×

Figyelmeztető üzenet

This form is improperly configured. Contact the administrator.

Céges bankszámla feltörése

- saját, megtörtént eset -

Hackerek majdnem hozzáfértek bankszámlánkhoz, közben felhívtak a banktól, hogy megmentsenek, aztán kiderült a turpisság.

MATERal Csoport, 2023. augusztus 2.

Múlt héten a bank üzenetben figyelmeztetett, hogy valaki megpróbált belépni a MATERal online banki felületére. Nem sok idő múlva zümmögött a telefon, és SMS-ben kaptunk egy kódot. Szinte abban a pillanatban fel is hívott telefonon valaki, aki a bank alkalmazottjaként mutatkozott be. Annyira profin alakított, annyira a banki megkeresések szabályai szerint járt el (még az azonosítószámát (!) is közölte), hogy fel se merült, átverés lehet. Megkérdezte, mi próbáltunk-e belépni az online banki felületre, majd nemleges válasz után elmondta, hogy a bank rendszere észlelte, valaki megpróbált hozzáférni a MATERal bankszámlájához, ezért automatikusan egy kódot küldött SMS-ben. Kérte, diktáljuk be neki ezt a kódot, mert ezzel tudjuk azonosítani magunkat, hogy valóban a mi bankszámlánkról van szó, és ezzel tudják egyben meghiúsítani a bankszámla-feltörési kísérletet. Tehát olvassuk fel a kódot, és néhány percen belül megoldódik a probléma.
Szerencsére nem tettük, különben a mi problémánk csak akkor kezdődött volna igazából!

Itt a piros, hol a piros, avagy a trükkök trükkje

Nézzük még egyszer sorban mi történt:
1. Banki rendszerüzenet - valós
2. Banki SMS - valós
3. Banki hívás - hamis
4. Banki kód - valós

Az történt, hogy valakik valahonnan (általában külföldről próbálkoznak) megszerezték a bankszámlaszámunkat, és ezt felhasználva kértek egy jelszóazonosítót a bank online felületén (ekkor kaptuk a banki rendszerüzenetet - 1-es pont). Megjött az SMS a banktól, benne az azonosításhoz szükséges kóddal (2-es pont).
És itt jön a hackelés, a céges bankszámla feltörése: az ezután érkező hívás már nem a banktól jött, hanem a csalóktól. Egy kedves (a csaló mindig kedves, udvarias!) fiatalember elhadarva a saját banki (blöff)azonosítószámát (3-as pont) elkérte az SMS-ben található kódot (amit tényleg a bank küldött, hogy be tudjunk lépni - 4-es pont), hogy le tudja ellenőrizni a jogosultságunkat és orvosolja a helyzetet.

Hajszálon múlt, hogy nem diktáltuk be a kódot, mert:
1. rendkívül hivatalosnak tűnt az egész
2. automatikus volt, jól bevált protokollnak tűnt
3. a lehető legjobb ritmusban érkezik a hívásuk, tűpontosan

Ha bediktáltuk volna a kódot, most a világ több millió megkárosítottja között lennénk.

De a 7. érzék vagy egy isteni sugallat hatására közöltük az illetővel, hogy valami nem kerek, adjon egy kis időt.
Abban a pillanatban lerakta a telefont.

2 + 1 tanulság, hogy ne váljunk céges bankszámlafeltörés áldozatává

1. Az esetek döntő hányadában nem a rendszert törik fel, hanem a személyt hackelik meg (a varázslat az egészben: belehelyezik egy veszélyes szituációba, amiből ők megmentik).
2. Semmilyen kódot nem szabad senkinek megadni, bármilyen hivatalosnak tűnjön is (a bankok is rendszeresen elmondják, hogy ők semmilyen érzékeny adatot, kódot nem kérhetnek el).
+ 1: nem érdemes visszahívni, üldözni a számot, amiről hívtak, mert a hívás visszakövethetetlen, és a telefonszám, amiről a hívást indították, valószínűleg klónozott.

A legcinikusabb az egészben, hogy annak a számát jelzi ki, akit előtte megkárosítottak.