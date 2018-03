Adathalászok szerencséje

Kiberbűnözés – Nyomkövetés és bankszámlacsapolás felsőfokon

Megfigyelnek, lehallgatnak, ellopják a személyes adatokat, pillanatok alatt leapasztják egy-egy banki kontó tartalmát. Könnyű az internetes bűnözők prédájává válni, technikai eszköztáruk kimeríthetetlen. Tavaly csak a világhálón keresztül végrehajtott illegális tevékenységgel több mint 170 milliárd dollárt kerestek.

Úgy tűnik, a kiberbűnözők legyőzhetetlenek. Szüntelenül támadják internetes levelezőfiókjainkat, netbankunkat, nonstop lopják az adatainkat, hogy megszerezzék a pénzünket, értékeinket. Ki tudja, hányan figyelnek meg bennünket rendszeresen, miközben már régen nem is gondolunk arra, hogy az interneten a legapróbb tevékenységünk is olyan nyomot hagy, amelyre bárki és bármikor lecsaphat.

Mindennap belépünk a levelezőrendszerünkbe, közösségi oldalunkba, netán pénzt utalunk a világhálón, bankkártyával fizetünk, vagy egyszerűen csak GPS-nyomkövetőt használunk. De akkor sem vagyunk óvatosak, ha bekapcsoljuk a beépített kamerás laptopunkat.

Hát már sosem leszünk biztonságban? Nem! Világszerte lassan egymilliárd (978 millió) olyan internethasználóról beszélhetünk, akiknek adataihoz hozzáférhetnek a számítógépes csalók.

A leggyakoribb incidens a vírusfertőzés, majd a jelszó és a pénz ellopása. Mindezek eredményeként a kiberbűnözők csak az elmúlt évben világszerte 172 milliárd dollárra tettek szert, ami áldozatonként átlagosan 142 dollár. Döbbenetes, hogy a világhálót használók fele képtelen azonosítani egy adathalász üzenetet vagy hamis weboldalt. És épp erre utaznak a bűnözők, hiszen az adathalász üzenetek túlnyomó többsége e-mailben vagy a közösségi oldalakon keresztül érkezik.

Az ok egyszerű: jelenleg ezek a legelterjedtebb kommunikációs eszközök. Számos kutatás rámutat, hogy a számítógép-felhasználók 86 százaléka nézi e-mailjeit rendszeresen, 73 százalék kommunikál a közösségi oldalakon, 54 százalékuk pedig rendszeresen folytat internetes csevegéseket az okostelefonján keresztül.

Amióta csak létezik az interneten pénzügyi tranzakció, az adathalászok szerencsésnek érezhetik magukat. Ezeknek a virtuális térben tevékenykedő csalóknak a támadásai olyan üzenetekből állnak, amelyek az igazi banki weboldalak hamisított változataira irányítják át a megtévesztett ügyfeleket.

Ezt legtöbbször úgy érik el, hogy az általuk készített honlap szinte egy az egyben olyan, mint az eredeti oldal, a különbséget egy átlagos felhasználó észre sem veszi. Céljuk az, hogy minél több banki felhasználói hitelesítő adathoz jussanak hozzá, hogy ezek segítségével elérjék az online tranzakciókhoz szükséges felhasználói fiókokat, majd ezt követően egyszerűen lehalásszák az áldozatok pénzét.

A számítástechnikai védelemmel foglalkozó Kaspersky Lab statisztikája szerint az adathalászok 53 százaléka használja ezt a módszert, s minden második kibertámadás az áldozatok pénzének ellopására irányul. A jól bevált módszer azonban gyorsan terjed, amit az is igazol, hogy a közelmúltban egyre több magyarországi bank ügyfeleknek szánt honlapját próbálták meg hamisítani. Csak tavaly négy pénzintézetet vettek célba: a Raiffeisen Bankot, a Budapest Bankot, az OTP-t és az Erstét.

