Abszurd SSL hiba: Az MBH Bank – MBH.HU webcíme taszítja az ügyfeleket a csalók irányába? – MBH Bank számlafeltörés – 4. rész

A rendelkezésre álló információk – beleértve a független SSL-teszt eredményeket, az áldozatok visszajelzéseit, valamint a korábbi három cikk során feltárt eseteket – arra utalnak, hogy a MBH Bankhoz kapcsolódó incidensek messze túlmutatnak egyedi hibákon vagy technikai véletleneken. Az SSL tanúsítvány név eltérése (certificate name mismatch), amely a bank hivatalos domainjeihez kapcsolódó vizsgálatunk során feltárásra került, nem önmagában álló probléma, hanem egy olyan láncolat egyik jele, amely több szinten gyengíti az MBH bank és a digitális ökoszisztéma megbízhatóságát. Maga az MBH Bank weboldala taszítja az MBH.HU webcímről az ügyfeleket, a csalók által létrehozott és a Google használatával elérhető, un. szponzorált átverős linkek igénybevételére, majd – emberi figyelmetlenséggel kiegészülve és az url-ekben lévő címeket nem  figyelve – az MBH Bank weboldalával egyező felület, valódiként történő használatára.   

A vizsgált technikai részlet – a banki szolgáltatáshoz kapcsolódó domainek közül több nem szerepel a használt SSL tanúsítványban, vagy nem megfelelő IP-címre mutat – egyértelműen sérti a TLS (Transport Layer Security) protokoll RFC 6125 szabványának vonatkozó előírásait, amelyek egyértelműen meghatározzák a szerver identitásának domain-név alapú hitelesítését.

A tanúsítvány által nem fedett domain név használata nem csak az IETF (Internet Engineering Task Force) által meghatározott ajánlásokkal megy szembe, hanem közvetlenül veszélyeztetheti azokat a végfelhasználókat, akik jogosan feltételezik, hogy egy bank webcímének meglátogatása biztonságos HTTPS-kapcsolaton keresztül történik, hitelesített szolgáltatón keresztül.

A probléma súlyosságát tovább növeli, hogy a csalók – amint azt korábbi cikkeink bizonyítják – Google keresési találatokkal manipulált felhasználókat irányítottak hamis, de érvényes SSL tanúsítvánnyal rendelkező oldalakra.

Ez a gyakorlat nem új, az amerikai Federal Trade Commission (FTC) 2022-es állásfoglalásában is szerepel (ld. FTC Report on Phishing through Sponsored Ads), hogy a keresőmotorok hirdetési infrastruktúrája a csalók által gyakran kihasznált támadási vektor.

A tanúsítványhibák elbagatellizálása ebben a kontextusban súlyosan veszélyezteti az általános digitális biztonságtudatosságot: ha egy legitim oldal is hibaüzenetet dob, az felhasználói oldalon csökkentheti a gyanakvást a későbbi, már valóban csaló oldalakkal szemben.

A tanúsítványban az alábbi weboldalak érhetőek el: Nem fontos ( igen igy jelöli a tanúsítvány)  mbhbank.hu,  www.mbhbank.hu,   mkb.hu,  www.mkb.hu, budapestbank.hu, www.budapestbank.hu, takarekbank.hu, www.takarekbank.hu…és itt a vége HUSS….az MBH.HU és WWW.MBH.HU..az biz ciki vagy sem…de „kimaradt„...és ezért a lakat hiányáért, számos paranoid böngésző – értsd magas biztonsági beállítású – fogja és kidobja a látogatót.

Az MBH Bank azt mondja nem hibázott, a tények meg azt, hogy HATALMASAT! 

A bank mentségére szolgáljon – illetve az IT-sek védelmében – hogy az MBH.HU domain nevet ugyan átirányították – a tanúsítványban szereplő mbhbank.hu domain névre, csak ez nem mindenkinek jelenik meg mint látható, nekünk sem és ilyenkor az óvatosak bezárják a böngészőt és ez lesz a valódi vesztük!  Tehát kimondható, az MBH Bank tevőlegesen járul hozzá a böngészőn keresztül történő ügyfél kilépésekhez, majd a szükségszerű Googleban történő kereséshez.

