Mivel különböző módszerekkel folyamatosan támadják a magyar felhasználókat is a Facebookon és az Instagramon azzal a szándékkal, hogy feltörjék a fiókjukat, és átvegyék fölöttük az irányítást, ezért ebben a cikkünkben körbejártuk egy kiberbiztonsági szakértő segítségével, hogy milyen módszereket érdemes bevetni annak érdekében, hogy meg tudjuk őrizni privát profilunkat.

„A kétfaktoros azonosítás az alap, viszont ennél vannak egy kicsivel bonyolultabb módszerek is, amelyek egyből elárulják, ha valami turpisság történik a fiókunk körül. Plusz az sem árt, ha valaki nyitott szemmel internetezik, és hátrateszi a kezét, mielőtt kattintana” – mondta Balogh Turul az Indexnek.

Viszont ha mégis megtörtént a baj, és valaki kattintott, netán még a bejelentkezési adatait is megadta egy ilyen érdekesnek tűnő, ám rosszindulatú link után, talán még akkor sincs minden veszve. Vannak a Meta által használt bevett procedúrák, amik ugyan nem egyszerűek, de talán még vissza tudjuk szerezni a segítségükkel a képeinket, üzeneteinket, fájljainkat, rosszabb esetben kriptovalutánkat vagy csak egyszerűen az uralmat a fiókunk felett. 

A folytatásban szakértő segítségét kértük, hogy megtudjuk, mi történik olyankor, ha jogi útra tereljük az ügyet, milyen lehetőségek állnak a rendelkezésünkre, és főleg hogy milyen büntetést vonhat maga után az, ha valaki ilyesfajta adatokat lop el, esetleg visszaél velük. Először viszont nézzük meg, mik a legárulkodóbb jelek a Meta szerint, hogy valaki illetéktelen is jelen van a profilunkban rajtunk kívül:

• Megváltozik a profilképünk.
• Olyan bejegyzések, hozzászólások és üzenetek jelennek meg, amelyeket nem mi írtunk.
• Hirtelen nem tudunk bejelentkezni, vagy a szokásos kétfaktoros hitelesítési módszer – például a hitelesítő alkalmazás – nem működik.
• Olyan üzenetet vagy értesítést kapunk a Facebooktól, amely azt jelzi, hogy valaki megpróbál bejelentkezni, vagy már be is jelentkezett, és tudjuk, hogy nem mi voltunk azok.
• Olyan e-mailt kapunk a Facebooktól, amelyben arról tájékoztatnak, hogy a fiókunknál meg lett adva egy e-mail-cím vagy telefonszám (vagy el lettek távolítva ilyen elérhetőségek), vagy hogy megváltozott a jelszavunk, de nem mi végeztük el ezt a műveletet.
• Ha megváltozott a Facebook-fiókunkhoz tartozó e-mail-cím, vissza tudjuk vonni a módosítást. Amikor megváltozik az e-mail-címünk, az előző e-mail-címre egy speciális hivatkozást tartalmazó üzenetet küld a rendszer. Erre a hivatkozásra kattintva visszavonható az e-mail-cím megváltoztatása, és biztonságossá tehető a fiók.
• Ha e-mailt kapunk a Facebooktól, ellenőrizhetjük, hogy valóban a cég küldte-e.
• A Beállítások „Bejelentkezett helyek” felületén ismeretlen eszközt vagy helyszínt látunk. Ha ez történik, kiválaszthatjuk és kijelentkeztethetjük az ismeretlen eszközt.

A hagyományos módszerek

A Meta hivatalos oldalán egy külön felület van ezekre az esetekre, ahol megpróbálnak segíteni visszaállítani az eltulajdonított fiókokat, miután meggyőződnek arról, hogy tényleg mi vagyunk a jogos tulajdonosai. Emellett arra is próbálnak figyelni, hogy a gyanús oldalakat vagy hirdetéseket kiszűrjék, viszont a rendszer egyelőre nem tökéletes, ráadásul a csalók is folyamatosan új módszereket eszelnek ki, hogy átverjék az algoritmust.

