Jenő
belföldkülföldgazdaságvideóélettechtudafterenglish
16° 31°

Menü

Kereső

Belépés Támogatás

Kedves Helga, tényleg el szeretné küldeni azt a 20 ezer dollárt a szerelmének Burundiba?

Gazdaság
Techtud
Legfontosabb

Kedves Helga, tényleg el szeretné küldeni azt a 20 ezer dollárt a szerelmének Burundiba?
Külföldi számról érkező adathalász sms egy telefon képernyőjén – Fotó: Németh Sz. Péter / Telex
Brückner Gergely
Brückner Gergely

A magyar sajtó azzal tehetné a legtöbbet a banki csalások ellen, ha nagyon rövid cikkeket írna. Gyakorlatilag egy cikkben csak egyetlen üzenetet helyezne el, például azt, hogy amikor egy kisebb magyar bank ügyfele olyan telefont kap, hogy „az OTP-től hívom, ezekben a percekben Kecskeméten csalók próbáltak meg fizetni a banki adataival”, akkor az ügyfél fogjon gyanút. Hiszen nem jellemző, hogy másik bank telefonál az ügyfeleknek. Inkább arról van szó, hogy a csalók mindig a legnagyobb bankok nevében jelentkeznek be, ott több esély van ugyanis a találatra. Viszont ha tényleg csalásról lenne egy banki alkalmazottnak ismerete, akkor a bank maga is tudna lépni, korlátozni, letiltani. Nem fog PIN-kódot kérni, nem akar szoftvert telepíteni, ahogy nem fogja javasolni azt sem, hogy az ügyfél utalja el egy „biztonságos” számlára a pénzét.

Egy banki háttérbeszélgetésen az egyik hazai bank biztonsági főnöke adta a rövid cikkekről szóló tanácsot. Ez lett volna tehát a harci feladat, vagyis a javasolt cikkméret, aki szeretné, hagyja is abba itt a cikk olvasását.

Akit pedig ez mélyebben érdekel

De akadhat azért olyan olvasó is, akit mélyebben is érdekel a téma, így a csalók logikája és a sötét web (dark web) működése, amely az elmúlt időszakban több banki eseményen, illetve egy több hazai szervezet által tartott, alaposabb háttérbeszélgetésen is téma volt. Itt a KiberPajzs, a Cyber Islands, a Mastercard, a Magyar Bankszövetség, illetve hazai bankok biztonsági szakemberei gyűltek össze és tartottak gondolatébresztő beszélgetést. Írásunkban főleg ezeket az eseményt idézzük, de többeket külön is megkerestünk, hogy a készülő új szabályozásról is beszéljünk velük.

Sokan harcolnak tehát a jó oldalon is edukációval, etikus hekkeléssel, védelmi szoftverekkel, de a kihívás nem akármilyen. A Cybercrime Magazine szerint a kiberbűnözés által okozott kár globálisan már évi 10,5 ezer milliárd dollár fölött van (ennél nagyobb GDP-je önálló országként is csak az Egyesült Államoknak és Kínának van), 2028-ra pedig a kárérték várhatóan meghaladja a 14 ezer milliárd dollárt. Az idei adat mindenesetre egyenlő a világ GDP-jének egytizedével, Magyarország GDP-jének pedig a 66-szorosa. A Malware Intelligence szerint csak 2024-ben 269 millió bankkártya adatait lopták el a csalók. Az online csalások globális iparággá növekedésével és azzal, hogy gyakran maguk a bűncselekmények elkövetői is áldozatok, nemrég mi is részletesen foglalkoztunk az Economist tényfeltáró podcastja alapján.

Sütő Ágnes (Magyar Bankszövetség) szerint a Kiberpajzsban már 13 szervezet dolgozik azon, hogy az ügyfeleket mint önvédelemben aktív szereplőket is bevonják a csalók elleni küzdelembe. Sajnos ebben a csatában a bűnözőnek nagy előnye, hogy távolról, technikai eszközökkel felvértezve, de árnyékban maradva támadhat, és ellentétben például a műtárgylopásokkal, a pénz megszerzése egy az egyben nyereség: a lopott javakat nem kell nagy kockázattal, jelentős sápot szedő orgazdákon keresztül értékesíteni.

Motiváció sok lehet

Ványi Raymond (Superior Pentest) etikus hekker elmondása alapján a kiberbűnözők motivációi között ugyan biztosan a pénz, az anyagi haszonszerzés a legfontosabb, de lehet más is a háttérben. Például politikai cél vagy a szakmai dicsőségvágy („én ezt is meg tudom csinálni”), esetleg ezeknek valamilyen kombinációja.