Az MBH Bank hibás SSL tanúsítványa „dobálja” az ügyfeleket a Google irányába mert a beírt mbh.hu -ra ezt a szép és derék „Az Ön kapcsolata nem privát” – feliratot látjuk!

Aki ennek okán meglepődve látja ezt,  megy  a Google keresőjébe. Ott pedig beírja a sok ember azt, hogy „MBH BANK” és kapja az arcába ezt, a Google által kiemelet hirdetést, amiből megannyi honpolgártársunk bukik milliókat, mert oda van írva: a SZPONZORÁLT!

Borzasztó és érthetetlen, ami történt. A bank azt állítja, nem hibázott, miközben a tények, az elszenvedett károk és a pórul járt ügyfelek történetei hatalmas problémákra utalnak.

Fontos látni, hogy a banki rendszerekben lévő apróbbnak tűnő hibák is lavinát indíthatnak el. Úgy tűnik, mintha a bank weboldalának SSL tanúsítványával kapcsolatos gondok – amelyek miatt a böngészők figyelmeztetést jeleníthetnek meg – mintegy a Google felé löknék az ügyfeleket, amikor az mbh.hu címet írják be. Ilyenkor, ha valaki megijed a figyelmeztetéstől és a Google-ben keres rá a bankjára, könnyen belefuthat a csalók által fizetett, kiemelt hirdetésekbe.

Ezek a ‘szponzorált’ hirdetések pont arra építenek, hogy az emberek megbízhatónak tartják, ami kiemelt vagy támogatott, és gyors megoldást keresnek. Sajnos, mint látjuk, éppen ezek a hirdetések vezettek sok honfitársunk esetében milliós veszteségekhez. Az, hogy a bank hibás SSL-je gyanússá teheti a saját oldalát, és így akaratlanul is a Google keresőjébe terelheti az ügyfeleket, ahol aztán a csalók hálójába kerülhetnek, valóban aggasztó és mélységesen igazságtalan helyzetet teremt.

SSL – az MBH.HU weboldalon avagy az MBH.HU-nak az nincsen…értsd. nincs hozzárendelve a meglévő SSL tanúsítványhoz! 

A rendelkezésünkre álló információk lehetővé teszik, hogy elemezzük, miként jelenthet kockázatot a felhasználókra az SSL tanúsítvány név eltérése, és mennyire tekinthető súlyos hibának.

Fontos megérteni, hogy az SSL tanúsítvány név eltérése (Certificate name mismatch) önmagában nem feltétlenül jelenti azt, hogy a weboldal rosszindulatú, vagy hogy az adatok nincsenek titkosítva. Azonban, ahogy a keresési eredmények is mutatják, ez a hiba jelentős biztonsági kockázatokat rejt magában, különösen egy banki weboldal esetében.

Hogyan érheti kár a felhasználót az SSL hibával?

Bizalomvesztés és figyelmeztetések: Az SSL tanúsítvány név eltérése miatt a böngészők biztonsági figyelmeztetéseket jelenítenek meg, amikor a felhasználó megpróbálja elérni a weboldalt. Ezek a figyelmeztetések zavaróak lehetnek, és arra késztethetik a felhasználókat, hogy kevésbé vegyék komolyan más, komolyabb biztonsági figyelmeztetéseket, vagy egyszerűen figyelmen kívül hagyják őket a webhely eléréséhez.

Adathalászat elősegítése: a csalók gyakran használnak megtévesztő domain neveket és hamis weboldalakat adathalászathoz. Ha egy legitim banki weboldal SSL tanúsítványa hibás (például név eltérés van), az csökkentheti a felhasználók éberségét. Ha a böngésző a legitim oldalon is hibát jelez, a felhasználó kevésbé gyanakodhat akkor, ha egy adathalász oldalon is hasonló figyelmeztetést lát (vagy épp meglepődik, ha a hamis oldalon nincs SSL hiba, ahogy cikkünk is utal rá korábban, vagy ahogy a hamis oldal rendelkezett Google által kiadott SSL-lel). Egy érvénytelen tanúsítvány „megkönnyítheti a támadóknak egy identikus adathalász webhely létrehozását”.

