Kibercsalások a hazai vállalati környezetben – tanulságok és felelősségek
Jelen cikk szerzője több szakdolgozatot, diplomamunkát és tanulmányt is írt a kiberbűnözés témakörében, melyek során számos interjút készített mind bankbiztonsági szakemberekkel, mind kibercsalásokban sértettként érintett gazdasági társaságok vezetőivel is. Fontos megemlíteni még, hogy volt és jelenlegi pozícióinál fogva több mint két évtizede foglalkozik csaláskivizsgálásokkal, vezetett csalásmegelőzési osztályt is ahol üzemeltettek csalásfelderítő információs rendszert. Jelen cikkben a probléma elemzése szempontjából megjelenik a magánszemélyeket érintő kibercsalási sémákban rejlő párhuzamok bevonása is.
Az internet megjelenésével és széles körű elterjedésével csalások új korszakába léptünk. Az első BEC típusú csalással 2008 környékén szembesültünk gazdasági nyomozóként, bár akkor még nem így neveztük, az elkövetési mód miatt Man in the Middle típusú átutalásos csalásnak, nemzetközi utalásos csalásnak hívtuk. A későbbi EUROPOL által használt terminológiát – ami a csalástípus széleskörű, nemzetközi elterjedésének volt köszönhető – vette át a magyar szaknyelvi környezet is, és használjuk ma már a BEC és CEO csalás fogalmat.
A csalástípus lényege nem változott az évek során, csak szofisztikáltabb lett, a kiberbűnözés evolúciójával párhuzamosan fejlődött. Egyetlen „benézett” hamis e-mail, egy elhitt történet vagy egy „sürgős vezetői kérés” elég ahhoz, hogy több millió, több tízmillió forint tűnjön el egy céges számláról. (extrém esetekben ez akár milliárdos nagyságrendre is rúghat[1], lásd keretes írásunkat) Ezt a jelenséget nevezik BEC-fraudnak (Business Email Compromise – üzleti e-mailes csalás) vagy CEO-fraudnak (Chief Executive Officer fraud – vezetői nevében elkövetett csalás), a csalás jellegétől függően.
Mi is az a BEC-fraud?
A BEC-típusú csalások során a bűnözők megszerzik az irányítást – vagy gyengébb próbálkozás esetén imitálják az eredeti címet – egy üzleti partner, vagy beszállító e-mail-fiókja felett. A levél címzése, stílusa, aláírása, logója mind valósnak tűnik, vagy akár az is. Az utóbbi években a szofisztikáltabb csalásoknál jellemző, hogy a teljes fiókhozzáférés miatt elolvassák feldolgozzák az e-maileket, és emiatt mind a hangvétel, mind a stílus, aláírás mind megtévesztésig hasonlíthat az eredeti küldőére. (ha feltörték a fiókját, az e-mail címe pedig egyezik is vele, hiszen onnan fognak levelezni az célszeméllyel) Ebben már a mesterséges intelligencia is segítséget nyújt, így elvesztettük azt a korábbi „védelmünket” amit a magyar nyelv egyedisége nyújtott számunkra ezen a téren. Innen már csak egy lépés a bankszámlaszám módosítási kérelem, ami nem megfelelően kialakított belső kontroll folyamatok esetén akár végbe is mehet az e-mail hatására, és az adott partnernek szánt utalások máris a bűnözők által kontrollált számlára mennek.
Egyik feldolgozott esetünk jól példázza ezt a modus operandit:
Egy kisvállalat könyvelője egy megszokott partner nevében érkező, karakterazonosan érkező címről e-mailt kapott, amelyben közölték, hogy a cég új számlaszámot használ a továbbiakban. A számlaszám módosítás után nem sokkal egy nagy értékű vásárlás ellenértéke került átutalásra, mellyel csaknem 30 millió forintos kár keletkezett. Mire kiderült, hogy a partner semmit sem tud az „új számláról”, a pénz már egy külföldi stróman számlán pihent, majd továbbutalták onnan is.
Ez a klasszikus BEC-forgatókönyv: nincs technikai támadás cégünk ellen, nincs vírus, csak megtévesztés, amit a kapkodás, a napi rutin és a túlzott bizalom tesz hatékonnyá.
És mi az a CEO-fraud?
A CEO-fraud még kifinomultabb. Itt a támadók a cég vezetőjének szerepébe bújnak, és utasítást adnak a pénzügyi osztálynak valamilyen „bizalmas, sürgős” átutalásra. Az elkövetési mód hasonlít a BEC-csalásnál leírtra, az egyszerűbb támadók még az e-mail cím hasonlóságára sem veszik a fáradtságot, a szofisztikáltak pedig igyekeznek megszerezni az adott vezető e-mail fiókja feletti irányítást. A cél mindig ugyanaz: nyomásgyakorlás és gyors döntésre kényszerítés.
