A felhasználó a gyenge láncszem – fokozódó veszélyek a kibertérben

Magyarország még mindig az EU egyik legbiztonságosabb országa az elektronikus pénzforgalmat érintő visszaélések tekintetében, tavaly azonban így is több mint 60 ezer kártyacsalást és közel 2500 csalárd átutalást jelentettek, melyek összesen több mint 4 milliárd forintos kárt okoztak. A visszaélési trendek kedvezőtlen képet mutatnak: az utóbbi években meredeken emelkedik a regisztrált csalások száma és az így eltulajdonított pénzek értéke is.  Az új csalási technikák a felhasználó megtévesztésre és a pszichológiai manipulációjára helyezik a hangsúlyt. Vajon mit tehetnek a felhasználók, hogy elkerüljék az áldozattá válást?

Találó nevet kapott az IIR Magyarország konferenciája, a „FRAUD 2022 – Fokozódó Veszélyek a Kibertérben”, mivel az előadások többségéből valóban azt érezhette a hallgatóság, hogy egyre sűrűsödnek a sötét fellegek a fejünk felett. Egyes szakértők egészen félelmetes és megdöbbentő technológiai apparátusokról és módszerekről számoltak be, amikkel szemben a fogyasztók szinte teljesen kiszolgáltatottak a jelenlegi felkészültségük alapján. Mi lehet a szolgáltatói megoldás az ügyfelek védelmének érdekében? Egyáltalán szükséges-e mindenkinek digitalizált pénzügyi szolgáltatásokat használnia? A konferencián ezekre a kérdésekre kerestük a választ közösen a hazai kibervédelem vezető szakértőivel.

A konferencia annak ellenére rendkívül jó hangulatban telt, hogy a szakértők borúsabbnál borúsabb jövőt vázoltak fel elénk. Megtudtuk, hogy a legképzettebb és legprofibb bűnözők SaaS modellben kínálják szolgáltatásaikat a dark weben. Ahogy egy kábítószert meg tudunk rendelni egy online piactéren, ugyanúgy rendelhetünk zsaroló vírust vagy más kártevőt, amivel tetszőleges célpontokat támadhatunk, különösebb előképzettség és felkészültség nélkül. Kiderült, hogy mindazok a módszerek és technikák, amik Nyugat-Európában megjelennek a csalók repertoárjában, előbb utóbb óhatatlanul hozzánk is begyűrűznek. Öröm az ürömben, hogy a hatóságoknak emiatt van egy rövid ideje felkészülni a csalók új módszerei ellen, azonban még ez a felkészülés is kevesebbet nyom a latban, mint a felhasználók digitális kompetenciái. Azok előadások, amelyek a megoldásra keresték a választ rendre oda futottak ki, hogy a legnagyobb kockázatot maguk a felhasználók jelentik.

Visszaélési trendek az elektronikus pénzforgalomban

Mielőtt azonban a kardunkba dőlnénk, nézzük meg az MNB adatait Cseh Árpád közgazdasági elemző tolmácsolásában, aki a pénzforgalmi visszaélések trendjeiről beszélt nyitóelőadásán. Az MNB munkatársa szerint az adatok azt mutatják, hogy egy korszakváltásnak vagyunk szemtanúi, mivel az új csalási technikák a megtévesztésre és a pszichológiai manipulációra helyezik a hangsúlyt. Míg 10-15 évvel ezelőtt a csalók az infrastrukturális hiányosságokat igyekeztek kihasználni, addig az új módszerek és vírusok a felhasználókat célozzák. A jellemző technikák között a hivatalos személyek megszemélyesítését, az úgynevezett romantikázós csalásokat, a hamis üzleti és CEO emaileket említette.

Bár mind a kártyacsalások, mind pedig a banki átutalási csalások száma és értéke növekszik, a forgalmi adatokhoz viszonyítva Magyarország az EU egyik legbiztonságosabb országa az elektronikus pénzforgalmat érintő visszaélések tekintetében. Forgalomarányosan a csalások értéke mindössze 1-8 ezrelék között mozog a két visszaélési mód szerint. Tavaly összesen 60 ezer feletti kártyacsalást és 2–2,5 ezer csalárd átutalást jelentettek, ami értékben 1,6 millárd és 2,5 milliárd forintos kárt okozott. A visszaélési trendek azonban kedvezőtlen képet mutatnak, különösen a banki átutalások kapcsán látható, hogy az utóbbi 2-3 évben meredeken emelkedik a regisztrált esetek száma és az így eltulajdonított pénzek értéke.

Markáns átalakulás figyelhető meg a teherviselésben is. Amíg korábban a kártyacsalások esetében a fogyasztók a csalárd tranzakciók 7-8 százalékában viselték a károkozás terheit, addig ez a szám 2021-re 25 százalékra nőtt. A banki tranzakcióknál még jelentősebb a változás, a korábbi közel 0 százalékról közel 100 százalékra emelkedett a fogysztókat terhelő pénzügyi kár. A felhasználók szempontjából negatív trend mögött a megszemélyesítéses csalások húzódnak.

