2025. június 7., szombat Névnap: Róbert
Budapest: Napos idő, 31.4°C – részletes időjárásjelentés »
EUR: 403,53 Ft USD: 353,51 Ft
EXKLUZÍV
ELŐFIZETÉS
Regisztráció Belépés
Regisztráció Belépés
Keresés Belépés Regisztráció Archívum
Kezdőlap Belföld Külföld Politika Gazdaság Kultúra Tech Mozi StreamZóna Történelmi talányok
ELINDULTUNK!
Köszöntünk titeket az Esti Hírlap online változatában! Az ország egyik legrégebbi napilapja most digitálisan tér vissza – friss hírekkel, háttéranyagokkal és különleges tartalmakkal.
Tech


Kiberbiztonság a bankok világában – Segítünk eligazodni, mielőtt baj történne

2025. május 30., péntek 11:40 Írta: Bakonyi Tibor
Megosztás
Facebook X Megosztás az X-en LinkedIn
WhatsApp Viber
Kiberbiztonság a bankok világában – Segítünk eligazodni, mielőtt baj történne

2025-ben egyre kifinomultabb módszerekkel támadják a pénzügyi rendszereket – de a legtöbb visszaélés nem a banki szerverek feltörésével kezdődik, hanem egy rossz kattintással. Közben a digitális bankolás ma már mindennapos: utalunk, vásárolunk, alkalmazást használunk – sokszor abban a hitben, hogy a háttérben minden védve van.

Hogyan működhet egy kifinomult adathalász támadás a gyakorlatban?
A digitális pénzügyi térben előfordulhatnak olyan visszaélési módszerek, amelyek során a támadók nem a banki rendszereket próbálják közvetlenül feltörni, hanem megtévesztő technikákkal az ügyfelektől csalnak ki érzékeny adatokat. Az alábbi forgatókönyv egy általánosan ismert és nyilvánosan is bemutatott módszert ír le, amelyet az elmúlt évek során több nemzetközi és hazai sajtóorgánum is ismertetett.

1. Hamis banki oldalak megjelenése keresési hirdetések között
A támadók olyan weboldalakat hoznak létre, amelyek megtévesztésig hasonlítanak egy ismert bank netbank felületére. Ezeket a hamis oldalakat keresőmotorok hirdetési felületén jelenítik meg, például "netbank belépés" vagy "bank neve login" kulcsszavakra. Az ügyfél – ha nem ellenőrzi a webcím pontos helyességét – könnyen ráklikkelhet egy ilyen hirdetésre.

2. Bejelentkezési adatok megadása a megtévesztő felületen
A felhasználó – a hamis weboldal hitelességének látszata miatt – megadhatja banki azonosítóját, jelszavát, sőt akár az SMS-ben kapott egyszer használatos belépési kódot is. Ezek az adatok a háttérben közvetlenül a támadóhoz kerülhetnek.

3. Mobilbank alkalmazás aktiválása új eszközön
A megszerzett adatok birtokában a támadó egy új eszközre is aktiválhatja a mobilbank alkalmazást, amennyiben ehhez szükséges megerősítő kódhoz is hozzájutott. Ebben az esetben a rendszer ezt az eszközt is hitelesítettként ismerheti el, a további műveletekhez pedig már nem szükséges az ügyfél közreműködése.

4. Értesítési beállítások módosítása
Előfordulhat, hogy a támadó – miután hozzáférést szerzett a számlához – megváltoztatja az értesítési beállításokat, kikapcsolja az SMS vagy e-mail értesítéseket, vagy másik elérhetőséget ad meg. Így az ügyfél nem értesül azonnal a számlán történő tranzakciókról.

5. Tranzakciók indítása
A támadó ezután több pénzmozgást is indíthat, akár gyors egymásutánban, kisebb összegekre bontva. A cél gyakran az, hogy a tranzakciók a lehető legkevésbé keltsenek gyanút, miközben a teljes egyenleget elvonják.

Az ilyen típusú visszaélési forma nem banki rendszerhibát, hanem a felhasználó megtévesztését használja ki. A védekezéshez minden szereplő együttműködésére szükség van: a pénzügyi szolgáltatók részéről erős technikai védelemre és edukációra, az ügyfelek részéről pedig kellő figyelemre és tudatosságra.

