Az egész világ a ChatGPT-n pörög, de nem mindenki szórakozott olyan jól, miután kipróbálta: felhasználók tömegei jártak pórul, miután letöltöttek egy ChatGPT-nek álcázott szoftvert, amire visszafordíthatatlanul ráment a Facebook-profiljuk.
Az egyik olvasónk kereste meg még néhány héttel ezelőtt a REFRESHER-t azzal, hogy arra ébredt, a derült égből blokkolva lett a Facebook-profilja. A hackerek a számokat és egyéb karaktereket tartalmazó, erős jelszó és kétfaktoros hitelesítés ellenére jutottak hozzá jogtalanul a fiókhoz, aminek a profilképét az Emily Párizsban színésznőjének, Lily Collins képére változtatták meg, a jogos tulajdonost pedig teljesen kitiltotta a közösségi oldal. A kétfaktoros hitelesítés semmilyen eszközön nem jelzett, hogy baj lenne, a blokkolásról számot adó üzenet szerint pedig a tiltást már felül is vizsgálták, holott az eredeti tulajdonos nem kérelmezte ezt.
A Redditen és az interneten fellelhető információk alapján ez a Lily Collins-os csalási forma nem egyedi eset: felhasználók tömegei számoltak be hasonlóról az elmúlt néhány hétben. Az áldozatok akkor sétáltak bele a csapdába, amikor letöltöttek egy kamu-ChatGPT Chrome-bővítményt, ami bár működni működött, cserébe ellopta a bejelentkezési adatokat – az olvasónk is megtalálta a saját bővítményei között a malware szoftvert. A Chrome egy idő után jelezte a felhasználóknak, hogy kártékony szoftverről van szó, azóta pedig el is távolították azt a tárból.
Keleti Arthur kibertitok-jövőkutatót, az Informatikai Biztonság Napja alapítóját kérdeztük, mekkora felelőssége van ilyen helyzetben a nagy szolgáltatóknak, mik a tipikus figyelmeztető jelek, és, hogy milyen főbb motivációi lehetnek a csalóknak.
Hogy tudják kijátszani a kétfaktoros hitelesítést, amikor ahhoz egy külső alkalmazás, vagy minimum egy sms szükséges?
Ha több védelmi szint van, a kiberbűnöző megpróbálja azt lebontani, hiszen hozzá akar férni a tartalomhoz.
Tehát ne úgy képzeljük el, hogy jön a csúnya, gonosz hacker, kérnek tőle egy jelszót, azt valahonnan megszerzi, szembesül a kétfaktoros hitelesítés tényével, aztán fogja magát, összeomlik idegileg és megfutamodik.
Mint ahogy egy betörő sem riad meg a biztonsági záras ajtótól, hiszen pontosan tudja, hogyan törje fel. A kétfaktoros hitelesítésnek is több fajtája létezik, de amit nem javasolnék, az az sms-alapú, mivel az sms-ek titkosítatlanul mászkálnak egy telekommunikációs hálózaton, és hogyha valaki hozzáfér akárcsak a SIM kártyához vagy a telefonhoz, akkor elég gyorsan le tudja róla olvasni ezt a tartalmat. Tehát érdemes olyan külső alkalmazást használni, mint a Google vagy a Microsoft autentikátorai, amik képesek jelszót generálni. Ez általában egy védettebb, titkosított terület, mert direkt erre a célra lett kitalálva, a bankok is sokszor használják ezt.
És hogyan lehet mégis ezt a külső alkalmazást átvágni?
Ha a felhasználó letöltött egy fertőzött bővítményt, az a Google Chrome-ba beépülve egyszerűen átvette az ő munkamenete (session) felett az irányítást, ergo senki sem fog a csalótól kétfaktoros hitelesítést kérni, mert a közösségi médiának vagy az alkalmazásnak a motorja azt érzékeli, hogy a felhasználó maga lépett be, a már korábban beazonosított eszközről. Tehát ha a hacker ebben a megnyitott ablakban intézi a dolgokat, akkor nincs szükség még egy plusz azonosításra. Az sem ritka, hogy a kétfaktoros hitelesítéshez szükséges kódot is trükkel csalják ki, amikor a külső alkalmazás nem a közösségi médiának, vagy a szolgáltatóknak az oldala, csak úgy néz ki, de valójában a hacker kezeli.
