Kicsalt milliárdok, megbénított szerverek, kiszivárgó jelszavak – 5 durva kiberfenyegetés a közelmúltból

„Hallottam, hogy sokan hánytak és sírtak” – emlékezett vissza a Kaliforniai Egyetem egyik hallgatója a CBS-nek arról, hogy mennyire sokkolta a diákokat, amikor ismeretlen hackerek úgy 351 ezer forintnak megfelelő váltságdíjat követelve, súlyosan erőszakos, visszataszító képekkel szórták meg az intézmény Discord-csatornáját. A traumatizált fiatalok közül többen orvosi ellátásra szorultak a látottak után. Bár ez a fajta bizarr elkövetési mód feltételezhetően ritka, az új technológiák a bűnözők kezébe is erősebb fegyvert adnak.

Az IBM adatai szerint 2023-ban világszerte átlagosan 4,45 millió dolláros (mintegy 1,6 milliárd forint) kárt okozott egy-egy adatvédelmi incidens, amelyekből az azt megelőző évben a cégek és más szervezetek 83 százaléka (!) egynél többet észlelt. Szintén 2022-es adat a Verizon tengerentúli telekommunikációs cég egyik jelentéséből, hogy a zsarolóvírusos támadások száma 13 százalékkal nőtt, azaz annyival, mint a korábbi öt évben összesen.

Ráadáasul az Insurance Information Institute nevű biztosítási csoport és a J.D. Power egy amerikai adatelemző cég korábbi kutatása szerint már 2017-ben minden tizedik vizsgált kisvállalkozást ért legalább egy kiberfenyegetési incidens. Vagyis tévedés, hogy csupán az óriáscégeknek kell számolnia mindezzel. 

Bár logikusnak tűnik, hogy egy nagy óriáscéget nagyobb summával kecsegtet ilyen módon kirabolni, mint az átlag Sanyi bácsit, az adatok szerint a sok kicsi sokra megy. Tízmilliárd forintot csaltak ki összesen 2023-ban a magyaroktól a kiberbűnözők az ESET biztonságtechnikai szoftvercég felmérése szerint. Ráadásul otthon egy rendszergazda sincs, aki ránk szóljon, mielőtt gyanútlanul rákattintanánk egy adathalász linkre és bepötyögnénk a kártyaadatainkat. Össze is szedtünk öt súlyos esetet, illetve esettípust, melyek nagy port kavartak a közelmúltban és szakértővel elemezzük, mit lehet tenni az ilyen incidensek ellen.

Elosztott túlterheléses támadás félszáz magyar hírportál ellen

2023-ban a Media1.hu beszámolója szerint mintegy 50 magyar hírportált ért úgynevezett elosztott túlterheléses – szakszóval: szolgáltatásmegtagadással járó – támadás (distributed denial-of-service, DDoS). Mint összefoglalják, a támadások módszere, hogy zombihálózatot hoznak létre több millió sebezhető eszközből – köztük okosporszívókból, régi Windowst futtató számítógépekből, sőt: elméletileg akár okosfogkefékből is elképzelhető ilyesmi – és egyszerre küldenek irreálisan sok forgalmat egy webhelyre. 

Ezzel eldugítják a sávszélességet, lekötik a rendszerek egyéb kapacitásait, a normális felhasználásra tervezett rendszerek nem bírják ezt az ütemet és leállnak. Korábban olyan, a legolvasottabbak közé tartozó médiumok szervereit támadták meg, mint a Forbes, a hvg.hu, a Telex, az Index, az Átlátszó.hu vagy éppen a Divany.hu. A portál szerint ráadásul a támadások már az idén is folytatódtak. 

Az ilyen eseteket nehéz jól kezelni, a megtámadottak közt akadt olyan lap, amely például az attak idejére átmenetileg egy Tumblr-felületen közölt rövid híreket. Az incidensek a bosszúságok mellett pluszköltséget és értelemszerűen bevételkiesést is okoztak és vélhetően fognak is még okozni a magyar média meghatározó részének, az esetek miatt a rendőrség nyomoz.

