Mi a különbség a digitális bankrabló és a hekker között? Létezik-e hatásos védelem az internetes csalók ellen? Miért olyan káros a társadalomra a fake news? Solymos Ákos, a Quadron Kibervédelmi Zrt. oktatási üzletágvezetője a bűnözői módszerek evolúciójára is rávilágít: a jövőben telefonos csalók helyett virtuális avatárok rabolhatnak ki minket, a mesterséges intelligencia pedig új szintre emeli az online visszaéléseket.
Sokan úgy reagáltak az Európán végigsöprő adatlopási hullámra, hogy mégis miként védhetném meg magam, ha nem én vagyok a Pentagon IT biztonsági főnöke.
Nehéz kérdés, mert világunk erőteljesen digitalizálódott, egyre több szolgáltatás kerül át a kibertérbe. A kiberbűnözés nagyobb iparággá nőtte ki magát, mint a kábítószer-kereskedelem, ráadásul sokkal könnyebb zsákmánnyal kecsegtet, miközben a hatóságok nehezebben derítik fel. Nagy probléma, hogy kiemelten az online biztonsággal eddig senki nem foglalkozott, mert az itt keletkezett kárérték nem érte el azt a szintet, ami össztársadalmi megoldások keresésére sarkallná az emberiséget. Szükség van a tájékoztatásra, ám azon túl mindenkinek egyéni felelőssége, hogy gondoskodik-e a saját digitális védelméről, akárcsak arról, hogy kicseréli-e a zárat a bejárati ajtón.
Az emberek egy része nem érez veszélyt az online térben, gondolkodás nélkül rendel, fizet, klikkel. Honnan ez a nagy bizalom?
Ennek egyik oka a Covid-járvány, hiszen be voltunk zárva két évig, így sokkal többen kezdtek online vásárolni, rengeteg csomagküldő és futárszolgálat vált nagyon népszerűvé. Emellett az idősebbek el sem tudják képzelni, hogy amit látnak, az esetleg nem igaz, a csalók pedig profi módon képesek lemásolni azt a céget, szolgáltatót, amelyikkel éppen dolgunk van, és ha nem ismerjük fel a gyanús jeleket, bárki könnyen áldozattá válhat. Az a rossz hírem, hogy a lehető legbizalmatlanabbnak kell lennünk az online térben.
Az elmúlt két évben tízszeresére nőtt az online banki lopások száma, amelyeket kémprogramokkal vagy az ügyféltől kicsalt adatokkal hajtanak végre. Ezek ellen létezik kibervédelmi megoldás?
A banki csalások a pszichológiai manipulációra épülnek. A magyar bankvilágban 2006 óta van jelen az adathalászat, banki dolgozóként emlékszem, milyen felkészületlenek voltak akkor az ügyfelek: kíváncsian visszaírtak a magyartalan nyelvezetű kamu levelekre, hogy nem értik, mit akar tőlük pontosan a bank. Aztán amikor a cégek, hatóságok, pénzintézetek elkezdtek aktívan levelezni az ügyfelekkel, kitermelődtek a profi adathalász e-mailek. Ezeknél természetesen mindig a link url-jét kell megvizsgálni, hogy valós webcímre akar-e elvinni minket. A lopást azért nehéz megakadályozni, mert a legtöbb esetben valójában nem kémprogramról van szó, hanem távmenedzsment programról, amivel átveszik az ügyfél gépének vezérlését, amikor az már belépett a netbankos fiókjába. Az egyik védekezési mód, ha az ügyfél jól ismeri, hogy működik egy webáruház vagy egy netbanki felület. Így tisztában van azzal, hogy nem kérhetnek PIN-kódot, jelszót és szoftvertelepítést.
Tehát a csaló, adathalász üzenetek ellen csak emberileg lehet védekezni, informatikailag nem?
Így van. A bank csupán annyit lát, hogy beírtak egy jelszót, majd a kétfaktoros hitelesítésből érkezik egy helyes kód. Létezik olyan szoftver, amelyik jelzi, ha például egyszerre két helyről akarnak bejelentkezni, de ezzel ritkán élnek a bűnözők. A csalók beállnak az ügyfelek és a bank közé, és egy valós tranzakciót végeznek az ügyfél helyett. Ezt nagyon nehéz technikailag kiszűrni. Az azonnali utalás kötelezettsége sem javít a helyzeten, hiszen az összegnek 5 másodperc alatt a célszámlán kell lennie, nincs idő ellenőrzésre. Ezt használják ki a profi vállalkozásként működő bűnszervezetek. Egy hónapja kaptak el egy bandát, amelyik strómanokat szervezett be, hogy az elcsalt utalásokból feltűnés nélkül vehessék fel a lopott milliókat.
