„Tegye fel a kezét, akinek az ismerősi körében volt már olyan, akit próbáltak átverni online csalók”
– mondta Nemes Máté, a Mastercard termékfejlesztési menedzsere. Már az is jól jellemzi 2023 rögvalóságát, hogy ezt a felhívást gyakorlatilag bárhol tehette volna a sarki kisbolttól a bevásárlóközponton át a kocsmáig, és jó eséllyel a magasba lendült volna néhány kéz. De nem ezeken a helyeken tette, hanem az Groupama Arénában, az ITBN kiberbiztonsági konferencián, egy erősen szűrt, jórészt szakmabeliekből álló, ezért fokozottan biztonságtudatos közönség előtt – mégis rengetegen tették fel a kezüket.
És tényleg, ki ne tapasztalt volna saját maga vagy hallott ismerőseitől olyat, hogy telefonon kereste valaki, aki banki ügyintézőnek adta ki magát, és az adatait kérte; esetleg olyat, hogy felrakott egy apróhirdetést a netre, és jött a csetüzenet a „vevőtől”, hogy intézi is a szállítást, amihez az adatait kérte – a közös pont mindig az, hogy az adatainkat kérik, olyanokat, amelyeket valójában egyetlen bank vagy vevő sem kérne el, mert semmi köze nincs is hozzá.
Csalók, csalók mindenhol
Ma már közhely, hiszen évek óta tartó trend, hogy ahogy világszerte mindenhol, úgy Magyarországon is folyamatosan erősödik a kiberbűnözés, évről évre egyre több ilyen eset történik, annak ellenére, hogy ezzel párhuzamosan egyre több szó is esik erről a veszélyről. Nemes Máté idézte a Magyar Nemzeti Bank friss statisztikáját, amely szerint a kiberbűnözők egyetlen negyedév alatt 5 milliárd forintot loptak el átutalás útján és további 2 milliárdot kártyás csalásokkal. A Nemzeti Védelmi Szolgálat szóvivője is hasonló nagyságrendről beszélt a Telexnek: elmondása szerint az idei év első felében a bűnözők 14-16 milliárdot csaltak ki online az emberektől, ami már meghaladja a hagyományos csalások által okozott kárt. Legutóbb épp csütörtökön jelentette be a rendőrség, hogy lekapcsolt egy ukrán-magyar bűnbandát, amely ehhez hasonló módszerekkel csalt ki összesen 200 millió forintot.
Aki rákattintott az előző mondatban linkelt hírre, feltűnhetett neki, hogy bár a bejelentés friss, a banda tagjait már több mint egy hete fogták el, a nyomozás pedig még júliusban indult – hogyhogy csak most hallunk hát erről az ügyről? Nem ezzel az esettel kapcsolatban, de erről is beszélt az ITBN-en a hazai kiberbűnözés aktuális helyzetéről szóló beszélgetésen Halász Viktor, a Készenléti Rendőrség Nemzeti Nyomozó Iroda (NNI) Kiberbűnözés Elleni Főosztályának vezetője. Halász szerint mindig akkor közölnek csak részleteket, amikor már úgy látják, hogy a bűnöző nem szerezhet ebből előnyt (például mert még nem kapták el), akkor viszont igyekeznek minél több információt közzétenni, hogy mások tanulhassanak ezekből az esetekből.
Herédi István, az NNI kiberbiztonsági szakértője szerint eddig két kiberbűnözői trend rajzolódott ki idén egyértelműen. Egyrészt az, hogy az online csalások a korábbi évekhez képest is rendkívül népszerűek lettek, ahogy arról épp a napokban mi is részletesen írtunk. Másrészt megszaporodtak az olyan esetek, amikor inkább kezdő kiberbűnözők bontogatják a szárnyaikat és férnek hozzá jogosulatlanul akár állami, akár a privát szférába tartozó rendszerekhez. Herédi szerint ezek az elkövetők jellemzően elismerést próbálnak szerezni azzal, hogy valamilyen fórumon megosztják, hogy ők voltak, akik az adott oldalt vagy szolgáltatást feltörték. Ezekkel a kérkedésekkel azonban általában elkövetnek olyan hibákat, amelyeket egy profibb elkövető nem követne el – tette hozzá. Bár konkrét példákat nem említett, nem nehéz itt például a KRÉTA és a Neptun többszöri meghekkelésére vagy kevésbé frekventált kormányzati oldalak feltörésére asszociálni.
Egyébként az ITBN-en évről évre szerveznek olyan beszélgetést a hazai kiberbűnözés helyzetéről, ahol nyomozóhatóságok munkatársai beszélnek a munkájukról, és becsületükre legyen mondva, hogy még úgy is rendre ezeken a beszélgetéseken hangzik el a legtöbb konkrétum, hogy értelemszerűen nagyon óvatosan fogalmaznak az egyes esetekről. Erre szolgáltatott szemléletes illusztrációt a beszélgetés egy pontján Herédi István, akinek a vonatkozó mondatát érdemes szó szerint idézni:
„Etikus hekkerként került később aposztrofálásra egy olyan elkövető négy-öt évvel ezelőttről, aki egyébként egy igazgatási rendszer adatbázisát törte föl, és ott hajtott végre olyan módosításokat, amelyeknek a segítségével jutányosabb áron jutott hozzá bizonyos eszközökhöz.”
