„Hallottam, hogy sokan hánytak és sírtak” — emlékezett vissza a Kaliforniai Egyetem egyik hallgatója a CBS-nek arról, hogy mennyire sokkolta a diákokat, amikor ismeretlen hackerek úgy 351 ezer forintnak megfelelő váltságdíjat követelve, súlyosan erőszakos, visszataszító képekkel szórták meg az intézmény Discord-csatornáját. A traumatizált fiatalok közül többen orvosi ellátásra szorultak a látottak után. Bár ez a fajta bizarr elkövetési mód feltételezhetően ritka, sajnos a különböző kibertámadások egyáltalán nem azok.
Az új technológiák elterjedése sajnos a bűnözők kezébe is erősebb fegyvert ad. Akik ugyanakkor, ha változó eszköztárral is, de gyakran ugyanazokat az emberi sérülékenységeket célozzák meg, többnyire azért, hogy pénzt csaljanak ki áldozataiktól.
Mára muszáj komolyan venni a kiberbiztonságunkat, hiszen végső soron igen gyakran a felhasználó a gyenge pont, bármennyire is közhelyesen hangzik ez. Majdnem hiábavaló minden fejlesztés, ha egy cetlire kiragasztjuk a jelszavunkat, ami egyébként kiskutya13. Noha már megannyi technológia ígérte az ujjlenyomatolvasástól az arcfelismerésen át az íriszszkennerig, hogy végleg megszabadít minket a kódok pötyögésétől, ha belegondolsz, neked hányféle jelszavad van, világossá válik, hogy a jelszómentes világtól igen messze vagyunk még — ha elérjük egyáltalán valaha.
Az IBM adatai szerint 2023-ban világszerte átlagosan 4,45 millió dolláros (mintegy 1,6 milliárd forint) kárt okozott egy-egy adatvédelmi incidens, amelyekből az azt megelőző évben a cégek és más szervezetek 83 százaléka (!) egynél többet észlelt. Szintén 2022-es adat a Verizon tengerentúli telekommunikációs cég egyik jelentéséből, hogy a zsarolóvírusos támadások száma 13 százalékkal nőtt, azaz annyival, mint a korábbi öt évben összesen.
Ráadáasul az Insurance Information Institute nevű biztosítási csoport és a J.D. Power egy amerikai adatelemző cég korábbi kutatása szerint már 2017-ben minden tizedik vizsgált kisvállalkozást ért legalább egy kiberfenyegetési incidens. Vagyis tévedés, hogy csupán az óriáscégeknek kell számolnia mindezzel.
Bár logikusnak tűnik, hogy egy nagy óriáscéget nagyobb summával kecsegtet ilyen módon kirabolni, mint az átlag Sanyi bácsit, az adatok szerint a sok kicsi sokra megy. Tízmilliárd forintot csaltak ki összesen 2023-ban a magyaroktól a kiberbűnözők az ESET biztonságtechnikai szoftvercég felmérése szerint. Ráadásul otthon egy rendszergazda sincs, aki ránk szóljon, mielőtt gyanútlanul rákattintanánk egy adathalász linkre és bepötyögnénk a kártyaadatainkat.
Vagyis a téma nemcsak nagy cégek, hanem lényegében mindenki életében igen fontos. Össze is szedtünk öt súlyos esetet, illetve esettípust, melyek nagy port kavartak a közelmúltban és szakértővel elemezzük, mit lehet tenni az ilyen incidensek ellen.
Elosztott túlterheléses támadás félszáz magyar hírportál ellen
2023-ban a Media1.hu beszámolója szerint mintegy 50 magyar hírportált ért úgynevezett elosztott túlterheléses — szakszóval: szolgáltatásmegtagadással járó – támadás (distributed denial-of-service, DDoS). Mint összefoglalják, a támadások módszere, hogy zombihálózatot hoznak létre több millió sebezhető eszközből — köztük okosporszívókból, régi Windowst futtató számítógépekből, sőt: elméletileg akár okosfogkefékből is elképzelhető ilyesmi — és egyszerre küldenek irreálisan sok forgalmat egy webhelyre.
