Közeleg a karácsony, előtte tartják bő egy hónappal a Black Friday és a Cyber Monday napokat. Mennyire bevett módszer, hogy az ezeket övező felhajtást kihasználva szerezzenek érzékeny adatokat illetéktelenek?

Miroslav Koren: A Black Friday időszaka nemcsak a vásárlók és a kiskereskedők figyelmét vonzza, hanem a kiberbűnözőkét is, akik nem tétováznak, hogy a legnagyobb kiskereskedelmi platformokat és elektronikus fizetési rendszereket utánzó hamis oldalak létrehozásával pénzt szerezzenek az online vásárlóktól. Felméréseink szerint elektronikus fizetési rendszereket célzó pénzügyi adathalász kísérletek száma szeptemberről októberre több mint kétszeresére nőtt, 627 ezer esetet regisztráltunk a kilencedik hónapban 1 millió 935 ezernél valamivel többet a tizedikben, ez 208%-os növekedést jelent. Ebben az évben rengeteg új fizetési rendszert vezettek be számos országban. Ahogy a fogyasztók használni kezdték ezeket a rendszereket, párhuzamosan a csalók elkezdték aktívan kihasználni, mint egy csalit a rosszindulatú tevékenységek terjesztésére.

A másik leggyakoribb továbbra is az, hogy a Covid-járvány kapcsán próbálkoznak. Az elmúlt két évben, mióta kitört a világjárvány, azt látjuk, hogy a legtöbb kamu weboldal és kártékony szoftver a koronavírushoz köthetően ér célt. Tökéletes példa erre a Ginp néven 2020-ban feltűnt trójai program, amely Coronavirus Finder néven azt ígérte, a földrajzi adatok alapján megmutatja, hány fertőzött van a közelünkben. Ezért persze fizetni kellett egy minimális összeget, egy eurónál is kevesebbet kért a program. Természetesen nem mutatta meg a közelben lévő fertőzötteket, a megadott bankkártya-adatokat azonban ellopta.

A tapasztaltabb felhasználók könnyebben észreveszik, ha valami nem stimmel, de így sem árt óvatosnak lenni. Vannak az ismert átverések, például a nigériai hercegek e-mailjei, amiknek már nem sokan dőlnek be. De egyre összetettebbek és jobbak lesznek a támadók által használt módszerek, egy-egy levél nyelvezete már nem olyan, mintha Google Fordítóval írták volna az egészet, egy kamu weboldal megszólalásig hasonlíthat a valódira. Ha van például egy link az e-mailben, akkor megnyitás előtt nézzük meg azt, milyen címre vezet minket. Ezt bárki meg tudja tenni, elég az egérrel a linkre mutatni, nem kell kattintani sem. Érdemes megnézni a fiókot is, melyről a levél érkezett, mert hiába tűnik hivatalosnak, mondjuk a Google rendszere által küldöttnek, könnyedén lebuktathatja a gyanús e-mail cím.

Nem gyakorlott felhasználó mit tehet ezeken a praktikákon kívül?

Mindig ellenőrizze, hogy hiteles-e a weboldal, amin éppen van, használjon valamilyen védelmi szoftvert, állítson be több lépéses azonosítást, használjon erős és eltérő jelszavakat, ne pedig egy jelszót mindenhol!

Mit gondol a jelszókezelő programokról?

Ezek használata jó megoldás. Persze ezeket is megtámadhatják, de a legnagyobb ilyen szolgáltatások azért megbízhatóak. Annál megbízhatóbbak, hogy ugyanazt a jelszót használjuk minden bejelentkezéshez.

Ezen kívül milyen szoftvereket érdemes használni?

A vírusvédelem mellett a végfelhasználók számára mi például biztosítunk ransomware elleni védelmet is, ami könnyen érthetően segíti a kártékony oldalak felismerését, illetve biztonságosabb internetes bankolást is. Az internetbank eléréséhez, vagy fizetésekhez például külön védett ablakot nyit a böngészőben, ami zöld színnel jelzi, ha az biztonságosan használható.

Vállalati szinten van egy oktatási platformunk (Automated Security Awareness Platform), melynek segítségével a munkaadó rendszeresen képezheti a dolgozókat kibervédelmi témákban. Tudjuk, hogy a digitalizáció olyan nehéz helyzeteket is létrehoz, mint az, hogy az otthon számítógépet nem vagy csak alig használók munkahelyükön rákényszerülnek munkájuk, vagy egy része számítógépen történő elvégzésére. Ők valószínűbb, hogy könnyebben követnek el hibákat, mint egy tapasztalt felhasználó, éppen ezért fontos a felzárkóztatásuk és képzésük. 

