Egy végtelen történet

Felhasználói fiók Hírlevél feliratkozás

Egy végtelen történet

Pénzügyi visszaélések az online térben

Biztonságtechnika
/
2024-05-27

Hosszú idő elteltével ismét megrendezésre került az MBF tematikus mikrorendezvénye, a SecuSzerda. Ezen kellemes hangulatú workshopokon a vagyonvédelmi / biztonságtechnikai szféra a szakma egy-egy szűkebb területével ismerkedik meg, vesézi ki.

2024. május idusán az online világban elkövetett pénzügyi csalásai kerültek górcső alá. A legutóbbi SecuSzerda tematikai kőrvonalait Kovács Péter és Vágó Iván (MagNet Bank), Zboznovits Csaba (Magyar Telekom), Esztergályos László (ORFK), valamint Rusznák Zsolt (Pest VRFK) által, a rendezvény során vázolt biztonsági kockázatok és kihívások adták; keresve a lehetséges válaszokat, megoldásokat a nyomozó hatóságok, a bankok és az elektronikus hírközlési szolgáltatók szemszögéből, együttműködésükre épülve, korunk jogszabályi viszonyai között.

Szeretném kihangsúlyozni, hogy az alábbi néhány sor nem a rendezvényről készített részletes tudósítás; ezt sem a rendelkezésre álló terjedelmi korlát, sem a SecuSzerdán elhangzott információdömping nem teszi lehetővé. Mindössze a rendezvényen szerzett impresszióit osztja meg e sorok írója.

Az előadók egyhangúan állást foglaltak amellett, hogy az infokommunikációs technológiákkal kapcsolatos elvárások dinamikusan növekszenek – melyhez a COVID-19-es időszak munkavégzési és kapcsolattartási kihívásai jelentősen hozzájárultak –, azonban ez emberek biztonságtudatossága nem követte az IT / IKT technológia fejlődését, a felmerülő kockázatok kezelése nem tekinthető készségszintűnek, így jelentős biztonsági deficit alakult ki. Ahogy a rendezvény kedvcsinálójában is megfogalmazták: „A biciklit lelakatolják, az autót bezárják, de pl. a netbanki jelszót vagy a kártya számát és CVV kódját simán kiadják egy megtévesztő weboldalon, vagy akár telefonhívás közben is ismeretlen személyeknek.”

A helyzet súlyosságát jól illusztrálják az alább megjelenített (a rendezvényen ismertetett) adatok, melyek szerint az online térben elkövetett csalások kárértéke „dinamikusan” növekedett az elmúlt 2+ évben:

2022-ben körülbelül 6-8Mrd Ft.

2023-ban megközelítőleg 23Mrd Ft.

2024. első négy hónapjában hozzávetőleg 8Mrd Ft.

Valamennyi résztvevő kiemelte a KiberPajzs program fontosságát, mely kezdeményezés az MNB, a Magyar Bankszövetség, az Országos Rendőrfőkapitányság, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet, a Nemzeti Média- és Hírközlési Hatóság (NMHH) együtt működésében, 2022 őszén bontott vitorlát, s mostanra csatlakozott hozzá Igazságügyi Minisztérium, a Szabályozott Tevékenységek Felügyeleti Hatósága, a Magyar Államkincstár és a Gazdaságfejlesztési Minisztérium. A KiberPajzs weboldala. mely azon kívül, hogy összefoglalja a leginkább elterjedt kiber-csalás típusokat, hatékony javaslatokat fogalmaz meg annak érdekében, hogy úgy magánszemélyként mint (pl. kiemelt példaként online értékesítéssel is foglalkozó) elkerülhessük a kiber-áldozattá. A KiberPajzs kapcsán „mindössze” az a probléma merül fel – mint arra az előadók is rámutattak –, hogy a program/annak weboldala nem/igen kevéssé ismert a magyar társadalom körében. Szubjektív meglátásom szerint, egy ilyen „támogató adatbázis” nem csak szükséges, de egyre inkább nélkülözhetetlen annak érdekében, hogy sikerrel vegyük a XXI. század digitalizációs kihívásait itt a mesterséges intelligencia érájának „előszobájában”.

Mint az elhangzott, a rendőrség statisztikái szerint, 2023. végétől megtört az online jellegű bűncselekmények számának emelkedése, habár a látencia e bűncselekmények esetében is magas mértékűnek tekinthető. Értem ez alatt, hogy a károsultak egy része – úgy a magánszemélyek, mint a vállalkozások és egyéb szervezetek – hajlamos ilyen / olyan okokra (pl. szégyen, üzleti érdek) visszavezethetően titkolni az elszenvedett csalások egy részét. A bűncselekmények számának csökkenését a Bankszövetség kezdeményezéseire, a pénzintézetek növekvő hatékonyságú megelőző / detektáló programjaira, valamint a rendőrség hatékonyabb fellépésére vezethetők vissza. Mindemellett, az előadók megállapítása szerint, hazánkban is kialakult egyfajta „nyáj-immunitás”, azaz beértek a tudatosító kampányok egyes elemei, így a lakosság nagyobb hányada (jelenleg) immunissá vált egyes elkövetési módokkal szemben.

