Az email az internet leggyengébb pontja, mégis mindenki vakon bízik benne

Az emailes csalások egyértelműen olyasmik, amikkel garantáltan mindenki találkozott már valamilyen formában. Legyen szó akár a nigériai hercegek mesés örökségéről, akár gyanús linkekről, akár olyan levelekről, amelyekről ránézésre lehetetlen megmondani, hogy problémát jelenthetnek. Amikor a kriptopiacon ezen a ponton már nagyjából havonta történik egy több százmillió dolláros hekkelés, az emailes csalásokra könnyen legyinthet az ember, de az utóbbi időben magyar viszonylatban is többször bebizonyosodott, hogy akármilyen primitívnek tűnnek, hiba lenne bagatellizálni a fenyegetést, amit jelentenek. Ahogy arról mi is írtunk,

• október végén a Magyar Vízilabda Szövetséget (MVLSZ) húzták le több tízmillió forintra egy emailes csalással, és később kiderült, hogy az áprilisi Világliga európai selejtezőinek montenegrói hotelfoglalását is rossz helyre utalták át;
• két hete pedig egy ennél is jóval nagyobb horderejű ügyben, a KRÉTA feltörésében játszott kulcsszerepet egy sikeres adathalász email – ennek részleteiről itt olvashatnak.

Ez a két támadás remekül mutatta meg, hogy mennyire komoly károkat lehet okozni egy emailes csalással, és nemcsak arra világított rá, hogy mennyire fontos lenne az emberek és a szervezetek képzése és tudatosságának növelése, hanem arra is, hogy a rendkívül széles körben elterjedt emailezés még mindig a legkönnyebben kihasználható része az internetnek. Arról, hogy ez miért van így, és hogy lehetne tenni ellene, Pfeiffer Szilárd információbiztonságot népszerűsítő szakértővel beszélgettünk.

Miért nem biztonságos az email?

Ahogy azt Pfeiffer néhány hónapja a német it-daily.netre írt cikkében is kiemelte, a CSO adatai szerint 2020-ban az interneten terjedő kártevők 94 százalékát emailen keresztül továbbították, ami annak fényében nem is meglepő, hogy mennyire régi, illetve ebből következően mennyire sérülékeny és könnyen kihasználható protokollról beszélünk.

Annak, hogy ez miért így van, a szakértő szerint történeti okai vannak: az emailt még az internet őskorában, sőt még azelőtt, az internet ősének tekinthető ARPANET idején találták ki, és az akkori igények szerint is lett kialakítva. A rendszer elemei nélkülözték ugyan az alapvető biztonsági funkciókat, ám ekkoriban csak egyetemi oktatók és hallgatók, illetve katonák használták, így garantálni lehetett, hogy mindenki megfelelően használja az emailezést.

Az internet fejlődésével azonban hirtelen rengeteg (többnyire hozzá nem értő) felhasználó szabadult rá a rendszerre – beleértve ebbe természetesen a csalókat és a bűnözőket is –, az emailezés pedig egyre fontosabb lett az üzleti világban is, a protokollok azonban nem tudtak ilyen ütemben fejlődni, így a biztonság sok esetben maradt ugyanazon a szinten.

Ahogy azt például Moxie Marlinspike, a Signal titkosított csetalkalmazás alapítója is kiemelte egy, a web3-ról szóló esszéjében, a protokollok természetüknél fogva lassan fejlődnek, az emailezés titkosítása például évtizedek után sincs rendesen megoldva. Pfeiffer elmondta, hogy egyelőre ez nem kötelező ugyan, a levelek döntően titkosítva mennek ki, de a szerverek közötti titkosításnál nagy bajok is lehetnek. Mint mondta, szinte semmire nincs garancia az emailnél:

szinte akárkinek a nevében lehet levelet írni, és azt sem lehet megmondani, hogy menet közben ki olvasta el, ki nyúlt bele, vagy hogy a levél egyáltalán odaért-e a címzetthez, és ő olvasta-e.

