Te is lehetsz áldozat – a kockázattudatosság lehet, hogy már nem elég?

Napjainkban az ügyfelek jelentik a legnagyobb kockázatot a bankkártyás és átutalási csalások vonatkozásában, az IIR Magyarország által évek óta megszervezett, idén a FRAUD 2022 – Fokozódó veszélyek a veszélyek a kibertérben című májusi konferencián is egyértelműen kiderült, hogy mind a felügyeleti, mind a szakértői oldal egyetért ebben.

Ezt a konszenzust, aktuális alapvetést álláspontom szerint némileg árnyalja, hogy a pénzforgalom fejlődése, a fintech cégek és az okos eszközökre épülő megoldások térnyerése egy másik tendenciát is elindított, melyet egy, a tavasz folyamán észlelt banki rendszerekben feltárt aktivitás, egyes uniós országok bankrendszerében megkísérelt támadássorozat tapasztalatain keresztül lehet bemutatni, illetve levonni abból következtetéseket. Erre teszek kísérletet az írás második felében, előbb azonban az esettanulmány.

A vizsgálat alapját ügyfelektől érkező bejelentés és információ képezte, több olyan jelzés is érkezett, ahol az ügyfelek olyan belépéssel kapcsolatos üzenetről számoltak be, amit vagy nem ők kezdeményeztek, vagy látták megérkezni, felismerték azt, majd számukra érthetetlen módon el is tűnt, mintha törlődött volna. Az ilyen bejelentések hátterében lehetnek életszerű magyarázatok (informatikai rendszerekkel kapcsolatos problémák, több rendelkező, több hozzáférés a számlához), viszont amikor ezek számossága elér egy kritikus szintet, akkor érdemes komolyabb vizsgálatot indítani a megfelelő tapasztalatokkal és felkészültséggel rendelkező erőforrás bevonásával, illetve a szakértők kapcsolatrendszerében történő tájékozódásra, információszerzésre.

Bárki áldozattá válhat

Két uniós országból érkezett visszajelzés, számoltak be tapasztalatokról, mely információk nem voltak megnyugtatóak. Nyílt wifi hálózatokon terjedő, „Zero-day” alkalmazásról beszélhetünk, melyet ha van is védelmi megoldás az ügyfél eszközén, akkor sem képes azt észlelni. Az alkalmazás képes a banki alkalmazások és a banki belépési felületek megnyitásának észlelésére, illetve képes a belépési adatok gyűjtésére; képes továbbá a szöveges üzenetek kezelésére, egyrészt az üzenetben érkező belépési és jóváhagyó kódok felismerésére, illetve képes törölni azokat (vagyis eltünteti a nyomokat). Néhány megfigyelt belépés után az alkalmazás már maga is be tud lépni, megadja a felhasználói nevet és jelszót, felismeri és megadja a jóváhagyó kódot, majd feltérképezi az ügyfelet, kvázi profilt alkot arról (vizsgálja az egyenleget, a beérkező összegeket, illetve azt, hogy mennyire gyakoriak a pénzügyi műveletek).

A profilozás bot által történik az érintett országok szakértőinek beszámolói szerint: a belépés, sms-ben kapott jelszó megadása, az alkalmazásban történő mozgás sebessége ember feletti, vagy fogalmazzunk úgy, hogy ember által nem végrehajtható sebességgel történik. A profilalkotás nem csak az ügyfelekre korlátozódik, a megértés az, hogy egy-egy pénzintézet esetében a digitális megoldásokat használó ügyfelek számát/arányát is felmérik, olyan szolgáltatót keresnek, ahol magas azon ügyfélkör aránya, akik aktívan használják a banki megoldásokat.

Amennyiben kellően magas az arány, akkor a nagyszámú, azonos szolgáltatóhoz köthető ügyfelek eszközén kampány jelleggel, tehát egy időben rögzítenek be átlagosnak mondató összegű megbízást, melyet aztán alá is írnak, majd a belépés, jóváhagyás és teljesülés telefonon elérhető nyomait eltüntetik.

Az ügyfél akkor értesül majd az esetről, amikor a bankszámlakivonatát átnézi (ha egyáltalán átnézi), vagy ha egyéb okból vizsgálja a teljesült megbízásokat, addig azonban napok, akár hetek telhetnek el.

