Aki tökéletesen biztos abban, hogy ő aztán átlát az internetes csalók szitáján, az szinte biztos, hogy áldozattá válik. A kiberbűnözők ma már pszichológiai tanulmányokat olvasgatnak, hogy megtudják, miként lehet az áldozat bizalmába férkőzni, és úgy tűnik, nagyon jól végzik a munkájukat.

Az átverésből fakadó kár egy hétköznapi ember számára is gondot okozhat, adott esetben több évnyi megtakarítás veszhet oda. A csalóknak azonban az igazán nagy vadat a cégek jelentik. A tét itt már jóval nagyobb, hiszen ha a bűnözők hozzáférnek egy cég számlájához, annak nagyon súlyos következményei lehetnek a vállalatra nézve. Hogy milyen trükköket alkalmaznak napjainkban a nagy halakra utazó kiberbűnözők, arról Rónaszéki Péterrel, a Fortix Consulting kiberbiztonsági cég ügyvezetőjével beszélgettünk.

HVG: Az utóbbi időkben a magánembereket célzó átverésektől hangos a média. Mi a helyzet a céges ügyletekkel?

Rónaszéki Péter: Erre hadd válaszoljak egy adattal. A világ e-mail forgalmának csupán 10 vagy még annál is kevesebb százaléka az, amit emberek küldenek egymásnak. Ebbe beletartozik a magánszemélyek levelezése és a céges kommunikáció is. A maradék 90 százalékot botok és csalók terjesztik, amik alapvetően két dolgot akarnak elérni: vagy meg akarják szerezni az áldozat adatait, vagy azt felhasználva akarják átverni az illetőt. Az ezen belüli megoszlástól függetlenül biztosan kijelenthető, hogy nincs ma a világon olyan cég, amit ne vettek volna célkeresztbe a bűnözők. Úgy is mondhatjuk, kétféle vállalat létezik: amelyiket már megtámadtak, és amelyiket hamarosan támadni fognak.

Ráadásul a kiberbűnözők technikái annyira kifinomultak lettek az elmúlt években, hogy elképesztő magabiztossággal dolgoznak, tudják ugyanis, hogy a lebukás veszélye minimális. A zsarolóvírussal operáló csalók például sokszor ügyfélszolgálatot tartanak fenn, hogy az áldozat tudjon kihez segítségért fordulni, ha egyébként nem ért ahhoz, hogy hogyan kell bitcoinban fizetni. Más kérdés persze, hogy maga az ügyfélszolgálatos jó eséllyel nem tudja, hogy kinek dolgozik. De ilyet csak akkor lehet megcsinálni, ha valaki biztos abban, hogy nem fog lebukni.

Rónaszéki Péter, a Fortix Consulting ügyvezető igazgatója

Reviczky Zsolt

HVG: Vállalat vonalon melyik a kedvenc módszerük?

R. P.: Az egyik legelterjedtebb módszer az úgynevezett business email compromise (BEC), vagyis az, amikor a cég – de lehet szó nonprofit szervezetről vagy kormányzatról is – egy tagja olyan e-mailt kap, ami azt akarja a fogadó féllel elhitetni, hogy az egyik kollégájától, vagy felettesétől kapta. Ez az adathalász támadásoknak egy egészen speciális változata. A célja, hogy rávegye az áldozatot, hogy bizonyos összeget utaljon el egy megadott számlára. Például a cég vezetője nevében küldenek levelet a pénzügyi vezetőnek, hogy utaljon át 30 ezer eurót egy megadott bankszámlára. Ebben nemcsak az a trükk, hogy a pénz elveszik, hanem az is, hogy a csalók a saját weboldalukat álcázzák a banki weboldalnak, ahol aztán a megadott adatokat szépen megszerzik. Ha ez sikerül, máris nem csak 30 ezer euró a kár.

HVG: Ehhez viszont alaposan ismerni kell a vállalatot.