Ha rendszereink azt gyanítják, hogy egy hirdetés esetleg átverés, amely egy közszereplő arcképét tartalmazza, akkor az arcfelismerő technológiánk segítségével összehasonlítjuk a hirdetésben szereplő arcot a híresség Facebook- vagy Instagram-profilképével. Ha azonosítjuk az egyezést, és megerősítjük, hogy a hirdetés csalás, blokkoljuk azt

– írta blogbejegyzésében a Meta, de valljuk be, ez azért eléggé kevésnek tűnik egy szervezett kiberbűnözésre szakosodott banda vagy hacker ellen. 

Emellett azt is teszteli a vállalat, hogy végre a „fiók helyreállítása” funkció is életbe lépjen, ami akkor lehet hasznos, ha kizárjuk magunkat a profilunkból. Ekkor egy rövid videós szelfit küldünk a rendszernek, ami a képeink alapján azonosít minket, és visszakapjuk az irányítást az oldalunk felett – viszont nyilván az arcképekkel nem rendelkező üzleti oldalaknál ez a módszer nem fog működni. Az így kapott videókat a rendszer az azonosítás után 30 nappal törli, nem teszi fel sehova, viszont a használata csak opcionális, amennyiben nem szeretnénk ezzel élni, más metódusokkal is próbálkozhatunk.

Az egyik például, hogy ellátogatunk erre a hivatalos oldalra – amennyiben az Instagramunkról van szó –, esetleg erre – amennyiben a Facebookunkról –, ahol a Meta próbál segíteni nekünk visszaszerezni a profilunkat. Itt akár a jelszó-visszaállítással is próbálkozhatunk egy rendszertől kapott e-mail után, de ha ennél nagyobb a baj, akkor még mindig nincs veszve minden, ugyanis kérhetünk bejelentkezési hivatkozást vagy biztonsági kódot is a fiók helyreállítására.

Bejelentkezési hivatkozást a következő procedúrával lehet kérni:

• A bejelentkezési képernyőn koppintsunk az „Elfelejtetted a jelszavadat?” lehetőségre.
• Adjuk meg a fiókhoz tartozó felhasználónevet, e-mail-címet vagy telefonszámot, majd kattintsunk a „Bejelentkezési hivatkozás küldése” lehetőségre. Megjegyzés: Ha nem férünk hozzá a fiókhoz tartozó felhasználónévhez, e-mail-címhez vagy telefonszámhoz, keressük fel ezt az oldalt, és kövessük a képernyőn megjelenő utasításokat.
• A képalapú ellenőrzés végrehajtásával erősíthetjük meg, hogy valós személyek vagyunk.
• Nyissuk meg az e-mailben vagy SMS-ben kapott hivatkozást, majd kövessük a képernyőn megjelenő útmutatást.

Ha ez nem működik, akkor egy biztonsági kódot és további támogatást is kérhetünk a Metától egy biztonságos e-mail-címre, amelynek csak mi tudjuk a bejelentkezési adatait, és senki más nem fér hozzá. 

Jogilag mi történik?

„Más személy Facebook-profiljának a feltörése bűncselekménynek minősül, és a sértett feljelentést tehet a rendőrségen. A profil feltörésével az elkövető megvalósítja az Információs rendszer vagy adat megsértése bűncselekményét” – fejtette ki kérdésünkre Papp Kitti jogi szakértő, a Dr. Papp Kitti Ügyvédi Iroda alapítója és irodavezető ügyvédje. Korábban arról is írt, hogy ez párok között is – hiába a féltékenység – ugyanúgy bűncselekménynek számít, mint vadidegen emberek közt, amennyiben a sértett fél nem járult hozzá ahhoz, hogy elolvassák a levelezését, belépjenek a fiókjába.

