Orosz hackerek, ázsiai internetes csalók: miért ér minket egyre több kibertámadás?
Megbénított vízügyi rendszerek, félmillió embert érintő áramszünet, és a cégvezető hangján megszólaló, mesterséges intelligenciával generált csalás – néhány példa kemény következményekkel járó, egyre kifinomultabb kibertámadásokra. Székely Barnabás minősített adatvédelmi szakember, NIS2 szakértő és kiberbiztonsági auditor, a Privacy Pro alapítója elárulja, miért van egyre több kibertámadás, hogyan könnyítette meg a technológia a kiberbűnözést, miért kell vigyázni még a hirdetésekkel is, mit veszíthetünk egyszerű felhasználóként egyetlen rossz kattintással, és milyen kockázatarányos intézkedéseket kell bevezetniük a vállalatoknak kötelező módon.
– Egyre gyakrabban hallunk intézményeket, cégeket célzó kibertámadásokról. Mi ennek az oka?
– A gyakoriság növekedésében több faktor is szerepet játszik. Az egyik, hogy az északi szomszédunk területén zajló háborúban vállalt szerepe miatt hibrid hadviselés zajlik az Európai Unió ellen. Államilag támogatott kiberbűnözői csoportok EU-s tagállamok intézményei, vállalatai és kulcsfontosságú infrastruktúrája ellen indítanak támadásokat.
Jellemzőek a túlterheléses támadások (DDoS), amelyek célja a weboldalak megbénítása, elérhetetlenné tétele a felhasználók számára. Viszont a legsúlyosabb károkat az adathalász- és zsarolóvírus-támadások okozzák.
2025 bővelkedett ilyen támadásokban. Januárban egy svédországi hőerőmű ellen kíséreltek meg támadást. Tavasszal a norvégiai Risevatnet-tó vízerőművének gátja ellen hajtottak végre sikeres kibertámadást, amikor a támadóknak sikerült kinyitniuk a zsilipet és négy órán keresztül a víz ellenőrizetlenül ömlött. Decemberben Lengyelország villamosenergia-hálózatát érte támadás, amely ipari berendezések és vezérlőrendszerek megrongálásához vezetett, 500 ezer ember fűtését veszélyeztetve.
Tavaly év végén az Országos Vízügyi Igazgatóságot (ANAR) érte egy zsarolóvírus-támadás. Ennek során körülbelül 1000 informatikai rendszert zároltak, köztük tíz regionális vízgyűjtő igazgatóság szervereit és adatbázisait. Bár a gátak és árvízvédelmi rendszerek fizikai vezérlését sikerült elválasztani, a diszpécserek napokig kénytelenek voltak telefonon koordinálni az alapvető vízügyi műveleteket, míg a belső rendszereket helyreállították.
Az EU Kiberbiztonsági Ügynöksége (ENISA) által publikált Threat Landscape 2025 tanulmány is megerősíti, hogy az Európát célzó kibertevékenység legfőbb felhajtóerejének a geopolitikai érdekek számítanak. A tanulmány szerint a támadások közel nyolcvan százaléka ideológiailag vezérelt, míg tizenhárom százaléka mögött áll anyagi haszonszerzési szándék, illetve hét százalékát kémkedési céllal indítják. Az ilyen támadások terén több ázsiai ország is aktív. Az államilag támogatott kiberbűnözői csoportok az ENISA hivatkozott tanulmánya szerint főként Oroszországhoz és ázsiai országokhoz köthetők.
A támadások számának növekedésében ezenkívül nagy szerepet játszik a technológiai fejlődés. A generatív mesterséges intelligencia modellek segítségével a kiberbűnözői csoportok automatizálják a támadások végrehajtását és növelik ezek hatékonyságát: a célpont felderítésétől az adathalász üzenet megírásán, a sebezhetőség megtalálásán és kiaknázásán át egészen a zsarolóvírus telepítéséig. Ami korábban egy tapasztalt csapatnak hetekbe került, az ma automatizáltan, percek vagy órák alatt zajlik le.
A szervezeteket célzó kibertámadások egyre kifinomultabbak. A mesterséges intelligencia használatával például teljesen személyre szabott, nehezen felismerhető adathalász leveleket tudnak készíteni, amelyek vizuálisan, stílusban és tartalmilag is hitelesen utánoznak egy kolléga, beszállító vagy ügyfél által írt e-mailt.
A nagy nyelvi (LLM) és képi modellek (LIM) megjelenésével a kiberbűnözők a korábbi csalási módszereket deepfake-tartalmakkal turbózták fel. Ha elegendő nyilvánosan elérhető kép-, videó- vagy hanganyag áll rendelkezésre – például a közösségi médiában –, akkor képesek olyan videót vagy hangüzenetet generálni, amelyben a kollégánk, ügyfelünk, családtagunk szerepel, vagy akár egy cégvezető tökéletes hasonmása jelenik meg, az ő arcát, hangját és gesztusait utánozva ad meggyőző utasítást a beosztottnak sürgős kifizetésre vagy bizalmas adatok megosztására.