Milyen típusú támadások a leggyakoribbak?

Az elmúlt két évben a ransomware, egyrészt a távmunka alatt, másrészt azért, mert úgy tűnik, illegális üzlet lett a zsarolóvírusokkal végzett támadásokból. Csehországban például hatalmas, ötszörös növekedést tapasztaltunk a ransomware-ek közt, az érintett felhasználók száma azonban csökkent, mivel a támadók szervezetten, célzottan dolgoztak.

Ezek mellett napi átlag 360 000 új, rosszindulatú szoftvert regisztrálunk, melyeket akár egyénileg, csoportosan, vagy automatizált szoftverekkel fejlesztenek. Ezeknek a felismerése a dolog könnyebb része, azt mondanám, a szervezett, rendezett csoportokat, az úgynevezett APT-ket (Advanced Persistent Threat, Fejlett Tartós Fenyegetés) követni és lenyomozni már a nehezebb.

Igyekszünk az APT-ket folyamatosan figyelemmel tartani, hisz hatalmas károkat tudnak okozni, elég az Észak-Korea által fejlesztett WannaCry-ra gondolni, ami képes volt hálózatra nem kapcsolódó eszközöket is végigfertőzni. Együtt dolgozunk az Europollal és az Interpollal is, illetve ezért lett létrehozva a No More Ransom projekt is. De az utóbbi időben elkezdett terjedni a stalkerware is, felmérésünk szerint a koronavírus miatti lezárások hatására.

Mit tehet valaki, ha bekap egy zsarolóvírusos támadást?

Megelőző lépésként azt tanácsoljuk mindig mindenkinek, hogy készítsen az összes fontos adatáról biztonsági mentést. Ha pedig támadás éri, ne fizessen egyből! Tudunk olyan esetekről, ahol a támadók tartották a szavukat, és a pénz beérkezte után megküldték a visszafejtő kulcsot. Olyan is volt, ahol egy nap alatt felére csökkentették a váltságdíjat. De bűnözőkkel üzletelni nem jó ötlet, mi rá a biztosíték, hogy igazat mondanak?

A No More Ransom projekt oldalán mindenki számára ingyenesen elérhető segédlet található megelőzésről, illetve az ismert zsarolóvírusok több százához elérhető visszafejtő kulcsokat is biztosítunk a jártasabb felhasználóknak. Egy támadás esetén azonban több lépésben kell cselekedni, le kell választani a fertőzött eszközöket a hálózatról, cégek esetén jelezni kell a hatóságok felé a támadást, csak utána érdemes nekiállni a visszafejtésnek. A legfontosabb, hogy ne fizessen egyből, a támadók mindig a pénzt keresik, célpontot is így választanak.

Mik a leggyakoribb célpontok?

Minden, ami kritikus: vízellátás, közüzemi létesítmények, mivel ezek megtámadásával olyan problémát tudnak generálni, amit minél hamarabb meg kell oldani. Persze, mondhatjuk egy autógyár gyártósorainak kibertámadással történő leállítását is, amivel millió eurós kárt okoznak. De ez nem kerül közvetlen emberéletbe, így nem kell rá azonnali megoldást találni, kifizetni a váltságdíjat. Ellenben mondjuk egy kórházzal, ahol minél sürgősebben meg kell szabadulni a támadó szoftvertől. A Covid első hulláma alatt volt példa rá, hogy betegekkel teli cseh kórházakat megtámadtak ransomware szoftverrel.

Az amerikai Colonial Pipeline a DarkSide hekkercsoport általi megtámadása is ilyen volt. A DarkSide arra szakosodott, hogy saját zsarolóvírust fejlesztett, melyet szolgáltatásként meg lehet tőlük vásárolni. Miután a megtámadott fél kifizette a váltságdíjat, a megrendelő és a szolgáltatást nyújtó támadó ezen osztozik.

Ha a nem a nagy cégeket, akkor az azok ellátásáért felelő kisebb vállalatokat támadják, azt remélve, hogy ott gyengébb biztonsági rendszerekbe ütköznek. Az ilyen támadásokat végző csoportok azonosítása nehéz, sokszor a tagjaik sem ismerik egymást, az interneten keresztül, például proxyszervereket használva, más nyelven kommunikálnak, nehéz őket visszakövetni. A DarkSide-ot kriptovaluták alapján, a csoporthoz tartozó tárcák nyomán sikerült megtalálni.

Mire számítanak, az elkövetkező években jelentősen nőni fog a támadások száma?