A Büntető törvénykönyvről szóló 2012. évi C. törvény 423-as paragrafusa szerint 

• (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
• (2) Aki a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.
• (3) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint, vagy jelentős érdeksérelmet okoz.

A jogi szakértő szerint tehát ha valakit elkapnak egy ilyen bűncselekmény után, akkor maximum két év szabadságvesztéssel is büntethető az elkövető cselekménye, viszont ha nemcsak feltöri a profilt, de adatokat is megváltoztat, esetleg töröl benne, akkor az már háromra módosul. Ha pedig valaki ezt százas nagyságrendben követi el – mint az adathalászos, próbálkozós csalásoknál –, akkor ott már öt év szabadságvesztésről is beszélhetünk.

Papp Kitti arra is kitért, hogy amennyiben az elkövető nemcsak feltöri a profilt, de az áldozat nevében esetleg becsületsértő dolgokat posztol is, akkor akár a rágalmazás vagy becsületsértés vétségét is megvalósíthatja, ami szintén akár két év szabadságvesztéssel büntetendő. A törvény 226. paragrafusa szerint a rágalmazás:

• (1) Aki valakiről más előtt a becsület csorbítására alkalmas tényt állít, híresztel, vagy ilyen tényre közvetlenül utaló kifejezést használ, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.
• (2) A büntetés két évig terjedő szabadságvesztés, ha a rágalmazást a) aljas indokból vagy célból, b) nagy nyilvánosság előtt vagy c) jelentős érdeksérelmet okozva követik el.

Míg a 227-es cikkely szerint becsületsértést követ el, (1) aki a 226. paragrafusban meghatározottakon kívül mással szemben

• a) a sértett munkakörének ellátásával, közmegbízatásának teljesítésével vagy közérdekű tevékenységével összefüggésben vagy
• b) nagy nyilvánosság előtt a becsület csorbítására alkalmas kifejezést használ, vagy egyéb ilyen cselekményt követ el, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

Ez viszont még mindig nem a vége, hiszen aki a profil feletti uralom megszerzése után azt arra használja, hogy jogtalan haszonra tegyen szert, „s ezért mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz, csalás bűncselekményét követi el”. (A 373-as paragrafus szerint (1) Aki jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz, csalást követ el.) Példának erre a jogi szakértő azt hozta fel, ha valaki valamilyen hamis karitatív gyűjtést szervez, és elteszi a pénzt, vagy nem létező terméket árul, melynek vételárát beszedi, de a terméket nem továbbítja.

Csalásból viszont öt különböző kategória van, így a büntetés is attól függ, hogy a csaló milyen mértéket ütött meg:

• a) ötvenezer-egy és ötszázezer forint között kisebb,
• b) ötszázezer-egy és ötmillió forint között nagyobb,
• c) ötmillió-egy és ötvenmillió forint között jelentős,
• d) ötvenmillió-egy és ötszázmillió forint között különösen nagy,
• e) ötszázmillió forint felett különösen jelentős.

Itt még mindig van egy lehetőség, ugyanis ha az elkövető arra használja a feltört profilt, hogy „félelemkeltés céljából személy elleni erőszakos vagy közveszélyt okozó büntetendő cselekmény elkövetésével fenyeget meg mást vagy annak hozzátartozóját, akkor a zaklatás vétségét valósítja meg” – mondta Papp Kitti.

Ennek szintén két különböző eshetősége valósulhat meg a 222-es paragrafus szerint, tehát (2) aki félelemkeltés céljából

• a) mást vagy rá tekintettel hozzátartozóját személy elleni erőszakos vagy közveszélyt okozó büntetendő cselekmény elkövetésével megfenyeget, vagy
• b) azt a látszatot kelti, hogy más életét, testi épségét vagy egészségét sértő vagy közvetlenül veszélyeztető esemény következik be, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

A szakértő azt is elmondta, hogy nagyon is számít a a büntetés kiszabásánál, ha az elkövetők többen voltak, ugyanis a társtettességben elkövetett cselekmény mindig súlyosító tényező.