A deepfake-alapú támadások száma exponenciálisan nő hatékonyságuknak köszönhetően. Ez a hazai szervezeteket is olyan mértékben érinti, hogy a cégeknek tartott kiberbiztonsági tréningjeinkbe már másfél-két éve be kellett emelnünk egy deepfake-támadások felismeréséről és kezeléséről szóló modult.
Kapcsolódó
A harmadik kiemelendő faktor a támadások számának növekedése mögött, hogy folyamatosan csökken a belépési korlát a támadók számára. Míg korábban a szakértői technikai tudás feltétlenül szükséges volt a sikeres támadások kivitelezéséhez, addig ma a zsarolóvírus- vagy adathalász-szolgáltatásokat biztosító platformok lehetővé teszik a támadások végrehajtását szakértői háttér nélkül. Ezeknek a platformoknak a segítésével akár egyének vagy kisebb csapatok képesek egyszerre több célpont olyan léptékű megtámadására, ami korábban elképzelhetetlen volt.
Míg a háttérben legtöbb esetben szervezett kiberbűnözői csoportok állnak, nem elhanyagolható, hogy egy kolléga is okozhat incidenst még külső támadás hiányában is. Továbbá, elégedetlen vagy felmondási idejüket töltő munkatársak okozhatnak problémát szándékosan.
– Főként milyen formában érkeznek a támadások?
– Az ENISA hivatkozott tanulmánya alátámasztja tapasztalatunkat, miszerint a támadók első körben leggyakrabban különböző típusú – e-mailes, malspam-, smishing-, vishing- és malvertising-jellegű – adathalász-támadásokkal (60%), illetve a sérülékenységek és biztonsági rések kihasználásával (21%) próbálkoznak. Ha egy adathalász-támadás során, adatszivárgás vagy adatlopás következtében megszerzett bejelentkezési adatokkal sikerült belépni a rendszerbe vagy egy sérülékenység kihasználásával behatolni, akkor az esetek közel 84%-ában egy zsarolóvírus telepítésére kerül sor.
– Mit veszíthetnek az intézmények, cégek vagy akár mi magunk banki applikáció és a közösségi média felhasználóiként, online vásárlókként, ha nem készülünk fel? Mit kell tenni, ha támadás ért?
– Hogy mit veszíthetünk az főként attól függ, hogy a támadók milyen célt követnek. Adathalász- és zsarolóvírus-támadásoknál általában az anyagi haszonszerzés, bizalmas adatok megszerzése és a kémkedés jön szóba. Számos olyan csalási módszer van, amivel a támadók azt akarják elérni, hogy pénzt utaljunk egy általuk kontrollált számlára. Ilyen például, amikor a bank nevében hívnak és próbálják rávenni az áldozatot, hogy biztonsági okokból utaljon pénzt egy számlára. Az is gyakori, hogy kolléga vagy beszállító nevében küldenek e-mailt, üzenetet vagy videóüzenetet, amelyben sürgetnek, hogy utaljunk pénzt.
Van olyan eset, amikor a bankkártyánk adatait próbálják megszerezni azzal, hogy küldenek a bank nevében egy e-mailt vagy üzenetet, amelyben utasítanak, hogy minél hamarabb lépjünk be az internet banking platformra, de a beágyazott link valójában a bank oldalához nagyon hasonló klónoldalra vezet. Ha ott megadjuk a belépési adatainkat, akkor a csalók átveszik az irányítást a fiókunk felett és megszabadítanak pénzünktől.
Előfordul, hogy hamis hirdetésekkel akarnak rávenni, hogy egy hitelesnek tűnő webshopon végzett vásárlás véglegesítése érdekében adjuk meg bankkártyaadatainkat. A felsorolt esetekben a támadók célja a pénzszerzés, amit közvetlenül akarnak érvényesíteni.
Vannak olyan komplexebb támadások, amelyek több lépésben valósulnak meg. Első lépésben megszerezhetnek bizalmas adatokat vagy a szervezet rendszereibe belépést biztosító hitelesítési adatokat. Ehhez használhatnak adathalász módszereket, de meg is vásárolhatják ezeket, ha adatszivárgásban vagy adatlopásban érintettek voltak.