Egy hírportál szervere persze természetes módon is túlterhelődhet, ha valami nagyon exkluzív cikket lehoznak, ami kiugróan megdobja az olvasottságot, erre jó megoldás lehet a felhőtárhely skálázása, vagyis hogy az ilyen időszakokra bővíti magát a rendszer. A támadásoknál ugyanakkor nem erről van szó, itt a működés ellehetlenítése a cél – mondja oktatónk, Sándor Barnabás kiberbiztonsági szakember. „Ilyen esetekben egyrészt megfelelő tűzfalakkal lehet védekezni, vagy ha az olvasók 95 százaléka Magyarországról jön, akkor a mondjuk Ugandából érkező 170 ezer látogatót lehet blokkolni” – magyarázza.

Hozzátéve: a tűzfal – pontos nevén web application firewall, azaz WAF – a lokáció és a lekérések száma mellett a viselkedést is vizsgálhatja. „Ha egy cikket általában öt perc alatt szokott a többség elolvasni, de azt látjuk, hogy ugyanarról az IP-címről elkezdenek másodpercenként megnyitni cikkeket százasával, akkor vélhetően nem egy valós személyről van szó, aki gyorsolvasó, hanem valaki a szervert támadja” – fejti ki.

élő, online kurzus Cybersecurity

Sándor Barnabás Cybersecurity Architect @ MOL Group

 

Ám a támadóknak nem ez az egyetlen módszerük. Előfordul, hogy a hírportálok tartalomkezelő rendszerének (content management system, CMS) a bejelentkezési felületét próbálgatják hamis felhasználónév-jelszó párosokkal, jellemzően olyan gyakran használtakkal, mint mondjuk az admin. Egy megfelelően konfigurált rendszer ilyenkor is egy idő után letiltja az adott IP-címet – teszi hozzá. 

Rengeteg portál használ olyan népszerű CMS-rendszereket, mint a WordPress, a Drupal vagy a Joomla. Ezeknél is be lehet állítani, hogy mondjuk három rossz próbálkozás után tiltsa le az adott IP-t. De azt is, hogy mondjuk adminisztrátori jogkörrel csak a cég irodájából, a belső hálózatról lehessen belépni, egy megadott IP-tartományról, ez – mondja – egy is plusz védelem. Az ilyen rendszereknél – amellett, hogy nem frissítik őket – gyakran plusz sérülékenységet jelenthetnek a különböző, mások által fejlesztett kiegészítők, bővítmények is – teszi hozzá.

26 milliárd elemes adatbázis, benne vélhetően magyarok jelszavaival is

Feltételezhetően a legnagyobb, az internetre kikerült felhasználói adatokat tartalmazó adatbázis lehet az a 26 milliárd elemből, többek közt felhasználónevekből és jelszavakból álló adathalmaz, melyről az év elején Cybernews.com számol be először. Az adathalmaz nem új, több ezer korábbi szivárgás adatait gyúrták egybe újabbakkal, így 12 terabájtnyi (!) lopott adatot összeszedve. 

A portálon kereshető adatbázis is van arról, mely weboldalakon használt belépések kerültek illetéktelenek kezébe. Mivel ezen magyar weboldalak (például invitel.hu) is szerepelnek, feltételezhetően hazai felhasználók is érintettek. Arról nem is beszélve, hogy az érintett oldalak közt számtalan, hazánkban is népszerű platform szerepel. Ilyen a korábban közkedvelt MySpace, az X/Twitter, a Wattpad közösségi irodalmi app, a Deezer zenestreaming szolgáltatás, a LinkedIn, az Adobe, a Canva és a Badoo társkereső is. Az adatok kicsalásához az egyik hazai autópálya-matricát árusító cég nevével is visszaéltek, ez is azt a feltételezést erősíti, hogy hazai érintettei is vannak az incidensnek.

Itt és itt lehet leellenőrizni az e-mail-címünket beütve, hogy érintettek vagyunk-e. A jelszócsere és a kétfaktoros azonosítást mellett jó védelmet adhatnak a fintech szolgáltatók virtuális, illetve egyes bankok webes kártyái is. Amelyeket, ha esetleg megszerezték illetéktelenek az adatait, egész egyszerűen törölhetünk, majd generálhatunk egy újat. 