Javasolt új biztonsági irányelv: a mesteradatok módosításának korlátozása
Bakonyi Tibor kiberbiztonsági szakértőként elsőként vezetné be azt az elvet, hogy a banki rendszerekben egyes kiemelten érzékeny, úgynevezett „mesteradatok” – mint például a belépéshez használt azonosítók, a kapcsolattartási e-mail cím vagy a telefonszám – semmilyen körülmények között ne legyenek módosíthatók kizárólag online módon.

Véleménye szerint ezek az adatok kulcsfontosságú biztonsági elemek, így az ezekkel kapcsolatos változtatásokat kizárólag személyes ügyfél-azonosítást igénylő módon lenne szabad végrehajtani – például:

  1. bankfióki megjelenéssel, vagy
  2. videóazonosítással, vagy
  3. már hitelesített, meglévő eszközről történő megerősítéssel.

Ez az aprónak tűnő módosítás hatékonyan megelőzhetné, hogy egy támadó – még ha valamilyen módon hozzá is férne a fiókhoz – tartósan átvegye az irányítást azáltal, hogy megváltoztatja az értesítési csatornákat vagy a belépési adatokat.

„mesteradatok – az olyan kiemelt hozzáférési adatok, amelyek megváltoztatása esetén a számlához való hozzáférés is megváltozhat (pl. jelszó, telefonszám, e-mail).”

„token – olyan fizikai vagy digitális eszköz, amely a felhasználó személyazonosságát vagy egy tranzakciót hitelesít (pl. külső eszköz, vagy egy mobil app által generált kód).”

„A digitális térben a hozzáférés feletti ellenőrzés a legfontosabb vagyonvédelmi kérdéssé vált. Ha a mesteradatokhoz nem lehet online hozzányúlni, azzal az esetek jelentős része megelőzhető lenne.”

Bevált megoldások, amelyekből iparági szabvány lehetne
Az elmúlt években több nagybank – nemzetközi és hazai szereplők egyaránt – innovatív biztonsági megoldásokat vezettek be annak érdekében, hogy megvédjék ügyfeleiket az adathalászat, illetéktelen hozzáférés vagy pénzügyi visszaélések ellen. Ezek közül több módszer már bizonyított, és szakértők szerint megérdemelné, hogy iparági alapszabállyá váljon.

Kétfaktoros azonosítás – ma már alap kellene, hogy legyen
Számos bank ma már kötelezővé tette az úgynevezett kétfaktoros hitelesítést (2FA), amikor a belépéshez vagy egy tranzakció végrehajtásához nem elég a jelszó, hanem szükség van egy második megerősítő elemre is. Ilyen lehet például:

SMS-ben kapott egyszer használatos kód,

biometrikus azonosítás (pl. ujjlenyomat, arcfelismerés),

mobilalkalmazásban jóváhagyott push-értesítés,

időalapú tokenkód (TOTP) generátor, pl. Google Authenticator.

Egyes nemzetközi bankok például nem engednek belépést, ha nem jóváhagyott, korábban regisztrált eszközről történik a próbálkozás.

Új eszköz aktiválása – szigorú megerősítéssel
Vannak pénzintézetek, amelyeknél egy új mobiltelefon vagy számítógép hozzáadása az ügyfélfiókhoz nem történhet meg automatikusan. Ehelyett:

  1. az új eszközt a korábban hitelesített eszközön kell jóváhagyni, vagy
  2. szükség van videós azonosításra, vagy
  3. személyes bankfióki megerősítésre.

Ezzel szinte lehetetlenné válik, hogy egy csaló egyetlen megszerzett SMS-kóddal teljes hozzáférést szerezzen a felhasználói fiókhoz.

Token-alapú aláírás és tranzakciójóváhagyás
Egyes bankok – főként a vállalati szektorban – külső hardveres eszközt (token) vagy dedikált mobilalkalmazást használnak arra, hogy az utalásokat vagy a fontos módosításokat alá kelljen írni. Ez a megoldás a legmagasabb szintű védelmet biztosítja, és erőteljesen csökkenti az emberi hiba kockázatát.

Tranzakciófigyelő rendszerek mesterséges intelligenciával
Egyre több bank épít be olyan háttérrendszereket, amelyek gépi tanuláson alapuló viselkedéselemzéssel figyelik az ügyfél szokásait. Ha például egy ügyfél általában kis összegeket utal belföldön, de hirtelen több millió forintot utal külföldre, az automatikus riasztás vagy blokkolás lép életbe.

Ez nemcsak védelem, hanem ügyfélélmény-növelő is: a rendszer megóvja a számlatulajdonost attól, hogy későn szerezzen tudomást a problémáról.