R. P.: Nemcsak a vállalatot, a munkavállalóit is. Az ilyen támadás akkor lehet igazán sikeres, ha a csalók türelmesen várnak, és lépésről lépésre építik fel a támadást. Lehet, hogy korábban már hozzáfértek a számítógépes rendszerhez, de ott nem volt semmilyen gyanús mozgásuk, csupán megfigyelték, hogy ki kinek szokott levelet küldeni, ki milyen pozícióban van. Profiloznak.

Erre jó egy másik adathalász támadás, az úgynevezett szigonyozás, vagy spear phishing. Az ilyen támadás során a csaló közvetlenül egy adott személyt céloz meg, akinek különböző átverős e-maileket küld, remélve, hogy valamelyik betalál. Ezeket úgy készítik el a csalók, hogy az áldozat azt gondolja, valóban neki szólnak. Ehhez viszont megint az kell, hogy rengeteg személyes információt gyűjtsenek be az illetőről, hogy minél hihetőbb legyen az átverés. Például megtudják, hogy melyik mobilszolgáltatónál van, és annak a nevében küldenek egy befizetendő számlát, vagy bármit, amivel adatot tudnak kicsikarni belőle.

HVG: Ha ennyire alaposak, van remény ezeknek a próbálkozásoknak a kiszűrésére?

R. P.: Nem sok. De árulkodó jel lehet, ha az aláírás eltér attól, ahogyan a cégvezető a leveleit szignózni szokta, vagy másfajta megszólítással indít a levélben. Például tegeződni szokott a pénzügyi vezetővel, de mostt az e-mailt magázó formátumban írta. Persze ez csak akkor lehet hatásos ellenszer, ha a csalók egyébként nem ismerik a felek közti nexust.

Érdemes nem azonnal cselekedni, és előtte visszakérdezni más csatornán keresztül, hogy valóban el kell-e indítani a kifizetést.

HVG: Mi ellen érdemes még felkészülni?

R. P.: Ott vannak még a zsarolóvírusokat terjesztő kiberbűnözők is. Itt nem kell különösebb adatgyűjtést vagy elemzést végezni: elég, ha egy dolgozó egy vírusos csatolmányra kattint, a hackerek megkapják a kiskaput a vállalati rendszerhez, a többit pedig már ismerjük. Egy ilyen támadást leginkább azok ellen hajtanak végre a bűnözők, akikről tudják, hogy jó eséllyel gyorsan lehet sok pénzt leakasztani.

Nagyon fontos azonban azt megjegyezni, hogy a végösszeg csak részben befolyásolja a csalás minőségét. Vannak olyan csalók, akik akkor is nagy energiát fektetnek egy próbálkozásba, ha siker esetén csak néhány száz euróval nő a bevételük.

Látni példát olyan átverésekre, ahol viszonylag kevés pénzről van szó, de olyat is, ahol milliós, vagy akár milliárdos tétről (és kárról) beszélhetünk.

HVG: Érthető az általános megfogalmazás, de kicsit megfoghatatlan.

R. P.: Sajnos személyes példával is tudom illusztrálni, ami ráadásul nem is régen történt. 2023-ban a Szellemi Tulajdon Nemzeti Hivatalánál (SZTNH) levédettük a cégünk nevét, valamint egy ehhez tartozó új logót is. A döntés után az SZTNH mindig közzéteszi a döntésről szóló határozatot, ami azután bárki számára hozzáférhetővé válik.

Persze ezeket a határozatokat nemcsak az érintettek, a csalók is el tudják olvasni – és el is olvassák. Nem sokkal azután, hogy a cég nevét levédettük, kaptam egy e-mailt az Európai Unió Szellemi Tulajdoni Hivatalától (EUIPO), egész pontosan annak a vezetőjétől. Ebben leírta, hogy milyen iktatószámmal, milyen dátummal történt a magyarországi levédetés, és ha szeretnénk ezt uniós szintre emelni, akkor fizessünk 720 eurót.

A történethez hozzátartozik, hogy amikor ez az e-mail befutott, épp nyaraláson voltam, így csak továbbítottam a pénzügyi vezetőnek, hogy ezt intézzék el, hiszen egyébként is az volt a tervünk, hogy ezt megtesszük. Végül ez volt a szerencse, kiderült ugyanis, hogy a levelet egy csaló küldte. Amikor LinkedInen felkerestem az EUIPO vezetőjét, ő is megerősítette, hogy gyakran élnek vissza a szervezet nevével, és most is ez történt.