„Annak, hogy kikerülnek egy cégtől jelszavak, rengetegféle háttere lehet a nem megfelelő konfigurációtól egy sérülékeny adatbázison vagy szoftveren át az emberi mulasztásig” – mondja Sándor Barnabás. Nehézség azonban, hogy gyakran nem látjuk tisztán, pontosan milyen adatok kerültek ki – húzza alá. Pedig a cégeknek – teszi hozzá – kötelező lenne tudatni, milyen adattípusok kompromittálódtak és értesíteni kell a hatóságokat és az érintett felhasználókat is. A felhasználónév-jelszó párosok mellett előfordul ugyanis, hogy szélesebb a kikerülő adatok köre, pár éve a Marriott hotellánctól például félmilliárd vendég adatait lopták el, köztük több százezer aktív bankkártya adatait. 

Mint kifejti, „széles a spektruma annak, ahol az adatkezelő cégeknél hibázni lehet onnan, hogy rákattintanak egy adathalász e-mailre, odáig, hogy egyszerűen túl egyszerű jelszavakat használnak. Jellemzően a támadók bejuttatnak egy fertőzött fájlt és azon keresztül úgynevezett oldalirányú mozgás során végigmennek a rendszeren”. 

Vagyis miután egy felhasználót megfertőztek, az ő gépéről érik el cégen belül a szervereket – magyarázza. Elmondása alapján ezeknél is gyenge pont lehet a frissítések hiánya, illetve egy nyitva hagyott, azaz távolról elérhető SSH vagy FTP port is. Mint mondja, főleg a kisebb cégeknél fordul elő, hogy nincs kapacitásuk ilyenekkel kellő alapossággal foglalkozni. Emellett persze előfordul az is, hogy valahol egy még nem ismert, nulladik napi – sérülékenységre figyelnek fel rosszindulatú hackerek – teszi hozzá.

Késik a csomagom, amit meg sem rendeltem

A cikk elején említett, tízmilliárd forint összértékben kicsalt pénzeknél a statisztika szerint a leggyakoribb módszer a nemlétező csomagokhoz kapcsolódóan, esetleg a rendőrségre hivatkozva, adategyeztetés céljából kiküldött SMS-ek, amelyekben banki adatokat kértek vagy egy adathalász weblapra vezető linket küldenek – mint a képen.

Saját képernyőfotó

A felmérés szerint még az is gyakori, amikor online piactéren árult holminkat szeretnék megvenni, amihez szintén bankkártyaadatokat kértek. (Noha ahhoz, hogy nekem valaki pénzt utaljon, legfeljebb a bankszámlaszámomra van szüksége, egyes alkalmazások pedig a rendszeren belül kezelik a pénzmozgásokat.) Az utóbbi időben elterjedt az is, hogy Facebook-oldalak kapnak üzenetet, hogy az oldaluk korlátozva lesz, ha nem tesznek fellebbezést egy – vélhetően adathalász – weboldalon. Ezeket jórészt már lebuktatja a tört nyelvezetük, illetve, hogy a Facebook moderátoraival nem a sima üzenetváltások közt kommunikálhatunk.

De ahol nem teszi egyértelművé a svindlit, hogy a meg nem rendelt csomagom érkezik, az a bank írogat, amelynek nem is vagyok ügyfele, a magyartalan szövegezés, a furcsán kacifántos domainek is árulkodók lehetnek, végső soron pedig a cég központi számán el tudják mondani, tényleg ők kerestek-e az előbb.

„Az emberi sérülékenységet megcélzó támadások az úgynevezett social engineering módszertanát használják” – mondja Sándor Barnabás. (Ez nem összekeverendő az azonos megnevezésű szociológiai elmélettel.) „Ez az emberi tudatlanság, butaság, jóhiszeműség kihasználása, melynek az atyja Kevin Mitnick volt” – teszi hozzá. A tavaly elhunyt „legendás hacker” a pszichológiai manipuláció mestereként vált ismertté, később miután öt évet ült börtönben, felhagyott az illegális tevékenységekkel és kiberbiztonsági céget alapított.