A szakértői álláspont szerint ezekből az irányokból kellene kiindulni
Bakonyi Tibor kiberbiztonsági tanácsadó szerint ezek a gyakorlatok már nem extra funkciók, hanem 2025-ben az alapbiztonság részét kellene, hogy képezzék.

„A bizalom kulcsa a kiszámítható és átlátható védelem. Ahol nem csak reagálunk, hanem megelőzünk. Ami ma bizonyítottan működik egy-egy nagybanknál, az holnap már minden ügyfél jogos elvárása lehet.”

Mit kérdezz meg a bankodnál – és mikor érdemes másik pénzintézetet keresni?
A digitális bankolás elterjedésével a pénz biztonsága nemcsak a számlaegyenlegtől, hanem a háttérrendszerek technikai védelmétől is függ. Minden ügyfélnek joga van tudni, hogyan védi a bank az ő adatait, hozzáférését, pénzét. Ezeket a kérdéseket érdemes személyesen feltenni a bankfiókban, és ha nem kapsz rájuk világos, dokumentált választ, érdemes elgondolkodni a váltáson.

6 kérdés, amit bátran tegyél fel:

Hogyan működik a kétfaktoros azonosítás?
– Használ a bank biometrikus vagy alkalmazásalapú megerősítést, vagy csak SMS-alapú hitelesítés van?

Mi történik, ha egy új eszközről jelentkezik be valaki?
– Szükséges hozzá jóváhagyás egy korábban már regisztrált eszközről vagy másodlagos azonosítás?

Lehet-e online megváltoztatni az értesítési adatokat (e-mail, telefonszám)?
– Védett-e ez a funkció külön megerősítéssel? Kikapcsolhatóak-e az értesítések úgy, hogy arról nem kapok figyelmeztetést?

Észleli-e a rendszer a gyanús tranzakciókat vagy bejelentkezéseket?
– Használnak-e mesterséges intelligenciát (AI) vagy viselkedéselemző algoritmusokat a szokatlan pénzügyi műveletek kiszűrésére?
– Történik-e automatikus riasztás, esetleg azonnali blokkolás, ha valami szokatlan történik?

Kapok-e minden fontos műveletről értesítést, és ezek letilthatók-e?
– Van-e olyan védelmi szint, ami megakadályozza, hogy valaki teljesen kikapcsolja a rendszeres értesítéseimet?

Ha mégis visszaélés történik, milyen kártérítésre számíthatok?
– Milyen eljárásrend vonatkozik erre? Mennyi idő alatt vizsgálják ki a panaszt, és mikor dől el, kapok-e kártérítést?

Ha ezekre nem kapsz megnyugtató választ...
A bankválasztás nem csak a díjakról és az applikáció kinézetéről szól. A biztonság nem lehet véletlen vagy bizalmi alapon működő háttérelem – tudatos döntést igényel.

Ha a bankod nem tudja vagy nem akarja világosan elmondani, hogyan védi az ügyfeleit, és mit tesz egy visszaélés esetén, keress addig másik bankot, amíg nem kapsz egyértelmű biztonsági garanciákat. A pénzed és adataid védelme nem lehet alku tárgya.

Tedd fel a kérdéseidet, és ne elégedj meg félinformációkkal. A tudatos ügyfél ma a legjobb védelem.

Megosztás
Facebook X Megosztás az X-en LinkedIn
WhatsApp Viber

Legfrissebb hírek

8 órája
Greta Thunberg és Liam Cunningham is a Gázai segélyflottillán – új lendület a blokád elleni fellépésben
8 órája
Forgalomkorlátozások a Mátrában a Tour de Mátra kerékpárverseny miatt
8 órája
Perzselő hétvége: hőségriadó és extrém UV-sugárzás várható Magyarországon
1 napja
LMBTQ+ zászló került ki a Városházára Budapest Pride alkalmából
1 napja
Tízezrek kapnak 700 ezer forint feletti nyugdíjat – De mit árul el ez a szám?
1 napja
Budapest pénzügyi válság küszöbén – Veszélyben a közszolgáltatások?
1 napja
Veszélyben a magyar űrhajós útja? – Elon Musk bejelentése hullámokat vetett
1 napja
Dracula: A Love Tale – A halhatatlan szerelem átka
1 napja
Kibertámadás és dróncsapás egyszerre: célkeresztben az orosz légierő szíve
2 napja
Öt csapás a kibercsalók ellen – így védi meg a Jegybank a magyarokat
Link sikeresen kimásolva!