A bizalmas adatokat a második lépésben zsarolásra használhatják vagy még személyre szabottabb támadások létrehozásához. Ha belépési adatokat szereznek meg, akkor az informatikai rendszerek feltörésével járó erőfeszítéseket megspórolva a megszerzett felhasználónévvel és jelszóval belépnek ezekbe. Majd a hálózatra csatlakoztatott gépeken és szervereken tárolt adatokat ellophatják. Ha zsarolóvírust telepítenek, akkor az adatokat titkosítják is. A biztonsági mentésekhez is igyekeznek hozzáférni. Ezek törlése vagy titkosítása esetén a szervezet elveszti adatai fölött a kontrollt. Ezt követően váltságdíjat követelnek a titkosítás feloldásáért. Viszont az esetek közel 90%-ában a titkosítás nem kerül feloldásra a váltságdíj kifizetése után sem.
A fenti példákból úgy tűnhet, hogy „csak” a támadók által kicsalt pénz és az általuk megszerzett adatok jelentenek veszteséget egy vállalat számára. Valójában egy sikeres támadás hatásai jóval kiterjedtebbek. Ha a rendszerek leállnak a támadást követően, akkor ezek helyreállítása anyagiakat és humán erőforrásokat emészt fel. Ha az üzleti tevékenység leáll vagy nem tud megfelelően működni, akkor bevételkieséssel is számolhatunk.
A támadás során megszerzett adatokat és információkat később használhatják további támadások kivitelezésére, vagy ezek közzétételével zsarolhatják is a szervezetet. Jelentős versenyhátrányba sodorhatják a vállalatot, ha üzleti titkok vagy szabadalmak szivárognak ki a támadás során.
Ha személyes adatok érintettek a támadásban, akkor esetenként az adatvédelmi incidens 72 órán belül bejelentendő az adatvédelmi hatóságnak (ANSPDCP). Ha a vállalat a NIS2 hatálya alá esik, akkor a bejelentési feltételek teljesülése esetén az incidenst 24 órán belül kell jelenteni a Kiberbiztonsági Főigazgatóságnak (DNSC). Az incidensek bejelentésének rövid határideje kihívást jelent a legtöbb szervezet számára. Amennyiben a vállalat nem épített be kockázatarányos intézkedéseket, akkor felmerülhet a GDPR, NIS2 és a DORA előírásainak a megsértése, illetve az ezzel járó bírságok.
Az incidensek kezelése átlagosan több mint 9 hónapot vesz igénybe, beleértve a rendszerek és a működés helyreállítását. Ez idő alatt a szervezet számos humán- és anyagi erőforrást erre kell fordítson. Sok esetben a teljes helyreállásig az üzleti tevékenység sem tud teljes hatékonysággal zajlani, ami bevételkiesést okoz.
Az incidensek általában reputációs kárt is okoznak a vállalatoknak, ügyfelek, beszállítók elvesztéséhez vezethet. Amennyiben nyilvánosságra kerül, akár az ügyfelek 30%-a elhagyhatja a vállalatot, ha pedig ügyfelek adatai is érintettek, akkor ez az arány jóval magasabb. Ha ügyfelek, beszállítók vagy harmadik felek kárt szenvedtek az incidens miatt, akkor kártérítési perek is felmerülhetnek.
– Mennyire lehet ezekre a támadásokra felkészülni?
– Nagyon sokat lehet tenni a kockázat csökkentéséért, de a 100%-os biztonság elérhetetlen. A védekezésnek több dimenziója van: emberi, szervezeti és technikai. Az első a szervezeti biztonsági kultúra erősítését, a munkatársak tudatosságát feltételezi. A rendszeres kiberbiztonsági tréningek nagyon fontosak, mivel tízből hét incidens esetében közrejátszik az emberi mulasztás vagy hiba. Nem elhanyagolható a vezetők példamutató, tudatos magatartása. Sokat segíthet az incidensek szimulálása, az incidenskezelési és bejelentési folyamatok rutinjának kialakítása.
Szervezeti szinten fontos, hogy a vállalat rendelkezzen belső információbiztonsági szabályzattal a jelszavak, fiókok, munkaeszközök és dokumentumok biztonságára, illetve a jóváhagyott eszközök és az internet megfelelő használatára vonatkozóan. Emellett a hozzáférések kezelésére, biztonsági mentésekre, üzletmenet-folytonosságra, távmunkára, kockázatkezelésre és incidenskezelésre vonatkozó irányelvek megléte is feltétlenül szükséges.
Technikai oldalon a határ a csillagos ég. A legfontosabb, hogy a szervezetre jellemző kockázatokkal arányosak legyenek a technikai intézkedések is. Ma már a többlépcsős vagy multifaktoros (MFA) azonosítás, vírusvédelem, virtuális magánhálózati megoldások (VPN), hálózati biztonság, külső adathordozók csatlakoztatásának korlátozása és az adatok titkosítása elengedhetetlen.
Sok esetben az első incidens bekövetkeztéig a biztonság nem kerül fókuszba, pedig a megelőzés jóval költséghatékonyabb. Ha a megfelelő védelmi intézkedéseket nem vezetik be, akkor egy incidens lavinaszerű hatással bírhat a vállalatra.