Bűnözői szolgáltatások fenyegetik a banki ügyfeleket

A konferencia előadásai a konkrét csalási technikákat is körüljárták. A támadók között találunk hétköznapi csalókat, profi hackereket, állami hírszerzőket és terroristákat is – közölte Almádi János információbiztonsági szakértő. Egy új típusú bűnözői szolgáltatás, a „Crime-as-a-Service (CaaS) bevett magatartássá vált bűnözői körökben. A profi kiberbűnözők ugyanis bérbe adják kevésbé képzett társaik számára szolgáltatásaikat, legyen szó zsaroló vírusról (RaaS – Ransomware-as-a-Service), egyéb károkozó vírusról (MaaS – Malware-as-a-Service), Botnetről (BaaS – Botnet-as-a-Service), vagy akár adathalászatról (PhaaS – Phishing-as-a-Service). A bűnözők így egyre alacsonyabb tudással egyre komolyabb bűncselekményeket képesek végrehajtani – összegezte Almádi János.

Az új típusú támadások között említette az ellátási láncok elleni támadosokat, és hangsúlyozta, hogy a legprofibb bűnözők komoly előkészületeket tesznek a csalások végrehajtása előtt. Feltérképezik a kiválasztott áldozat kapcsolatait; jelszavakat, felhasználói fiókokat és egyéb adatokat gyűjtenek a csalás előkészülete során. Ezután következhet például egy CEO csalás vagy egy zsarolóvírus bejuttatása az informatikai rendszerbe, amellyel adatok törlését, zárolását hajtják végre. A rendelkezésre álló adatok szerint az elkövetések száma és a kifizetett váltságdíjak és kizsarolt pénzek összege egyaránt jelentős mértékben, akár 150-300 százalékkal is növekedhetett az utóbbi években. A prominens célpontok elleni támadásban, mint egy autógyár vagy óriás tech vállalat, a bünözők a dolgozókat is megkörnyékezik, és megpróbálják beszervezni, hogy közvetlenül velük jutassák be a kiválasztott vírust a kiszemelt vállalat rendszerébe.

Hasonló megfigyelésekről számolt Dr. Szabó Henrik alezredes (ORFK) és Dr. Nagy Tamás százados (NNI) a rendőrség kötelékéből. A rendőrséghez beérkező adatok szerint a legjellemzőbb visszaélések az adathalászat-adatlopás, MaaS, RaaS és a DDOS támadások. Dr. Nagy Tamás külön kiemelte az üzleti emailekkel elkövetett csalásokat (BEC – Business Email Compromise), amik kárértéket tekintve 3 éve az első helyen szerepelnek a képzeletbeli ranglistán, és háromszor akkora kárt okoznak a károsultaknak, mint a második legnagyobb kárral járó visszaélési módszer. Dr. Szabó Henrik az online vásárlások, romantikus csalók, nyereményjátékok és megtévesztő oldalak veszélyeire hívta fel a figyelmet. Tapasztalata szerint a csalók szinte a tökéletességig megegyező hamis netbank felületeket képesek létrehozni, amin még a visszaélések elleni felhívásokat is feltüntetik. Az egyetlen árulkodó jel, ami felfedheti a csalókat az URL – közölte az alezredes.

Tudással védekezhetünk a támadások ellen

A csalás elleni védekezésnek és a megelőzésnek három kulcsszereplője van: a szolgáltatók compliance csapata, a rendőrség és maga a felhasználó. A szolgáltatók compliance csapata és monitoring rendszerei képesek lehetnek valós időben megfogni a csalárd tranzakciókat. A rendőrség fejlesztése pedig a felderítéshez és az elrettentéshez járulhat hozzá. Ugyanakkor a  megkérdezett szakértők egyetértettek abban, hogy az elrettentés szerepe másodlagos lehet a csalások megelőzésében. A rendőrség és nyomozók létszámának növelésével és leginkább a kompetenciáik fejlesztésével lehet eredményeket elérni. Ugyancsak nélkülözhetetlen a felhasználók edukálása és felkészítése a csalókkal szemben.

A szolgáltatók lehetőségeit Harkácsi Gábor, az MNB compliance szakértője elemezte. Szerinte a sikeres védekezéshez elengedhetetlen az új technikák megismerése, a prudens működés, a munkavállalók folyamatos továbbképzése és a compliance csapat állandó fejlesztése. A szakemberek akkor járnak el felelősen, ha követik a technológiai trendeket, az új jogszabályokat és üzleti nézőpontból is megtanulják értelmezni a compliance feladatokat. A szakértő szerint a modern felügyeleti és monitoring rendszerek fontosak, de még a robotizáció elterjedése sem elégséges, mint alkalmazott védekezési technika. A normák kialakítása és betartatása humán feladat, az intuíció és kreativitás pedig nehezen programozható – tette hozzá.