Ma már a mesterséges intelligencia (MI) is az alvilág kezére játszik: a Deepfake technológia kép- és hanghamisítási módszere magasabb szintre emeli
a személyiséggel való visszaélés lehetőségét. Ez ellen lesz-e valaha gyógyír?
2019-ben történt az első regisztrált Deepfake hanggal végrehajtott, sikeres támadás. Egy külföldi pénzintézet pénzügyi vezetőjét hívta fel az állítólagos főnöke, akinek egyébként „összetéveszthetetlen” német akcentusa van. Ennek ellenére a hangmodulátor olyan hitelesen utánozta le a főnök hangját és beszédstílusát, hogy a banki vezető több százezer eurót utalt el a csalók bankszámlájára. A társaságot végül csak a mohósága buktatta le: miután megérkezett az összeg, a hang további utalásokat kért, ami már gyanússá vált. Tehát igen, az MI fejlettebb csalási módszerekre ad lehetőséget, ezért érdemes olvasgatni a kiberpajzs.hu oldalt, ahol az összes telefonos átverési módszert megismerhetjük. Ez is csak egy rabló-pandúr helyzet, amelyben a védekezés igyekszik lekövetni a bűnözés fejlődését.
Ma már digitális avatárunk is lehet, ami arra jó, hogy több helyen lehetünk egyszerre: egy repülőúton kvázi személyesen mondhatom el a gyereknek az esti mesét, vagy részt vehetek egy konferencián. De ezt a személyiségünket is elvehetik, és károkozásra használják…
Ezt úgy kell elképzelni, hogy van egy fizikai énünk és egy digitális énünk, utóbbi például a közösségi oldalon megjelenő fotóinkból adatainkból tevődik össze. Egyes virtuális ének mögött azonban más emberek állnak, mint akinek mutatják magukat. Ezek a kamu profilok (fake account), amelyekkel videojátékokban is találkozhatunk, de a leginkább a közösségi oldalakon: a Facebook havonta 400 millió fake
accountot zár be. Ezek kamu személyiségek mögé bújt, generált fotókkal ékeskedő emberek, társaságok, akik/amelyek trolltevékenységet folytatnak, és csalásokat követnek el. Az avatár lehet hús-vér embernek kinéző kamu személy is. A komolyabb cégek, szolgáltatók digitális ügyfélszolgálatain már eddig is MI-re épülő, fejlett chatbotoktól lehetett írásban kérdezni, de a fejlődés hamarosan rajtuk is túllép: a világon egyre több vállalat alkalmaz valódi embernek kinéző avatárt, akivel úgy beszélgethetünk, hogy észre sem vesszük, hogy géppel kommunikálunk. Előbb-utóbb ezeket is használni fogják a kiberbűnözők pénz- vagy adatlopásra.
Európa legjelentősebb kommunikációs konferenciáján súlyos társadalomromboló erőnek, a média legfenyegetőbb rákfenéjének nevezték a magyar miniszterelnök egyik kedvenc fogalmát, a fake newst. A hamis hírek ellen a Facebook szoftveres szűréssel próbálkozik. Egyszerű felhasználóként hogyan védekezhetünk?
Minden hírt, ami meglepő, vagy nagy hatással van ránk, fogadjunk kétkedve. Az elsősorban a közösségi médiában terjedő álhíreket leginkább úgy szűrhetjük ki, hogy ellenőrizzük a hírforrást, azt hogy milyen oldal tette közzé. Az ismeretlen, esetlen, összevissza portálcímek, url-ek legyenek gyanúsak. Ne feledjük, az ismert híroldalakat is hamisítják, például egy a névben elhelyezett eltérő karakterrel. A kamu hírek közé tartoznak az ártatlanabb „nem fogod elhinni, mit csinált XY mindenki szeme láttára” típusú clickbait hírek, amelyek teljesen fals történetekkel szórakoztatnak minket. Ha egy hírről szeretnénk megtudni az igazságot, keressünk rá a cikk vagy videó információtartalmára, így kiderül, hogy más, független hírportál is adott-e közre hasonlót, vagy éppen teljesen másról számol be. Nemrég a Facebook komoly figyelmeztetést kapott az EU-tól, hogy szűrje erősebben az izraeli–palesztin háborúról szóló tartalmait. Emiatt persze az erre idomított algoritmus letiltott egy csomó, a témától független posztot, kommentet és felhasználót is. Tökéletes megoldás még nincs. A gond az, hogy a lakosság nem kap erre vonatkozó képzést. Az iskolákban már van médiaóra vagy más digitális tantárgy, de lemaradásban vagyunk. A közösségi média átka, hogy véleménybuborékban tart azáltal, hogy a számunkra kedves, elfogadott tartalmakat dobja elénk, így biztosítva, hogy sok időt töltsünk az oldalon. Ha nem tálcán kapni, hanem megszerezni akarnánk a valós híreket, akkor megúszhatnánk, hogy egy életen át tartó félrevezetés áldozatai legyünk.