Mindemellett sajnos, diszkrét megfogalmazással a „kollektív feledékenység”, élesebb kifejezéssel élve az emberi (vak) kapzsiság ismételt erősödésének jelei is mutatkoznak. Egyes, régeben „népszerű”, majd a felvilágosító kampányok hatására majdnem eltűnő elkövetési módok alkalmazása ismét növekvő tendenciát mutat. Ilyen például „nyereményjátékos” adathalász kampányok, ahol értékes nyeremények ígéretével szerzik meg az áldozatok egyes adatait; de ide sorolható a bankszámlákat lenullázó, híres / hírhedt AnyDesk applikációval végrehajtott csalások számának ismételt emelkedése.

2023-tól egyre nagyobb méretekben terjednek a QR kódos csalások. Ezek egy része lehet adathalászatra (személyes, bankszámla adatok) irányuló aktivitás (QUISHING – QR phishing); de akár azonnali pénzszerzésre is felhasználhatják az elkövetők – amennyiben a telefonunkon alkalmazunk valamilyen online pénztárca megoldást. A QR kódok szépsége, hogy bárhol elhelyezhetők és magas szinten reziliensek, azaz alkalmazhatóságuk kevéssé csökken, ha különféle módszerekkel (grafikába ágyazás, elmosás stb.) „álcázni” kívánjuk. A QR-kódok elhelyezhetők az on- és offline térben egyaránt, akár hamis weboldalakon, de adott entitás weboldalának feltörése esetén annak „hiteles” online felületén is, ösztönözve a potenciális áldozatokat, hogy okostelefonjaikkal beolvassák azokat. Ezt követően a beépített link elnavigálhatja az áldozatot egy adathalász oldalra, de káros applikáció is letöltődhet az eszközünkre. Az offline térben még egyszerűbb dolga van az elkövetőnek, hiszen csak egy legitim plakátra kell kihelyeznie QR-kódját. Személyes észrevételem, hogy épp a QR fentebb vázolt rezilienciája okán nem feltétlenül szükséges az áldozat együttműködése (szándékos QR szkennelés), mivel a rejtett QR-t tartalmazó grafika szintén aktiválhat nem kívánt kiber-aktivitást telefonunkon.

Továbbra is komoly kihívást jelentenek az SMS-alapú csalások (SMISHING), illetve a hamis weboldalak, melyek egyre növekvő minőségben jelennek meg a kibertérben. Személyes tapasztalatom is az, hogy nem kevés Internet felhasználó igyekszik „megkönnyíteni” kiber-barangolását azzal, hogy még a napi szinten meglátogatott portálokat is egy webes keresőn keresztül (keresésként) hívják be – ahelyett, hogy a címsávba írnák be, legalább a kívánt oldal gyökér url-jét. Ez önmagában ártatlan szokásnak tűnik, de magas labda dob az elkövetők számára, akinek csak azt kell elérniük, hogy a csaló weboldal az első 1-5 helyen jelenjen meg a találati listán. Ez pedig könnyedén megvalósítható egy-két profi (pl. Google) hirdetés segítségével és az áldozat már rutinból kattint is a jól ismert névre és adja meg legszenzitívebb adatait.

Az online csalások sikerességének két fő faktorára világítottak rá az előadók. Az egyik a nyereségvágy – erre épülnek (használják ki) pl. a vonzó (irreális hasznot ígérő) befektetési ajánlatokkal, irreálisan kedvezményes árú termékekkel operáló csalók. A másik a félelem/féltés, melynek tárgya lehet saját információ, vagyon vagy rokon; erre játszanak rá VISHING-elők – pl. az AnyDesk telepítését forszírozók, az „unokázós” csalók, vagy a „Kecskemétről megkísérelték feltörni a számláját / az Ön nevében Y Ft értékű utalást indítottak” szöveggel operálók. Vagy a „kecskeméti” eljárás hatékony, vagy az elkövetők kreativitása korlátozott, de az elhangzó szöveg (a bankszámlás esetekben) szinte szóról-szóra azonos. A féltés olyannyira erős, hogy akár irreális viselkedést is kiválthat az áldozatból, például nem gondol bele, hogy életszerűtlen, hogy az unokája az adott helyen legyen (mert pl. külföldön van), vagy a „kecskeméti” esetben arról, hogy az adott napon nem is lehetett annyi pénz a számláján. A hagyományos platformok – (számhamisításos) telefonhívás/sms/email – mellett a közösségi média is egyre jelentősebb felület a csalók számára. Sok esetben adják ki magukat egy-egy pénzintézet munkatársának, illetve az adott bankkal szerződött közvetítőnek. Érdekességként megtudtam, hogy a VISHING „indiai gyökerekre” visszavezethető vissza. 2000-es évek elején a nagy „nyugati” cégek Indiába telepítették ügyfélszolgálataikat, az ottani relatíve erős angol nyelvtudást és nagyon alacsony „működési” költségeket kiaknázandó. A felvett alkalmazottak egy része rájött, hogy a hívottak jellemzően nem akartak meggyőződni az ügyfélszolgálatos személyazonosságáról, így munkaidő után saját előnyükre indítottak hívásokat. Bár az indiai elkövetők is próbálkoztak a magyar „piaccal” (pl. a Microsoft nevében), de a nyelvi korlátok itt már jelentősek voltak, így más irányból érkezett meg hozzánk a „rendszeres tevékenységként” végzett telefonos csalások „kultúrája”.

