Súlyos gondatlanság a banki azonosító adatok tárolása során I.

Szerző: Dr. Molnár Gergő Zsolt | 2020.07.23 | Minden egyéb, ami érdekelheti

Közel egy évvel ezelőtt már írtam arról, hogy a kereskedelmi bankok honlapjain időről időre felbukkannak tájékoztató közlemények, melyekben arra hívják fel az ügyfeleik figyelmét, hogy adathalászok a bank nevében e-maileket küldenek azzal a céllal, hogy megszerezzék az ügyfelek elektronikus bankszámláihoz a belépési kódokat és ezt követően kiürítsék a számláikat. Az adathalászat változatlanul folyik, de a csalók módszerei folyamatosan változnak.

 

Múlt év végén egy új módszerrel számos bankszámla tulajdonos belépési kódját szerezték meg illetéktelen személyek és a kódokkal vissza is éltek, ezzel pedig jelentős kárt okoztak. Köztudott tény, hogy a legtöbb bank már a bankszámlák internetes kezeléséhez, így az utalásokhoz is ún. erős ügyfél-hitelesítést alkalmaz. Az erős ügyfél-hitelesítés fogalmát a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (pénzforgalmi törvény) határozza meg. A jogszabály értelmében egy belépés erős ügyfél-hitelesítése több módon is biztosítható. Az első eset, amikor legalább két olyan – csak az ügyfél által ismert – információ felhasználásával lehet belépni a bank honlapján a bankszámlára, melyek esetén az egyik feltörése nem befolyásolja a másik információ megbízhatóságát. A gyakorlatban ennek a kettős biztonsági kulcsnak az első lépése az, amikor a felhasználónevünk mellett meg kell adnunk egy olyan kódot, amit mi határoztunk meg előzetesen és mentettünk el a rendszerben. Amikor megadjuk ezt a kódot, akkor kapunk a telefonunkra egy sms-üzenetet az úgynevezett másodlagos kódról, mely megadásával már hozzá is tudunk férni a bankszámlánkhoz. Ez tehát két lépésben valósul meg és a két kód egymás nélkül nem eredményez sikeres belépést. A rendszer zárt, és a saját mobilszámunkra kapott sms-üzenet biztosítja azt, hogy mások ne férjenek hozzá a kódhoz.

Megjelent a friss ECOVIS HUNGARY LEGAL HÍRLEVÉL

Benne kiemelt témánk: Védjegyezhető névadás – hogy válasszunk levédhető nevet sikertermékünknek

További aktuális híreket olvashat előadásainkról és a legújabb cikkeket Bányajog és Közbesz blogjainkból.

Hasonlóan erős ügyfél-hitelesítésnek minősül, ha az ügyfél által birtokolt dolog, pl. token, vagy valamilyen biológiai tulajdonság, pl. ujjlenyomat felhasználásával lehet két lépcsőben hozzáférni a bankszámlához.

 

Hiába azonban az erős ügyfél-hitelesítés, sajnos ki lehet játszani bármilyen rendszert, ugyanis a rendszerek leggyengébb pontja maga a felhasználó, a természetes személy. Akármennyire is meglepő, a rutinos csalók a gyanútlan felhasználóból különböző módszerekkel gyakran ki tudják csalni a banki belépési adatokat. Korábbi cikkemben arról írtam, hogy egy banki e-mailnek álcázott levél vezette el a felhasználót oda, hogy végül megadta a belépési kódokat. Az újabb csalássorozat során munkaajánlattal keresték meg a későbbi áldozatokat, akik egy ponton már annyira megbíztak az ismeretlen jövőbeni munkaadójukban, hogy megosztották a képernyőjüket egy program segítségével, és az illetéktelen személyek szabadon kutakodhattak a gépen. Közben még azt is kérték a későbbi áldozattól, hogy legyen kedves belépni az internetes bankjába és onnan másolja ki a számlaszámát, nehogy félregépelje. Ezzel a módszerrel tehát a fentebb leírt erős ügyfél-hitelesítés egyik pillérét a legtöbb esetben ki is tudták dönteni, hiszen a gépre csatlakozó szoftver segítségével megismerték a bankszámlaszámot, végigkövették lépésről lépésre az internetes bankszámlára belépés folyamatát, és látták a kódokat. A kódokat azért láthatták, mert a bankszámla-tulajdonosok gyakran tárolják a banki azonosítókat a számítógépükön. Amikor pedig belépnek az internetes banki felületre, akkor innen másolják ki az adatokat. Ha elkövetik azt a hibát is, hogy másoknak megosztó program segítségével belépést biztosítanak a gépükre, akkor sajnos a biztonságosnak hitt fájlok hirtelen már nem is biztonságosak és az egy helyen tárolt adatokhoz egyszerre hozzá tudnak férni illetéktelenek. Kérdés, hogy súlyos gondatlanság-e a bankszámla-tulajdonos részéről a kódok számítógépen történő tárolása és ezzel egyidejűleg idegen személyeknek interneten keresztül szoftver segítségével hozzáférés biztosítósítása a számítógéphez. A Pénzügyi Békéltető Testület egy nemrégiben született határozata értelmében, amennyiben a fenti körülmények bizonyíthatóak, úgy megáll a súlyos gondatlanság az ügyfél oldalán, és ezzel mentesül a bank a pénzforgalmi törvényben meghatározott megtérítési felelőssége alól.

 

Jelen cikkben a banki jelszavak tárolására és az elsődleges biztonsági kód illetéktelenek általi megszerzésére fókuszáltam, de ahogy fentebb említettem, ez az elsődleges belépési kód csupán az egyik pillére az azonosításnak. Jelen cikk folytatásában fogok foglalkozni a másodlagos azonosítóval, mely segítségével válik befejezetté a csalás.

SZÁMLÁZÁSI KÉZIKÖNYV 2020

Minden, amit a számlázásról tudni kell

Szerző: Dr. Kelemen László

Ossza meg ismerőseivel:

Dr. Molnár Gergő Zsolt

Dr. Molnár Gergő Zsolt
Ecovis Hungary Legal
Ügyvéd | Partner
Balogh, Bihary, B. Szabó, Jean, Zalavári és Társai Ügyvédi Iroda
gergo.molnar@ecovis.hu
A szerző szakmai profilja