Egyik általunk vizsgált ügy rövid leírása, mely szinte tankönyvi példa:
Egy pénzügyi vezető péntek délután e-mailt kapott a felette álló igazgató nevében, annak az eredeti e-mail címéről: „Tárgyalás alatt vagyok, de az ügylet lezárásához sürgősen szükség van az előleg átutalására. Ez bizalmas, ne vond be egyelőre a könyvelést.” Az e-mail úgy volt megírva, hogy imitáltak benne egy vezérigazgatói e-mailt is, mintha közvetlenül tőle érkezett volna az utasítás az igazgatónak, aki továbbutasította az alatta lévő vezetőt. Tekintettel arra, hogy vállalati kultúra kissé parancsuralmi volt, a középvezető nem merte megkérdőjelezni a sürgető utasítást és végrehajtotta azt. Gyorsan, pontosan. Soha vissza nem térülő, 200 milliós veszteséget okozva.
A támadók gyakran külföldről, feltört e-mail-fiókokból dolgoznak. Sok esetben több hónapig megfigyelik a céges kommunikációt, hogy a megszólítás, a szóhasználat, sőt még a belső e-mail-láncok is hitelesnek tűnjenek.
A módszer pszichológiai alapja egyszerű: a tekintély és a sürgetés kombinációja. Az utalási joggal bíró alkalmazott nem akar akadékoskodni, a vezető utasítása sürgős, a tranzakció „bizalmas”, ott van még a fortélyos félelem, és a megfelelni akarás. Ezek a tényezők együtt elegek lehetnek ahhoz, hogy a megszokott kontrollok – például a kétlépcsős jóváhagyás – kimaradjanak.
A Pepco Group hivatalos weboldalán 2024. február 27-én közölte, hogy a magyarországi üzletágát „kifinomult, csalárd adathalász (phishing) támadás” érte, amely 15,5 millió euró veszteséget okozott ( ~ 6 mrd HUF). A vállalat vizsgálatot indított, és banki partnerein, valamint a rendőrségen keresztül próbálta a pénzt visszaszerezni, de még nincs hivatalos információ arra vonatkozólag hogy mennyit sikerült visszatéríteni az ellopott pénzből. A hazai forrásokkal kiegészítve a szűkszavú közleményben rejlő információkat, kijelenthető, hogy ebben az esetben is egy BEC / CEO típusú csalás okozhatta a kárt, mely az eddigi magyar vállalati szektort ért kiber-csalás történelem legnagyobb veszteségét jelenti is egyben.
A legdrágább e-mail: amikor a bank sem veszi észre, hogy csalás történt
Az elmúlt években a hozzánk forduló vállalati és magánszemélyi körből érkező sértetteket ért kibercsalás közül több konkrét esetet is részletesen kielemeztünk. A vizsgált ügyek többségében a céges oldal hibáit, a magánszemélyek tudásbéli hiányosságait a banki csalás detektáló rendszerek mulasztásai tetézték. A csalások sikeréhez legtöbbször a következő pénzintézeti hiányosságok járultak hozzá:
- Hiányzó viselkedés-alapú monitoring. A bankok csalásmegelőző rendszerei nem reagáltak az ügyfél korábbi tranzakciós szokásaitól eltérő, szokatlan viselkedésre. A banki alkalmazásokba ismeretlen IP-címről (szokatlan földrajzi hely), korábban nem használt böngészőből és új eszköz-azonosítóról (szokatlan eszközhasználat) történt bejelentkezés, sokszor szokatlan időpontban, vagy a teljes egyenleget elutalgatta egymás után különböző számlákra egyforma összegekben, értelmetlen utalási megjegyzések kíséretében, és még sorolhatnánk. Blokkolás, tranzakció megállítás egyik esetben sem történt.
- Külföldi IP-címek figyelmen kívül hagyása. Több esetben az ügyfél korábban kizárólag Magyarországról lépett be, ám a csalás idején a rendszer külföldi IP-címet is elfogadott, mintha az teljesen normális lenne.
- Ismeretlen böngésző vagy eszköz engedélyezése. A bank e-mailben értesítette ugyan az ügyfelet, hogy új eszközről léptek be (tehát a birtokában volt ennek az adatnak is), de az automatikus riasztás nem váltott ki semmit – sem zárolást, sem telefonos visszaellenőrzést.
- Limitmódosítások figyelmen kívül hagyása. Az elkövetők jellemzően megemelték az utalási limiteket a csalások kivitelezés során, néha percekkel a tranzakciók indítása előtt. Ez önmagában is erős gyanújel lett volna.