A kibertérben támadók nemzetiségének megállapítása nem könnyű. Az például evidencia, hogy minden nagy államnak van ilyen kompetenciája, az USA, Oroszország, Kína nagyon erős. Gyakran felmerül, hogy Észak-Korea (ahol állítólag az online csalás már érdemi részét teszi ki a GDP-nek) vagy Ukrajna (amiről a magyar kormány szereti sugallni, hogy vezető szerepe van) a támadás kiinduló helyszíne.

Ugyanakkor Bíró Gabriella kiberbiztonsági szakértő (aki korábban a Magyar Nemzeti Bankban volt e terület vezetője) arról is mesélt, hogy itt is vannak hamis zászlós támadások: van, aki tudatosan másra tereli a gyanút akár egy megtévesztő kódsor beírásával, más pedig olyan támadással is eldicsekszik, amit nem is ő hajtott végre.

Azt pedig semmiképpen ne gondoljuk, hogy a biztonságosnak gondolt országokban nincsenek csalók. A 2024-ben lekapcsolt 1200 legnagyobb csalárd kereskedői fiók közül a legtöbb az Egyesült Királyságban és Hongkongban volt regisztrálva. A Mastercard pedig azt mutatta be, hogy a megtámadott e-kereskedők közül Európában Németországot és Franciaországot érte a legnagyobb kár.

Marsi Tamás (Nemzeti Kibervédelmi Intézet) szerint olykor-olykor szerencsére a pancser csaló csak bemegy az internetkávézóba, aztán hazasétál, így kamerákkal végig lehet követni az útját, lehet küldeni a TEK-et. De azért elég kevés az ilyen lúzer, általában a csalók távolabb vannak, és sokkal összetettebb módszerekkel, a feladatok megosztásával támadnak.

Amit csak a sötétben lehet megtalálni

Nézzük ezek után, hogy miként dolgoznak azok az arctalan profik, akik tényleg felkészültek. A sötét weben gyakorlatilag minden elérhető a sikeres banki csaláshoz még komolyabb informatikai tudás nélkül is. Azért ideális terep, mert itt jellemzően anonim módon lehet különféle illegális szolgáltatásokat és árucikkeket kínálni vagy vásárolni.

Van itt minden, mint a vásárban: lopott iPhone, fegyver, tiltott pornográfia, drogok, hamisított iratok, illetve, ami mostani írásunk szempontjából kiemelten fontos: ellopott ügyféladatok, bankkártya-információk, egyéb személyes adatok, zsarolóvírusok, kártékony szoftverek, de még ezekhez kapcsolódó szolgáltatások, például támadási tudás, pénzmosási ismeretek kínálata is. A bűnözők a sötét weben megszerzett adatokkal és eszközökkel kevés technikai tudással is tudnak támadni, mert az adatgyűjtés mellett a támadás, például a zsarolóvírus-támadás is igénybe vehető megvásárolt szolgáltatásként, ez a ransomware-as-a-service.

Az online térnek ez a szeglete álarcos házibulihoz hasonlít, ahol mindenki maszkot visel, így senki sem tudja, ki a másik, sőt, még a házigazda is ismeretlen. A felhasználók speciális böngészőkkel lépnek be, mint például a Tor, amely védi a felhasználó személyazonosságát. Ugyanakkor azt nem lehet állítani, hogy ez a böngésző, illetve maga a sötét webnek is otthont adó Tor-hálózat csak ilyen célokra készült, a felhasználó beazonosíthatatlansága például egyes országokban az állampolgárok elemi érdeke, szabadságának a záloga, hiszen csak ilyen böngészőket használva tudnak a világról tájékozódni.

A sötét weben mindenesetre a weboldalak címe általában véletlenszerű, értelmetlen karakterekből áll, és nem találhatók meg hagyományos keresőmotorokkal. A kommunikáció és az adatforgalom többszörösen titkosított, így a résztvevők IP-címe, földrajzi helyzete és személyazonossága is rejtve marad. Csertán Ákos, a Cyber Islands vezetője meg is mutatta az eseményen, hogy néz ki a sötét web. Aki valami teljesen más felületet várt, mint a hagyományos oldalakon, annak csalódnia kell, mert első ránézésre pont úgy fest és működik, mint a sima internet.

A sötét web nem azonos a deep webbel: míg a deep webbe minden olyan tartalmat beleértünk, amit a keresőmotorok nem indexelnek (például emailfiókok, privát adatbázisok), addig a sötét web kifejezetten azokat a hálózatokat jelenti, amelyekhez anonim hozzáférés szükséges, és ahol számos illegális tevékenység is megjelent – igaz, a bűnözők sohasem lehetnek teljes biztonságban, mert arra is vannak módszerek, hogy a csalók személyiségét mégis felfedjék a hatóságok.

