Keleti Arthur, az Informatikai Biztonság Napja ötletgazdája és szervezője, az Önkéntes Kibervédelmi Összefogás alapítója válaszolt lapunknak arra a kérdésre, hogyan tesznek szert anyagi haszonra az sms küldői.
- Ez a típusú támadás alapja, hogy az elkövetők kórokozót juttatnak el az áldozatok telefonjára. A kórokozó összeszedi a készüléken mindazokat az információkat, amelyek érdekesek lehetnek a hackerek számára. Ilyenek például a telefonkönyv adatai, a hívásadatok és minden egyéb érzékeny információ. Ezt követően az összegyűjtött információt titkosított csatornán keresztül elküldi a hackerek szerverére. Ez a szerver azonban állandóan változik, ugyanis a hackerek aktívan követik, hogyan próbálják a rendvédelmi szervek feltérképezni a tevékenységeiket, és részben ezzel összhangban, részben pedig a szoftver maga is automatikusan új és új szerverekre publikálja, teszi föl a megkaparintott információkat.
Ezen információk birtokában a hackerek további áldozatokat keresnek, ügyesen összevezetve a már adatbázisukban lévő telefonszámokat az áldozatok készülékéből nyert telefonszámokkal. Keresnek bennük továbbá mindenféle személyes adatokat, esetleg banki információkat, amelyekkel a későbbiekben vissza tudnak élni. A mobiltelefonon futó rosszindulatú eszköz további funkciója, hogy a valódi banki oldal helyett hamis oldalt ad vissza a telefonon megnyitott banki alkalmazás helyett, és bekéri az összes olyan adatot, amire az elkövetőknek szükségük van. Feltehetően azonban úgy is működik a megoldás, hogy az áldozat nem a mobiltelefonján nyitja meg a banki oldalt.
Találkoztam olyan áldozattal, aki különálló számítógépen ütötte be a banki adatait, majd amikor megkapta a második faktort képező igazoló sms-t a banktól, a támadók át tudták venni az irányítást a bankszámla felett, és arról milliós tételt utaltak át másik bankszámlára.
A hackerek célja tehát egyrészt az adathalászat, információgyűjtés, másrészt pedig az áldozatok pénzének ellopása, elutalása másik címre. Mivel igen bonyolult, összetett támadásformáról van szó, már-már azt kell mondjam, egyes esetekben olyan mélységig mennek le a támadók, amilyenre civil áldozatoknál eddig nemigen volt példa, és csak az üzleti piacon volt jellemző - közelebb állnak a célzott támadásokhoz.
Ugyanennek a kórokozónak egyik korábbi variánsa december végén Spanyolországban nagyjából 60 ezer áldozatot szedett, és pár hónap nyomozás után az elkövetőknek csak egy csoportját tudták letartóztatni a hatóságok, tehát elmondhatjuk, hogy sajnos ez a formája a kiberbűnözésnek elég hatékonynak tűnik, és láthatóan megfelelő hasznot is hoz az elkövetőknek.
A decemberben látott variánst valószínűleg csak a fejlesztője vagy a fejlesztők egy csoportja használta, a kollégák nem látták nyomát annak, hogy a kórokozót eladták volna a neten, vagy más formában terjesztenék.
Létezik olyan elmélet is, mely szerint most új célországokat kerestek ugyanazok a támadók, de az sem kizárt, hogy korlátozott mértékben más hackercsoportok számára is felkínálták. A csalásnak immár több verziójával találkoztunk: a csomagküldős verzió mellett megjelent egy inkább adathalász jellegű, telefonkészülék-nyereménnyel kecsegtető verzió is, amelyről azonban nem állítható bizonyosan, hogy ugyanahhoz a kórokozótörzshöz tartozik. Mindenesetre ugyanezt a "csomagod jött" klisét használja.
Fontos, hogy a kórokozó csak akkor hatásos, ha a címzett letölti az alkalmazást, majd telepíti is azt, tehát több lépésben kell hibázni ahhoz, hogy végül a támadók szemszögéből hatékony legyen, de sajnos a húsvéti, egyúttal pandémiás időszakban nagyon sokan hajlamosak bármire kattintani annak érdekében, hogy hozzájussanak, mondjuk, egy várt csomagjukhoz. Ez most sajnos betalált: nagyon sikeres és hatékony kampánynak mondható, és ha megfigyeljük a használt technológiát - elsősorban a központi szerverrel kiépített kifinomult kapcsolatot, illetve az eszközben használt különböző technológiákat -, akkor elmondható, hogy valószínűleg komoly munkát fektettek a fejlesztők az alkalmazás elkészítésébe.
Hogy ez vajon megtérül-e a kiberbűnözőknek, azt természetesen ebben a fázisban még nem tudhatjuk, hiszen az áldozatok számával kapcsolatban jelenleg nincsenek konkrét, elérhető adatok, de úgy vélem, alapvetően sajnos anyagilag sikeres kibertámadásról beszélhetünk - a hackerek nézőpontjából.