Jóllehet az érintett bankok, észlelve az adathalászok támadását, azonnal felhívják az ügyfeleik figyelmét, hogy a csalókkal ellentétben e-mailben vagy sms-ben soha nem kérik a jelszót. A pénzügyi adathalász támadások – bankok, online fizetési rendszerek, valamint webshopok ellen – tavalyi összesítése alapján kiderült, hogy ez a kategória első alkalommal került a toplistás kibercsapdák közé. Sőt az is látszik, hogy a bűnözők érdeklődése az általános fiókadatok ellopásától a pénzügyi fiókok irányába tolódott.

Jó hír viszont, hogy mintegy harminc százalékkal csökkent a banki trójai vírusok által megtámadott felhasználók száma: 2016-ban 1088 ezer, míg 2017-ben 767 ezer áldozatot azonosítottak. A legtöbb támadást Németországban, Oroszországban, Kínában, Indiában, Vietnamban, Brazíliában, valamint az Egyesült Államokban tapasztalták.

A fő szabály: sose adjunk meg felhasználónevet és jelszavakat e-mail linkre kattintás után, még akkor se, ha a domain a weboldalon megegyezik a szolgáltatóéval. Jelentkezzünk be az adott szolgáltatóhoz (például bankhoz) úgy, hogy könyvjelzőből vagy az előzményből nyitjuk meg az oldalt. Ezt az üzenetet ugyanis a bank biztosan látja, hiszen a rendszere jelzi. A gyanús levelet, sms üzenetet pedig továbbítsuk az ügyfélszolgálatra, hogy az esetet kivizsgálhassák.

A legnagyobb közösségi portál szintén aranybánya a kiberbűnözőknek. A folyamatosan a Face­bookon lógó millenniumi (Y + Z) generáció tagjainak 69 százaléka esett már számítógépes bűnözés áldozatául, de a teljes számítógépező lakosságnál sem rózsás a helyzet: a felnőtt internetezők több mint a fele volt érintett valamilyen rosszindulatú program, vírus, kémszoftver, zsarolóvírus vagy adathalász átverésben az elmúlt évben.

Ki az őrangyalod?

A Symantec húsz országban végzett felmérése megdöbbentő adatokat tartalmaz: a kiberbűnözés által érintettek jóval több, mint fele legalább egy jelszavát már megosztotta másokkal. A felhasználók 24 százaléka használ egyetlen jelszót több online fiókra is, viszont a baby boomer generáció, azaz a mai 50–70 évesek 69 százaléka tisztában van vele, hogy mennyire veszélyes az egyetlen belépési kód. Kár, hogy 24 százalékuk papírra leírva őrzi az összeset, beleértve a PIN-kódot is.

„Hogyan néznél ki hollywoodi sztárként? Melyik fa lennél? Ki az őrangyalod?” Ugye ismerős bugyuta kérdések ezek, ám egyre népszerűbbek a legnagyobb közösségi portálon. Csak azt ne higgyük, hogy valóban játékra invitálnak és őszintén kíváncsiak ránk. Szó nincs önzetlen szórakoztatásról, lehet, hogy valaki épp most próbálja ellopni az adatainkat. A válaszhoz persze meg kell adni legszemélyesebb kódjainkat, általában fényképet is. Ez veszélyes, mert aztán a nevet és a képet is bármire felhasználhatják, akár egy szexhirdetésben vagy egy potencianövelő szer reklámjában.

A bejelentkezési adatainkra pályázók folyamatosan fejlesztik a legnagyobb közösségi portál hamis weblapos megoldásait azzal a céllal is, hogy bűnt kövessenek el a nevünkben. Olyan webcímeket készítenek, amelyek „facebook.com” vagy „m.facebook.com” szöveggel kezdődnek, majd utána rengeteg kötőjelet vagy hasonló karaktert tesznek be. Így nagyon hosszú lesz a webcím, nem fér el az egész cím a böngésző címsávjában, emiatt viszont ki tudják takarni a végén lévő valódi domaincímet. Bár ez nagyon furcsán mutat a böngészők címsorában, mégis sokan figyelmen kívül hagyják.

Valójában azonban nem csak „meghekkelt” internetes szolgáltatásokon keresztül szivároghatnak ki a bankkártyánk adatai, a bűnözők egy egyszerű bolti vásárláskor is lecsaphatnak ránk. Egyrészt feltörhetik a fizetéseket bonyolító számítógépes üzleti rendszert, amire nem is egy példa akadt. Másrészt úgynevezett skimmereket helyezhetnek a kártyaleolvasókra.

