A szervezett bűnözés nem tűnt el, csak az internetre költözött. Mára a hagyományos bűnözők is kitanulták a informatikát, és megjelentek a kifejezetten a technológiára építő bűnözési formák is. A szervezett kiberbűnbandák olyan hatékonyan működnek, mint egy multivállalat, ezért a kiberbűnözőket üldöző hatóságoknak is felkészültnek kell lenniük. Az új típusú bűnelkövetés Magyarországon is merőben új kihívások elé állítja a rendőröket és az adóhivatal nyomozóit is. Magyarország egyébként a top 7-ben van a világon az emailben kapott kártevők számát tekintve – kiberbűnkörképünk az ITBN-ről.
Ha az ember ellátogat az ITBN-re, és naivan bolyong a nagy éves kiberbiztonsági rendezvény kiállítói között a Groupama Aréna folyosóin, a rengeteg biztonsági cég egymás hegyén-hátán álló standjai láttán könnyen elfoghatja az az érzés, hogy a hekkereknek már esélyük sem lehet. Pedig a kiberbűnözők köszönik, jól vannak, és a jól bevált módszereik mellett újabb és újabb trükkökkel nehezítik meg az őket üldözők életét.
Nézzünk előbb néhány általános trendet, aztán rátérünk arra is, hogyan látják a kiberbűnözők elleni küzdelmet a magyar hatóságok.
A kiberbűnözés terén meg lehet különböztetni azokat a bűnözési típusokat, amelyek már korábban is léteztek, és az internet csak felerősítette őket vagy új platformot és eszközöket adott nekik. Ilyen például az illegális áruk kereskedelme, a pénzügyi csalások, az emberkereskedelem vagy a gyerekek szexuális kizsákmányolása. A másik nagy csoportba azok a bűnözési formák tartoznak, amelyeket kifejezetten az internet tett lehetővé, mint a zsarolóvírusok, az áldozat tudta nélkül a gépén folytatott kriprovaluta-bányászat (cryptojacking) vagy az adathalász támadások különféle típusai – foglalta össze David Warburton, az F5 Networks kutatója.
Warburton szerint az utóbbi években kitört zsarolóvírus-járvány még ma is szedi az áldozatait, de az egyszerű felhasználóknál sokkal jövedelmezőbb célpontnak bizonyulnak a(z ön)kormányzati szervek, mert ezek egyrészt kellően fontos adatokat kezelnek ahhoz, hogy nagy érvágást jelentsen nekik, ha nem férnek hozzájuk; másrészt elég forrás áll a rendelkezésükre ahhoz, hogy fizetni is tudjanak az adatok végleges elérhetetlenné tételével fenyegető zsarolóknak.
Egyre több az adathalász támadás is, amikor a bűnözők valaki másnak adják ki magukat, hogy például emailben csalják ki a gyanútlan áldozatok személyes adatait. Maga a módszer ősrégi, de egyre nehezebb kiszűrni, mert sokszor a csaló oldalak már egészen ügyesen hitetik el magukról, hogy legitim webhelyek. Például azzal, hogy titkosítást használnak, így szépen megjelenik a bizalmat keltő kis zöld ikon a címük előtt, illetve maga az url is úgy kezdődik, mintha minden rendben lenne, mondjuk egy Office-os vagy Google-ös űrlapot használnak a megtévesztéshez. Egy Warburton által idézett statisztika szerint 2018-ban az ismert hátterű adatszivárgások 21 százaléka indult ki adathalász támadásból.
A megszerzett adatokból aztán vagy közvetlenül lehet profitálni (mondjuk egy bankkártya esetén), vagy például úgynevezett credential stuffingra használni – azaz egy valahonnan ellopott felhasználónév-jelszó párossal más oldalakon is bepróbálkozni –, esetleg új fiókokat létrehozni velük, hogy azokat aztán további megtévesztő akciókban használhassák fel.
A nagyobb kiberbűnöző bandák ugyanolyan szervezetten működnek, mint az offline társaik, náluk is világos feladatmegosztás működik: vannak, akik a potenciális áldozatok felderítésére szakosodnak, mások adatokat bányásznak a támadáshoz, megint mások a rendszerekbe való behatolásért felelnek vagy social engineeringben (a számítógép helyett a hiszékeny emberek meghekkelésében) jók.
Sokan kínálnak a darkneten bérelhető kiberbűnözői szolgáltatásokat is, zsarolóvírusok fejlesztői például gyakran teszik elérhetővé a programjaik használatát olyanoknak is, akiknek nincs meg az ilyen támadáshoz a kellő tudásuk. Illetve fordítva is működhet, ha egy fejlesztőnek nincs kapacitása a kártevője marketingelésére, kérhet segítséget annak terjesztéséhez – mondja Warburton.
A Trend Micrótól érkező Octavia Oancea arról beszélt, hogy a statisztikák szerint az elmúlt két évtizedben a hagyományos bűnözés folyamatosan csökkent, de nem (csak) azért, mert a bűnözök hivatást váltottak, csak megtalálták maguknak a darknetet, így a tevékenységük egy része eltűnt szem elől.
