Komoly biztonsági rést találtak a Magyar Telekomnál

| forrás:
TF-információ/mti
| olvasási idő: kb. 3 perc

Visszaélésre, csalásra alkalmas az a telefonegyenleg-feltöltési gyakorlat, amikor az előfizető egy számsort SMS-ben elküldve jelzi, hogy saját számlája terhére egy másik telefonszám egyenlegét kívánja növelni. A Nemzeti Média- és Hírközlési Hatóság (NMHH) ezért megtiltja ennek a feltöltési módnak a jelenlegi formáját, így az előfizetők a szolgáltató által eddig is kínált más egyenlegfeltöltési lehetőségeket vehetik igénybe. A döntés, amely a Magyar Telekomra mint egyedüli alkalmazóra érvényes, még nem jogerős.

Biztonsági rés a gyakorlatban

A hírközlési hatóság olyan visszaélések miatt indított eljárást, miszerint csalók telefonon keresztül különböző indokokkal (nyereményjáték, adategyeztetés stb.) arra vesznek rá mobiltelefon-használókat, hogy a Magyar Telekom Nyrt. által az SMS alapú egyenlegfeltöltéshez létrehozott számra olyan üzenetet küldjenek, amellyel egy számukra ismeretlen előrefizetős SIM kártya egyenlegét töltik fel.

Tanulj a tőzsdén kereskedni 21 nap alatt! Kérd az INGYENES videóidat még ma! (A kereskedés kockázatos.) (x)

A csalók egy telefonhívással arra kérik a gyanútlan előfizetőket, hogy az SMS szövegébe egy olyan számsort írjanak, amely – bár a felületes szemlélő számára jelentéssel nem bír – valójában egy telefonszámból és egy összegből épül fel (például: 30 1234567 10000).

Ez a számsor azonban a szolgáltató rendszere számára azt jelenti, hogy a megadott telefonszám univerzális egyenlegére (azaz a végső soron a csaló egyenlegére) az SMS-t küldő töltsön fel egy meghatározott összeget (az előbbi példa szerint tízezer forintot), viszont ez saját előfizetéséhez tartozó számláját terheli majd. Egy alkalommal egyébként maximum 15 ezer forint csalható ki az ügyfelektől. 

Az így feltölthető univerzális egyenleg esetében az „univerzális” jelző arra utal, hogy az itt szereplő összeg nemcsak telefonálásra alkalmas, hanem bármilyen mobilos vásárlást is lehetővé tevő egyenleg feltöltését eredményezi.

Tehát a két előfizetés között pénzmozgás jön létre, az SMS-küldők erre irányuló szándéka nélkül is. Ezt a feltöltési módot a hazai mobilszolgáltatók közül egyedül a Telekom tette lehetővé előfizetőinek, a többi szolgáltató nem vezette be.

Kockázatos egyenleg-feltöltési módszer

A kockázatot az okozza, hogy egyrészt olyan célra lehet használni egy SMS-t, amiről az előfizető nem tud és nem is várható el, hogy tudjon, hiszen az SMS-ben való egyenlegfeltöltés lehetőségét sem megrendelni, sem külön beállítani nem kell, azt a szolgáltató minden SMS-képes telefonnal elérhetővé teszi, azonban egy számlás előfizetőnek nem kell ismernie a feltöltős előfizetésekre vonatkozó lehetőségeket.

Így akár az előfizetők tudta nélkül, és szándékuk ellenére is SMS elküldésével pénzmozgást lehet elindítani a számlájuk terhére, miközben fel sem merül bennük, hogy egy normál díjas számra elküldött üzenettel pénzmozgást indíthatnak el, és ezzel egy prepaid SIM kártyát töltenek fel egy meghatározott összeggel.

Tovább rontotta a helyzetet, hogy az SMS-sel való feltöltéshez semmiféle biztonsági azonosításon nem kellett átesniük az előfizetőknek. Bár a szolgáltató később már kétlépcsős megerősítést kért az előfizetőktől a feltöltési szándékukat illetően (tranzakciót indítani már csak a FELTÖLTÉS szó beírásával lehetett, ez után pedig a szolgáltató értesítette az előfizetőt arról, hogy feltöltést kezdeményezett, megadva azt a lehetőséget, hogy ne válaszoljon, amennyiben nem szeretne feltölteni), az SMS-alapú egyenlegfeltöltési lehetőség ebben a formában, összességében továbbra is túlságosan könnyen ad módot a visszaélésekre. 

A hírközlési hatóság határozata

Ugyan a szolgáltató az eljárás alatt több intézkedést is tett annak érdekében, hogy az eljárás biztonságát növelje és megfeleljen az előfizetők érdekének – megváltoztatta tehát a megerősítő kérdés tartalmát, illetve a megadandó karaktersorozatot –, az NMHH vizsgálata egyértelművé tette, hogy ezek egyelőre még nem elég hatékonyak az előfizető megfelelő védelméhez a jelentkező kockázatokhoz képest.

