Szinte naponta hallunk valamilyen online térben elkövetett pénzügyi csalásról. A jelenség hátterét Keleti Arthur kibertitok jövőkutató, IT Biztonsági stratéga magyarázza el.
Rengeteget hallani arról, hogy az online térben tevékenykedő bűnözők kiktől, milyen módszerrel, mennyi pénzt csaltak ki. Lehet tudni, hogy kik lehetnek ezek az emberek?
A kiberbűnözők csoportja meglehetősen sokszínű. A nagy nemzetközi bűnszervezetek éppúgy jelen vannak az interneten, mint a kisebb magyar csoportok. Vannak, akik nagyban játszanak, azaz szinte cégszerűen felépített, profin működő, sok „munkavállalót” alkalmazó szervezetet működtetnek, mások magányosan, házilagos módszerekkel dolgoznak. Ráadásul az egyes szervezetek gyakran együttműködnek egymással és megosztják az információikat. Külön érdekesség, hogy a bűnszervezeteknél sem ritka, hogy jutalékos rendszerben ösztönzik a „dolgozóikat”. Csalók persze régen is voltak mindenhol a világon. Most ezek a komoly „szaktudással” rendelkező emberek átnyergeltek az online térbe. Sikeresen, hiszen pontosan tudják, kit, mivel lehet átverni viszont sokkal nehezebb őket rajtakapni, valamint a bizonyítás is problémásabb. Ellenben jól fizető tevékenységről van szó. Tavaly csak a banki csalások milliárdos kárt okoztak Magyarországon. Szomorú, hogy ez nem a bankok, hanem az ügyfelek vesztesége, mivel a megkárosítottak maguk segítenek átverőiknek azzal, hogy megadják nekik a pénzük ellopásához szükséges adatokat. Sajnos a világon a kiberbűnözés összesen több ezer milliárd dollár veszteséget okoz, jóval többet, mint a környezeti katasztrófák vagy a drogok.
Melyek a mostanság legelterjedtebb internetes csalási módszerek?
Talán az, amikor egy bank, egy közüzemi szolgáltató vagy valamilyen államigazgatási szerv nevében e-mailt írnak, amiben valamilyen módszerrel ráijesztenek a címzettre azzal, hogy őt ilyen vagy olyan okból komoly hátrány foga érni. Zárolják a bankszámláját, lekapcsolják a villanyt, megbírságolják, hacsak nem kattint a levélben szereplő linkre, ahol majd segítenek megoldani a problémát. A legtöbben sokszor nem is pontosan értik, miről van szó a hivatali bikkfanyelven írt üzenetben, de megijednek a következményektől és persze, hogy kattintanak. Aztán ezzel vagy valamilyen kártékony programot telepítenek a számítógépükre vagy a megjelenő oldalon megadják a személyes vagy a banki adataikat. Innentől pedig kész a baj. Reneszánszukat élik az olyan régóta bevált trükkök is, mint hogy mesés nyereményről, örökségről, kitűnő befektetésről értesítik az áldozatot vagy éppen romantikus kapcsolat reményében kérnek pénzt vagy valamilyen gyanús segítséget a nagy találkozás összehozásához vagy valamely akadály leküzdéséhez. Ezen felül ki ne kapott volna SMS üzenetet arról, hogy csomagja érkezett, de a kézbesítéséhez vagy a visszaküldéshez szükséges még pár száz forintos díj befizetése egy megadott linken? Itt megint csak a banki adataink megszerzésére játszanak. Az eszköztár csaknem végtelen. Említhetném, mikor az áldozattal távoli hozzáférést lehetővé tevő programot telepíttetnek a számítógépére, amikor hamis wi-fi hálózattal szerzik meg adatainkat, átveszik az irányítást az internetre csatlakozó eszközeink felett, vagy éppen ellopják valakinek a közösségi média profilját.
Azt nem kell magyarázni, miért baj, hogy megszerzik a banki adatainkat. De sokan nem értik mit érnek el azzal, hogy ellopják a Facebook oldalunkat, vagy feltörik az elektromos fogkefénket?
Keleti Arthur kibertitok jövőkutató, IT Biztonsági stratéga
Fotó: Haszon Magazin - Csomor Alexander
Az adat nagy kincs. Sőt, az intelligencia mellett az információ az, amit sokat ér a világban. Az innen-onnan összegereblyézett adatainkból (név, e-mail cím, fotó stb.) profilt készítenek rólunk, amit gyakran összekeverve más adatokkal a feketepiacon pénzért lehet eladni, hiszen azok birtokában újabb csalásokat lehet elkövetni úgy, hogy a valódi elkövető rejtve marad.
A cégeknél más módszereket vetnek be?