A darknet három közösségre osztható: az alacsonyabb és a magasabb szintű fórumokra, illetve a piacterekre, és amíg az első kettő között van átjárás, a harmadik teljesen elkülönül. Oancea szerint ennek a világnak is megvannak a maga szabályai, (dark)netikettje, és aki ezeket megszegi, azt a közösség bünteti – talán valahogy úgy, mint a John Wick-filmek szigorúan szabályozott alvilágában.
A fő darknetes áru továbbra is a kábítószer, ezt követik a receptre kapható gyógyszerek, a maradék pedig minden más a csempészáruktól a lopott bankkártyaadatokon át a hekkerszolgáltatásokig. Oancea szerint mivel egyre nagyobb az átfedés a kiberbűnözői és a hagyományos bűnözői körök között, várhatóan egyre több offline bűnözői szolgáltatást lehet majd online platformokon keresztül igénybe venni. Bár ahogy arról korábban írtunk, más szakértők szerint mostanra a darknet lényegében halott, ami valódi illegális tevékenység maradt még rajta, az a mélyebb bugyraiba húzódott vissza.
Krasznay Csaba, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Akadémiájának programigazgatója szerint a legnagyobb biztonsági kockázatot az jelenti, hogy manapság túl sok adatot termelünk és ezt túl sok helyen tartjuk, ezért túl nagy a támadási felület, és ezek az adatok szivárognak is becsülettel, a múlt héten például gyakorlatilag Ecuador teljes lakosságának a személyes adatai kerülhettek illetéktelen kezekbe.
Ma a lopott adatokra épül az internetes csalások nagy része, ezért a kiberbűnözőknek alapvető fontosságú, hogy minél több adatot tudjanak felhalmozni. Ebben pedig a kezükre játszanak az olyan fejlemények, mint az egyre terjedő, de biztonsági szempontból nem éppen feddhetetlen fitneszkarkötők vagy otthoni okoskütyük – gyakorlatilag minden, ami az internetre kapcsolódik.
Krasznay szerint különösen veszélyben vannak azok a felhasználók, “akiknek soha nem mondták el, hogy a Föld nem lapos és az oltások hasznosak”, azaz a kevésbé képzettek, akik nehezebben szúrják ki az átveréseket, és nagyobb eséllyel esnek például social engineering áldozatává. Azt tudjuk, hogyan kell bezárni az ajtókat, meg hogy nem célszerű bemenni sötét sikátorokba, de azt még mindig nem sikerült megtanulnunk, hogy a kibertérben hogy kerüljük el a veszélyeket – mondta, hozzátéve, hogy nem csoda, hiszen nem világos az sem, hogy kinek kellene ezt megtanítania.
A jogi háttér viszont legalább tisztulni látszik, Krasznay szerint 2019 a stabilizálódó szabályozások éve:
Krasznay felidézte, hogy egy februári konferencián (ahol mi is ott voltunk), Keleti Arthur, az Önkéntes Kibervédelmi Összefogás (KIBEV) alapító-elnöke, egyben az ITBN főszervezője még azt mondta, hogy a GDPR egy ketyegő, de fel nem robbant bomba.
Jelentem, felrobbant
– mondta most Krasznay, arra utalva, hogy most már látszik, hogy a GDPR bírságai tényleg tudnak fájni, ha valaki nem vigyáz eléggé a személyes adatokra. (Hozzátette azt is, hogy érdekes módon a szabadosabb adatvédelmi szabályokkal operáló Egyesült Államokban mintha jobban belátták volna a GDPR jelentőségét, mint itt Európában.) A következő ketyegő bomba pedig a NIS, most ennek a hatásai fognak majd elkezdeni érződni.
A jogszabályi keretrendszer tehát már többé-kevésbé adott, most már csak a gyakorlatban kellene ezt megfelelően alkalmazni – mondta. Márpedig alkalmazni lenne mire itthon is, David Warburton például felidézett egy statisztikát arról, hogy Magyarország a világ top 7 országa között van az emailben kapott kártevők számát tekintve.
A kiberbűnözés elleni hazai fellépés gyakorlati vonatkozásairól Szongoth Richárd rendőr alezredes, a Készenléti Rendőrség Nemzeti Nyomozó Iroda (NNI) nemzetközi főreferense, illetve Zámbó Péter, a Nemzeti Adó- és Vámhivatal (NAV) Bűnügyi Főigazgatóságának pénzügyőr dandártábornoka mesélt részleteket.
Szongoth Richárd szerint az NNI alapvetően a kiberbűnözés három nagy kategóriájára koncentrál:
Ez utóbbi elsőre különösnek tűnhet önálló kategóriaként, de Szongoth szerint történetileg alakult így, mert ez ilyesmiben utazó elkövetők hagyományosan jól bántak az informatikai eszközökkel.