A Telekom elzárkózott a becsapott előfizetők kártalanításától arra hivatkozva, hogy a károkat nem ő okozta, noha az ő rendszerén keresztül történtek a visszaélések. A jogsértések miatt a hírközlési hatóság a feltöltésnek ezt a módját – a határozat jogerőre emelkedésétől számítva – megtiltja a Telekom számára egészen addig, amíg a szükséges biztonsági intézkedéseket meg nem teszi az előfizetők pénzügyi védelme érdekében. A döntés még nem jogerős, a szolgáltató fellebbezéssel élhet.

Tanácsok az előfizetőknek

Az NMHH felhívja a felhasználók figyelmét, hogy ha ismeretlenek arra próbálják rávenni, hogy bármilyen számsort SMS-üzenetben küldjenek el, ne dőljenek be a csalóknak. A kérést hagyják figyelmen kívül, vagy ha már megtörtént a károkozás, tegyenek feljelentést a rendőrségen. 

Az érintett Telekom-előfizetők a szóban forgó feltöltési mód szünetelésének idején sem maradnak feltöltési lehetőségek nélkül, hiszen – hasonlóan a többi szolgáltatóhoz – erre több módjuk is van.

Az egyenlegüket bankkártya segítségével automatán, egyes bankok telefonos és internetes ügyfélszolgálatán, banki okostelefonos alkalmazáson, a szolgáltató honlapján vagy az erre lehetőséget adó boltok pénztárainál is feltölthetik készpénzes vagy bankkártyás fizetéssel. 

Reagált a Magyar Telekom

A Magyar Telekom közölte, hogy fellebbezést nyújtott be az NMHH határozata ellen. A szolgáltató álláspontja szerint az SMS-ben történő egyenlegfeltöltés nem elektronikus hírközlési szolgáltatás, így erre nincs hatásköre az ügyben eljáró Nemzeti Média- és Hírközlési Hatóságnak.

A Magyar Telekom keddi közleménye szerint a kifogásolt egyenlegfeltöltés az ügyfelek kényelmét szolgálja, az eljárás biztonsága érdekében pedig már több intézkedést is hoztak. Az üzenet elküldését követően megerősítő kérdést küldenek az ügyfélnek, aki a tranzakciót csak a megadott kódszó beírásával tudja elindítani, ezt követően pedig értesítést kap a feltöltésről
is.

Megjegyezték, hogy más megoldásokhoz képest alacsony az sms-egyenlegfeltöltés aránya, a csalások száma pedig ezen belül sem éri el az 1 százalékot.

A Magyar Telekom feljelentést javasol azoknak, akik csalás áldozatainak érzik magukat, és közölte, hogy mindegy konkrét ügyben együttműködik a rendőrséggel.

Hirdetés
Hirdetés
Hirdetés
Találtuk

Főként magányosak hívják a lelkisegély-szolgálatot advent idején.

Az elkövetkező 15 évben az amerikai állások közel fele automatizálttá válhat.

Hirdetés
Szabadidő, sport

Sokkal többen utaztak a Balatonra a MÁV-val

A nyári szezon első hétvégéjén a tavalyinál 27,5 százalékkal többen.

Magyar fiatalok is pályára lépnek az idei VB-n

A FIFA Világbajnokság-McDonald's Játékoskísérő program keretében...

Hirdetés
Ezt olvasta már?

Hódít az M2M – az emberi beavatkozás nélküli »

4IG 1050 (1,94 ) AKKO Invest 25200 (1,61 ) ANY 1345 (0,37 ) APPENINN 465 (0,65 ) AutoWallis 124 (5,53 ) BIF 304 (2,01 ) CIGPANNONIA 370 (0,95 ) CSEPEL 680 (-2,86 ) CyBERG 2100 (16,67 ) Duna House A 4000 (-2,20 ) EHEP 16000 (33,33 ) ENEFI 470 (-1,88 ) ESTMEDIA 83 (2,34 ) FUTURAQUA 81 (0,50 ) GSPARK 3700 (0,27 ) KONZUM 215 (-1,38 ) KPACK 20000 (-0,99 ) MASTERPLAST 718 (-1,37 ) MOL 3104 (-0,06 ) MTELEKOM 414 (-0,60 ) NORDTELEKOM 41 (-2,38 ) NUTEX 27 (-3,57 ) OPUS 430 (-0,78 ) ORMESTER 2580 (2,38 ) OTP 11710 (-0,34 ) OTT1 200 (-1,19 ) RICHTER 5210 (1,66 ) SET Group 664 (10,85 ) WABERERS 1220 (-5,06 ) ZWACK 17650 (-0,28 )