A vállalkozások esetében a legfőbb cél az, hogy felhasználói jelszavakat szerezve bejussanak a belső kommunikációs hálózatba. Ez sajnos nem is mindig nehéz, hiszen sok cégnél egyszerűen megfejthető jelszavakat vagy közös fiókokat használnak, a hálózat ósdi, régi eszközökkel, szoftverekkel működik, amelyek tele vannak sérülékenységekkel, azaz „rejtett ajtókkal”, ahol a bűnözők bejuthatnak. Gondot jelent az is, hogy a legtöbb cégnél kevés vagy nincsen elég jó szakember, akik meg tudnák előzni a bajt, vagy ha az már megtörtént, megfelelően tudnák kezelni a problémákat. Ez speciális tudást és gyakorlást igényel. Ha bűnözők bejutnak egy cég belső rendszerébe, akkor igyekeznek megszerezni az értékes adatbázisokat (személyes adatok, bankszámlaszámok, béradatok, fejlesztések dokumentációja), hogy felhasználják saját céljaikra és/vagy eladhassák a feketepiacon. Az is gyakorta előfordul, hogy figyelik a céges levelezést, majd mikor egy üzleti tárgyalásnál a fizetésre kerül a sor, az eladó nevében üzenetet írnak a vevőnek, amelyben a saját bankszámlájuk adatait adják meg. Aztán ha mindezzel megvannak, még gyakran zsarolóvírus (ransomware) támadással zárolják is a vállalkozás rendszerét, amit csak bitcoinban fizetett busás váltságdíj fejében oldanak fel. Nem egy cég állt le hónapokra vagy ment csődbe ilyen okból! De nem mindig a megtámadott cég a valódi célpont. Elképzelhető, hogy csak azért törik fel egy kisebb vállalkozás rendszerét, hogy azon keresztül jussanak be valamelyik üzletfelének a külső behatolások ellen amúgy jól védett hálózatába. Mondok néhány megdöbbentő adatot. A nemzetközi statisztikák szerint a bűnözők átlagosan jóval több mint 200 napig vannak bent észrevétlenül egy-egy céges rendszerben. Ha zsarolóvírus szabadítanak ránk, akkor az 2 éve még 60 nap alatt érte el az érintetteket, most ehhez pár óra elegendő. A világon egy-egy ilyen támadás átlagos kárértéke 4,5 millió dollár, de Magyarországon is rendszeresek a milliós tételek, sőt tudunk több tíz vagy akár százmilliós esetekről is.
Kinek kell harcolni a kiberbűnözők ellen?
Egy terület van, ahol az államnak van esélye eredményesebben harcolni a támadókkal ez pedig kiberhadviselés területe. Másutt a hatóságok célja leginkább a megelőzés. Egész egyszerűen azért, mert ez hatékonyabb, mint a felderítés, nyomozás. Természetesen a bűnüldözés Magyarországon is aktív, néha komoly nemzetközi akciókban ér el sikereket. De gondoljunk csak bele: bármelyik telefonszámról vagy e-mail címről lehet bűncselekményt végrehajtani, miközben az elkövetőre rábizonyítani a tettét nagyon komoly munka, aránytalanul sok energiát és erőforrást igényel. Nem véletlenül mondta a CIA egykori igazgatója Michael Hayden, hogy egy állam a való világban meg tudja védeni a polgárait, ám a kibertérben mindig is lassabb lesz, így képtelen erre. A megelőzés érdekében tett erőfeszítésekre jó példa a magyar Kiberpajzs kezdeményezés, ahol a jegybank, a rendőrség és egy sor más államigazgatási szervezet igyekszik felhívni a figyelmet az online világ kockázataira és közvetíteni azokat az alapismereteket, amelyek segíthetnek az ezekkel szembeni védekezésben. Ezen felül szerintem az államtól legfeljebb azt várhatjuk el, hogy olyan szabályokat alkot, amely rákényszeríti a szolgáltatókat, hogy védjék meg az ügyfeleiket, ha pedig ez nem sikerült, akkor ezt hozzák nyilvánosságra. Pont ezt az elvet követi a sokak által szidott, de végülis szemléletformáló GDPR rendelet és a hamarosan érkező NIS2 is, amely már szélesebb körben érinti a szervezetek incidenskezelését is.
Van akkor értelme egyátalán a hatóságokhoz fordulni?
Keleti Arthur kibertitok jövőkutató, IT Biztonsági stratéga
Fotó: Haszon magazin - Csomor Alexander
Mindenképpen tegyünk feljelentést. Mert lehet, hogy úgy látjuk, hogy egy-egy ügyben nem történik semmi, ám azért nem egy példa van az online bűnözői hálózatok felszámolására. Március végén jelentették be például, hogy lebuktattak egy ukrán-magyar együttműködésben dolgozó telefonos csalásokra specializálódott bűnszervezetet. Az ügynek több mint 500 gyanúsítottja van.
