„Ha engedtem volna a lelkiismeretemnek, az üzlet kevésbé lett volna jövedelmező” – interjú a csomagautomatás csalás úttörőjével

2000 körül kaptam meg az első számítógépemet. Azt még nem én raktam össze, hanem egy ismerősünk, de már akkor elvarázsolt ez a világ. A következő évben már én állítottam össze az új gépemet. Kicsit előreugorva az időben: 12–13 évesen kezdett érdekelni, hogyan tudok bejutni egy másik helyiségben lévő számítógépbe. Otthon ideális volt erre a környezet, mert az én szobám és édesanyámék szobája között volt még egy szoba, így nem voltunk összekötve, nem volt hálózat. Ekkor wifin keresztül próbáltam feltörni a gépüket. Körülbelül 4–5 hónapig tartott, mire sikerült. Ma ez nagyjából másfél perc körül van, szóval sokat változott a világ. Utána az foglalkoztatott, hogyan lehet hálózaton belül emailcímet feltörni. Ezzel is elég sokat szenvedtem, körülbelül fél év, 8 hónap kellett, mire megtanultam.

Iskolában ezeket nem oktatták, eleinte az interneten tanultam. 2007-2008 után már voltak olyan penetrációs programok, amelyeket tudtam használni. Nagyjából 14-15 éves koromtól kezdtem megtanulni azokat a dolgokat az informatikában, amelyek hasznosak lettek volna, ha jó célra fordítom a tudásomat – például a kiberbiztonság területén. Más irányba indultam azonban: a dark webet kezdtem használni, ott ismerkedtem fórumokkal, oktatóanyagokat szereztem be. Aztán programozást tanultam: először weblapokat készítettem ismerősöknek, megtanultam a HTML és a JavaScript alapjait. Később – mert az ügyfeleknél az adatbázis is szempont volt – megtanultam a PHP alapjait és az adatbázis-programozást. Amikor ezek megvoltak, sokkal könnyebb volt egy kész penetrációs programot forráskód alapján átalakítani. Például a Kali Linux eszközeiben rengeteg parancssoros és vizuális segédlet van; ma már egy wifi feltörése az átlagfelhasználónak sem okozna nagy problémát, ha ott van előtte a program – négy-öt kattintás, és a program megcsinálja magától.

A családból senki nem ült börtönben; vallásos családban nőttem fel. Az apai ágon emiatt voltak nézeteltérések. Én vagyok a „fekete bárány” a családban.

Általános iskolában kitűnő voltam. Gimnáziumban tizedik osztályig 4–5-ös eredményeim voltak. Tizenegyedikben elkezdtem lógni, zülleni, különböző cselekményeket követtem el, aminek hatása volt a tanulmányi eredményeimre is. Ennek ellenére továbbtanultam: a főiskolán gazdasági informatika szakra jártam, de ez nem az volt, ami engem igazán érdekelt. Már a gimnáziumban sem tanítottak nekem újat – hiába jártam informatikai fakultációra, amit ott tanítottak, azt már évekkel korábban megtanultam más módon. A főiskolán is hasonló volt a helyzet: a gazdasági informatikán belül nagyjából három tárgyam volt informatika, amelyek közül egyet élveztem – a C++ programozást –, semmi mást. Ezért úgy döntöttem, elmegyek IT-gyakornoknak egy multinacionális céghez. Felvettek, elkezdtem ott dolgozni, mellette folytattam a főiskolát, és önképzéssel fejlesztettem magam. 2008 körül bejött a kriptovaluta, 2010-2012-től pedig már a dark weben is erősen jelen voltam.

A dark weben vannak különböző csoportok és piacok (marketek). Sok helyen meghívó nélkül is lehet regisztrálni, de sok a csaló és a kamu hirdetés. Nekem is voltak szolgáltatásaim, eladóként is megjelentem.

Amit adatszerzésből, adathalászatból szereztem: személyi adatokat, jelszólistákat, hozzáféréseket. Az oldalak többségénél kauciót kellett lerakni, hogy eladó lehessen valaki – így csökkentették az átverések esélyét. A piacok mögött komoly support volt, ezért ha vásárlói panasz érkezett, gyakran jobban működtek, mint egyes legális webshopok: gyors retorziót alkalmaztak az átverő eladókkal szemben. Ha például elküldtem a vevőnek egy bankkártyaadatot, de később a vevő panaszkodott nálam, hogy nem volt rajta pénz, akkor általában ingyen küldtem neki egy másikat, hogy ne rontsam el a profilom.