– Mit kell lépniük a vállalatoknak, intézményeknek a biztonságuk érdekében? Mi a legfontosabb?
– A kockázatarányos biztonsági intézkedések beültetése a legfontosabb. Iparáganként és vállalatmérettől függően eltérések vannak az egyes szervezetekre jellemző kockázatokban, így az információ- és kiberbiztonság fókuszában is. De néhány intézkedés szükségessége általánosan megfogalmazható.
1. A rendszerekhez való hozzáférés minden szervezetnél kulcsfontosságú. Hogy megelőzzük a jogosulatlan hozzáférést minden rendszernél egyedi, komplex (legalább 12-16 karakter hosszúságú, kis- és nagybetűt, számot, szimbólumot tartalmazó) és nem kitalálható (mintázatot nem követő és személyes adatokat nem tartalmazó) jelszavakat érdemes használni.
Mivel több komplex jelszót közel lehetetlen észben tartani, a munkatársak csak akkor lesznek nyitottak egyedi és komplex jelszavak használatára, ha használunk jelszőkezelőt (password managert). Ez esetben a kolléga csak a jelszókezelő jelszavát kell megjegyezze, a jelszavak hosszúsága nem okoz fejtörést.
2. Minden rendszernél használjunk többlépcsős (MFA) azonosítást. Ez azt jelenti, hogy a felhasználónév és a jelszó megadása után kapunk egy token kódot sms-ben vagy egy applikációban (Google Authenticator, Microsoft Authenticator), amit be kell pötyögjünk a rendszerbe való belépéshez.
Erős védelmet biztosít olyan esetben, amikor kiszivárognak vagy adatlopásban érintettek a jelszavak. A támadó hiába ismeri a felhasználónevet és jelszót, a token kód nélkül nem tud belépni. Fontos, ha értesítést kapunk az appban olyan belépési kísértletről, amelyet nem mi kezdeményeztünk, akkor kérjük a jelszavunk megváltoztatását.
3. Az operációs rendszerek, alkalmazások, böngészők, tűzfalak, VPN-ek és cloud-alapú rendszerek frissítése legyen rendszeres és követett folyamat. A kritikus hibákat gyorsan kell javítani, mert a támadók gyakran ismert sérülékenységeket használnak ki.
4. A laptopokon, telefonokon, tableteken és szervereken legyen modern vírusvédelem, hardwarealapú titkosítás és tiltott helyi adminhasználat. A biztonságos alapkonfiguráció az incidensek kockázatát csökkenti.
5. Legyen offline vagy elkülönített mentés, verziókezelés, titkosítás és rendszeres visszaállítási tesztek. Fontos, hogy a biztonsági mentéseket tároló szerverek más lokáción, más településen legyenek, mint a live szerverek. A mentés önmagában nem elég. Szükséges letesztelni és megbizonyosodni, hogy ransomware vagy rendszerhiba után tényleg sikeresen végbe megy a rendszerek és az adatok helyreállítása.
6. Az üzleti szempontból érzékeny, illetve a személyes adatokat titkosítani kell tárolás és továbbítás közben. Fontos az adatok osztályozása, a személyes adatok minimalizálása, a hozzáférések naplózása és a jogosulatlan adatküldések megelőzése.
7. Legyen írásos incidenskezelési terv, kijelölt felelősökkel, kommunikációs sablonokkal, jogi, biztonsági és adatvédelmi teendőkkel.
8. Előzzük meg, hogy nem jóváhagyott szoftvereket, online tool-okat használjanak a munkatársak. Képezzük őket, hogy az egyes rendszerekben – például ChatGPT, Gemini, Claude – milyen adatokat és dokumentumokat tölthetnek fel, hogy elkerüljük az adatszivárgásokat és a kiszivárgott adatokkal való zsarolást.
9. A munkatársakat rendszeresen képezni kell phishingre, zsarolóvírus-támadásokra, jelszóhasználatra, vállalati és személyes adatok kezelésére, illetve incidensbejelentési kötelezettségekre. Segítsünk nekik elsajátítani a tudatos és éber magatartást.
10. A beszállítókat, SaaS-szolgáltatókat és IT-partnereket is ellenőrizni és auditálni kell, mert a kockázat gyakran rajtuk keresztül érkezik. Érdemes megfontolni szerződéses klauzulák beépítését a szolgáltatókkal való szerződésbe, hogy csökkentsük a vállalatunk kitettségét és felelősségét. A szolgáltató mulasztása miatt kapott GDPR vagy NIS2 pénzbírságot a megfelelő szerződéses garanciák hiányában nem tudjuk áthárítani, a vállalatunkat fogja terhelni a büntetés.
Kapcsolódó
CSAK SAJÁT
