Push értesítés vagy SMS? – Biztonsági kérdés 2025-ben

A banki azonosításnál 2025-ben a push értesítés a legtöbb helyzetben biztonságosabb és felhasználóbarátabb, mint az SMS‑kód. Az alábbi útmutató a két módszer erősségeit és korlátait gyakorlati példákkal, beállítási tervvel és GYIK-kel mutatja be, kifejezetten a hétköznapi használatra optimalizálva.

Miért pont most fontos ez a döntés?

A digitális bankolás belépést, utalást, online kártyás fizetést és limitek módosítását is érintő „erős ügyfélhitelesítést” (SCA) igényel. Ennek két legelterjedtebb módja az SMS‑kód és a push értesítésen alapuló alkalmazás‑jóváhagyás. 2025-ben a csalások módszerei finomodtak: a klasszikus adathalászat mellé felzárkózott a SIM‑csere (SIM swap), az üzenettovábbítási infrastruktúra sebezhetőségeinek kihasználása (SS7), a mobil‑kártékonykódok és a valós idejű „meggyőzős” támadások.

Két megoldás, két filozófia

SMS‑kód: mi történik a háttérben?

Az SMS egy egyszer használatos jelszót (OTP) küld a SIM‑kártyához kapcsolt telefonszámodra. A bank a kód helyes megadásából következtet arra, hogy te vagy a birtokosa az adott telefonszámnak. Ez egyszerű, hálózatfüggetlen (nem kell mobiladat), és szinte minden készüléken működik.

Gyakorlati előnyök:

• Működik régebbi telefonon is, okosfunkciók nélkül.
• Gyenge adatkapcsolat mellett is megérkezhet (GSM‑jel elég).
• Alapértelmezett, a legtöbb ügyfél ismeri.

Kritikus gyengeségek 2025-ben:

• SIM‑csere / SIM swap: a támadó a szolgáltatónál új SIM‑re irányíthatja a számod. Innentől a banki SMS nála landol.
• SS7 és üzenet‑útvonal problémák: az SMS‑ek bizonyos környezetben átirányíthatók/megfigyelhetők.
• Smishing és overlay csalások: hamis felületre csalják a kód azonnali beírását.
• Eszközhöz kötés hiánya: a kód bárhol beírható; nem tudja, „jó” készülék használja‑e.

Push értesítés: eszközhöz kötött jóváhagyás

A push‑alapú hitelesítésnél a banki app értesítést küld az előzetesen regisztrált készülékre. A jóváhagyást többnyire biometria (ujjlenyomat/arc) vagy eszköz‑PIN zárja. A bank a regisztrált eszköz és a helyi feloldás alapján dönt, és jó esetben tranzakció‑részleteket is megjelenít (összeg, kedvezményezett, időpont, kereskedő).

Gyakorlati előnyök:

• Eszközhöz kötés: csak a regisztrált készülék fogadhat és hagyhat jóvá.
• Tranzakció‑kontextus: látható, mit hagysz jóvá.
• Biometria / Secure Enclave: a kulcsok védett hardverben tárolódnak.
• Adathalászat‑rezisztens: nincs beírandó kód, amit el lehetne csalni.

Lehetséges korlátok:

• Internetkapcsolat kell (vészhelyzetben app‑kód segíthet).
• Elveszett/kompromittált eszközt gyorsan ki kell zárni a profilból.

Valós élethelyzetek: melyik mit tud?

1) Internetbankba belépés munkahelyről

• SMS‑kód: gyors, de rosszindulatú bővítmény valós időben „továbbíthatja” a kódot.
• Push: a telefonon megjelenik a „Bejelentkezés jóváhagyása” időponttal; ismeretlen kérésnél azonnal elutasíthatod.
• Ajánlás: push.

2) Nagy összegű átutalás új kedvezményezettnek

• SMS: phishing felület elcsalhatja a kódot.
• Push: a telefon név/számlaszám/összeg részleteket mutat; eltérésnél nem hagyod jóvá.
• Ajánlás: push, dinamikus összekapcsolással.