A szolgáltatók megvédenek minket, ügyfeleket?
Vannak, akik egész eredményesek ebben. A bankok például a piac előtt járnak és a telekommunikációs cégek is egyre jobbak. Vannak például egész kitűnő kibervédelmi csomagjaik a felhasználóiknak, akik aztán vagy használják ezeket, vagy nem. A többi szolgáltatónak még sokat kell fejlődnie. Mentségükre legyen mondva, sokszor a magánszféra védelmére hivatkozva maguk a jogszabályok nem engedik, hogy többet tegyenek. Pedig az oktatási, egészségügyi intézmények, az ipari szolgáltatók, melyektől sokan függünk egyre gyakrabban vállnak célponttá.
Akkor magunkra maradtunk, mi egyszerű emberek?
Így van, kicsit magunkra vagyunk hagyva a kibertérben. De nem vagyunk védtelenek. Első lépésként minden családban kellene lennie valakinek, aki megpróbálja jobban érteni ezt a világot és ismeri a legalapvetőbb védelmi megoldásokat. Ez szerintem lehet akár valamelyik gyerek is, hiszen sok esetben ők boldogulnak legjobban az online térben. Aztán érdemes minden internetre csatlakozó eszközünket biztonsági megoldásokkal, amelyeket régebben tűzfalnak és vírusirtónak hívtunk, védeni, a szoftvereket pedig gyakorta frissíteni. Vigyázzunk! Védendő eszközök a mobiltelefonok és az okoségők is! Ezek a megelőző lépések sokszor kevesebbe kerülnek, mint egy havi streaming előfizetés. A szolgáltatók is segítenek minket. A Google, a Facebook vagy a Microsoft remek védelmi megoldásokat kínálnak, csak használnunk kell őket! Jelszavainkat jelszótárolóval védjük. Ahol csak lehet, használjunk többfaktoros hitelesítést vagy biometrikus, például ujjlenyomat alapján történő azonosítást. És ami a legfontosabb: legyünk tudatosak! Szeretteinknek beszéljünk arról, milyen átverésekről hallottunk és mondjuk el, mit lehet tenni ellenük. A legtöbb ember sajnos nem biztonságtudatos, azért kérdéses a felvilágosító beszélgetések hatásossága, de mindazonáltal nem szabad feladni a harcot, bíznunk kell abban, hogy minél többekhez eljutnak az ismeretek.
Lehet már látni mi lesz a következő trükk?
Minden a mesterséges intelligenciáról szól, így biztos vagyok benne, hogy a rosszfiúk is bevetik majd. Egyre jobb minőségű, egyre személyre szabottabb, egyre hihetőbb üzenetekre kell számítanunk. A támadások intenzitása nőni fog, de a számuk csökkenhet, hiszen a mesterséges intelligencia a védekezésre is használható, így a legtöbb próbálkozást semlegesíteni fogja. Nagyobb veszélynek látom a hamis hírek, képek, videofelvételek járványszerű terjedését a közösségi médiában, mert ez előbb-utóbb azt eredményezheti, hogy senkinek semmit nem fogunk elhinni. Bizalom nélkül pedig hogyan fognak működni személyes kapcsolataink?
****
NÉVJEGY:
Keleti Arthur. Kibertitok jövőkutató, IT Biztonsági stratéga, előadó, író, filmproducer. A 2005 óta évente nagy sikerrel zajló, többnapos, virtuális TV programmal is jelentkező Informatikai Biztonság Napja (ITBN) nagy konferencia ötletgazdája és főszervezője. A mesterséges intelligencia jövőjének és a kiberbiztonságra gyakorolt hatásának kutatója. Az Önkéntes Kibervédelmi Összefogás (KIBEV) alapítója és elnöke. A „The Imperfect Secret” című könyv szerzője, a kibertérben megjelenő személyes és üzleti titkok biztonságának, a kiberbiztonság jövőjének kutatója. Kutatóként nemzetközi és hazai rendezvények előadója, TV és rádióműsorok állandó szereplője, elsősorban a kiberbiztonság jövőjével, a digitalizáció, a mesterséges intelligencia és az emberi és szervezeti titkok digitalizálásának társadalmi és technológiai hatásaival foglalkozik. A „Sight: Extended” című amerikai film executive producere, amely a jövőben játszódik, ahol intelligens kontaktlencsékkel helyettesítik az okostelefonokat. 1999 óta vezetői és tanácsadói pozíciókban stratégiai partnere a Magyar Telekomnak és elődcégeinek (ICON, KFKI, T-Systems).
(A beszélgetés teljes terjedelmében a Haszon Magazin 2024. áprilisi számában jelent meg!)