Nem. A marketeken az eladás általában előreutalással történt, kriptovalutában. Volt visszajelzési rendszer, értékelések az eladókról, és a mögöttes support is brutálisan erős volt. A vevőnek ez a feedback rendszer jelenti a garanciát arra, hogy nem verik át. A szerverek gyakran költöznek a lebukás veszélye miatt, ezért kialakulnak „elhagyatott” oldalak, ahol a vevők és a vásárlók is fent maradnak. Ezeken az oldalakon a vevőnek jobban kellett figyelnie, mert ha átverték, nem volt kinek panaszkodnia, mert az „elhagyatott” oldalak mögött már nincs support.

Nem. Jártam dolgozni, jártam szórakozni és a főiskolára is. A maradék szabadidőmben és hajnalokba nyúlóan képeztem magam. Eleinte nagyon primitív csalásokat követtem el.

Online csalásokat. 14 éves koromban az ismerőseimmel elkezdtünk e-kereskedni: az Amerikából olcsón behozott márkás termékeket itthon drágábban adtuk el. Egy alkalommal az áruk fennakadtak a vámon, és több százezer forintos mínuszba kerültünk. Ekkor nem küldtük el az árut a vevőnek, de nem is küldtük vissza a pénzt. Ez többször megismétlődött.

2006 körül ezzel másfél-két millió forintot kerestünk fejenként havonta; összességében körülbelül hatmillió forint jött össze.

De igen. Egyébként ezekből egy egész jó vállalkozást lehetett volna építeni, ha legálisan és okosabban csináljuk, de nem így lett. Több rendőrkapitányság folytatott nyomozást, és 19-20 éves koromban előzetes letartóztatásba kerültem. Kilenc hónapig bent voltam; utána folyamatosan jöttek az ítéletek. Megvolt az első behívóm is börtönre. Először menekülni akartam, de édesanyám rábeszélt, hogy vonuljak be. Letöltöttem az ítéletet, de a régi ügyek annyira elhúzódtak, hogy még a börtönből is jártam tárgyalásokra. Amikor szabadultam, már volt egy nem jogerős kétéves, négy hónapos ítéletem, illetve egyévesek. Összességében három év négy hónap lógott a fejem felett, és még két ügy folyt. Ezért eldöntöttem, mindent egy lapra teszek fel: hamis személyi okmányokat szereztem, összeszedtem egy csomó pénzt, és Ausztriába akartam menni, új identitással. Ott hálózati karbantartóként el tudtam volna helyezkedni.

Igen. Többféle minőségben árulták őket. Én szlovák okmányt szereztem, de magyar papírok is beszerezhetők voltak.

Huszonhárom-huszonnégymillió millió forint készpénzt és 32 értékes órát – összesen nagyjából negyvenmillió forint értéket, amivel elindultam volna. 11 év 3 hónapot kellett volna bujkálnom, hogy megússzam.

Csomagautomatás csalásokból.

Igen. Az ilyen csalásoknál gyakran úgy működik a dolog, hogy valaki más nevére nyitottak számlát, feltették a termékeket, a vevők előre utaltak, majd hónapokig tartott, mire a rendőrség ezeket a számlákat blokkolta. Az áldozatok pénzét a csalók felvették. Később ezt a módszert sokan ismerték, és a rendőrség is „oktatni” kezdte az embereket arra, hogy mire figyeljenek. Ezért alakítottam át a módszert.

Kerestem a neten nagyobb értékű termékeket, jelentkeztem vevőként, és megpróbáltam bizalmat kelteni. Tapasztalatból tudtam, hogy ha egy férfi ír az eladónak, annak kevesebb bizalmat szavaznak. Ha egy nő ír, akkor abban jobban bíznak, mint egy férfiban. Ha egy férfi doktor ír, akkor annak több bizalmat szavaznak, mint egy „sima nőnek”. A legtöbbet pedig egy olyan doktornak szavaznak, akiről azt hiszik, hogy nő. Ezért gyakran dr. Jakab Zsuzsannának adtam ki magam. Jelentkeztem például egy 600 ezer forintos fényképezőgépre. Írtam, hogy sürgős lenne, mert ajándéknak szánom. Jeleztem, hogy előreutalással fizetnék, de szeretném, ha már másnap feladná a terméket az eladó a postán, a postaköltséget természetesen fizetem. Írtam neki, hogy csak másnap délelőtt tudok utalni, mert a tokenem bent maradt az irodában. Nagyjából 30–50 emberrel kommunikáltam egyszerre; miután megszereztem tőlük az adatokat, még aznap elkészítettem nekik a hamis bankszámla-kimutatást.

Igen. Készítettem netbankos bizonylatokat a dátumokkal, összegekkel, minden részlettel. A trükk az volt, hogy az utalást euróban vagy dollárban tüntettem fel, ezért tudtam hivatkozni arra, hogy a bankok 24-48 órán belül utalják csak a pénzt. De azért, hogy higgyen nekem, csatoltam a hamis banki bizonylatot. A hamis bizonylatra hivatkozva az eladó elhitte, hogy elküldtem a pénzt.