Mondok egy példát a banki világból, ami elég gyakori: valakit felhívnak a csalók, hogy mi vagyunk a bankbiztonság, és csak segíteni akarunk. Az ember beugrik, elkezd velük beszélgetni, és megadja az azonosítóit, amivel be tudnak lépni a banki fiókba. Viszont a banki fiók is kérni fog egy második faktoros hitelesítést, az ügyfél itt még könnyen megelőzhetné a bajt. Ám az a bevett gyakorlat, hogy a bűnöző, aki közben a vonalban van, bedobja a csalit, mondván, éppen most jött egy hamis átutalási kísérlet, amit ki tudunk venni a rendszerből, hogy ne vonják le öntől a 2 millió forintot. Az áldozattól elkérik a kódot, hogy „segíteni tudjanak,“ aki kétségbeesésében be is dől nekik. Emellett nagy divat mostanság még a kifárasztásos technika is, amikor annyiszor kérnek hozzáférést a felhasználó fiókjához, mondjuk hajnali háromkor, hogy folyamatosan köpi az SMS-eket a készülék, hogy azonosítsuk magunkat, az emberek meg nem tudják kikapcsolni, sokszor megunják és beadják a derekukat. Tehát elég sok trükk van arra, hogy a második faktort legyőzzék.
Az Apple App Store-jában azért sokkal jobban megszűrik, hogy milyen alkalmazás kerülhet be, mint mondjuk az Androidnál. A fent említett esetben lehet a Chrome-nak felelőssége abban, hogy nem jelzett a vészvillogó, és hetekig dőltek be a csalóknak az emberek?
Való igaz, hogy az Android platformoknál, a Google-nél, az Android Marketben vagy a Chrome-nál nem olyan mértékű az átvilágítás és sokkal könnyebb alkalmazásokat fel- és letölteni, mint az Apple-nél. Ők szigorúbban veszik, de pénz is kérnek általában mindkét féltől, ezért abban az ökoszisztémában jóval kevesebb ilyen típusú probléma fordul elő, de azért persze megtörtént már.
Nem áldozathibáztatásból mondom, félre ne érts, de szerintem a nagy szolgáltatók elég sokat tesznek azért, hogy az embereket ne lehessen csak úgy meghackelni."
Tehát amikor ilyen történeteket hallok, ahol a szolgáltató viselkedett rosszul, a felhasználó pedig mindent tökéletesen csinált, azért vannak kételyeim. Nyilván akadt pár olyan példa az életemben, amikor a nagy szolgáltató biztonsági mechanizmusai mind elhasaltak, és egy tökéletesen jól viselkedő felhasználó ártatlan áldozatává vált egy nagyon ügyes hackernek. Ez nem túl gyakori, mert az áldozatok sajnos közreműködnek ebben valamilyen szinten, ha máshogy nem, úgy, hogy letöltenek valamit, amit nem kéne.
És hogyan lehet védekezni, vannak red flagek?
Az is lényeges aspektus, hogy milyen antivírus futott a gépén, mikor volt az utoljára frissítve. Mert egy Bitdefender, Symantec vagy Trellix nem csoda, ha nem vette észre azt a rosszindulatú bővítményt, amit a Google sem vett észre.
És van olyan ingyenes vírusirtó, amit jó szívvel ajánlanál?
Őszintén, nincs. Az emberek reklamálnak, hogy a Netflixet „csak“ 15 ember tudja használni a háztartásban, miután megvette a legdrágább tévét meg okostelefont, és nem fizet ki pár ezer forintot egy védelmi szoftverre, amit egyébként nemcsak kifizetni, hanem frissíteni is kell. Amúgy a piacon lévő, fizetős vírusírtók közül én azt mondom, bármelyik jól működik.
Emellett van egy Virustotal.com nevezetű oldal, ahova szabadon feltölthetjük a fájljainkat. Ez 59 motorral operál, tehát szinte a most elérhető összes vírusirtóba beleteszi a fájlt, és a végén kidob egy statisztikát, hogy hány gondolja azt gyanúsnak. Ez nem helyettesíti a vírusírtót, de ha gyanakodnánk egy fájlra, és extra biztonságot akarunk, akkor itt ingyenesen double checkelhetünk.
Ennél a facebookos csalási formánál csak a bankkártya adatok megszerzése, és a platformon lévő reklámok finanszírozása lehetett a cél?
Ennél sokkal rosszabb a helyzet. Mára már a hackerek mindenféle típusú adatra vadásznak, attól függően, hogy milyen az üzleti modelljük. Összeszedik őket, a legkülönfélébb célokból; az egyik ilyen a megtalált bankkártya adatok felhasználása fizetésre, vagy az adott platformban már berakott adatok felhasználása, tényleg sokfajta variáció létezik (fontos, hogy nem feltétlen csak az adat, hanem a fizetési lehetőség is izgatja őket, mert azzal tudnak hirdetéseket feladni, vagy pénzt leszedni.)