A jelen és a jövő vonatkozásában az előadók egybehangzó véleménye volt, hogy az ember továbbra is a legnagyobb kockázati tényező. Kezdve az igen egyszerű és/vagy többször is felhasznált felhasználónév/jelszó párosoktól a figyelmetlenségen át, a nyereség iránti vágyig. Ahogyan a közösségi média és számos szoftver esetében már ismert, hogy mély pszichológiai elemzésekkel optimalizálták profittermelő képességeiket, várható (ha már meg nem történt), hogy mindez átszüremlik pl. a PHISHING/VISHING területére is. E téren érdemes figyelembe venni, hogy a nagy nyelvi modellek „sötét” ikrei (pl. FraudGPT, WormGPT) épp e célra lettek „kifejlesztve”.

Mint azt a rendőrség képviselői kifejtették, ezen elkövetők tevékenysége csak oly módon korlátozható, ha úgy érzékelik, nem kifizetődő Magyarországon „üzletelniük”. Azaz, ha csökken a potenciális célpontok száma (értsd: növekszik a lakosság kiber-biztonságtudatossága), és/vagy a szabályozói környezet a jelenleginél hatékonyabb fellépést tesz lehetővé az illetékes entitások számára. Példának okáért, az Eht -ban megfogalmazott szolgáltatási kötelezettség mérsékelten teszi lehetővé a szolgáltatók számára a gyanús adatforgalmak korlátozását. Az NMHH – meg nem erősített hírek szerint – saját hatáskörben kíván ez évben rendeletet kiadni, mely hozzájárulhat az online csalások elleni hatékonyabb fellépéshez. Az illetékes szervezetek munkáját az adathalászat jelenlegi törvényi megközelítése sem támogatja maximálisan. Az NMHH megfogalmazása szerint, „E kategóriába azok a weboldalak tartoznak, amelyeket vélhetően azért üzemeltetnek, hogy a felhasználóktól személyes adatokat gyűjtsenek, majd visszaéljenek azokkal.” Sajnos, egy hatékony rendőrségi fellépéshez meglehetősen sok a feltételes mód, mivel (kiragadott példaként) a haszonszerzési célt és/vagy a jelentős érdeksérelmet is bizonyítani kell a bíróság előtt, ami egy időben (és/vagy térben is) elkülönülő cselekmények esetében embert próbáló feladat. A hallgatóság részéről elhangzott, a SIM swapping egyik kérdés is rávilágított az időben elosztott cselekmények jelentette problémára. Az elkövetés során a korábban megszerzett személyes adatokat felhasználva veszik át a SIM „tulajdonjogát” az elkövetők. Ezzel kapcsolatban a Telekom képviselője jelezte, hogy a cég a kockázatot felismerve már jelentősen szigorította a SIM cserével kapcsolatos ügymenetet.

Zárszóként, a magam részéről csak annyit kívánok hozzátenni, hogy egy igen érdekes, de egyben kihívásokkal és kockázatokkal teli világ felé haladunk. Ahogy mindennapjainkat minél inkább átszővik a kommunikációs technológiák (kiemelten az 5G) a mesterséges intelligencia egyre hatékonyabbá, alkalmazása mindennapibbá válik, úgy érkezünk el egy olyan érába, ahol a jelenlegi biztonságtudatosságunk nemhogy kockázat, de egyenesen veszélyforrássá avanzsál. Az „unokázós” csalók (külföldön) már elkezdték ízlelgetni a generatív (nagy nyelvi) MI modellekben rejlő lehetőségeket. Értem ez alatt, hogy nem ők imitálják az „unoka” hangját, hanem az MI generálja. Talán nem ismeretlen a hongkongi eset, melyben komplex, többszemélyes deepfake videokonferenciát is imitáltak, melynek hatására az áldozat 25M USD-t utalt el, mielőtt meggyőződött volna arról, hogy ténylegesen a főnöke adta-e ki az utasítást. Az MI korában is az ember marad a legnagyobb kockázatforrás, de már nem biztos, hogy a megoldás is csak benne keresendő.

Szerző: O.V.SZ.