💡 Tipp: állíts be küszöbérték‑értesítést (pl. 200 000 Ft felett), hogy minden nagy tranzakció külön jóváhagyást kérjen.

3) Online kártyás vásárlás külföldi webshopban (3‑D Secure 2)

• SMS: a kód hamis fizetőoldalon is felhasználható.
• Push: a kártyás terhelés adatai a mobilon jelennek meg.
• Ajánlás: push.

4) Gyenge adatkapcsolat, hegyvidéki túra

• SMS: ha van GSM jel, megjön.
• Push: internet nélkül nem jön, de sok bank offline egyszeri kódot ad.
• Ajánlás: tarts offline app‑kódot; végszükségben SMS.

5) Új telefonra költözés

• SMS: egyszeri regisztrációhoz rendben.
• Push: új eszköz hitelesítésekor kérj plusz ellenőrzést (régi eszköz megerősítése).
• Ajánlás: átmenetileg SMS, majd tartósan push.

Alternatívák és kiegészítők a pénzügyekben

Biometria eszközön (ujjlenyomat/arc)

A push jóváhagyás helyi védelme. Ha az eszköz titkosított és biometrikus zár mögött van, a támadónak fizikai hozzáférés és feloldás is kell.

Eszköz‑kód generátor (app‑alapú OTP)

Térerőtől független, időalapú kódot állít elő. Jó offline tartalék. Előny: nincs üzenet‑útvonal. Hátrány: kód beírást kér, phishing elcsalhatja.

Fizikai biztonsági kulcs (FIDO2/WebAuthn)

Bankoknál ritkább, de erős és adathalászat‑ellenálló. Cserébe plusz eszköz és kompatibilitás‑kérdés.

Telefonhívásos jóváhagyás (IVR) és email‑kód

Kényelmetlen és kockázatosabb; pénzügyi környezetben már nem ajánlott elsődleges módszernek.

Beállítási terv: így konfiguráld jól a banki appodat

1. Eszköz‑regisztráció audit: töröld a régi telefonokat a banki profilból. Csak az aktuális eszközök maradjanak.
2. Biometria + PIN: kapcsold be a biometrikus jóváhagyást; hagyd meg a helyi PIN‑t tartaléknak.
3. Tranzakció‑részletek megjelenítése: tedd kötelezővé az összeg és kedvezményezett kijelzését a push képernyőn.
4. Értesítés‑szabályok: engedélyezd a banki app értesítéseit „kritikus” prioritással; kapcsold be a number matching opciót, ha van.
5. Offline mentőöv: aktiváld az app‑kód generátort (TOTP) és tudd, hol éred el internet nélkül.
6. SIM‑védelem: kérj szolgáltatódnál SIM‑csere PIN‑t/ügyfél‑jelszót; ahol lehet, tiltsd az SMS‑alapú jelszó‑visszaállítást.
7. Riasztások finomhangolása: legyen extra jóváhagyás nagy összeg, új kedvezményezett, limitmódosítás esetén.
8. Eszközbiztonság: friss rendszer, zárolt képernyő, csak hivatalos áruházból telepített appok.

Tipikus támadási minták és megelőzésük

1) Valós idejű adathalászat („man‑in‑the‑browser”)

• Minta: hamis banki felület kér egy SMS‑kódot.
• Megelőzés: push jóváhagyás tranzakció‑részletekkel; a telefonon ellenőrizd az adatokat.

2) SIM‑csere, majd ügyeleti időben nagy utalás

• Minta: hirtelen megszűnik a térerő, nem jönnek SMS‑ek.
• Megelőzés: push‑ra váltás, szolgáltatói SIM‑zár, azonnali kapcsolatfelvétel.

3) Rosszindulatú Android‑overlay

• Minta: „Frissítse banki appját” – valójában kémprogram hamis képernyővel.
• Megelőzés: ismeretlen forrásból ne telepíts; Play Protect/Device Protection aktív; értesítés‑integritás ellenőrzése (ha van).

