Török Szilárd kibernyomozót arról kérdeztük, szerinte milyen csoport felelhet az sms-es támadásért, és hogyan juthattak hozzá a telefonszámokhoz.
- Ez a botnet 2020 végén lépett működésbe Spanyolországban, a FluBot maleware-t ott Fedex Banker vagy Cabassous néven ismerték. 2021 januárjában kezdett el terjedni, amikor is mintegy 70 ezer telefonszámot fertőztek meg vele, és bár az EU-n belül több országban terjedt, az áldozatok 97 százaléka spanyolországi volt. A spanyol hatóságok négy személyt - 19 és 27 év közötti férfiakat - tartóztattak le a nyomozás során. Ketten már börtönbe kerültek, ketten pedig szabadlábon védekezhetnek, bűnszervezetben elkövetett csalással vádolják őket.
Szakértőcsoportok vizsgálatai alapján kijelenthető, hogy jól megtervezett, a szokványos botnetes malware-támadásoknál fejlettebb programról van szó. Elsősorban Android telefonokat érint, mert azokon lehet egyszerűbben digitális aláírás nélkül fertőzni, és március elején már angol, német és lengyel nyelvű variánsai is jelen voltak.
Tíz-tizenöt éve minden mobileszköz főszereplője a kibertámadásoknak. Ma már senkinek sem kell bemutatni, hogy a mobileszközök a legfontosabb tárgyaink, amelyeket minden más készüléknél rendszeresebben használunk. Ezeken tároljuk minden kényes adatunkat: kapcsolatainkat, üzeneteinket, privát fényképeinket, pénzügyi/banki alkalmazásainkat, akár a kártyás fizetést kiváltó megoldásokat is. Épp ezért várható, hogy lesznek még súlyos károkat okozó, csaló, átverő támadások ezek az eszközök ellen. Minden gyártó és elemző felhívja a figyelmet a mobilkészülékek sérülékenységére. A FluBot ismereteink szerint kizárólag mobiltelefonon megnyitva irányít át az átveréshez szükséges oldalra, egyébként nem.
Ki kell térnünk a sötét webre is. A mindenki által látogatott publikus oldalakat hívják Surface Webnek. A Deep Web már nem nyitott, azaz nem publikus - ide tartoznak a felhőtárolók, a kutatási és egészségügyi adatok, de bizonyos bűnözői körök is használják, bekerülni meghívásra lehet.
A Dark Web pedig mondhatni az internet "sötét bugyra", ahol célzottan rejtett, más módon elérhetetlen oldalak vannak; vásárolhatók kiberfegyverek, céges, állami és privát hozzáférések, jelszólisták, ellopott adatok, adatbázisok.
Hogy kerül ide a Dark Web? Azt kell megértenünk, hogy ahhoz, hogy egy ilyen csalásra alkalmas rendszer folyamatosan frissüljön, a feltört oldalak információival is frissítenie kell magát, amiként hazai oldalakhoz is feltehetően így fértek hozzá (ezek voltak szükségesek a "hitelesség" és a fertőzött kód terjesztéséért). A Dark Weben telefonszámlisták és adataik is kaphatók, és az ott kereskedőknek is "érdekük" egy ilyen csalásra alkalmas program gyors elterjedése, mert mint kiderült, a mobiltelefonos kontaktlista mellett a banki adatainkat is összegyűjtik.
A Dark Weben levő jelszó- és hozzáférésdílerek egyre szofisztikáltabban próbálnak eljutni az áldozataikhoz, illetve bizalmas adatokhoz és hozzáférésekhez jutni. Kéretlen levelekkel ezt már nem tudják megoldani. Így jobban érthető, mi közük lehet a Dark Webet használó és üzemeltető köröknek például a FluBot működéséhez. Vásárolhatók ott kémrendszerek, botnetek, igénybe vehetők terheléses támadási "szolgáltatások". Feltehetően a szóban forgó rendszer is több kiberbűnözői kör/csoport együttműködésének vagy bérbeadásának példája.