Ezzel eldugítják a sávszélességet, lekötik a rendszerek egyéb kapacitásait, a normális felhasználásra tervezett rendszerek nem bírják ezt az ütemet és leállnak. Korábban olyan, a legolvasottabbak közé tartozó médiumok szervereit támadták meg, mint a Forbes, a hvg.hu, a Telex, az Index, az Átlátszó.hu vagy éppen a Divany.hu. A portál szerint ráadásul a támadások már az idén is folytatódtak.
Az ilyen eseteket nehéz jól kezelni, a megtámadottak közt akadt olyan lap, amely például az attak idejére átmenetileg egy Tumblr-felületen közölt rövid híreket. Az incidensek a bosszúságok mellett pluszköltséget és értelemszerűen bevételkiesést is okoztak és vélhetően fognak is még okozni a magyar média meghatározó részének, az esetek miatt a rendőrség nyomoz.
Egy hírportál szervere persze természetes módon is túlterhelődhet, ha valami nagyon exkluzív cikket lehoznak, ami kiugróan megdobja az olvasottságot, erre jó megoldás lehet a felhőtárhely skálázása, vagyis hogy az ilyen időszakokra bővíti magát a rendszer. A támadásoknál ugyanakkor nem erről van szó, itt a működés ellehetlenítése a cél — mondja oktatónk, Sándor Barnabás kiberbiztonsági szakember. „Ilyen esetekben egyrészt megfelelő tűzfalakkal lehet védekezni, vagy ha az olvasók 95 százaléka Magyarországról jön, akkor a mondjuk Ugandából érkező 170 ezer látogatót lehet blokkolni” — magyarázza.
Hozzátéve: a tűzfal — pontos nevén web application firewall, azaz WAF — a lokáció és a lekérések száma mellett a viselkedést is vizsgálhatja. „Ha egy cikket általában öt perc alatt szokott a többség elolvasni, de azt látjuk, hogy ugyanarról az IP-címről elkezdenek másodpercenként megnyitni cikkeket százasával, akkor vélhetően nem egy valós személyről van szó, aki gyorsolvasó, hanem valaki a szervert támadja” — fejti ki.
Ám a támadóknak nem ez az egyetlen módszerük. Előfordul, hogy a hírportálok tartalomkezelő rendszerének (content management system, CMS) a bejelentkezési felületét próbálgatják hamis felhasználónév-jelszó párosokkal, jellemzően olyan gyakran használtakkal, mint mondjuk az admin. Egy megfelelően konfigurált rendszer ilyenkor is egy idő után letiltja az adott IP-címet — teszi hozzá.
Rengeteg portál használ olyan népszerű CMS-rendszereket, mint a WordPress, a Drupal vagy a Joomla. Ezeknél is be lehet állítani, hogy mondjuk három rossz próbálkozás után tiltsa le az adott IP-t. De azt is, hogy mondjuk adminisztrátori jogkörrel csak a cég irodájából, a belső hálózatról lehessen belépni, egy megadott IP-tartományról, ez — mondja — egy is plusz védelem. Az ilyen rendszereknél — amellett, hogy nem frissítik őket — gyakran plusz sérülékenységet jelenthetnek a különböző, mások által fejlesztett kiegészítők, bővítmények is — teszi hozzá.
26 milliárd elemes adatbázis, benne vélhetően magyarok jelszavaival is
Feltételezhetően a legnagyobb, az internetre kikerült felhasználói adatokat tartalmazó adatbázis lehet az a 26 milliárd elemből, többek közt felhasználónevekből és jelszavakból álló adathalmaz, melyről a Cybernews.com számol be először. Az adathalmaz nem új, több ezer korábbi szivárgás adatait gyúrták egybe újabbakkal, így 12 terabájtnyi (!) lopott adatot összeszedve.