Igen, a digitális átalakulással egyre több adat kerül az online térbe, és ha ezek az adatok nincsenek megfelelően védve, az hatalmas kockázatot jelent. Úgy látjuk, hogy folyamatosan emelkedik a támadások száma és arra számítunk, hogy ez marad a trend az elkövetkező években is. De ismétlem, a szervezett támadások célpontjai egyre inkább a fontos közüzemi létesítmények, gyárak, ellátórendszerek, nem pedig az átlagember.

Az embereket érő támadásokat mennyire befolyásolja a közösségi média?

Túl sokat osztunk meg magunkról, egyre több platformon. Az embereknek át kell gondolniuk, hogy mit tesznek közzé magukról. Illetve érdemes átnézniük, hogy privát vagy publikus beállításokkal osztanak-e meg valamit. Nem szabad megijedni, vagy elhagyni ezeket a platformokat, csak jobban át kell gondolni, hogy mit töltünk fel oda.

Sokat hallott, régi példa, de továbbra is releváns: kiírja az ember, hova megy nyaralni, mikor, és kivel, majd valahonnan megtudják a lakcímét – hacsak nem maga adta meg azt is –, és betörnek az otthonába, amíg ő békésen vakációzik. Leggyakrabban egyébként jelszavakat, bankkártya-adatokat lopnak el a közösségi oldalakról. Ezek a támadások nem szervezettek, ezeket általában egyedül végzik. Ehhez kapcsolódóan cégünk nagyjából egy éve végzett egy kutatást arról, hogy mennyit ér az ember adata.

Ha bankkártya adatok is vannak hozzá, akkor már 5 euró körüli összeget is elkérnek. De azzal, ahogy a bankok egyre jobban fejlődnek, ez sem ér már annyit, hisz általában az első gyanús tranzakció után, vagy jobb esetben már előtte letiltják a kártyát.

Ami értékesebb, az például egészségügyi adatlap, hisz ezeken nem változtathat az ember úgy, mint ahogy lecserélheti a bankkártyáját. Tudomásunk szerint ezzel híres embereket támadnak a legtöbb esetben, ők a célpontjai ilyen jellegű visszaéléseknek.

Kutatásunk alapján a darkneten 40 eurót ér például egy fotó, ami a személyi igazolványról készült, de jóval többet, ha van egy olyan kép, amin a személyi igazolványt a kezében tartja annak tulajdonosa és látható az arca is a fotón. Ezt regisztrációkhoz fel lehet használni, jelenleg az utóbbi fotók érnek a legtöbbet azok közül, melyeket az átlag felhasználóktól ellophatnak.

Mi a helyzet a lehallgatáshoz használható kémszoftverekkel, mint a Pegasus?

Nagyon sok lehallgató szoftvert találunk, újakat és régebbieket egyaránt. Nemrég például a FinFisher nevű, 2011-ben kifejlesztett kémszoftvert észleltük évek után. Ez folyamatosan monitorozza a telefon forgalmát, és adatokat lop. Az olyan fejlett kémszoftvereket, mint a Pegasus egy egyszerű felhasználónak nehéz észlelnie.

Növekedést tapasztalunk ellenben a stalkerware programok használatában, százas nagyságrendben azonosítottunk ilyeneket az utóbbi időben, ezeket a felhasználónak is könnyebb felfedeznie készülékén. Azt tapasztaltuk, hogy a koronavírus miatti lezárások alatt és után a párkapcsolatban élők, házastársak kezdtek el egymás ellen kémkedni ilyen, kereskedelmi forgalomban is kapható programokkal. A stalkerware segítségével belenézhet partnere telefonjába, aki ezt telepíti: hívásokat, üzeneteket, közösségi profilokat, leveleket láthat, megszerezheti a telefon helyzetét. Ez pedig a párkapcsolaton belüli bántalmazás egyik formája is lehet, vagy ahhoz vezethet.

A mobil biztonsági szoftverek érzékelik ezeket, és figyelmeztetnek is rájuk. Ha ilyen nincs a telefonon, a végfelhasználó úgy veheti észre, hogy stalkerware programot telepítettek telefonjára, hogy az eszköz gyorsabban merül, a szokottól eltérő ikonokat lát a készüléken.

De figyelmeztető jel lehet az is, ha a partner feltűnően sokat nyomkodja a másik telefonját, hisz a stalkerware telepítéséhez fizikai kapcsolat kell a készülékkel. Mivel az Apple és a Google is kitiltja alkalmazásboltjából az ilyen célú programokat, így kábelen keresztül számítógépről, vagy más külső forrásból kell azt telepíteni.

(Borítókép:  Dan Kitwood / Getty Images)