerek frissítésében, és nem teljes cseréjében merül ki - hangzott el a Portfolio.hu Pénzügyi IT konferenciájának első panelbeszélgetésén.

Mérleg 2014-05-08 90

Előzmények

Nagyon durva hiba miatt kerültek veszélybe a webszerverek

A OpenSSL-t használó szerverek esetében a támadók gyakorlatilag minden fontos adathoz hozzájuthatnak.

Biztonság 2014-04-08 24
Kis hazai Windows XP-(fél)körkép

A Microsoft ma megszünteti minden idők egyik legnépszerűbb operációs rendszerének terméktámogatását. Megpróbáltunk képet kapni arról, hogy Magyarországon mi a helyzet, de csak félig jártunk sikerrel.

Szoftver 2014-04-08 351
Adjátok vissza!

Úgy tűnik, ma az államigazgatásban a felelős pozíció betöltésének feltételei között nincsenek ott az informatikai alapismeretek. De nem baj, attól az illető még nyilatkozhat egy biztonsági incidensről.

Café blog 2014-03-31 91
Javítatlan sebezhetőség a Microsoft Word összes verziójában

A vállalat a végleges folt megjelenéséig a szokásos módon biztosít egy egyszerűen telepíthető gyorsjavítást.

Biztonság 2014-03-25 9

Hirdetés

Felesleges óvatosság a vírusvédelem?

PR Gyakran hallani ismerősöktől, fórumokban, hogy nem kell vírusvédelem, maximum a beépített, ingyenes. Sőt, szakcikkekben is sokszor lehet találkozni olyan állításokkal, hogy manapság már felesleges dolog az antivírus, kár erre költeni.

Percről percre

Samsung Galaxy Tab S6 Lite 2024 - a visszatérő

ma Feltámadt poraiból a Tab S6 – a Tab S9 FE kérdezi: amúgy miért?

Poco X6 5G - egy Redmi álruhában

ma Ez az egyik legolcsóbb készülék Dolby Vision kijelzővel, és más jó tulajdonságai is vannak, de nem tökéletes.

MG5 menetpróba

ma Elektromos, kombi és most már elég jó áron van, de nem egy friss konstrukció. Vajon megéri?

Sand Land teszt

gp Több mint két évtizeddel az eredeti megjelenése után Akira Toriyama egyik kevésbé ismert mangája videojáték-feldolgozást kapott, hogy újra elmesélje a sivatagban lakók démonok és emberek történetét.