A portálon kereshető adatbázis is van arról, mely weboldalakon használt belépések kerültek illetéktelenek kezébe. Mivel ezen magyar weboldalak (például invitel.hu) is szerepelnek, feltételezhetően hazai felhasználók is érintettek. Arról nem is beszélve, hogy az érintett oldalak közt számtalan, hazánkban is népszerű platform szerepel. Ilyen a korábban közkedvelt MySpace, a Twitter/X, a Wattpad közösségi irodalmi app, a Deezer zenestreaming szolgáltatás, a LinkedIn, az Adobe, a Canva és a Badoo társkereső is. Az adatok kicsalásához az egyik hazai autópálya-matricát árusító cég nevével is visszaéltek, ez is azt a feltételezést erősíti, hogy hazai érintettei is vannak az incidensnek.
Itt és itt lehet leellenőrizni az e-mail-címünket beütve, hogy érintettek vagyunk-e. Ha igen, akkor az adott jelszavunkat mindenképp cseréljük le! Ha esetleg — minden ellenkező tanács ellenére — olyan jelszóról van szó, amit máshol is használtunk, akkor ott is változtassunk jelszót!
„Annak, hogy kikerülnek egy cégtől jelszavak, rengetegféle háttere lehet a nem megfelelő konfigurációtól egy sérülékeny adatbázison vagy szoftveren át az emberi mulasztásig” — mondja Sándor Barnabás. Nehézség azonban, hogy gyakran nem látjuk tisztán, pontosan milyen adatok kerültek ki — húzza alá. Pedig a cégeknek — teszi hozzá — kötelező lenne tudatni, milyen adattípusok kompromittálódtak és értesíteni kell a hatóságokat és az érintett felhasználókat is. A felhasználónév-jelszó párosok mellett előfordul ugyanis, hogy szélesebb a kikerülő adatok köre, pár éve a Marriott hotellánctól például félmilliárd vendég adatait lopták el, köztük több százezer aktív bankkártya adatait.
„A felhasználónevet és a jelszót vagy a bankkártyát le tudjuk cserélni, de, ha az útlevelünk adatai is kikerülnek, azt már jóval drágább és bonyolultabb. Ha a lakcímünk is, elköltözni nyilván nem fogunk. Annyit lehet tenni ilyenkor, hogy amit lehet, lecserélünk, letiltatjuk a bankkártyát” — összegez Barnabás. A fent linkelt adatbázisokat folyamatosan frissítik, azok szinte naprakészek az elmúlt több, mint egy évtized adatairól.
A jelszócsere mellett a kétfaktoros azonosítást is érdemes mindenhol bekapcsolni, ahol van erre lehetőség – teszi hozzá. Szerinte jó védelmet adhatnak a fintech szolgáltatók virtuális, illetve egyes bankok webes kártyái is. Amelyeket, ha esetleg megszerezték illetéktelenek az adatait, egész egyszerűen törölhetünk, majd generálhatunk egy újat.
„Széles a spektruma annak, ahol az adatkezelő cégeknél hibázni lehet onnan, hogy rákattintanak egy adathalász e-mailre, odáig, hogy egyszerűen túl egyszerű jelszavakat használnak. Jellemzően a támadók bejuttatnak egy fertőzött fájlt és azon keresztül úgynevezett oldalirányú mozgás során végigmennek a rendszeren” — fejti ki.
Ez utóbbi azt jelenti, hogy miután egy felhasználót megfertőztek, az ő gépéről érik el cégen belül a szervereket — magyarázza.
Elmondása alapján ezeknél is gyenge pont lehet a frissítések hiánya, illetve egy nyitva hagyott, azaz távolról elérhető SSH vagy FTP port is. Mint mondja, főleg a kisebb cégeknél fordul elő, hogy nincs kapacitásuk ilyenekkel kellő alapossággal foglalkozni. Emellett persze előfordul az is, hogy valahol egy még nem ismert — szakszóval: nulladik napi — sérülékenységre figyelnek fel rosszindulatú hackerek — teszi hozzá.
