A tudatosság és a nyugalom a kiberbűnözés két legnagyobb ellensége

A pandémiás időszaktól kezdődően az elmúlt években robbanásszerűen megugrott a kibertámadások száma, és szembesültünk a felgyorsult digitalizáció negatív oldalával. Jelenleg hogy alakulnak az erre vonatkozó adatok, lehet-e csökkenésre számítani a csalásokat illetően?

Azt látjuk, hogy a végfelhasználókat is egyre gyakrabban támadják. A nagy különbség, hogy eddig Magyarország nem volt fókuszterület: akadtak úgynevezett phishing, vagyis adathalász kampányok, de általában könnyen ki lehetett őket szúrni, mert rossz magyarsággal voltak megírva és nem léteztek ennyire kiterjedt akciók, mint most. Jobbak a fordítómotorok és a hazai bűnözők is rájöttek, hogy a digitális térben egyszerűbb csalásokat elkövetni, mint a fizikaiban.

A Mastercard kiadott egy hosszabb összefoglaló anyagot A kiberháború kora címmel, amiben homo digitalisként hivatkozik az emberek egy részére. Kiket takar ez a csoport és miért vannak ők különösen veszélyben a digitális térben?

Mára kialakult egy olyan szélesebb fogyasztói réteg, akik nagyon otthonosan mozognak a digitális térben és készség szinten használják a digitális megoldásokat. Őket nevezzük homo digitalis-nak. A kiberbiztonság szempontjából azért nagyon fontos, hogy rájuk is figyeljünk, mert attól, hogy a digitális megoldásokat már rutinosan kezelik, az ezen a területen működő csalók, bűnözők felé teljesen kitettek, védtelenek. Régebben az unokázós csalók zaklatták az embereket, most gyakorlatilag ugyanez megy a digitális világban: felhívják a figyelmet egy gyanús tranzakcióra, kérik, hogy adjuk meg a kártyaadatainkat és a pszichológiai nyomásra játszanak. A kulcs, hogy kizökkentsék az embert a mindennapi működéséből, mert ha valaki elkezd a számlája miatt aggódni, vagy éppen megörül egy fiktív nyereménynek, leengedi a védelmi vonalait. Én is kaptam már olyan levelet egy kamu közműszolgáltatótól, ami az utolsó betűig pontosan le volt másolva, és elgondolkodtam a valódiságán.

Sokszor felmerül, hogy az idősebbek tartoznak a legveszélyeztetettebb csoportba a kibercsalások terén, ugyanakkor a szakértők ezzel nem mindig értenek egyet. Önnek mi erről a véleménye?

Ezt mi sem így látjuk. Minden korosztály érintett az adathalász-támadásokban. Például nekem is vannak olyan ismerőseim, akik beleestek a csapdába, pedig digitálisan natívak és nem most kezdték az internetes létet. Nem korosztályfüggő, hogy miért dől be valaki, az is lehet, hogy éppen csak egy rossz napja volt és nem figyelt eléggé.

Gyakori jelenség, hogy az adásvétellel foglalkozó oldalakat ellepik a csalók, akik pénzt próbálnak kiszedni az áldozataikból. Ilyenkor ki hibázik: a felület vagy a felhasználó?

Nagy általánosságban nehéz igazságot tenni. Talán az a legegyszerűbb válasz, hogy mindenki tehetne többet. A platformtól elvárható, hogy biztonságosan lehessen az oldalán üzletelni, ugyanakkor nincs egyszerű dolguk. Előfordul, hogy a bűnözők régi, akár évekkel korábban létrehozott, valós profilok felett szerzik meg az irányítás, és ezekből kezdik el a csalásokat intézni. Ezzel nagyjából lehetetlen bármit is kezdeni, annyit tehetnek, hogy egyből kizárják a szélhámosokat. Azt pedig nem lehet elégszer hangsúlyozni, hogy ne osszuk meg a személyes adatainkat, ne adjuk meg senkinek a jelszavunkat, ne kattintsunk külső linkre.

A végfelhasználókon túl a cégek mekkora veszélynek vannak kitéve?

A legkiszolgáltatottabb szektort a kisebb cégek jelentik, akik már digitálisak, de még kevésbé biztonságosak. Egy átlagos nagyvállalat az elmúlt évtizedekben komoly összegeket fektetett abba, hogy biztonságos rendszereket építsen ki, de a beszállítói ezt nem feltétlenül tették még meg. Egy kisebb cég nem mindig ismeri fel a saját értékét sem, és látunk olyan zsarolóvírusokat, amik őket célozzák meg. Nem kell mindig százmillió dolláros csalási összegekre gondolni.

Cégen belül mik lehetnek a gyenge pontok?

A vállalatoknak is alulról kell építkezniük, akárcsak a felhasználónak. Legyen rendben, hogy kinek mihez van hozzáférése, követeljenek meg erős jelszavakat, buzdítsák arra a dolgozókat, hogy ne a becenevüket adják meg. Aztán ha az infrastruktúráról van szó, akkor a szoftvereket karban kell tartani, az nem elég, hogy egyszer megveszünk egyet, beüzemeljük, utána meg hátradőlünk.

A biztonsági frissítések fontos sebezhetőségi pontokat zárnak ki, vagy azok hiánya komoly sebezhetőségeket jelenthet. Az ugyancsak lényeges, hogy legyen visszaállítási vagy mentési terv, hogy mi történik akkor, ha hirtelen az összes laptop tönkremegy vagy az adatokat zárolják, elérhetetlenné teszik rajtuk. Ilyenkor jól jön a felhőben, vagy egy biztonságos tárhelyen egy visszaállítási pont, amivel elkerülhető a zsarolás. Mindez nagymértékű felkészülést igényel, és nem mehetünk el a belső edukáció mellett sem. Rendkívüli módon segít, ha az emberek rászoknak a biztonsági alapokra, hogy megerősödjön a védelmi vonal.

