Hekkertámadás a legnépszerűbb online fizetési rendszer ellen – ez lenne a megoldás?

Ahogy ahol több portálon is lehetett olvasni, de sajnálatos mód számos felhasználó is szembesülhetett azzal, hogy a hekkerek kikezdték az OTP Simple rendszerét.

December 5-én este más felület(ek)en eltulajdonított felhasználónév/jelszó kombinációkkal adattolvajok több ezer Simple-felhasználó fiókjához fértek hozzá. Beléptek a fiókokba, megváltoztatták a kapcsolattartók emailcímét.

Az OTP az érintett fiókokat blokkolta, a fiókok védelme érdekében szükséges lépéseket megtette, átmenetileg szüneteltette a Simple-fiók-bejelentkezési lehetőségeket, plusz hatósági intézkedést kezdeményezett a hekkerek ellen.

Csakhogy december 8-án pénteken peste a Simple rendszert érte külső támadás, amely a végfelhasználók által is használt alkalmazást takarja, amelyben különböző szolgáltatásokat vásárolhatnak meg, vehetnek igénybe a felhasználók. Ekkor a Simple azt jelezte felhasználóinak, hogy „a bankkártya-elfogadás esetén lassulás tapasztalható” – bár ennek állítólag még nem volt köze ahhoz, hogy később már nem lehetett belépni a mobilos applikációba, hogy nem működött a rendszer, illetve több felhasználó hekkerektől kapott leveleket. Ezekben ott állt az addig használt jelszó, hogy az OTP „extra adót szed be”, valamint egyéb politikai üzenetek, minthogy Izrael „népírtó”, a magyar kormány pedig „korrupt”. E leveleket állítólag az Anonymus nevű nemzetközi hekkercsoport küldte ki.

Itt a Simple megoldása: a kétfaktoros azonosítás

Most, hogy a rendszer helyreállt, a Simple-felhasználók sorra kapják a tájékoztató leveleket arról, mit kell tenni ahhoz, hogy aktiválják az immár elérhető kétfaktoros fiókazonosítást.

A kód megadásával igazolva lesz, hogy a készülék vagy a böngésző valóban a felhasználóhoz tartozik, a Simple rendszere ezután az adott készüléket vagy böngészőt azonosított készülékként kezeli. Utóbbi esetében a felhasználó eldöntheti, hosszútávon is megbízik-e benn, vagy minden egyes használatkor igénybe kívánja-e venni a kétfaktoros azonosítást.

Valamint a következőket ajánlják:

• a kódot kizárólag a Simple kódbekérő felületén adják meg a felhasználók, ne küldjék el senki másnak – sem szóban, sem írásban;
• elképzelhető, hogy a felhasználó akkor is kap kódot, amikor erre nem tartott igényt – ez akkor fordulhat elő, amikor illetéktelenek akarnak bejutni a rendszerbe (ilyenkor természetesen jelszócsere javallott);
• érdemes ellenőrizni a Simple-jelszót a felhasználóknak, mert ha más szolgáltatóknál is ugyanazt a jelszót használják, az bizony nagyobb kockázatot jelent;
• és azt is javasolják, hogy a kétfaktoros azonosítás mellé a felhasználók a Simple alkalmazásában aktiválják az emailes értesítés bejelentkezéskor biztonsági funkciót is, amely minden egyes bejelentkezésről küld a felhasználó címére egy tájékoztató emailt.

Nyitókép: Facebook