Késik a csomagom, amit meg sem rendeltem
A cikk elején említett, tízmilliárd forint összértékben kicsalt pénzeknél a statisztika szerint a leggyakoribb módszer a nemlétező csomagokhoz kapcsolódóan, esetleg a rendőrségre hivatkozva, adategyeztetés céljából kiküldött SMS-ek, amelyekben banki adatokat kértek vagy egy adathalász weblapra vezető linket küldenek, mint az alábbi képen is látható.
A felmérés szerint még az is gyakori, amikor online piactéren árult holminkat szeretnék megvenni, amihez szintén bankkártyaadatokat kértek. Noha ahhoz, hogy nekem valaki pénzt utaljon, legfeljebb a bankszámlaszámomra van szüksége, egyes alkalmazások pedig a rendszeren belül kezelik a pénzmozgásokat. Az utóbbi időben elterjedt az is, hogy Facebook-oldalak kapnak üzenetet, hogy az oldaluk korlátozva lesz, ha nem tesznek fellebbezést egy – vélhetően adathalász – weboldalon. Ezeket jórészt már lebuktatja a tört nyelvezetük, illetve, hogy a Facebook moderátoraival nem a sima üzenetváltások közt kommunikálhatunk.
Ha nem annyira egyértelmű egy csalás, mint amikor a meg nem rendelt csomagommal kapcsolatban keresnek vagy egy olyan banktól, aminek nem is vagyok ügyfele, érdemes végignézni, nem magyartalan-e a szövegezés. Emellett webcímeknél, e-mail feladóknál érdemes rákeresni, milyen domain nevet (például posta.hu) használnak. Ha valami kacifántos verziót látunk helyette, távoli országok végződéseivel.hu helyett, az már gyanút kelthet. Emellett akár írásbeli üzenetek, akár gyanús telefonhívások esetén érdemes a szolgáltató központi telefonszámán érdeklődni, valóban ők kerestek-e meg az előbb. Ha kiderül, hogy nem, egy füst alatt jelezhetjük is nekik, hogy valaki visszaél a nevükkel.
„Az emberi sérülékenységet megcélzó támadások az úgynevezett social engineering módszertanát használják” — mondja Sándor Barnabás. (Ez nem összekeverendő az azonos megnevezésű szociológiai elmélettel.) „Ez az emberi tudatlanság, butaság, jóhiszeműség kihasználása, ennek atyja Kevin Mitnick volt” — teszi hozzá. A tavaly elhunyt „legendás hacker” a pszichológiai manipuláció mestereként vált ismertté, később miután öt évet ült börtönben, felhagyott az illegális tevékenységekkel és kiberbiztonsági céget alapított.
Régi módszere ennek, hogy valakit a bankja nevében hívnak fel azzal, hogy csalás történt. „Ezt főleg India környékéről indult, az Egyesült Államokban régóta megy, Magyarországra most kezdett begyűrűzni” — magyarázza a szakember. Van, hogy nem egyszerűen a bankkártyánk mindkét oldalán lévő adatokat kérik el a biztonsági kóddal egyetemben, hogy így költsék el a pénzünket, hanem azt kérik, hadd tegyenek fel a gépünkre egy olyan szoftvert — például a TeamViewert —, amellyel távolról elérhetik és vezérelhetik azt.
„Ezután azt kérik, lépj be a netbank-fiókodba, ők addig a háttérben leveszik a pénzt. Az a baj, hogy ilyenkor a bank azt mondhatja, hogy de az utalást mi hajtottuk végre a saját gépünkről” — magyarázza. Hozzátéve: „a bank a gyanús tevékenység kapcsán felhívhat, de olyat nem szoktak kérni, hogy telepíts valamit a gépedre. Egyébként is inkább az a gyakoribb, hogy letiltják a fizetést és ezt észre veszem, és én hívom fel a bankot.”