Régi módszere ennek, hogy valakit a bankja nevében hívnak fel azzal, hogy csalás történt. „Ezt főleg India környékéről indult, az Egyesült Államokban régóta megy, Magyarországra most kezdett begyűrűzni” – magyarázza a szakember. Van, hogy nem egyszerűen a bankkártyánk mindkét oldalán lévő adatokat kérik el, hanem azt kérik, hadd tegyenek fel a gépünkre egy olyan szoftvert – például a TeamViewert –, amellyel távolról elérhetik és vezérelhetik azt. „Ezután azt kérik, lépj be a netbank-fiókodba, ők addig a háttérben leveszik a pénzt. Az a baj, hogy ilyenkor a bank azt mondhatja, hogy de az utalást mi hajtottuk végre a saját gépünkről” – magyarázza. 

Szerencsére ahogyan egyre közismertebbek ezek a csalások, már terjednek olyan videók is a neten, ahol bűnözők dühösen reagálnak, miután hoppon maradtak. Barnabás szerint a legfontosabb megoldás az informálás, akár a saját családunkon belül is. Ugyanakkor jól jelzi, hogy nem csak az idősek veszélyeztetettek, hogy az alkalmazásboltokba időnként népszerű alkalmazások adathalász utánzatait is sikerül feltölteni. Ezek olykor a mi telefonszámunkról terjesztik tovább az adathalász SMS-t a kontaktjainknak, ami a hatóságok dolgát is megnehezíti.

„Érdemes figyelni a híreket, beállítani költési limitet, illetve azt, hogy csak az országhatáron belül lehessen vele fizetni. Ha mégis mondjuk külföldön vagy nemzetközi webshopban vásárolnánk, akkor magunknak ki tudjuk ezt kapcsolni arra az időre” – tanácsolja.

Orosz hackerek megbénították a legnagyobb ukrán mobilszolgáltatót

Ahogyan a klasszikus fegyverekkel vívott háborút is elszenvedi a civil lakosság is, igaz ez a modern hadviselésben egyre jelentősebb kiberháborúkra is. Ukrajna orosz megszállása sem kivétel ez alól. Sajtóbeszámolók szerint hónapokkal azelőtt betörtek az orosz hírszerzéshez kapcsolható hackerek a 24 millió előfizetővel bíró Kyivstar mobilszolgáltató rendszerébe, mielőtt december 12-én egy túlterheléses kibertámadással napokra lebénították a hálózatot. 

Emiatt a mobilok mellett bankautomaták is működésképtelenné váltak, sőt: néhány megyében az automatikus légiriadó-figyelmeztetések sem tudtak működni. A rendszert egy hét alatt sikerült teljesen helyreállítani. Egyes vélemények szerint nem csak hírszerzési célokat szolgált a támadás, de lakosságot sújtó pszichológiai hadviselésnek is a része. 

„Az elmúlt években rengeteg támadás történt különböző rendszerek ellen, ez sokból az egyik. A mobilszolgáltatóknál is, ahogyan más nagyvállalati rendszereknél a megfelelő eseménykezelő központ és figyelő rendszerek kialakítása segíthet a hasonló támadások elhárításában” – mondja Sándor Barnabás.

„Egy mobilszolgáltató létfontosságú infrastruktúra, szóval védelmi szempontból ezzel kapcsolatos jogszabályoknak kell megfelelniük. Ugyanakkor feltörhetetlen rendszer nincsen” – teszi hozzá. Szerinte annyiban szoktak a hackerek előrébb lenni, mint azok, akik a védelmen dolgoznak, hogy a fekete kalaposokat nemigen kötik meg etikai korlátok. A darkneten ugyanis számos, például lehallgatáshoz használható szoftver érhető el, amelyek viszont jobbára illegálisak.

Feltört e-napló, körüzenetek, beírt jegyek

Két éve ősszel nagyobb vihart kavart, amikor a Telex elsőként – még feltételes módban – megírta, hogy feltörték a teljes magyar közoktatásban kötelező jelleggel használt KRÉTA nevű e-napló és egyéb iskolai adminisztrációs rendszert. A rendőrség később azt derítette ki, hogy az adathalász támadást egy 13 és egy 15 éves fiatal követte el, akik egy terméktámogatási alkalmazott jelszavaival korlátozottan hozzáfértek a fejlesztőcég levelezéséhez, adatbázisához, forráskódelemeket töltöttek le és munkaállomásokat kártékony szoftverekkel fertőztek meg. A közlemény szerint személyes adatokhoz ugyanakkor nem fértek hozzá.