A fejlődés legnagyobb gátja persze nem az, hogy nincs rá hajlandóság, hanem inkább az, hogy jelenleg iszonyatos mennyiségű ember használja az emailezést rengeteg célra, beleértve ebbe olyanokat is – a vállalatirányítási rendszerektől a feladatmenedzsmenten át az üzleti folyamatokig –, amikre alapvetően nem való. Ahogy az a pólószövetség ügyéből is látszott, teljesen magától értetődő és elfogadott az, hogy emberek tízmilliókról diskurálnak emailben, ezért van egyfajta tehetetlenség, ami a módosítást gátolja. És persze az is kiderült ebből, hogy a leggyengébb láncszem itt is maga a felhasználó, akinek minderről fogalma sincs, és gond nélkül autentikusnak fogad el egy levelet, pláne akkor, ha a csalók nyomást gyakorolnak rá a feladat fontosságának és az idő szűkének hangsúlyozásával, ahogy az az eddigi adatok alapján itt is történt.

A szakértő szerint a probléma az, hogy most még mindenki tart attól, hogy mi lesz, ha bevezetik a megfelelő biztonsági eszközöket, de elkezdenek a levelek eltűnni, esetleg a spam mappába kerülnek. Ez tényleg előfordulhat, ideális esetben ugyanis deklarálni kellene, hogy egy domén nevében mely szolgáltatók küldhetnek leveleket, ha pedig ez megtörténik, akkor a szabálykövető cégek automatikusan elutasítanák a nem onnan érkező leveleket. Az emailezés elterjedtsége és nagyon széles körű felhasználása miatt ez komoly probléma is lehetne, de a szakértő szerint hosszú távon nem lenne semmilyen negatív hatása. Hasonlóan például ahhoz, amikor 2012-ben kitiltották a dohányzást a kocsmákból, ami után szintén nem jött el a vendéglátósok által előzetesen vizionált apokalipszis.

Itt persze nehezebb az egész, mert nincs központi törvényhozó, amely meghozhatna egy ilyen döntést, és bár az olyan nagy techcégek, mint a Google és a Microsoft, tesznek lépéseket ebbe az irányba, még mindig messze vagyunk a céltól. Ha viszont elkezdődne a küldő felek részéről a deklaráció, a fogadók részéről pedig az ellenőrzés – előbbi már zajlik, utóbbi viszont még nem annyira jellemző, pedig ez egyébként a fogadónak lenne az alapvető érdeke –, az öngerjesztő lehetne, előbb-utóbb elérhetnénk a kritikus tömeget, és egy idő után ugyanolyan alapvetés lehetne ez is, mint a titkosított, biztonságos kapcsolatot jelző https URL-séma a titkosítatlan http helyett.

Hogy lehetne az?

Ez azért sem tűnik elképzelhetetlennek, mert technológiai akadályai egyébként nincsenek: a módszerek és eszközök már ki vannak találva – a feladó szerver hitelesítésére, vagyis a fentebb említett deklarálásra szolgáló SPF-től a titkosított átvitelt garantáló MTA-STS-en át egészen a DKIM-ig, ahonnan a fogadó fél megtudhatja, mit kell tennie, ha a levelet nem a domén jogos tulajdonosa adta fel, ahonnan az érkezett.

A bevezetésük ráadásul nem költséges, csak az hiányzik, hogy mindenki felismerje az átállás szükségességét, és gépekre bízza az hitelesség ellenőrzését.

Most többnyire csak a folyamat legvégén próbáljuk megállapítani, hogy egy levél szemét-e, vagy értékes, például a mindenki által ismert spamszűrőkkel, pedig itt ez már sokkal költségesebb. Különösen akkor, ha nem sima levélszemétről, hanem vírusokról és más kártevőkről beszélünk.

Ahhoz, hogy az emailezés biztonságosabb legyen, rettentően fontos lenne az információbiztonsági oktatás is. Amíg a technológiai eszközök nem jobbak, mint most, addig csak a felhasználóra lehet támaszkodni, miután pedig a kiberbűnözők eszközei is folyamatosan fejlődnek, ez valószínűleg mindig releváns is marad. Idetartozik például az a sok nagy cég által alkalmazott módszer, hogy szúrópróbaszerűen adathalász emaileket küldenek az alkalmazottaknak, hogy kiderüljön, felismerik-e őket, de a szakértő szerint ennél jóval hátrábbról kellene indulni. Például onnan, hogy senki ne ragassza fel a monitorra a jelszavát, és hogy mindenki tudatosítsa, hogy semmilyen körülmények között ne adja ki azt senkinek, és azonnal kezdjen gyanakodni, ha ezt kérik tőle.