Magasan szervezett csalási lánc

A banki csalások végrehajtói rendszerint nem magányos elkövetők, hanem jól szervezett csoportok, amelyekben a vállalati világból ismert szerepkörök találhatók. Vannak technikai szakértők, akik a támadási eszközöket fejlesztik, salesesek, a pszichológiai manipuláció mesterei, akik kapcsolatba lépnek a tudatosan vagy véletlenszerűen kiszemelt áldozatokkal, de vannak főnökök, „cégvezetők” is, akik a többieknél jobban átlátják a teljes folyamatot.

A kulcsadatok megszerzésének gyakori módszere az adathalászat, telefonnal, emaillel, sms-sel, hamis weboldalak működtetésével. Később speciális szoftverekkel az adatokat felhasználják, fizetési alkalmazásokhoz kapcsolják. Érdekes módon olykor elválik a két szerep, vagyis van, aki a megszerzett adatokkal maga próbál pénzt lenyúlni, de van, aki csak értékesíti az adatokat a sötét weben. Előbbi előnye a csaló oldaláról a gyorsaság, utóbbinak pedig a nehezebb lenyomozhatóság.

A Global Anti-Scam Alliance (GASA) adatai szerint a sötét weben egy év alatt csak az adatok kereskedelmére több mint 700 ezer esetben került sor, ezek piaci értéke 1,3 millió dollár volt. Az ezekkel kereskedő „boltok” pikáns eleme, hogy itt is van garancia, rating a tranzakciókról, minőségbiztosítás, sőt a csalók egymást is védik az adathalászat ellen, még akkor is, ha maguk amúgy erre készülnek.

A fizetésre is kiváló, biztonságos megoldásaik vannak, például az Escrow, ahol központi szereplők, elszámolóházhoz hasonló intézmények garantálják a pénz és az áru megérkezését. A közhiedelemmel ellentétben a bitcoin nem jellemző fizetőeszköz itt, mert annak tulajdonosa elég könnyen publikussá válhat. Sokkal jellemzőbb az XMR rövidítésű, Monero nevű kripto, amelynek kulcseleme, hogy valóban nem visszakövethető a felhasználó.

A befejezett támadás után a lopott pénzt még biztonságba is kell helyezni, erre vannak belső, de akár ártatlan tagok is, vagyis „öszvérek” (money mules). Ha például egy feltört számlán nincs érdemi pénz, lehet, hogy azt nem is érdemes elvinni, mert ha a csalók már be tudnak járni a fiókba, akkor továbbutalásra is alkalmas lehet a számla, vagyis az áldozat használható öszvérként. A pénz gyakran több országon átívelve halad, hogy a hatóságok minél nehezebben tudják visszakövetni.

Jön az MI

A modern támadási modellek egyre inkább automatizáltak és mesterséges intelligenciát (MI) is használnak. Az MI segítségével a támadók képesek gyorsabban és hatékonyabban azonosítani a sebezhetőségeket, automatizálni a támadási folyamatokat, sőt, személyre szabott phishing, azaz adathalász üzeneteket generálnak.

Angolul pig butcheringnek, magyarul disznóvágásnak nevezik azt a módszert, ami egy összetett, több szakterület határán elhelyezkedő online bűncselekmény, amely a pszichológiai manipuláción és a digitális infrastruktúra kihasználásán alapul. A csalók hosszú távú, fokozatosan kiépített bizalmi kapcsolat révén manipulálják az áldozatokat, céljuk pedig az, hogy végül eljussanak a disznó levágásához, azaz egy adott ponton jelentős pénzösszegeket csaljanak ki.

Az elkövetők mesés befektetés vagy romantikus üzenetváltások révén „felhizlalják” az áldozatot, bizalmat és érzelmi kötődést építenek ki, majd amikor úgy érzik, hogy a legtöbbet tudják kiszedni belőle, akkor „levágják”. A befektetési csalásoknál például jellemző hízlalási módszer, hogy az első, kisebb befizetések után a hamis platform magas pozitív egyenleget jelez az áldozatnak, ami tovább erősíti annak bizalmát. Ha pedig a remek hozamot látva az áldozatban feléled a kapzsiság, a nagyobb nyereség iránti vágy, és nagyobb összeggel játszana, akkor kerül elő a böllérkés. A disznóvágásnak sok alfaja létezik, a nigériai csalás, a romantikus csalás vagy akár egy hamis állásajánlat, korábbi cikkünkben erről is mutattunk be jellemző és durva példákat, mint a kisvárosi lelkipásztor és bankigazgató esete, akiből 47 millió dollárt húztak ki a bűnözők.

Az adatoknál biztosan nagy a látencia

A szakemberek mindig arra biztatnak mindenkit, hogy ha bekövetkezik a baj, tegyék meg a bejelentést a bank felé és a feljelentést a rendőrségen. Ez jó esetben segíthet a saját pénzük visszaszerzésében, de abban is lehet bízni, hogy ha egyre többet tudunk az elkövetésről, akkor a prevenció is javul.