Később több olyan eset is napvilágot látott, amikor egy-egy iskola KRÉTA-rendszerébe léptek be vélhetően egy megszerzett jelszóval, körüzeneteket küldtek a rendszerben, esetleg jegyeket is beírtak vagy módosítottak. Volt olyan, aki ötösöket ígért azoknak, akik TikTokon terjesztik a körleveléről készített képernyőfotót. Azóta pedig április elején újra történt egy incidens, ekkor lopott jelszavak szivárogtak ki. Az esetek, illetve az esetleges sikeres jogosulatlan belépések egyik oka lehet, hogy a rendszerben sokáig nem volt elérhető a kétfaktoros azonosítás, amely már használható, viszont nem kötelező. Így mindenkinek magának kell bekapcsolnia – akinek van közoktatásban tanuló vagy dolgozó ismerőse, mindenképpen érdemes rászánni pár percet.

Sándor Barnabás szerint érdemes lenne kötelezővé tenni az ilyen helyeken a kétfaktoros bejelentkezést. Sajtóhírek szerint eleinte azért nem akarták egyáltalán bevezetni a lehetőséget, mert tartottak egyes tanárok hiányos informatikai kompetenciáitól.

„Számtalanszor előfordult világcégeknél, hogy elköltöttek rengeteg pénzt kiberbiztonságra, de kiderült, hogy a felső vezetők kérték, hogy náluk ne legyen kétfaktoros azonosítás, mert nehéz azt kezelni. Voltak is ebből botrányok, akkor ugyanis feleslegesen költenek el biztonságra ennyi pénzt. Mivel itthon nem használható több e-napló-rendszer, meg is léphetnék, hogy akkor egy kétszer egyórás online képzés után előírják” – teszi hozzá Barnabás. A KRÉTA-hoz egyébként készítettek is oktatóvideókat a témában.

A mesterséges intelligencia kétélű fegyver

Míg a világ jelentős része azon feszeng, vajon a mesterséges intelligencia (MI/AI) elveszi-e a munkáját, ennél közvetlenebb probléma, hogy azáltal még kitettebb az online biztonságunk. Elég csak arra a megoldásra gondolni, amely akár Zoomon keresztül, hang alapján visszaadja a beütött jelszavainkat is.

Vagy hogy az ezidáig megmosolyogtató, tört magyarsággal írt adathalász e-mailek már egészen meggyőzőek lehetnek, ha a ChatGPT-vel íratják meg őket. (Arról nem is beszélve, hogy sok cég egyelőre azért ódzkodik komolyabban használni az OpenAI rendszerét, mert fél oda bepötyögni érzékeny vállalati adatokat, lévén, a rendszer már túl van az első komolyabb adatszivárgásán.) Ugyanakkor a másik oldalon mondjuk a sebezhetőségek gyors felismerésével vagy éppen a hibajavítások egy részének automatizálásával nagyban segíthet is kiberbiztonság terén a mesterséges intelligencia. 

„A rossz és a jó oldalnak is nagy segítség a mesterséges intelligencia. Mi a védelmi oldalon is használunk egyre több ilyen megoldást. Egyre több szolgáltató kínál MI-alapú megoldásokat például a naplófájlok elemzéséhez” – mondja Sándor Barnabás. 

Ugyanakkor az MI a szinte tökéletes szöveg megírása mellett akár annak elmondásában is segíthet – teszi hozzá. „Bár bő egy éve robbant be a ChatGPT, az egész MI még annyira új és kiaknázatlan piac, hogy nagyon sok cég egyelőre nem tud vele mit kezdeni. Ők részben arra várnak, hogy legyen egy olyan MI-felület, amely csak az ő információikat kezeli, megfelelő biztonsági háttérrel. Ezt az egészet nem tartom rossz dolognak, rengeteget segít minden területen, de mivel még rendkívül szabályozatlan, ezért kiberbiztonsági, megfelelési és szabályozói oldalról még nincsenek kész megoldások arra, hogyan lehet védekezni mondjuk egy adatszivárgás ellen” – summázza. A jövő zenéje tehát, hogy a gépi agyak végül barátai vagy ellenségei lesznek a kiberbiztonságnak. De mindenképpen érdemes velük kapcsolatban tájékozódni – hiszen biztosak lehetünk abban, hogy ezt a bűnözők is megteszik.