Azért léteznek még régimódi hekkerek, akik a dark weben adják-veszik az illegális adatbázisokat?
Nagyon is léteznek. Ha felmész az informationisbeautiful.net oldalra, az infografikák felfedik a 2004 óta történt, 30 ezernél nagyobb érintettségű adatszivárgással járó kibertámadások alakulását. Ezekből kiolvasható, hogy évről évre nagyobb, egyenként a félmilliárdot is elérő adatlopásokat regisztráltak olyan nagy cégektől, mint a családfakutató MyHeritage, a Canva grafikai szerkesztő oldal, a Facebook vagy a Twitter. Az a helyzet, hogy már nem kell hekkernek lennie annak, aki adatot akar lopni. A dark weben számos hekkertámadási forma ma szolgáltatásként érhető el: bárki képzettség nélkül, webhsop jelleggel vásárolhat, illetve rendelhet meg egy konkurens cég elleni támadást, például egy zsarolóvírus-kampányt. Tehát a kiberbűnözők jelentős része ma már nem hekker, hanem rossz útra tért átlagember, aki akciós e-mail címeket, jelszavakat vásárol. A hekkerek inkább nagyvállalatok, kormányzatok megtámadásában vesznek részt, elég, ha az aktuális fegyveres konfliktusokra gondolunk. A lényeg, hogy veszélyes időszakot élünk, ami ellen egyénileg úgy védekezhetünk, hogy minden felületen kétfaktoros hitelesítést használunk. Azt kell megérteni, hogy ha nem vigyázok az adataimra, akkor nemcsak engem érhet kár, de egy identitáslopás során az én nevemben is elkövethetnek bűncselekményeket mások kárára. Kapunk egy linket az ismerősünktől, hogy „Képzeld, durva baleset történt az M7-esen, nézd meg a videót!”, a kattintással eljutunk egy valótlan Facebook bejelentkező oldalra, és már át is vették az irányítást a profilunk felett. A csalók kidobnak minket a csoportjainkból, és elkezdenek a mi feltört profilunkkal kamu termékeket és -szolgáltatásokat kínáló hirdetésekre kommentelni: „Jaj, de jó, hogy megjött a rendelt hajszárító, a feleségem úgy örült neki!”. Ezzel hitelesítik a csalást, és már dőlnek is a megrendelések.
Mi a legjelentősebb kibervédelmi kihívás a világon?
A kiberbiztonsági cégek riportjai szerint a zsarolóvírusok és az identitáslopás vezeti a toplistát. A cégek megtámadása esetén egyszerű a képlet: dolgozói fiókon keresztül jutnak be a belső hálózatba, kipakolják az adatokat, és eladják őket a feketepiacon. Ezután gyakran még egy zsarolóvírust is ráeresztenek a vállalkozás rendszerére, ami letitkosítja a gépeken lévő fájlokat, így senki nem fér hozzájuk. Ilyenkor leáll a teljes szervezeti működés, a cég szolgáltatásai, a levelezés, a webáruház, minden. Ekkor jön a nagy ígéret: a bűnözők váltságdíj fejében felkínálják a feloldó kódot. Ezzel meg az a baj, hogy ha fizetünk, nem biztos, hogy megkapjuk a kódot, de legalább felkerülünk a hekkerbanda „fizető vendég” listájára, így rendszeresen küldhetnek újabb zsarolóvírusokat. A legjobb, amit ilyenkor tehetünk, hogy nem fizetünk. Mentsük inkább külső hordozóra az adatainkat, és legyen megfelelő vírusvédelmünk.
A Quadron tantermi oktatást is folytat. Miért kell tudnia ezekről egy iskolásnak?
A Covid-járvány alatt az is a gépen élte az életét, aki addig nem. A családokra, tanárokra úgy zúdultak rá a digitális hétköznapok, hogy nem kaptak biztonsági kiképzést. Erre viszont azért van szükség, mert egyes kiberbűnözői körök kifejezetten a gyerekeket célozzák meg. Megpróbálnak a bizalmukba férkőzni, megzsarolják őket, kompromittáló, meztelen képeket csalnak ki tőlük, majd azzal zsarolják őket. De olyan is előfordul, hogy megkérik a gyereket, lopja el anyu kártyáját, és olvassa be az adatait. Fontos megérteni, hogy a kiberbűnözők a legegyszerűbb apróhirdetéstől a kormányhivatal nevében érkező vírusos levélig minden fronton támadnak.
Török Dániel