Pfeiffer azt is kiemelte itt, hogy az emberi sajátosságokat sem lehet figyelmen kívül hagyni, az olyan mantrák, mint a minél bonyolultabb és hosszabb jelszavak vagy a rendszeres jelszóváltoztatás, mind oda vezetnek, hogy az emberek nem tudják megjegyezni a jelszavukat, úgyhogy előbb-utóbb felírják valahova. Ehelyett célszerű olyan jelszavakat vagy inkább jelmondatokat kitalálni, amik hosszúak, de megjegyezhetők, és nem kapcsolódnak a személyes adatainkhoz (vagy jelszókezelőt használni).

Emellett pedig a kétfaktoros hitelesítés bekapcsolása is nagyon fontos, pláne mert nem is jár túl sok kellemetlenséggel, csak azt kell tudatosítani a felhasználókban, hogy miért fontos, mi ellen véd. Ennek lehetséges hiánya felmerült a KRÉTA feltörésének ügyében is, és ha bebizonyosodik, eklatáns példája lehet annak, hogy jelenleg még a magas privilégiumokkal járó pozícióknál sem feltétlenül teszik ezt kötelezővé, pedig minimális extra erőfeszítés mellett nyilvánvaló előnyökkel járna. Az ilyen megoldások hiányában

a bűnözőknek tulajdonképpen nem kell költséges módszerekkel betörniük a célrendszerbe, csak rá kell venniük valakit arra, hogy kártékony szoftvereket futtassanak vagy érzékeny adatokat adjanak ki, változtassanak meg.

A szakértő szerint a legegyszerűbb megoldás az, ha az ember úgy áll hozzá a digitális világhoz, mint a valódihoz – ha a valóságban nem adja meg egy vadidegennek a személyes adatait, akkor online se adja meg egy „Milyen szendvics vagy?” kvíznek. A szakértő szerint már általános iskolában el kellene kezdeni a felkészítést az internethasználatra, középiskolában pedig kötelező anyagnak kellene lennie annak, hogy mire lehet számítani a neten.

Noha az internet mára legalább olyan fontos része lett az életünknek, mint a víz vagy az áram, egyszerűen nincs róla elegendő információnk, és azt sem hivatalos csatornákon kapjuk, csak mindenki rájön magától, hogy mi hogy működik. Miközben sokkal bonyolultabb felfogni az itt ránk leselkedő veszélyeket és kockázatokat, mint azt, hogy ne nyúljunk a konnektorba.

Végezetül itt érdemes kiemelni a Zero Trust-modellt is, amelynek lényege, hogy tudomásul kell azt venni:

teljes biztonság sem az interneten, sem a vállalati hálózatokban nem létezik.

A kilencvenes években kitalált, a kiberbiztonsággal foglalkozók által eddig is követett modell tavaly került be a köztudatba, miután Joe Biden amerikai elnök rendeletben írta elő, hogy a szövetségi kormánynak fel kell készülnie ennek használatára, a fő üzenete pedig az, hogy el kell távolodni attól a koncepciótól, hogy a rendszerünk egy vár, amit meg kell védeni a külső támadóktól. Ehelyett azt kell feltételezni, hogy a támadók már bejutottak a belső hálózatunkba, így annak minden egyes elemét külön kell megvédeni, ezt pedig keményen ellenőrizni is kell. Ahogy azt a szakértő is kiemelte korábbi cikkében, az emailek továbbítása gyakorlatilag minden tekintetben szembemegy ezekkel az elvekkel, ezért is fontos, hogy a lehető legtöbb óvintézkedést tegyük meg azért, hogy ennek ellenére se kompromittálhassák a leveleinket.

Milyen a magyar helyzet?

Ahogy az az elmúlt hetek eseményeiből is jól látszik, bőven lenne még hova fejlődni, pláne olyankor, amikor a KRÉTA rendszerébe bejutó hekker konkrétan kimondja, hogy a támadás fő motivációja az volt, hogy megmutassák, mennyire „fejlettek” a magyar rendszerek. Pfeiffer kérdésünkre elmondta, hogy Magyarországon is egyre gyakoribbak az emailes csalások, többek közt azért is, mert míg korábban a magyar nyelven küldött adathalász (phishing) leveleket könnyű volt felismerni a nyelvezetükről, mára már egészen jó minőségű szövegeket lehet kapni, olyanokat, amiket valószínűleg már látott magyar anyanyelvű ember is, nem csak kiestek a Google Fordítóból. Az éppen aktuális eseteknél persze sablonüzenetek helyett valószínűleg célzott támadásról lehetett szó, ami ellen nagyon nehéz felkészülni, és amelynek több szintje is megvalósulhat:

• a publikusan elérhető infók alapján – a Facebook-profilok feltúrásától a LinkedInen való kutakodásig szinte végtelen a lehetőségek sora, pláne mert sokan nincsenek tisztában azzal, hogy mennyi minden kideríthető róluk így – összeállítanak egy emailt, majd azt magukat valaki másnak kiadva elküldik, ami relatíve kicsi energiabefektetés, de könnyen spambe is kerülhet;
• feltörik valamelyik jogosult emailfiókját, majd abból küldik el ugyanezt a levelet, ami ránézésre teljesen hiteles, és bár macerásabb az előzőnél, az adatgyűjtés után nem is túl nehéz, elvégre rengetegen használják a gyerekük, kisállatuk, párjuk nevét és születési dátumát a jelszavaikban, ezekre vonatkozóan pedig sok adatot lehet gyűjteni;
• vagy feltörik a levelezőrendszert, vagy akár magát a domént, amikkel szintén teljesen hiteles leveleket tudnak küldeni nem is csak egy ember, hanem a szervezeten belül bárki nevében, de ez már tényleg költséges és nehéz feladat.

A szakértő szerint az elmúlt évek nemzetközi és hazai példái egyaránt bizonyítják, hogy a védekezésben nem állunk jól, de a tudatosságban talán még kevésbé, nagyon kevés ember van tisztában azzal, hogy milyen kockázatokkal néz szembe az interneten. Országoktól és szektoroktól függetlenül elmondható, hogy ahol nincs valamilyen erős külső szabályozás – mint például a PSD2 vagy a PCI DSS a fizetési, illetve kártyaszolgáltatók esetén –, ott motiváció hiányában könnyen háttérbe szorul a biztonsági szempont. Adott esetben még a megfelelő szabályozás sem létezik egy szervezeten belül, ami előírná, mondjuk, a kétfaktoros azonosítás használatát, de ha a szabályok léteznek is, áthágásuk nem mindig ellenőrizhető. Nem lehet például kideríteni, hogy egy kolléga nem használja-e a céges jelszavait a cégen kívül is.

Pfeiffer elmondta azt is, hogy sok magyar cégvezető fél adathalászattal kapcsolatos tudatosító kampányba kezdeni, mert tartanak attól, hogy kiderülne, a munkavállalóik túl nagy hányada nem tud felismerni egy adathalász emailt. Így aztán nem kezelik ezt, hanem homokba dugják a fejüket, pedig egy ilyen kampány nem arról szól, hogy pellengérre állítsák a hibázókat, hanem egy tanulási folyamat, a lényege pedig az, hogy az embereknek legyen gyakorlatuk ebben, és ne élesben kelljen kitalálni a megoldást. Ugyanerről beszélt egyébként Keleti Arthur kibertitok-jövőkutató is a Balasys májusi sajtóeseményén, ő akkor úgy fogalmazott, hogy nálunk az incidenseket, az áldozattá válást még mindig titkolni kell, pedig az áldozatok segíthetnének másoknak a további támadások megakadályozásában.

Pfeiffer arról is beszélt, hogy amikor fiatalokkal beszélgetnek információbiztonságról, látszik, hogy a digitális bennszülöttek hajlamosabbak az adataik megosztására, mert természetes nekik az internetes közeg, az első reakciójuk pedig általában az, hogy nekik nincs mit titkolniuk. Ez lehet, hogy így is van, de nem biztos, hogy így is marad – bármikor előkerülhet például egy kínos fotó egy állásinterjún. Közben viszont nyitottak is az információbiztonságra, életszerű példákkal meg is értik a kockázatot.

Az idősebb korosztály a szakértő szerint talán ellenállóbb az adathalászat bizonyos formáival szemben, mert ők nem a digitális világban nőttek fel, és jobban tudják kamatoztatni a valóságban megszerzett tapasztalataikat. Sokszor viszont nem értik, hogy mi történik az interneten, ami szintén problémás lehet, a tévébe vetett hitük miatt könnyebben elhiszik a youtube-os konteókat, és az olyan adathalász leveleknek is hajlamosabbak bedőlni, ahol általuk magas presztízsűnek gondolt szervezetek (például a posta vagy egy bank) nevében írnak nekik. Ez persze ennél jóval összetettebb szociológiai, pszichológiai kérdés, a lényeg pedig összességében az, hogy mindenkinek megvan a maga kockázata, nincsenek kivételek.