Egyébként a szándékoltan kimért rendőrnyelv ellenére egészen nyilvánvaló, hogy arra a 2017-es ügyre utalt, amikor egy 18 éves fiatal jelezte a BKK-nak, hogy hibát talált a frissen bevezetett online jegyértékesítési rendszerükben, amelyet kihasználva fillérekért tud jegyet venni, de a rendszert fejlesztő T-Systems feljelentette. Az eset akkoriban nagy felháborodást váltott ki, de szakmai körökben is megoszlottak a vélemények arról, hogy lehet-e etikus hekkernek tekinteni valakit, aki nem egy cég felhívására, hanem önkéntesen/önkényesen keres hibát a rendszerében. Csak egy bő hónappal később mondta ki a bíróság, hogy jóhiszeműen járt el, és nem követett el bűncselekményt.
Sci-fi és rögvalóság
Halász Viktor szerint az összes általuk ismert eset 99 százaléka kellő felhasználói óvatossággal megelőzhető lett volna, nagyon ritka az olyan támadás, amely felhasználói közreműködés – frissítés elmaradása, gyanús linkre kattintás, adatok megadása – nélkül is összejött volna. Szerinte a támadók is erre építenek, tudják, hogy általában felesleges szofisztikált támadásokat végrehajtaniuk, és nem a rendszereken, hanem az embereken keresik a biztonsági rést.
Hasonló tapasztalatokról számolt be Bondár Péter, a Nemzeti Adó- és Vámhivatal (NAV) információbiztonsági felelőse is. Ő nem a NAV bűnügyi kiberrészlegéért felel, hanem az ügyfelek és a munkatársak biztonságáért, amelyet leginkább az adathalász próbálkozások áradata fenyeget. A 2022-es országgyűlési választások elé időzített adó-visszatérítés idején például sok olyan levelet kaptak, hogy az ügyfél érdeklődött, hogy ő már minden emailben kért adatot megadott, mikor jön már a pénz – de az adatokat valójában nem a NAV kérte tőle, hanem a csalók. De a NAV-on belül is állandóak a kollégákra célzott adathalász támadások, amelyekben például az IT-üzemeltetők nevében próbálják kicsalni a jelszavakat a dolgozóktól.
A bevett módszerek mellett persze feltörekvőben vannak újabbak is, és 2023-ban talán már senki nem lepődik meg azon, hogy ezek a mesterséges intelligenciára (MI) építenek. Halász szerint ma még működnek az egyszerűbb módszerek, de időben várhatóan egyre több olyan eset lesz, amelyben az elkövetők képi vagy hangmanipulációra építenek. Utóbbiról csak általánosságban mondta, hogy például a csaló úgy ver át egy alkalmazottat, hogy MI segítségével a saját beszédét az illető főnökének hangján játssza be a telefonba. Ilyen konkrét esetről azonban már 2019-ben is hallhattunk, amely ráadásul rögtön magyar érintettségű is volt, mert az elkövető egy német cégvezér hangján arra utasította a brit leányvállalat vezetőjét, hogy egy magyar számlára indítson utalást (ahonnan aztán más országokba vándorolt tovább a kicsalt pénz).
Eddig némi védelmet jelentett itthon, hogy a magyart kiberbűnözői körökben is kevesen beszélik, bonyolult a nyelvtana, de az MI a nyelvi akadályokat is lebontja, a ChatGPT például gond nélkül ír egy kis unszolásra adathalász emailt teljesen vállalható magyarsággal. De az sem sci-fi már, hogy a programozói képességekkel nem rendelkező bűnöző a ChatGPT-vel irat kártevő kódot. Ugyanezeket az eszközöket egyébként a másik oldal is tudja hasznosítani, Halász Viktor említett például olyan esetet, amikor egy informatikai képzettség nélküli nyomozó megkérdezte a ChatGPT-t, hogy mit csinál egy gyanús weboldal, és az intelligens csetprogram szép érthetően leírta neki, hogy az adathalász oldal hova küldi az adatokat.
Nincs szégyenkeznivalónk
Halász Viktor szerint Magyarországon is előfordulnak kiberbűnözői csoportok, de itthon még mindig a magányos elkövetők a jellemzőbbek. Nemzetközi bandák persze magyar felhasználókat is támadnak, épp ezért fontos a folyamatos és szoros együttműködés más európai országok hatóságával, illetve az Europollal, az Interpollal és az FBI-jal. A közös nyomozásokban mindig egy-egy ország vállal vezető szerepet, Magyarország például épp egy közelmúltbeli kriptovalutás csalás felderítését vezette Finnországgal és Észtországgal együtt – mondta.
Halász és Herédi is azt mondta, hogy a top kiberhatóságnak a német, a holland és az amerikai számít, ők számolják fel például a legtöbb darkwebes piacteret, a régióból pedig Halász szerint a románok nagyon aktívak, de ma már az uniós tagállamok nagyjából egy szinten vannak, pont a szoros együttműködés miatt is, és a magyar kibernyomozóknak sincs szégyenkeznivalójuk.
Már ha vannak elegen, mert a hatóságoknál is tapasztalható a kiberbiztonság terén általánosan is jellemző szakemberhiány. Bondár Péter szerint egyre több a szakirányú képzés, de továbbra is az a helyzet, hogy az igazi szakmát, a fogásokat munka közben fogják megtanulni, a tapasztalatszerzés a legfontosabb. „Hálistennek el tudtuk érni, hogy bár közigazgatási szerv vagyunk, fel tudunk úgy venni munkatársat, hogy nem a szakképesítést nézzük, hanem hogy mi tud” – mondta.