Szerencsére ahogyan egyre közismertebbek ezek a csalások, már terjednek olyan videók is a neten, ahol bűnözők dühösen reagálnak, miután hoppon maradtak. Barnabás szerint a legfontosabb megoldás az informálás, akár a saját családunkon belül is. Ugyanakkor jól jelzi, hogy nem csak az idősek veszélyeztetettek, hogy az alkalmazásboltokba időnként népszerű alkalmazások adathalász utánzatait is sikerül feltölteni.
Ezek olykor a mi telefonszámunkról terjesztik tovább az adathalász SMS-t a kontaktjainknak, ami a hatóságok dolgát is megnehezíti. „Érdemes figyelni a híreket, beállítani költési limitet, illetve azt, hogy csak az országhatáron belül lehessen vele fizetni. Ha mégis mondjuk külföldön vagy nemzetközi webshopban vásárolnánk, akkor magunknak ki tudjuk ezt kapcsolni arra az időre” — tanácsolja.
Orosz hackerek megbénították a legnagyobb ukrán mobilszolgáltatót
Ahogyan a klasszikus fegyverekkel vívott háborút is elszenvedi a civil lakosság is, igaz ez a modern hadviselésben egyre jelentősebb kiberháborúkra is. Ukrajna orosz megszállása sem kivétel ez alól. Sajtóbeszámolók szerint hónapokkal azelőtt betörtek az orosz hírszerzéshez kapcsolható hackerek a 24 millió előfizetővel bíró Kyivstar mobilszolgáltató rendszerébe, mielőtt december 12-én egy túlterheléses kibertámadással napokra lebénították a hálózatot.
Emiatt a mobilok mellett bankautomaták is működésképtelenné váltak, sőt: néhány megyében az automatikus légiriadó-figyelmeztetések sem tudtak működni. A rendszert egy hét alatt sikerült teljesen helyreállítani. Egyes vélemények szerint nem csak hírszerzési célokat szolgált a támadás, de lakosságot sújtó pszichológiai hadviselésnek is a része.
„Az elmúlt években rengeteg támadás történt különböző rendszerek ellen, ez sokból az egyik. A mobilszolgáltatóknál is, ahogyan más nagyvállalati rendszereknél a megfelelő eseménykezelő központ és figyelő rendszerek kialakítása segíthet a hasonló támadások elhárításában” — mondja Sándor Barnabás. „Egy mobilszolgáltató létfontosságú infrastruktúra, szóval védelmi szempontból ezzel kapcsolatos jogszabályoknak kell megfelelniük. Ugyanakkor feltörhetetlen rendszer nincsen” — teszi hozzá.
Szerinte annyiban szoktak a hackerek előrébb lenni, mint azok, akik a védelmen dolgoznak, hogy a fekete kalaposokat nemigen kötik meg etikai korlátok. A darkneten ugyanis számos, például lehallgatáshoz használható szoftver érhető el, amelyek viszont jobbára illegálisak.
Kapcsolódó kurzusok:
Feltört e-napló, körüzenetek, beírt jegyek
Két éve ősszel nagyobb vihart kavart, amikor a Telex elsőként — még feltételes módban – megírta, hogy feltörték a teljes magyar közoktatásban kötelező jelleggel használt KRÉTA nevű e-napló és egyéb iskolai adminisztrációs rendszert. A rendőrség később azt derítette ki, hogy az adathalász támadást egy 13 és egy 15 éves fiatal követte el, akik egy terméktámogatási alkalmazott jelszavaival korlátozottan hozzáfértek a fejlesztőcég levelezéséhez, adatbázisához, forráskódelemeket töltöttek le és munkaállomásokat kártékony szoftverekkel fertőztek meg. A közlemény szerint személyes adatokhoz ugyanakkor nem fértek hozzá.
