Nem nyújt már abszolút védelmet a bűnözőkkel szemben az internetes bankolás során a tranzakció igazolására szolgáló sms-üzenet küldése abban az esetben, ha előzőleg az ügyfelek legalább egy súlyos biztonsági hibát elkövettek, például illetékteleneknek adták meg adataikat – tájékoztatta pénteken közleményben az MTI-t a G Data német kiberbiztonsági vállalat.
A bűnözők már megtalálták annak a módját, hogy valamely bankszámla belépési adatainak a birtokában a tranzakció visszaigazolására szolgáló kódot ne a számla tulajdonosának a telefonszámára, hanem egy másik, általuk megadott számra küldjék el sms-üzenetben.
Ehhez azonban először meg kell szerezniük az ügyfél belépési adatait a banki szolgáltatásokhoz, ami általában valamely “hagyományos” adatlopási megoldással történik, például becsapós, félrevezető, megtévesztő “phishing” levelek küldésével.
A banki ügyfelek tehát ebben az esetben is csak akkor vannak kitéve veszélynek, ha ők maguk követnek el valami olyan adatvédelmi hibát, amelyet az internet használata során joggal elvárható józan óvatosság is ki kell hogy zárjon.
A módszer széleskörű elterjedését egyelőre akadályozza, hogy a bűnözőknek meg kell szerezniük a mobilszolgáltatóknak a SIM-kártyák beazonosítására használt SS7 protokollját is, ami nem kis befektetést igényel a részükről.
Az ismeretek szerint a protokoll mintegy ezer dollárba kerül az internet ilyen és hasonló üzletekre szakosodott “mély bugyraiban”.
A G Data közleményében mindenesetre felhívja rá a figyelmet, hogy a bankoknak a nem túl távoli jövőben más módszert kell majd keresniük az internetes bankolás biztonságának a garantálására, hiszen az sms már bizonyítottan nem nyújt holtbiztos megoldást.