Ez nem meglepő, hiszen az áldozattá váló ügyfelek kiválasztásának korábban említett szempontjai miatt: aktív bankszámlaforgalom, rengeteg bankkártyás és pénzforgalmi művelet, így jó eséllyel látenciában marad. Az ügyfelek alvásidejére időzített tömeges művelet akár százezres nagyságrendű, átlagos összegű megbízást eredményez, összességében azonban kiemelkedően magas, azonban az esemény bekövetkezését jócskán megkésve észlelt kárérték jöhet létre. (Ügyfelenként 20 ezer forintos összeggel kalkulálva százezer ügyfél esetében milliárdos kárérték, illetve bevétel jelenik meg.)

Álláspontom szerint a fent írtakon túl az alábbi nehézségekkel szembesülnek a pénzügyi szolgáltatók, ügyfelek:

  • SCA-val, vagyis erős ügyfél-hitelesítéssel kerül jóváhagyásra az összes művelet;
  • az ügyfél eszközén, a rá jellemző IP / geolokációs adatokkal, átlagos összegű művelet történik, mely a mostanában alkalmazott monitoring rendszerek számára is nehezen azonosítható, hiszen semmi szokatlan nincs abban, a tranzakció alapú művelet figyelő mechanizmus számára pedig láthatatlan;
  • mivel az alkalmazás települ, így a belépéshez szükséges adatok cseréje, módosítása csak ideiglenes megoldás, az új adatokat újra kompromittálja majd;
  • a kedvezményezettként megjelenő célszámlák okos felhasználása még a koncentrációs elemzésekre alkalmat adó monitoring-rendszerek számára is nehezen azonosíthatóvá teszi az ilyen jellegű támadásokat;
  • a tesztelési fázisban még az emberfeletti gyorsaság jellemzi a botot, az éles támadás idején már emberivé szelídül, így a bot azonosítására alkalmas eszköz sem ismeri majd azt fel;
  • a monitoring rendszerek a legtöbb esetben a megbízások rögzítésének szakaszára koncentrálnak, amennyiben a banki szintű tesztelés, potenciális ügyfelek keresése, elemzése nem, vagy nem feltétlen vizsgált forgatókönyv (use case);
  • a banki rendszerbe akár egy fizetés-kezdeményezési szolgáltató (PISP) alkalmazáson keresztül is be lehet jutni, ami tovább nehezíti az aggályos / kockázatos aktivitás észlelését.

Meggyőződésem, hogy az optimális kockázattudatosságú ügyfelek, felhasználók számára, akik egyébként a saját informatikai eszközük védelmére is áldoznak, még nekik is észlelhetetlen lehet ez a fajta támadás.

A kockázattudatosság sem véd meg?

A szakértői vizsgálataink a mai napig nem tudták esetünkben alátámasztani tényszerűen, hogy a nagyszámú bejelentés mögött egy ilyen támadás előkészülete, tesztelése történt, azonban 23 év tapasztalata alapján meggyőződésem, hogy reális a veszély, csak idő kérdése, hogy hasonló módszerrel kövessenek majd el támadást.

Kiemelt fontosságú az ügyfelek és egyéb szereplők oktatása, ebben nincs vita köztem és a szektorhoz köthető szakértők között, emellett azonban fontos annak sulykolása, hogy legyen minden informatikai eszközünkön védelmi megoldás.

Egy komoly tapasztalatokkal rendelkező kollégám azzal zárta az egyik beszélgetésünket, hogy ő védve van az ilyen esetektől. Amikor rákérdeztem, hogy biometrikus azonosítást használ-e, akkor elmondta, hogy az a telefonszám, amire az sms-t kapja, az egy régi mobiltelefon, híváson és szöveges üzenet fogadásán túl másra nem jó, adatforgalom sincs rajta, így nem tud arra települni ilyen eszköz, de ha tudna, hálózati kapcsolat hiányában akkor sem tudná azt továbbítani, felhasználni. Az egészen biztos, hogy ez valós védelmet biztosító megoldás, hogy vannak-e további megoldások, ügyfél és banki, szolgáltatói oldalon, arról talán majd egy következő cikkben számolok be.

Juhász Zoltán, csalásmegelőzési szakértő

(Borítókép: Arget / Unsplash)

E-mail címed nem kerül nyilvánosságra.