Ennek lényege, hogy nehezen észrevehető elektromos eszközöket raknak a terminálokra, például akkor, amikor vásárláskor kézbe veszik azt. Ezek leolvassák a géphez érintett vagy a gépbe helyezett bankkártyák adatait, továbbá a leütött gombokat egy másik eszközön érzékelik, megszerezve ezzel a PIN-kódunkat is.

A pár milliméteres lopóeszköz felhelyezése ellenére a kártyaolvasók tökéletesen funkcionálnak, csak épp a tolvajok megszerzik velük az összes olyan információt, amelyek szükségesek ahhoz, hogy pénzt lehessen leemelni az áldozatok bankszámláiról. Ehhez a felhelyezésük után néhány nappal fizikailag el kell azokat távolítaniuk a leolvasókról, hogy kinyerhessék belőlük az adatokat.

Ami az ATM-es készpénzfelvételt illeti, az adatlopás leggyakrabban egy hasonló elven működő másolóeszközzel történhet. A gyanútlan ügyfél már csak akkor veszi észre, hogy mi történt, amikor adatainak birtokában megcsapolták a számláját.

A kárt a legtöbbször a bank, ritkábban a bolttulajdonos állja. Egy-egy skimmer gyakorlatilag bárki számára fillérekért megvásárolható bármelyik kínai webáruházban.

A „legsötétebb web”

A leleményesség persze messze nem ér itt véget. Nem is olyan régen több bejelentés is érkezett az Országos Vérellátó Szolgálathoz, melyek szerint a véradó állomások nevében illetéktelenek próbáltak meg adatokhoz hozzájutni adatvesztésre, egyeztetésre való hivatkozással. A szolgálat felhívta a figyelmet, hogy a donoradatok hiánytalanul rendelkezésére állnak, így sem adatgyűjtést, sem adategyeztetést nem folytatnak.

A közhiedelemmel ellentétben nem nyújt már abszolút védelmet a bűnözőkkel szemben az internetes bankolás során a tranzakciót igazoló sms-üzenet küldése abban az esetben, ha előzőleg az ügyfelek legalább egy súlyos biztonsági hibát elkövettek, például illetékteleneknek adták meg adataikat.

A G Data kiberbiztonsági vállalat szerint tehát a bűnözők már megtalálták annak a módját, hogy egy bankszámla belépési adatainak birtokában a tranzakció visszaigazolására szolgáló kódot ne a számla tulajdonosának a telefonszámára, hanem egy másik, általuk megadott számra küldjék el sms-üzenetben. Ehhez azonban először meg kell szerezniük az ügyfél belépési adatait a banki szolgáltatásokhoz, általában valamilyen hagyományos adatlopási megoldással.

Így például becsapós, félrevezető, megtévesztő, úgynevezett phishing levelek küldésével. A banki ügyfelek tehát ebben az esetben is csak akkor vannak kitéve veszélynek, ha ők maguk követnek el valami olyan adatvédelmi hibát, amelyet egyébként el tudnak kerülni, ha gondolkodnak egy kicsit.

A módszer széles körű elterjedését egyelőre akadályozza, hogy a bűnözőknek meg kell szerezniük a mobilszolgáltatók SIM-kártyák beazonosítására használt úgynevezett SS7 protokollját is, ami nem kis befektetést igényel a részükről. Ez is elérhető, ára a feketepiacon ezer dollártól indul. Magyarországon egyébként már jó ideje általános az sms-értesítő a pénzmozgásokról, aminek a bevezetésé­ben világelsők voltunk 1998-ban.

A hekkerek átlagosan egy kártyaszámot egydolláros „nagykereskedelmi” áron adnak el. Ezek aztán további két-három, de akár fél tucat közvetítő kezén is átmehetnek, míg feltűnnek az online feketepiacokon, immár hozzávetőleg hatdolláros „kiskereskedelmi” áron. Az adásvétel helyszíne a „Dark Web”, azaz a „legsötétebb web”, amely egy speciális kibertér, az internet legtitkosabb és legmocskosabb alvilága. Itt minden, ami illegális, kapható, bejutni pedig egy olyan speciális böngészővel lehet, amely (majdnem) anonimitást biztosít. A biztos működőként hirdetett, amerikai kártyaszám műfajában is van mennyiségi kedvezmény: tíz darabtól felfelé már kedvezményesebb az ár.