El lehet képzelni, hogy ha egy pillanatra nekem, aki 25 évnyi kiberbiztonsági tapasztalattal rendelkezik sikerült majdnem bedőlnöm a csalásnak, akkor milyen sikeraránnyal dolgozhatnak a kiberbűnözők más, kevésbé tapasztalt cégvezetők esetében.

Rónaszéki Péter

Reviczky Zsolt

HVG: És akkor még csak most jön divatba a mesterséges intelligencia. Hozott már szabad szemmel látható változást a csalások kivitelezésében az MI felfutása?

R. P.: Nem is kicsit. A segítségével olyan csalást is sikerült már végrehajtani, ami néhány évvel ezelőtt még elképzelhetetlen lett volna. Jó példa erre az, ami 2024. január végén Hongkongban történt. Ez volt a világ első deepfake-csalása, amivel a csalók óriásit kaszáltak. Az egész a szokásos módon kezdődött: egy multinacionális vállalat pénzügyi munkatársa kapott egy levelet, amit a cég brit pénzügyi igazgatója nevében küldtek neki, és egy titkos átutalásra szólították fel benne. Először gyanakodott, hogy adathalász levéllel lehet dolga, majd jött a nagy átverés.

A csalók egy videókonferencia-beszélgetésre hívták meg őt, ahol ott volt az áldozat, az említett pénzügyi igazgató és még néhány másik munkatárs. Pontosabban csak úgy tűnt, rajta kívül ugyanis mindenki más csupán deepfake technológiával megjelenített szereplő volt. A dolog vége az lett, hogy az illető alkalmazott elutalt a megadott számlára 200 millió hongkongi dollárt, ami körülbelül 9,2 milliárd forintnak felel meg.

Hogy átverték, csak egy héttel később derült ki, amikor egyeztetett a vállalat központi irodájával.

HVG: Hogyan juthat el odáig egy csaló, hogy egy ilyen hívást indít?

R. P.: Egyfelől a már korábban említett magabiztossággal. Másfelől pedig türelemmel és rengeteg munkával. Ez egy kirakós, aminek a darabjait nem nehéz összeszedni. Elég például az, ha az adott pénzügyi igazgató mondott korábban beszédet, ami felkerült a YouTube-ra. Ma már fillérekért végzi el az MI a videó szerkesztését majd mondat el gyakorlatilag bármit az adott szereplővel. Hasonlót csináltam már én is, amikor az egyik céges karácsonyi rendezvényünkön japánul, csehül, és olaszul is mondtam egy videóüzenetben beszédet – vagyis olyan nyelveken, amiket egyébként nem beszélek. Ez a geg alig 20 dollárba, vagyis körülbelül 7200 forintba került.

A jövő kiberbiztonsági problémáját egyértelműen a mesterséges intelligencia jelenti. Ezek a rendszerek egyre kifinomultabbá válnak, és egyre nehezebb lesz megkülönböztetni a valóságot az átveréstől.

HVG: Annak fényében, hogyan működnek a csalók, hogyan épüljön fel egy cég kibervédelmi startégiája?

R. P.: Azt szoktam mondani, hogy ezt úgy kell minden cégvezetőnek elképzelnie, mint egy építkezést: nagyon fontos a megfelelő alapozás és a rétegezés. Legyen egy fizikai biztonsági réteg, például csak az férjen hozzá egy adott számítógéphez, akinek tényleg azon kell dolgoznia. Aztán ott van a logikai védelem is, vagyis programok és protokollok védjék az adott cég rendszerét. Természetesen kell a többfaktoros azonosítás is, legyenek megfelelően kezelve a jelszavak és legyen egy jelszómenedzser is, hogy ne kelljen harminc karakter hosszú alfanumerikus jelszavakat megjegyezni. És persze nagyon fontos a munkavállalók kiberbiztonsági képzése, a védekezés ugyanis semmit sem ér, ha a dolgozó az első adathalász e-mailnek bedől.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.