Amikor belekezdtek a kiberbűnözés elleni dedikált harcba, a legnagyobb kérdés az volt, hogy hagyományos területen edződött rendőrt képezzenek át, vagy informatikusból képezzenek nyomozót – végül mindkettőre volt példa. De mivel manapság a legtöbb komolyabb bűnténynek van valamilyen technológiai vonatkozása, valamennyire minden nyomozónak képben kell lennie ezen a téren is.
Zámbó Péter elmondása szerint a NAV éves szinten több mint 50 gazdasági szervezett bűnözői csoportot számol fel. Ők azt tapasztalják, hogy a hagyományos bűnözés szükségszerűen összenő a kiberbűnüzéssel: azok az elkövetők, akik milliárdos költségvetési kárt tudnak okozni és magas szervezettséggel működnek, nagyon sokat invesztálnak a technológiai fejlesztésekbe, saját biztonsági rendszereket dolgoznak ki, adatokat kezelnek, illetve titkosítást és hasonló módszereket használnak, hogy leplezzék a tevékenységüket. Az adóhivatal nyomozóinak ezért éppen az az egyik nagy kihívás, hogy képesek legyenek mindezt ellensúlyozni, tudjanak megfelelő módszerekkel bizonyítékot gyűjteni, és a rengeteg, több terabájtnyi megszerzett adatot gyorsan és hatékonyan elemezni.
A másik aspektus, amellyel találkoznak, az online pénzmosás, a fintech (digitális pénzügyi szolgáltatások) területén elkövetett csalások, illetve a blokklánc technológián alapuló fizetési rendszerek használata. Fel kell például készülniük arra, hogy nemcsak páncélszekrényben tartott pénzt kell lefoglalniuk, hanem mondjuk bitcoinban találhatót is. Plusz mivel Zámbó szerint a magyar közigazgatásban a NAV-nál található a legnagyobb adathalom, ezt is tudniuk kell megfelelően védeni.
Szongoth Richárd szerint az elkövetők nagyon kreatívak, ezért mindig belefutnak olyan módszerekbe, amelyekről pár évvel korábban még nem is gondolták, hogy lehetségesek. Az egyik kedvenc példája: az úgynevezett business email compromise, amikor a csalók egy rendkívül egyszerű, mégis meglepően hatékony módszerrel jutnak pénzhez: elhitetik az áldozattal, hogy a főnökük vagy egy partnercég vezetője nevében írnak neki, és rábírják arra, hogy pénzt utaljon nekik. (Épp néhány hete adtunk mi is hírt az első olyan esetről, hogy egy csaló telefonon, mesterséges intelligenciával generált hanggal verte át az áldozatát és utaltatott át vele 72,5 millió forintnak megfelelő összeget.)
Egy konkrét esetet is említett, amellyel meggyűlt a bajuk, ebben a gyerekkizsákmányolási ügyben képbe került egy veszélyes elkövető, aki a darknet pedofil fórumain volt jelen. Az elfogása nehézségét az adta, hogy egyrészt magas szintű informatikai tudással rendelkezett, ezért mindig óvatos volt; másrészt a határon egyensúlyozott, és mindig figyelt, hogy ne osszon meg olyasmit, ami már egyértelműen bűncselekménynek számít. Az elkapásában végül az újabb technikák mellett a klasszikusabb módszerek, például a megfigyelés is fontos szerepet játszottak, de minden lépésüket többször meg kellett gondolni, nehogy az illető gyanút fogjon, és egyetlen üzenettel minden bizonyítékot töröljön, mint a filmekben a dílerek, akik rögtön lehúzzák a vécén a kábítószert, ha dörömböl a rendőrség az ajtón. Végül sikerrel jártak, elfogták az illetőt, és minden bizonyíték meglett, el is ítélték azóta.
Zámbó Péter szerint is alapjaiban írják át a nyomozók működését ezek az új feltételek. A pénzügyőröknek meg kellett tanulniuk például, hogyan lehet hangtalanul bejutni egy szerverterembe, és úgy elfogni a rendszergazdát, hogy az ne tudja lekapcsolni a szervereket vagy jelezni a társainak. Van olyan kollégájuk, aki egyszerre nyolc avatárral van jelen az online térben, hogy felderítse a bűnözők netes aktivitását.
Mindketten kiemelték, milyen fontosak a kiberbűnözés elleni harcban a nemzetközi együttműködések. Szongoth Richárd szerint az európai (nem csak uniós) országok között példásan gyors az információcsere, ami köszönhető az egységes szabályozásnak is. Európán kívül is megvannak erre a csatornák, de az valamivel lassabb folyamat.
Zámbó Péter szerint a szakértőknek napi kapcsolatban kell lenniük a külföldi kollégáikkal, ezért folyamatosan küldik is a fiatal kollégákat más országokba, hogy erősítsék a proaktivitást, mert az időtényező kritikus, és ők nem üldözni akarják a bűnt, hanem megelőzni.