Magyarországon egyébként éppen változik a bankok és az ügyfelek helyzetének szabályozása:

eddig jellemzően az ügyfelek viselték a károk 98 százalékát, pedig a bankokon is van felelősség, és ez hamarosan nőhet is.

A bankok ugyanis ma még gyakorlatilag csak akkor fizetnek, ha az ő rendszereiket támadják (ez ritka), vagy ha a kétfaktoros jóváhagyás maradt el. A legtöbbször azonban az lesz az ítélet, hogy az ügyfél a hibás, mert figyelmetlen volt. Mindezt azonban maga az áldozat nem feltétlenül tudja, mert nem vette észre, hogy olyan oldalra klikkelt, ahonnan bejutottak a gépére, vagy nem tudja, hogy valaki távoli hozzáférést szerzett a gépéhez.

Mivel azonban a banknak több lehetősége, tőkéje, szakértőcsapata van, így az lenne az európai uniós szabály, hogy az ügyfélnek csak a súlyosan gondatlan magatartás róható fel. De hogy mi a súlyosan gondatlan? Erre egyelőre pontosabbat nem lehet mondani, mint hogy az, amit a bíróság annak ítél.

Almádi János (Cybershield Consulting) kibercsalásokkal foglalkozó szakértő szerint a súlyosan gondatlan nem lehet ugyanaz, mint a megtévesztett. A szakemberrel hosszabban is beszélgettünk, az öt csapásnak elkeresztelt készülő magyar szabályozás elkészültekor erről részletesebben fogunk írni. Ugyanakkor Almádinak az a felvetése már most ide kívánkozik, hogy a hazai bankok túl kényelmes helyzetben vannak akkor, ha szinte minden kárt az ügyfél fizet. (A bankok persze ezt nem így élik meg, ők arról szoktak beszámolni, hogy súlyos tízmilliárdokat költenek a védekezésekre.)

A korábban rendőrnyomozóként is dolgozó Almádi János úgy véli, ha nem fokozódik a nyomás a bankokon, akkor nem fognak eleget költeni, nem lesz prioritás a biztonság. Szerinte a szakterületi dolgozók tudják, hogy lehetne még jobb eszközökre, modernebb szoftverekre költeni. Ezt egyébként egy banki mondás is annyiban megerősíti, hogy a bankban a biztonság úgynevezett cost center, nem profit center, vagyis költséggel járó kötelező elem, de nem pénzt generáló üzleti terület.

Ennek a témának Magyarországon az elmúlt hónapokban az MBH ügyfeleit ért csalássorozat adott aktualitást, amely után a bank méltányossági alapon fizet is kártérítést az érintetteknek.

Nehéz a megfelelő banki gyakorlatot kitalálni

Sütő Ágnes szerint a károkért mindig az ügyfél és a bank felel, pedig valójában a digitális fizetések során még elég sok szereplőn múlik a csalás megakadályozása. A teljesség igénye nélkül ilyen lehet a távközlési cég, a keresőmotor vagy a közösségi média. Ugyanakkor a védelmet minden oldalról erősíteni kell, illetve fejleszteni érdemes az ügyfelek tudását, hiszen a bankok húzhatnak fel ezer kerítést is, ha valaki átadja a kulcsokat vagy kinyitja a kaput az elkövetőknek, mindez nem ér semmit sem.

Odáig mindenesetre el kell jutni, hogy amikor Burundiba akar a szerelmének 20 ezer dollárt utalni a magyar nyugdíjas, akkor legalább kapjon egy telefont, hogy biztosan ez-e a szándéka, nem gondolt-e arra, hogy ez csalás. Ha ez a telefon dokumentálhatóan megtörtént, akkor utána azért nehezebben hivatkozhat arra az ügyfél, hogy nem kapott megfelelő tájékoztatást.

Igaz, Magyarországon az is nehezítő körülmény, hogy az azonnali fizetési rendszeren belül nincs idő az ügyfél felhívására egy öt másodpercen belül megtörténő utalásnál. Vagyis ha telefonálni kell, mert a program szokatlannak, gyanúsnak ítélte a tranzakciót, az valójában megállított tranzakciónak minősül. Az nem jó, ha túl sok szokatlan, de valós szándékon alapuló tranzakció áll meg, ezért úgy kell beállítani a rendszert, hogy egy pár százezer forintos egyedi biciklivásárlás ne akadjon fel, mert bár szokatlan, nem csaló tranzakció, a 8 milliós utalás Burundiba viszont ne mehessen el olyan egyszerűen.

Kedvenceink
Partnereinktől
Kövess minket Facebookon is!
FacebookKövetem!
Legfontosabb
Telex shop
További élő árfolyamok!
Mutasd!
Friss hírek