Hozzáfűzte továbbá, hogy egy hamis profillal még nagyon sok bűncselekmény megvalósítható, de ezek a leggyakrabb előforduló tételek.

Búcsúzzunk el mindentől?

Balogh Turul kiberbiztonsági szakértőt arról kérdeztük, hogy mit érdemes tenni, ha már megtörtént a baj, és átvették az uralmat a Facebook-, Instagram-, e-mail-fiókunk felett.

Ha ilyesmi történik, akkor első körben búcsúzzunk el a fiókunktól

– kezdte mosolyogva a szakértő. Komolyra fordítva viszont mindenképpen azt javasolja, hogy az illetékes rendőrkapitányságra kell elmenni, és feljelentést kell tenni ismeretlen tettes ellen. Ez azért fontos, mert ezzel bizonyítani tudjuk, hogy a „digitális fiókunkkal valaki más rendelkezik”, erről lesz egy papírunk. Így például ha valaki a mi nevünkben szabálysértést követ el – például megszegi a január 1-jével élesedett új irányelveket –, vagy kárt okoz, megsért valakit az emberi mivoltában, akkor bizonyíthatjuk, hogy azok nem mi voltunk.

Illetve véleménye szerint azt is érdemes átgondolni, hogy milyen szenzitív adatokat adtunk meg másnak, vagy tároltunk ezen a profilon, ugyanis így ezek is illetéktelen kezekbe kerülhetnek. Mindemellett érdemes azoknak külön szólni, akiket érintenek ezek az adatok, hiszen így nekik is hátrányuk származhat ebből. Ki kell találni, hogy „milyen tovagyűrűző hatása lehet a jövőben” ennek a fiókvesztésnek, illetve akár azt is, hogy hogyan tudunk majd élni ezen adatok, fiók(ok) nélkül.

Balogh Turul arról is beszélt, hogy éppen ezért érdemes több időt fordítani a biztonságra, mert lehet, hogy időigényesebb és bonyolultabb, viszont később sokkal kisebb lesz ennek a kárértéke, mert „felkészültek vagyunk, van erre forgatókönyvünk”. 

Jöhet a házkutatás

„Ha az elkövetőt a nyomozó hatóság beazonosítja, gyanúsítottként fogja kihallgatni, nagy valószínűséggel kutatást is el fognak rendelni a lakására, melynek keretében valamennyi adathordozóját lefoglalják, azt szakértők megvizsgálják” – mondta kérdésünkre Papp Kitti. 

Hozzátette, hogy a nyomozó hatóságnak a nyomozás lefolytatására a gyanúsított kihallgatásától számított maximum két év áll rendelkezésére, amely fél évvel meghosszabbítható. A nyomozás megindítása és a jogerős ítélet meghozatala között akár több év is eltelhet. 

Halász Viktor, a Kiberbűnözés Elleni Főosztály Felderítő Osztályának szakértője arról beszélt a TheVR podcastjében, hogy a rendőrség szoros kapcsolatban áll az oldalakat üzemeltető cégekkel, így minden adatot be tudnak kérni a feltört oldalakkal kapcsolatban, és sokszor még utána tudnak menni az ügynek.

Papp Kitti azzal zárta, hogy nagyon sok mindentől függ, hogy az elkövető milyen büntetést kap az eljárás végén. „Függ attól, hogy halmazati büntetésként bírálják-e el a cselekményt, büntetett vagy büntetlen előéletű-e az elkövető, stb. A kiszabható büntetés mértéke a kiszabható büntetési tételkeret között mindig egyedi ügyre vonatkoztatva bírói mérlegelés alá esik” – árulta el lapunknak.

(Borítókép: Robert Alexander / Getty Images)