Ezeket a bankkártya adatokat és a többi, személyes adatot külön-külön, és egyben is el tudják adni, összerakják őket nagy adatbázisba, és különböző fórumokon, elsősorban a Dark Weben adják és veszik.
Ezek pár centbe, dollárba kerülnek, nem is egy-egy ember adata az érdekes, hanem a nagy egész. Persze olyan is akad, hogy konkrét emberekre vadásznak, attól függően, hogy az illető hol dolgozik, mit csinál, miben érintett. Itt a motiváció lehet a zsarolás, vagy az érzékeny adatok továbbadása.
Nagyon sokan hiszik azt, hogy az ő adatukat nem lehet mire felhasználni, a hackereknek attól még lehet rá ötletük, mert minden adat ér valamit. Dehát mi nem vagyunk bűnözők, nem látunk a fejükbe, nekik pedig ez a szakmájuk.
Ez laikusként elég rémisztően hangzik.
A kiberbűnözői világ egy nagyon szervezett és dinamikusan fejlődő alvilág: évente körülbelül 6 ezer milliárd dollár kár származik kiberbűnözésből, lepipálva gyakorlatilag az összes természeti katasztrófát, és ezeknek a bűnbandáknak évente 10-20 százalékot növekszik a bevétele egy-egy területen.
És kicsit a felhasználó szempontjából vizsgálva a dolgot: rengeteg embernek a megélhetését adják a közösségi média platformjai, ma már nagy hátrányból indul az ember bizonyos szférákban, ha nincs online jelenléte. Miért blokkol a Meta csak úgy, fellebbezési lehetőség nélkül gyakorlatilag bárkit, magánembert és üzleti oldalt egyaránt?
A Facebook negyedévente egy- és kétmilliárd kamuprofilt távolít el a rendszeréből, tehát nagy méreteket ölt a hamis fiókok készítése és a valódi fiókok eltulajdonítása, ami hatalmas terhet ró a szolgáltatóra. És persze lehet mondani, hogy „jó, hát akkor ne szolgáltasson, hogyha nem tudja ezt biztosítani“, és hajlok is rá, hogy ezzel egyetértsek, de az éremnek két oldala van.
Megnehezíti a dolgot, ha a világ másik végéről megkeresi valaki a supportot, és egy homályos fotóval szeretné bebizonyítani, hogy ő a Pistike – ezt nagyon időigényes kinyomozni, és több automatizmusra lenne szükség.
De a felhasználóknak is együtt kéne működnie a szolgáltatókkal abban, hogy ne csak egy nyamvadt e-mail címen meg egy pixeles fotón múljon, hogy sikerül-e nagy nehezen beazonosítani magát.
A Facebook tervezett fizetős szolgáltatása gondolom ezeket nagyrészt orvosolja, ezt jó ötletnek tartod?
Lehet azon vitatkozni, hogy járna-e a jól működő felhasználótámogatás egy ilyen szolgáltatással, vagy fizetni kell érte. De tény, hogy ahol igazán rendben van a biztonság, azok általában a fizetős szolgáltatások, hiszen a bankok is kérnek kezelési költséget, amiért cserébe megpróbálják a lehető legnagyobb biztonságot adni. Azt hiszem, hogy valahol félúton van a megoldás, de ha fizet érte az ember, és figyelmesen megadja a megfelelő azonosítási adatokat, akkor valószínűleg sikeresebben tudja megvédeni vagy visszaszerezni az adatait.
Van még zárásként olyan tanácsod, amit érdemes megszívlelnie a felhasználóknak?
Szerintem a bővítmények telepítése alapból nem a legjobb ötlet, mert a böngészők viszonylag „nagy hatalommal bírnak“, de nincsenek igazán jól megcsinálva. Illetve, a böngésző megválasztása is fontos, érdemesebb a Chrome helyett mondjuk Brave-t használni, ami egy fokkal nagyobb biztonságot ad. Tudom, hogy nehéz ezt elvárni egy átlag Windows-felhasználótól, de figyeljünk oda, mit töltünk le és mennyire megbízható forrásból, legyünk egy kicsit biztonságtudatosabbak. Egy átlagembernek nincs szüksége mindenfélét letöltögetnie az internet bugyraiból, és szerintem ma fizetős és felhős alkalmazásokból gond nélkül össze lehet rakni azt, amit szeretnénk.
Sok ember hiszi magáról, hogy ért ehhez, és jól tud okoskodni, külön utakat találni, de mindenkit figyelmeztetnék arra, hogy a kiberbűnözők biztosan ügyesebbek lesznek.