Később több olyan eset is napvilágot látott, amikor egy-egy iskola KRÉTA-rendszerébe léptek be vélhetően egy megszerzett jelszóval, körüzeneteket küldtek a rendszerben, esetleg jegyeket is beírtak vagy módosítottak. Volt olyan, aki ötösöket ígért azoknak, akik TikTokon terjesztik a körleveléről készített képernyőfotót. Az esetek egyik oka lehet, hogy a rendszerben sokáig nem volt elérhető a kétfaktoros azonosítás, amely azonban már használható, de nem kötelező. Így mindenkinek magának kell bekapcsolnia, akinek van közoktatásban tanuló vagy dolgozó ismerőse, mindenképpen érdemes rászánni pár percet.
Sándor Barnabás szerint érdemes lenne kötelezővé tenni az ilyen helyeken a kétfaktoros bejelentkezést. Sajtóhírek szerint eleinte azért nem akarták egyáltalán bevezetni a lehetőséget, mert tartottak egyes tanárok hiányos informatikai kompetenciáitól. Mára azonban a Gmailtől a Facebookig ez szinte mindenhol előírás, így jó eséllyel mindenki használja már az ilyen megoldásokat.
„Számtalanszor előfordult világcégeknél, hogy elköltöttek rengeteg pénzt kiberbiztonságra, de kiderült, hogy a felső vezetők kérték, hogy náluk ne legyen kétfaktoros azonosítás, mert nehéz azt kezelni. Voltak is ebből botrányok, akkor ugyanis feleslegesen költenek el biztonságra ennyi pénzt. Mivel itthon nem használható több e-napló-rendszer, meg is léphetnék, hogy akkor egy kétszer egyórás online képzés után előírják” — teszi hozzá Barnabás. A KRÉTA-hoz egyébként készítettek is oktatóvideókat a témában.
Az MI kétélű fegyver
Míg a világ jelentős része azon feszeng, vajon a mesterséges intelligencia (MI/AI) elveszi-e a munkáját, ennél közvetlenebb probléma, hogy azáltal még kitettebb az online biztonságunk. Elég csak arra az MI-megoldásra gondolni, amely akár Zoomon keresztül, hang alapján visszaadja a beütött jelszavainkat is.
Vagy hogy az ezidáig megmosolyogtató, tört magyarsággal írt adathalász e-mailek már egészen meggyőzőek lehetnek, ha a ChatGPT-vel íratják meg őket. (Arról nem is beszélve, hogy sok cég egyelőre azért ódzkodik komolyabban használni az OpenAI rendszerét, mert fél oda bepötyögni érzékeny vállalati adatokat, lévén, a rendszer már túl van az első komolyabb adatszivárgásán.) Ugyanakkor a másik oldalon mondjuk a sebezhetőségek gyors felismerésével vagy éppen a hibajavítások egy részének automatizálásával nagyban segíthet is kiberbiztonság terén az MI.
„A rossz és a jó oldalnak is nagy segítség a mesterséges intelligencia. Mi a védelmi oldalon is használunk egyre több ilyen megoldást. Egyre több szolgáltató kínál MI-alapú megoldásokat például a naplófájlok elemzéséhez” – mondja Sándor Barnabás.
Ugyanakkor az MI a szinte tökéletes szöveg megírása mellett akár annak elmondásában is segíthet — teszi hozzá. „Bár bő egy éve robbant be a ChatGPT, az egész MI még annyira új és kiaknázatlan piac, hogy nagyon sok cég egyelőre nem tud vele mit kezdeni. Ők részben arra várnak, hogy legyen egy olyan MI-felület, amely csak az ő információikat kezeli, megfelelő biztonsági háttérrel. Ezt az egészet nem tartom rossz dolognak, rengeteget segít minden területen, de mivel még rendkívül szabályozatlan, ezért kiberbiztonsági, megfelelési és szabályozói oldalról még nincsenek kész megoldások arra, hogyan lehet védekezni mondjuk egy adatszivárgás ellen” — summázza.
A jövő zenéje tehát, hogy a gépi agyak végül barátai vagy ellenségei lesznek a kiberbiztonságnak. De mindenképpen érdemes velük kapcsolatban tájékozódni — hiszen biztosak lehetünk abban, hogy ezt a bűnözők is megteszik.