Ha 30 embert megkerestem, és doktornőnek adtam ki magam, előfordult, hogy 4-5 ember már rögtön szaladt is a postára feladni a csomagot. Tudtam, hány napig őrzi a csomagautomata a kamerafelvételeket, és a környező térfigyelő kamerákról is tájékozódtam. Az automatákhoz nem kellett személyi; volt egy emailcím és egy „dobós” telefonszám, ami általában hajléktalan vagy cég nevére volt regisztrálva. Az automatákhoz pedig kapucnis felsőben, bukósisakban mentem.

Egy Facebook-csoportban osztották meg a sértettek a tapasztalataikat; ott írták, hogy a rendőrség mit mondott a kamerafelvételek őrzési idejéről. Ebben a csoportban olvastam egy esetet: egy nő, akit átvertem, és rájött, szólt a rendőröknek, hogy át lett verve. Kérte őket, hogy menjenek ki ahhoz az automatához, ahová a csomagot küldte, és kapjanak el engem. Ezután én nem mertem a megadott automata közelébe menni vagy másfél napig. Aztán ugyanez a nő a Facebook-csoportban megírta, hogy a rendőrségtől azt a választ kapta, hogy nincs kapacitásuk kimenni, tegye meg a feljelentést, és majd elindítják a nyomozást. Abszurd volt, ahogy a rendőrség a témához állt, pedig ekkor már jó ideje kerestek a zsaruk.

Az alvilági orgazdákkal nem szerettem együttműködni, mert ott nagyon alacsony áron tudták értékesíteni. Inkább hamis számlával, dobozokkal adtam el magánszemélyeknek vagy kiskereskedőknek „legálisan”: az eredeti ár nagyjából 90 százalékáért.

Nem.

Nagyjából heti négymillió forintot. Amilyen könnyen jött a pénz, olyan gyorsan el is költöttem: laptop egymillióért, óra két és fél millióért, ruhákra, lakhatásra, sokfelé ment. Albérlet helyett felső kategóriás Airbnb-lakásokat választottam, például Duna-parti, panorámás helyeken; volt, hogy olyan lakóparkban laktam, ahol ismert emberek is éltek.

Általában a Jófogáson. VPN-t és proxykat használtam; találtam sebezhető routereket, azokon keresztül nyitottam proxypontokat. Amikor a rendőrség kikérte a Jófogástól az adatokat, az IP-címeket adták meg. A rendőrök a szolgáltatótól kikérték az adatokat, és a szolgáltató megadta, hogy az adott IP-címet kinek osztották ki (például „Szabó Magdolna, Nyíregyháza” stb.). A rendőrség kiment, jegyzőkönyvet vett fel, de nem jutott el hozzám. Amikor már több száz ilyen ügy volt, felvettem 10-15 IP-címet csak azért, hogy lekössem a nyomozókat. Amíg ezeket hajkurásszák, engem ne tudjanak megtalálni. Tudtam a protokollt, és ezt használtam ki.

Két-három havonta. Tudtam, hogy körülbelül három-négy hónap alatt a rendőrség nagyjából másfél kilométeres körzetre tud szűkíteni, persze Budapesten ez még sok épületet jelent. Előfordult, hogy olyan IP-címet vettem fel, ami egy elhagyatott budapesti lánykollégiumhoz kötődött; a rendőröknek oda is ki kellett menniük, még ha senki nem is élt ott évek óta.

A dark weben kaptam megkereséseket. Egyszer például egy negyvenéves angol nő személyi adatait hirdettem; jött egy vevő, aki más állampolgár adatait kérte. Megírta, hogy neki egy ilyen állampolgárságú, ilyen korú ember adatai kellenek. Két nap múlva jelentkeztem nála, hogy megszereztem, amit kért. Utána jött még valaki, aki szintén specifikus személyi adatokat kért. Kiderült, hogy teszteltek, hogy mennyire tudok adatokat szerezni. Ez egy olyan társaság volt, amelyik adathalászattal, webszerverfeltöréssel, szenzitív adatok megszerzésével, zsarolással foglalkozott. Kaptam tőlük egy ajánlatot, hogy csatlakozzak hozzájuk. Mivel én „pucolós” voltam, és ők ismeretlenek, nem bíztam bennük. Attól tartottam, hogy ha buknak, akkor engem áldoznának fel.

Általában nem beszéltem telefonon azokkal, akiket átvertem, és emailben is csak addig, amíg meg nem történt a cselekmény. Így ki tudtam zárni a lelkiismeretemet. Egyszer mégis belém hasított: egy nő írt, hogy az ékszereit azért adta el, hogy a gyerekét beiskolázhassa. Ezt ellenőriztem: feltörtem a Facebook-fiókját, megnéztem a többi fiókját, és kiderült, hogy valóban nehéz anyagi helyzetben volt. Kifizettem neki a vételárat, sőt a pénz háromszorosát adtam vissza. Ez példázza, hogy ha engedtem volna a lelkiismeretemnek, az „üzlet” kevésbé lett volna jövedelmező.