Megvannak ennek a piacnak is az exkluzív butikjai és diszkontnagyáruházai: előbbiekben platina kategóriás (vagyis több ezer dolláros vásárlási limitű) kártyákat találni 20-25 dolláros darabáron, természetesen az óvatlan tulajdonos ellopott adataival. Hogy mi van egy-egy csomagban, az is változó, a minimum a kártyára írt név, maga a kártyaszám, a lejárati dátum és az ellenőrző kód – vagyis minden, ami egy online vásárláshoz kell. Extraként szerepelhet például a PIN-kód vagy a tulajdonos címe is.

Régebben szokás volt a lopott adatokat felhasználva fizikailag le­klónozni egy kártyát, aztán azzal megpróbálni vásárolni, vagy egy saját kártyaolvasóval egyszerűen lehúzni róla pénzt. Ez azonban lassú is, macerás is, kockázatos is, így ma már szinte teljesen kiszorította a lopott kártyaszámokkal való on­line vásárlás. Ez óriási, többszörösen illegális szerencsejáték, hiszen sosem tudni, hogy mikor veszi észre a tulaj a lopást, és tiltatja le a kártyát.

Az infokommunikációs eszközök robbanás-szerű fejlődése megállíthatatlan, és a hekkerek, adathalászok sem unatkoznak, fejlesztéseikkel élen járnak. Itt van például a nyomkövető GPS. Jó dolog, hiszen ha ellopják az autót, segítségével könnyebben megtalálható. Ám amikor a készülék jogos tulajdonosa használja, akkor ő sem marad rejtve, számos etikai és személyiségi, illetve adatvédelmi kérdést felvetve. Tehát nem árt tudni, hogy egy tapasztalt kiberbűnöző pillanatok alatt feltörheti ezt a rendszert is. Így nem véletlen, hogy ezek megzavarására számtalan kütyüt fejlesztettek ki, amelyek bizonyos hatótávolságban kiiktatják a GPS-eszközök és a műholdak közötti kapcsolatot.

Védelem? Zaklatás?

Évek óta tartja lázban a felhasználókat – főként az irodai dolgozókat – az asztali monitorba vagy a laptopba épített kamera sebtapasszal való leragasztásának mítosza is. Igen, távolról különböző programokkal bekapcsolható egy-egy számítógép! A telepítési részletekbe most nem érdemes belemenni, ez különböző módszerekkel egyszerűen elintézhető, ahogy megállapítható az is, ki mikor és milyen szót ütött le a billentyűzetén.

Megint más kérdés, hogy minek leragasztani egy kamerát, amikor a gép jelzi, akár hanggal, akár LED-felvillanással, hogy azt bekapcsolta valaki. Persze a LED is kiiktatható, ám az már nagyobb szaktudást igényel. Tehát nem egyszerű csak úgy, ad hoc módon bekapcsolni egy idegen kamerát a laptopon. Azaz egy tökéletes kamerás támadásnál még annak is nagyobb az esélye, hogy az áldozat irodájába például elhelyeznek egy miniatűr eszközt, amely kameraként, poloskaként is működik, mindezt GSM-hálózaton keresztül továbbítja a támadónak.

Úgy, hogy valamilyen irodai eszköz elektromos adapterének van álcázva a folyamatos áramellátás érdekében. Ezek a személyes adatok ellopására, illegális megfigyelésre mind-mind alkalmasak, a fejlettebbek távolról akár okostelefonnal is irányíthatók. A határmezsgye ingovány, erősen vitatható, hogy „békeidőben” legális vagy illegális a funkciójuk, mikor szolgálja a mi védelmünket, és mikor minősül zaklatásnak, bűncselekménynek a használatuk. Az viszont biztos, a személyes adatainkra és magunkra is jobban kellene vigyázni, hiszen „a Nagy Testvér mindent lát”.