Man-in-the-Middle (MITM) támadások kockázata: Bár a titkosítás továbbra is működhet a tanúsítvány hibája ellenére, a név eltérés gyengítheti a szerver hitelesítését. Ez növelheti a Man-in-the-Middle támadások kockázatát, ahol a támadó a felhasználó és a szerver közé ékelődve lehallgathatja vagy módosíthatja a kommunikációt. A keresési eredmények szerint az SSL tanúsítvány hibák „felhasználói adatok kiszivárgásához” vezethetnek.

Súlyos vagy elhanyagolható hiba az SSL tanúsítvány név eltérése?

A rendelkezésre álló információk alapján az SSL tanúsítvány név eltérése banki környezetben nem tekinthető elhanyagolható hibának, bár a súlyosság megítélése eltérő lehet a különböző biztonsági értékelésekben, de jelen esetben a sértettek Googleba terelése, potenciálisan komoly problémát jelent.

Potenciális súlyosság: Egyes források „közepes” súlyosságú biztonsági résként jelölik meg. Más értékelésekben a súlyosság függhet a hiba konkrét konfigurációjától és attól, hogy milyen más biztonsági intézkedések vannak érvényben. A kockázatok között szerepel a „bizalom csökkenése, mivel az oldal bizonytalanná válik”.

Technikai oka lehet konfigurációs hiba: A név eltérés gyakran technikai konfigurációs hiba eredménye, például ha a tanúsítványt nem pontosan a használt domain névre állították ki, vagy ha az alias domainek nincsenek hozzáadva a tanúsítványhoz.

Biztonsági résekre utalhat: Bár nem minden esetben vezet közvetlenül támadáshoz, az SSL tanúsítvány helytelen beállítása a webhely általános biztonsági higiéniájának hiányosságaira utalhat. Banki környezetben, ahol a legmagasabb szintű biztonságra van szükség, az ilyen hibák nem elfogadhatók. Ahogy a keresési eredmények is jelzik, az SSL hibák hozzájárulhatnak az „adatvédelmi incidensekhez és szabályozói bírságokhoz”.

Íme, hogyan kapcsolódnak az SSL/TLS anomáliák banki károkhoz és bűncselekményekhez a talált információk alapján:

1. Fokozott adathalászati kockázat: Az SSL tanúsítvány hibája, különösen a név eltérés, aláássa a webhely hitelességét és a böngésző biztonsági figyelmeztetéseket jelenít meg. Ez a helyzet kihasználható adathalász támadásokban. Ahogyan az első cikkünk  is részletezi az MBH Bank esetében, a csalók Google hirdetéseken keresztül irányították a felhasználókat hamis, de SSL tanúsítvánnyal rendelkező oldalakra, így keltve a biztonság látszatát. Ha egy legitim oldalon is SSL hiba van, az csökkentheti a felhasználók éberségét a hamis oldalak iránt.
   A kutatás is kiemeli, hogy a tanúsítványhibák megkönnyíthetik adathalász webhelyek létrehozását.
2. Man-in-the-Middle (MITM) támadások elősegítése: Az SSL/TLS sebezhetőségek, mint például a BEAST támadás (amely a TLS 1.0 egy ismert gyengeségét használta ki), lehetővé tehetik a támadók számára, hogy lehallgassák vagy módosítsák a titkosított kommunikációt a felhasználó és a bank szervere között. Bár egy név eltérés nem közvetlen MITM támadási vektor, gyengíti a hitelesítést, ami hozzájárulhat az ilyen típusú támadások kockázatához, ahol érzékeny adatok (például bejelentkezési adatok vagy tranzakciós részletek) lophatók el, ami közvetlen anyagi kárhoz vezethet.