4) Social engineering „segítő banki ügyintézővel”

• Minta: telefonon kérik, hogy diktálj be kódot vagy „hagyd jóvá gyorsan”.
• Megelőzés: soha ne ossz meg kódot; váratlan push esetén utasítsd el, majd hívd vissza a bankot a hivatalos számon.

Mennyire „biztos” a push értesítés?

Semmi sem 100%. A push ereje abban áll, hogy összekapcsolja a tranzakciót a konkrét eszközzel és a helyi feloldással. Ha a telefon felett teljes irányítást szerezne a támadó (root‑olt rendszer, képernyőzár ismerete), a védelem gyengül, de ez nagyságrenddel nehezebb, mint egy SMS megszerzése. Ráadásul a push felület láthatóvá teszi az eltérést („nem az én tranzakcióm”), míg az SMS‑nél a kód környezet nélkül érkezik.

Üzemeltetési szempontok bankoknak és fintechnek (röviden)

• Költségmodell: az SMS egységköltsége folyamatos; a push költsége fejlesztés és infrastruktúra, nagy volumen mellett kedvezőbb.
• Megbízhatóság: csúcsidőben az SMS‑ek késhetnek; push‑nál a mobil OS értesítéskezelése és a háttéradat‑szabályok kritikusak.
• Megfelelőség: tranzakció‑részletek dinamikus összekapcsolása fontos SCA‑hoz és vitás esetekhez.

Gyakran ismételt kérdések (GYIK)

A push értesítéshez mindig kell internet?
Igen, a push‑hoz kell adatkapcsolat, de a legtöbb banki app biztosít offline kódgenerálást. Ezt érdemes előre bekapcsolni.

Mi van, ha külföldön vagyok és nincs roaming‑adat?
Válts ideiglenesen offline kódra vagy használd Wi‑Fi‑t. Ha egyik sincs, az SMS lehet tartalék – ilyenkor is figyelj a social engineering hívásokra.

Eltűntek az SMS‑ek, nem jön kód. Baj van?
Lehet. Ha hirtelen minden SMS megszűnik, gyanakodj SIM‑cserére. Azonnal hívd a szolgáltatót és zárasd a kártyát.

A bankom csak SMS‑t kínál. Mit tehetek?
Keresd az app‑alapú azonosítást a beállításokban; ha nincs, állíts be app‑kód generátort (TOTP). Emeld a saját higiénét: erős jelszó, kártevővédelem, SIM‑zár.

Biztonságos a biometria?
A modern eszközök biometrikus sablonjai a készüléken, titkosítva tárolódnak, a bank felé csak siker/hiba jelzés megy.

Hány eszközt regisztráljak?
Ideális esetben egyet, plusz egy tartalékot (pl. tablet). A régi eszközöket töröld.

Miért kapok néha push‑t, amikor semmit sem csináltam?
Gyakran automatizált próbálkozás. Ilyenkor utasítsd el, majd változtasd meg a jelszavad, és ellenőrizd a bejelentkezési naplót.

7 pontos ellenőrzőlista felhasználóknak

1. Push értesítés bekapcsolva és biometria társítva.
2. Tranzakció‑részletek megjelenítése kötelező.
3. App‑alapú offline kód engedélyezve.
4. Szolgáltatónál SIM‑csere védelem beállítva.
5. Régi eszközök törölve a banki profilból.
6. Értesítések kritikus prioritáson engedélyezve.
7. Gyanús push esetén elutasítás + bank hivatalos számának visszahívása.

Összegzés és rövid tanács

A 2025‑ös környezetben a push értesítés a legjobb alapértelmezett választás banki azonosításra: eszközhöz kötött, biometriával védett, és tranzakció‑kontextust ad. Az SMS‑t tartsd kéznél tartaléknak gyenge adatkapcsolat esetére, de amint lehet, térj vissza a push‑hoz.

Kapcsold be a push hitelesítést, kötelezd a tranzakció‑részletek megjelenítését, és állíts be offline app‑kódot vészhelyzetre. Ezzel a legtöbb hétköznapi csalási kísérletet már a kapuban megfogod.