Merthogy az egyik legfontosabb gyenge pont az ember.

Igen. Olyan eseteket is látunk, amikor a bűnözők konkrétan szervezeti ábrákat állítanak össze és a felsővezetőik nevében küldenek ki üzeneteket a beosztottjaiknak például arról, hogy egy beszállítónak hirtelen megváltozott a számlaszáma vagy azonnal ki kell fizetni valakit. Sokszor a pénzügyes kapja ezeket az emaileket, akinek egy-egy utalás benne van a napi ügymenetében és erre jön rá a siettetés. Ebben az esetben viszont általában nem aprópénzről van szó.

Mennyit és hogyan fejlődtek a kiberbűnözők ezen a téren?

Itt számítunk egy nagy ugrásra, amikor az üzenetek majd nemcsak emailen jönnek, hanem mondjuk telefonon is. A mesterséges intelligencia segítségével deepfake-eket csinálhatnak a csalók. Az interjú hanganyagából már le tudnák utánozni a hangomat, és a hívásba be tudnák úgy építeni a hangprofilomat, hogy a bűnöző a saját hangján beszél, a vonal másik oldalán meg az enyémet hallják. Nyilván lassan gyűrűznek be ezek a megoldások a mindennapi üzleti életbe, de látjuk azt, hogy sok olyan technológia vált hozzáférhetővé egy egyszerű csaló számára, ami korábban csak egy-egy fejlett hackercsoportnak a tulajdonában volt.

Mely ágazatok lehetnek leginkább a kiberbűnözők célpontjai?

Azt lehet mondani, hogy globálisan az oktatás és az egészségügy: mind a kettőnél tetemes mennyiségű személyes adatot tárolnak. Találkoztunk már olyan zsarolóvírussal is, ami azután, hogy megszerezte mondjuk egy kórház adatait, pénzt kérnek ezekért, miután pedig fizettek, azért követelnek újabb összeget, hogy ne publikálják azokat szabadon.

A másik szektor, amit még érdemes megemlíteni, az a termelői szektor, itt várható még egy felfutás. Elképesztő mennyiségű ipari műszer, berendezés van az internetre kötve úgy, hogy közben akár régi vagy elavult szoftvert használnak. Valamint az okos berendezések, érzékelők, termosztátok mind-mind a potenciális támadási felületet növelik. Ma már szinte nem lehet Wi-Fi-csatlakozás nélkül légkondicionálót venni.

Az már többször szóba került, milyen nagy a felhasználói felelősség. Magyarországon mennyire jellemző a tudatos internethasználat?

Le vagyunk maradva a régióval együtt Nyugat-Európától, mert lassabban gyűrűzött be hozzánk a digitalizáció és az oktatási tananyagnak sem feltétlenül része az, hogy hogyan kell biztonságosan kommunikálni egymással online, vagy hogy mit osszunk meg magunkról az interneten. Klasszikus eset, hogy valaki kirakja, hogy éppen Olaszországban fagyizik, és ha rosszul állította be a Facebook-oldala láthatóságát, akkor gyakorlatilag emberek százmilliói szerezhetnek arról tudomást, hogy ő éppen merre jár, miközben üres a lakása.

Az emberekben talán az a kérdés merül fel leggyakrabban, hogy ha csalás áldozatai lettek, van-e esélyük visszakapni a pénzüket?

Rengeteg dolog múlik az egyedi eseteken, ugyanakkor a jelenlegi rendszer azt mondja, ha az ügyfél mindent megtett azért, hogy ne történjen meg a probléma, és nem tehet róla, akkor a másik fél fogja viselni a kárt. Abban az esetben azonban, ha az ügyfél valamilyen módon hozzájárult a csalás megvalósulásához, vagyis kiadta a személyes- és a kártya adatait, megadta a jelszavát, rákattintott a rossz linkre, és ott adta meg ezeket, akkor már az egyedi eseten múlik, hogy kié a felelősség. Fontos, hogy amennyiben gyanús tranzakciót érzékelünk, haladéktalanul keressük fel a bankunkat és jelezzük az esetet.

A Mastercard hogyan tud segíteni a kiberbűnözés elleni védekezésben?

A vállalat ötven éves tapasztalattal rendelkezik a csalásmegelőzésben és ez az egyik fontos hozzáadott értékünk a kártyás tranzakcióknál: segítünk a pénzintézeteknek azzal, hogy a csalási mintázatokat megosztjuk velük, illetve beépítjük azokat a saját döntési mechanizmusainkba. Dolgozunk olyan technológiákon is, mint például a kétfaktoros hitelesítés, ami azt jelenti, hogy a banktól kapunk még egy plusz értesítést, SMS-t, amikor online vásárolunk.

De az elmúlt években elsősorban akvizíciókkal olyan tudásra tettünk szert, amivel a pénzügyi szektoron kívül eső szolgáltatóknak is tudunk segíteni. Olyan szolgáltatásokat nyújtunk elsősorban cégeknek, amikkel karban lehet tartani a saját eszközparkjukat, és meg lehet vizsgálni, hogy milyen sérülékeny pontok lehetnek weboldalukon. Segítünk a beszállítókat figyelemmel követni, akik gyakran alacsonyabb védelmi fokkal vannak ellátva.