Homoki Imre, pénzügyi bűnügyi tanácsadó bűncselekmények felderítésének és megelőzésének szakértője szerint a hatékony vállalati csalásmegelőző keretrendszer négy kardinális építőeleme a menedzsment, a megfelelő kommunikáció, az oktatás, valamint a szabályok és folyamatok betartása. Habár szerinte a tradicionális szabály alapú rendszereket fokozatosan az ML és AI technológiát is használó rendszerek váltják fel, a szervezet felépítése ugyanolyan fontos marad. A hatékony védekezéshez az anti-fraud válallati kultúra meghonosítása, egyszerű és érthető irányelvek bevezetése szükséges. Nagy hangsúlyt kell fektetni a belső kontrollok kialakítására, amik a nem kívánatos csalárd tevékenységek – ideértve az ügyfelek pénzügyi tranzakcióit is – megelőzéséhez és feltárásához elengedhetetlenek. Olyan, dinamikusan változó és proaktív csalási kockázatokat értékelő ökoszisztémát, monitoring rendszert kell létrehozni, ami folyamatos értékelés révén fejlődik. A szakértő szerint a céges visszaélések bejelentő rendszere akkor igazán hatékony, ha kiterjesztésre kerül a partnerekre és ügyfelekre is.

A szolgáltatók számára Komáromi Péter, a T-System Magyarország szakértője mutatta be a vállalat legújabb csalásmegelőzési rendszerét, a Risk Controll platformot. A felhőben is működő, adattárházszerű szolgáltatás valós időben képes a gyanús tranzakciók szűrésére és értékelésére az előzetesen beállított szabályok alapján. A rendszer a szankciós listák és a politikai kitettség ellenőrzését is végrehajta az ügyfelek átvilágításánál, analitikus modulja pedig az utólagos ellenőrzést teszi lehetővé.

A konferencia előadói azonban egybehangzóan a felhasználók edukálását tartották a legfontosabb eszköznek a védekezés terén. Legyen szó RaaS, BEC vagy CEO csalásról, minden esetben a legfőbb kockázati tényező maga a felhasználó. A szakértők egyetértettek abban, hogy a digitalizáció sebessége jóval meghaladja a felhasználók tájékozottságát, s ezt az aszimmetriát használják ki a kiberbűnözők a csalások során. A felhasználók lényegében olyan digitális szolgáltatásokat vesznek igénybe pénzügyeik menedzseléséhez, amik működését alapjaiban nem értik. Emiatt felkészületlenek a digitális csatornákat célzó csalásokkal szemben. Mivel a felhasználók ismeretei korlátozottak, ezért a szolgáltatások használata során nincs félelemérzetük, ami óvatosságra sarkallná őket. Rendkívül fontos lenne például széles körben megtanítani azt, hogy a pénzügyi adataink, a kártyaszámunk, a bankszámlaszámunk, jelszavaink és PIN kódunk éppen olyan érzékeny és védendő adatok, mint a személyes adataink.

Sütő Ágnes, a Bankszövetség kommunikációs főtitkár-helyettese beszélt arról egy kerekasztal-beszélgetés során, hogy az MNB-vel együttműködve kiberbiztonsági edukációs kampányt hirdettek meg éppen a konferencia előtti napokban. A kampány célja, hogy növeljék az ügyfelek pénzügyi tudatosságát, tájékoztassák a lakosságot a felmerülő kockázatokról, hogy megfelelően felkészülhessenek az esetleges visszaélésekkel szemben. A kezdeményezésbe további szereplőket, például a rendőrséget és a kormányzatot is igyekeznek bevonni. A beszélgetés résztvevői szerint szerint a magyar társadalom pénzügyi edukációját már általános iskolában el kellene kezdeni, és ebben nagyobb állami szerepvállalásra lenne szükség, mivel a piaci szereplők és a hatóságok lehetőségei korlátozottak. Ezt a szerepet igyekszik betölteni a PÉNZ7 program, ami 2015-ös bevezetése óta évről évre egyre több diákot nevel pénzügyi tudatosságra. A program ugyan előremutató, a szakértők véleménye szerint további lépések szükségesek a társadalom digitális kompetenciáinak fejlesztéséhez.

A fejlett, akár bérbe adható csalási megoldásokat, a szofisztikált manipulációs módszereket és a felhasználók felkészületlenségét látva jogosan merül fel a kérdés, hogy egyáltalán szükséges-e a pénzügyek digitalizálása abban az ütemben, ahogyan azt az elmúlt években megfigyelhettük? A választ Cseh Árpád, az MNB közgazdasági elemzője szolgáltatta a konferencia résztvevői számára. Az elektronikus fizetési rendszerek fejlesztése jelentős mértékben járul hozzá a gazdaság növekedéséhez, a digitalizáció adta versenyelőnyök pozitív hatásai oly mértékben dominálják a visszaélések okozta károkat, hogy a fenti kérdés benne fel sem merül. A fejlődés visszafogása egyértelműen nagyobb kárt okozna nemzetgazdasági szinten, mint amit a csalásoknál megfigyelhetünk.

Görög Szabolcs