A bankügyletek biztonsága

A XXI. század kezdetére elértük azt a szintet, hogy a banki tranzakciók nagy része elektronikus úton zajlik. És ez már nemcsak a hitelkártya közvetlen használatára korlátozódik, hanem az internet színre lépésével új dimenziók nyíltak. Amellett, hogy mindent meg tudunk vásárolni a világhálón, azon intézhetjük átutalásainkat, befektetéseinket, devizaszolgáltatásokat és más pénzügyi tranzakciókat, és még sok egyéb elvégzendőnket. Már akkor, ha olyan bankkal állunk kapcsolatba, amelyik megtette ebbe az irányba az első lépéseket. Adatbiztonság- De akár így, akár úgy, mindig felmerül egy kérdés: mi van a biztonsággal? Sokan félnek attól, hogy illetéktelen személyek ‘lehallgatják’ a bankkártyájuk adatait tartalmazó adatfolyamot, vagy illetéktelenül és jogosulatlanul belenyúlnak a számlavezetésbe, megpatkolják a számlaegyenleget… Be kell vallanunk, a félelem nem alaptalan. De mégis, mielőtt a pánik eluralkodik, tegyük hozzá: a bankok rengeteg pénzt és energiát áldoznak a maximális biztonságra, sokkal többet, mint egyes internelszolgáltatók. Így az esély alacsony. De azért tudjuk, az ördög nem alszik, nézzük ezért kicsit részletesebben, mik is ezek a védelmi módszerek.Minden egyes banki művelet információja egy szűrőn megy keresztül, amely átkódolja az adatot a küldő oldalról. Így a telefonon vagy interneten haladó adatok nem használhatók egy egyszerű lehallgató számára. A legtöbb vállalatnál már a saját számítógépeiken lévő adatokat is titkosítják, tehát egy esetleges betörés esetén nem kell tartani az illetéktelen felhasználástól. Fontos biztonsági eljárás az elektronikus aláírás. (lásd titkosításról szóló írásunkat) Gyakori védelmi mód az időbélyegzés és az egyedi tranzakció azonosító. Ezek főként az olyan betörések esetére szolgálnak védelmül, amiben a támadó egy korábban ‘lehallgatott’ elektronikus üzenetet akar újraküldeni. Ezt a műveletet mind az időbélyegzés, mind az egyedi tranzakció azonosító észleli, és így a tranzakciót nem hajtja végre. Fontos szabvány az EMV ’96. Ez a pénzzel feltölthető fizetőkártyák (ún. chip-kártyák) biztonsági szabványa. Három multi egyezménye alapján született 1996-ban: résztvevői a Europay, a Visa és a Mastercard. A rendszer a SET-en alapszik. Segítségével lehetőség nyílik arra, hogy biztonságosan vásároljunk a hálózati számítógépeken és a mobiltelefonokon keresztül. Ez a pénzvilág első globális chip-kártya infrastruktúrája.Hogyan védik a pénzintézetek a saját rendszerükön lévő adatokat az illetéktelen behatolók (system cracker) ellen? Az első szereplő a védelmi rendszerben a tűzfal. Arra szolgál, hogy leválassza a bank belső hálózatát a publikus hálózattól, hiszen a belső rendszerben tárolják az értékes, védett információkat. Elemi fontosságú, hogy ezen adatok megtekintésére és módosítására csak arra jogosult személyeknek legyen módjuk. A védelmet szolgálja ezért a jogosultságok pontos leosztása is. A bankok nyilvántartják, ki férhet hozzá a könyveléshez, ki az értéktár nyilvántartáshoz stb. Sok bank azt is szabályozza, mely alkalmazott, mely fiókból, annak mely munkahelyéről jelentkezhet be. Ezen belül is külön meghatározott, hogy mely banki alkalmazáshoz és milyen jogosultsággal (írás, olvasás, módosítás, törlés) férhet hozzá. Fontos, hogy a bank tevékenységei auditálhatók legyenek. Minden hozzáférést nyilván kell tartani, miközben a bank rendszerének minden külső hozzáférést engedélyeznie kell. Ilyen pl. a bankközi elszámolási (giro) kapcsolat, az ATM-ek és a POS terminálok autorizáció (hitelesítési) kérése, stb. Ezek a kapcsolatok két meghatározott pont közti fix úton haladnak. Ezt egészíti ki az internet, vagy más előre meg nem határozott úton menő kapcsolat, ahol számos távközlési hálózaton át juthat el az ügyfél a bankhoz. A tűzfalat többnyire arra a pontra teszik, ahol a bank adathálózata a nyilvános telefonhálózatra vagy az internetre kapcsolódik. A tűzfal egy, csak erre a célra használt eszköz, mely a bejövő kapcsolatokat figyeli, nyilvántartja auditálási célból, és kiszűri, nem engedi át a belső hálózat felé a nem engedélyezetteket. Nyilvántart ún. betörési kísérleteket, pl. ha valaki jelszót többször próbál sikertelenül kitalálni. Ez eddig mind szép és jó. De tudnunk kell, hogy nincs az a rendszer, ami feltörhetetlen lenne. A mindenre elszánt sys-crackerek előbb vagy utóbb megtalálják azt a pontot, ahol beférkőzhetnek a belső hálózatra. Itt jön képbe a védelmi rendszer legfontosabb eleme, a humán-erőforrás. Kivétel nélkül minden bank 24 órás figyelőszolgálatot alkalmaz. A profi szakemberek árgus szemekkel lesnek minden egyes byte mozgást. Egészen biztosan ennek köszönhető, hogy belső segítség nélkül eddig még egy bank rendszerébe sem sikerült beférkőzni.Kártyatrükkök- Lássuk azonban azt is – hogy jobban értsük a védelem szerepét -, mikre képesek a támadók, hogy pénzhez jussanak. Ezen módszerek sorában egyelőre még ritkák a cracker módszerek. A többség inkább a hagyományos ügyeskedésre esküszik. A főszereplő minden esetben egy bankkártya. Az egyik kevésbé profi módszer a hitelkártyán lévő adatok felírása, amikor az ügyfél valahol fizet. Az így megszerzett adatokat azután az interneten és egyéb távvásárló központokban lehet alkalmazni, de az ilyen jellegű vásárlást néhány plusz adat bekérésével szűrni lehet. Ennél sokkal dörzsöltebb és szinte kivédhetetlen módszer a bankkártyák lehúzása. A körülmények megegyeznek, az ügyfél odaadja pl. egy étteremben a pincérnek a kártyáját, aki azt lehúzza egy speciális készülékben, amely gyakorlatilag lemásolja a kártya alján elhelyezkedő csíkban lévő adatokat. Ezen adat felhasználásával egy másik fifikás gép segítségével legyártják a kártya hű másolatát, amivel kedvükre vásárolgatnak. Ennél jóval ritkább a bank belső rendszerébe való behatolással elkövetett feltörés. Ezek kivétel nélkül belső segítséggel történnek.A bank rendszerébe jutván számtalan módozat van a pénzlopásra. Átutalások bonyolítása, ügyfelek teljes adatállományának, kártyaszámának megszerzése, stb. Mindig ügyeljünk a kártyánkra, ha azzal fizetünk és ragaszkodjunk hozzá, hogy a szemünk előtt történjen a pénz levétele. Így kizárhatjuk a kártyalehúzás veszélyét. Hálózati betörés esetén pedig azért nem kell felesleges félelmeinknek lenni, mert az ilyen esetekben a kárt teljes egészében a banknak kell fedeznie. Így tehát elemi érdekük törekedni a szuperbiztonságra.

Kategóriák