Miért kínos ez most az MBH bank számára?

1. Szakmai hiányosság: Egy pénzintézménytől a legmagasabb szintű biztonság elvárható. A hiba technikai figyelmetlenségre utal.

2. Jogszabályi kockázat: Az MNB szigorú követelményeket támaszt a digitális biztonság terén. Hibás SSL-konfiguráció szabálysértést jelenthet.

3. Vevőbizalom romlása: A felhasználók nem tudják értékelni, hogy „biztonságos-e továbblépni” – ez aláássa a bank hírnevét.

4. Versenyhátrány: A konkurencia intézmények rendszeresen frissítik SSL-tanúsítványaikat. Az MBH Bank esete negatív példaként szolgálhat.

Bár technikai értelemben konfigurációs hibából adódhat, egy banki weboldal esetében ez egy komoly figyelmet igénylő biztonsági hiányosság.  Az ilyen típusú hibák feltárása és javítása kritikus fontosságú az online banki rendszerek megbízhatósága szempontjából.

Az, hogy maga a tanúsítvány kiabál a hibától, mi sem bizonyítja jobban, hogy láthatóan sárga a 15 figyelmeztetéstől.

A nem megfelelő tanúsítványbeállítás jogi vonatkozásait tekintve érdemes rámutatni, hogy az Európai Unió általános adatvédelmi rendelete (GDPR, 2016/679/EU rendelet) 32. cikkének (1) bekezdése egyértelműen megköveteli a „megfelelő technikai és szervezési intézkedések alkalmazását” a személyes adatok biztonsága érdekében, különös tekintettel azok jogosulatlan hozzáférés elleni védelmére. Egy banki szolgáltatás esetén, ahol az adatáramlás során pénzügyi és személyes adatok kerülnek feldolgozásra, az SSL/TLS-konfiguráció hibája nem csupán műszaki kérdés, hanem potenciálisan adatvédelmi incidens is lehet, amely bejelentési kötelezettséggel jár az adatkezelő (azaz a bank) részéről.

Az MNB 10/2022. számú ajánlása az informatikai biztonságról szintén előírja, hogy a pénzügyi intézményeknek magas szintű védelmi intézkedéseket kell fenntartaniuk minden interneten keresztül elérhető szolgáltatásuk esetén. Ebbe beletartozik a tanúsítványok érvényessége, naprakészsége és teljes domainlefedettsége is. E szabályozói elvárás figyelmen kívül hagyása a bank számára nemcsak pénzügyi bírság kockázatát hordozza, hanem reputációs kárt is okoz, különösen, ha a problémát már nyilvánosan is dokumentálták.

A felhasználók oldalán keletkező kár tehát nem csupán a számla kiürítéséből adódhat. A bizalomvesztés – amely az online banki műveletek során meghatározó tényező – hosszú távú következményekkel járhat. Amennyiben az ügyfelek nem képesek különbséget tenni a legitim és csaló felületek között, vagy ha a biztonsági figyelmeztetéseket rendszeresen figyelmen kívül kell hagyniuk, a rendszerösszeomlás nem műszaki, hanem társadalmi szinten következik be.

Az SSL tanúsítvány név eltérése önmagában is technikai hiányosság, de jelen ügy kontextusában figyelmeztető jel arra, hogy a digitális pénzügyi infrastruktúrában több ponton sincs szinkronban a szabályozási, technikai és felhasználói bizalom. Mindez különösen aggasztó, ha figyelembe vesszük, hogy az áldozatok száma – a beérkezett beszámolók alapján – már most is meghaladja a tucatnyi esetet, és a valós károsultak száma ennek akár többszöröse is lehet. Az ilyen rendszerszintű gyengeségekre a pénzintézeteknek nem PR-nyilatkozatokkal, hanem átlátható auditálással, azonnali hibajavítással és kártérítési hajlandósággal kell válaszolniuk, ha meg akarják őrizni az online pénzügyi világ iránti közbizalmat.