Édesanyámmal igen. A család annyit tudott, hogy szerverkarbantartással foglalkozom, abból élek. A közvetlen környezetem többsége nem tudott semmit.

De. 2016-ban az Allee bevásárlóközpontban. Ott elfogtak orgazdaság miatt: pont egy laptopot vittem eladni. Először csak bevittek a rendőrségre vallomást tenni, de a rendszerben rákeresve kiderült, hogy hat elfogatóparancs volt ellenem kiadva. Bilincsbe vertek, és elkezdtek kérdezni. Kiderült, hogy az elfogatóparancsok egy része vissza volt vonva, de maradt az orgazdaság gyanúja, illetve egy BV csoportos elfogató. (A BV csoportos elfogató gyakorlatilag azt jelenti, hogy valamelyik törvényszék büntetés-végrehajtási csoportja ad ki elfogatóparancsot – a szerk.) Én mondtam a rendőröknek, hogy a BV-elfogató a két év négy hónap, amit le kell ülnöm, úgyhogy ne tegyenek előzetesbe, hiszen úgyis egyből börtönbe kell mennem. Nem kerültem őrizetbe, de kiderült, hogy nem a két év miatt kerestek, hanem egy másik ügy miatt, amiben közmunkára ítéltek, és nem dolgoztam le. Végül kiengedtek. A házkutatásnál bilincsben vittek el. Akkor a barátnőm megtudta, mit csináltam, mert elmondtam neki.

Azt mondta, őt ez nem zavarja, mert volt már neki olyan barátja, aki ült börtönben. Nem volt előítélete, ezért elmondhattam volna a teljes sztorit, de nem tettem.

Körülbelül egy évig.

Rengeteg SIM-kártyát és telefont használtam. Az utolsó hely, ahol laktam, a Reitter Ferenc utcában volt: egy új építésű lakás, ahol még tévé és internet sem volt bekötve. Vettem egy erős antennát és egy extendert (ez olyan eszköz, ami megnöveli a wifi hatótávolságát – a szerk.), feltörtem egy közeli épület wi-fijét, és azon keresztül használtam a VPN-t és a proxyt. Így biztosítottam, hogy a nyomozók ne jussanak el hozzám.

Kissé vicces módon: volt egy „tiszta” telefonom, amit csak a családdal és a barátnőmmel használtam; egyszer véletlenül egy korábban csalásokhoz használt SIM-kártyát tettem bele. Bár nem indítottam róla hívást, ez elég volt ahhoz, hogy a rendőrség összekapcsoljon az ügyekkel. Ennek révén az épületet, ahol laktam, be tudták azonosítani, bár a lakást nem azonnal.

Kopogtattak az ajtón, házkutatási parancs volt. Nem nyitottam ajtót, de kulccsal bejöttek. Megkérdezték: „Maga Kis László?”. Mondtam, nem, ő lement a boltba. „Hahaha, nagyon vicces” – felelte az egyik rendőr, ekkor lefogtak, falhoz állítottak, és elvittek.

Ezért 15 és fél évet kaptam. Van folyamatban jogorvoslat; arra számítok, hogy a büntetésemet csökkentik.

Börtönrádiósként hozzáférésem lett a hálózathoz. Onnan emaileket és webszervereket törtem. Kiküldtem egy programot, ami összegyűjtötte az emailcímeket kriptofórumokról és hasonló oldalakról. Naponta 50-60 emailt próbáltam feltörni; valamelyikben mindig találtam használható hozzáférést, és ebből jött folyamatosan a készpénz. Mert volt két olyan váltó, akik hirdették magukat. Ezek a váltók x százalékért cserébe váltottak kriptovalutát. A feltört emaileken keresztül bejutottam a felhasználó netbankjába, onnan utaltam a váltóknak. A váltók leváltották és kriptóban fizették ki, úgyhogy ott én már eltüntettem magam. Emellett Vatera-fiókokat keresgéltem, amiknek jó feedbackjük volt (például 80 pozitív, nulla negatív), feltörtem őket, gyorsan 10-12 nagyobb értékű terméket szereztem, a vevők előre utaltak a jó értékelések miatt.

Röviden az, hogy a bűntársam kapzsi volt.

Ebből az ügyből én hat évet kaptam; a bűntársam alkut kötött, és három év, négy hónapot kapott.

A kiberbiztonság területén szeretnék dolgozni. Olyan vállalkozást akarok indítani, amely cégeknek biztosít védelmi hátteret.