- Tipikus csalási mintázatok fel nem ismerése. Sok csalási sémának van egy tipikus folyamata ahogyan végigmegy, és ezek digitális nyomokat hagynak maguk után. Az általunk vizsgált esetekben banki fraud-rendszerek nem kapcsolták össze az eseményeket (új vagy külföldi IP cím + ismeretlen eszköz megjelenése + eddig nem használt böngésző megjelenése + limitemelés + nagy összegű utalás, utalások + teljes egyenleg elutalása ), nem vették figyelembe azok gyors, sémaszerű egymásutániságát sem. Pedig ezek a kombinációk klasszikus riasztási helyzetet, akár automatikus blokkolást is kellene hogy teremtsenek egy jól paraméterezett csalásmegelőző rendszerben.
Egy különösen tanulságos esetben az elkövetők egy market-place típusú csalás keretében az ügyfél bankkártyáját Apple Pay-re regisztrálták, majd Revolut-feltöltéseket végeztek. Külföldi IP címekről. A banki rendszer mindezt engedte, annak ellenére, hogy az ügyfél korábban soha nem használt Apple-eszközt, nem járt külföldön, sőt a csalás előtt nem sokkal bankkártyás tranzakciót végzett a helyi kisboltban. Nyolc (!!!) egymást követő „vörös zászló” (red flag) jelent meg a banki rendszerben, mégsem történt felfüggesztés. Mire a csalásra fény derült (az ügyfél bejelentése alapján!!!), a teljes számlaegyenleg eltűnt. A pénzmosási banki oldal folyamat megállító képességéről pedig ne is beszéljünk, nyoma nincs az általunk vizsgált esetekben, gond nélkül utalódnak tovább hatalmas összegek a strómanszámlákról. Az ilyen, és ehhez hasonló esetek azt a képet sugallják, hogy egyes pénzintézetek csalásfelderítő rendszerei alkalmatlanok korunk kiberbűnőzöi által jelentett kihívások kezelésére.
Az MNB Fraud-ajánlása – egy működő védőernyő
A Magyar Nemzeti Bank 2023-ban kiadott Fraud-ajánlása pontosan ezekre a hiányosságokra ad választ. Az ajánlás pár fontosabb eleme a pénzintézetek felé:
- Ismerjék és elemezzék ügyfeleik szokásait. A tranzakciók, földrajzi helyek és eszközhasználati mintázatok elemzése lehetővé teszi a szokatlan viselkedés azonnali felismerését.
- Valós idejű műveletmegfigyelést (real-time monitoring) alkalmazzanak, amely képes időben megállítani a gyanús utalásokat.
- Képezzenek az ügyfeleknek érthető tájékoztatást, és alakítsanak ki egyértelmű panaszkezelési folyamatot.
- Konzervatívan értelmezzék a „súlyos gondatlanság” fogalmát, vagyis a bank ne háríthassa el automatikusan a felelősséget, ha a védelmi rendszere gyenge paraméterezés miatt nem működött.
Ha a pénzintézetek maradéktalanul implementálnák ezeket az elveket, és biztosítanák a megfelelő költségkeretet ezek alkalmazására, a legtöbb visszaélés megakadna a csalási folyamat valamely fázisában. A viselkedés-alapú megfigyelés és a kockázati súlyozás nem új technológia – a legtöbb nemzetközi bank már évek óta rutin szerűén használja. Magyarországon viszont a gyakorlati esetek tanulsága szerint több intézmény még mindig „reaktív” módon kezeli a csalásokat: csak akkor lépnek, ha már megtörtént a baj. Ezen a hozzáálláson fog változtatni várhatólag az MNB fellépése azon pénzintézetekkel szemben, akik halogatják az ajánlásban megfogalmazottak gyakorlatba ültetését.
A pszichológiai faktor: az ember, mint támadási felület
A BEC és CEO fraud nem csupán technikai kérdés. A támadások alapja a pszichológiai manipuláció: a sürgetés, a bizalom és a tekintély hatásmechanizmusa. A támadók tökéletesen ismerik a munkahelyi hierarchiát. Tudják, hogy egy pénzügyes ritkán kérdőjelezi meg a vezető utasítását, különösen, ha az a „külföldi tárgyaláson lévő vezérigazgatótól” jön.
Ezért is tartja kulcsfontosságúnak a tanulmány a humán faktor tudatosítását. A technikai védelem csak akkor hatékony, ha mellette a dolgozók is felkészültek. A kétlépcsős hitelesítés, a telefonos visszaellenőrzés vagy a „négy szem elv” nem adminisztratív teher, hanem életmentő biztonsági háló.
Tanulságok a jövőre nézve
A BEC- és CEO-fraudok elemzései rámutattak arra, hogy a magyar pénzügyi szektor és a vállalati környezet még nem építette ki kellő mélységben a kiberrezilienciát. Egyes pénzintézetek vonakodnak a megfelelő költséget allokálni a modern XXI. századi megoldásokat alkalmazó csalásmegelőző rendszerekre, a vállalatok pedig arra építenek, hogy „velük ez nem történhet meg”. Pedig a támadások célpontja nem a technológia, hanem az ember és a folyamat.
Ha a pénzintézetek a Fraud-ajánlásban foglaltakat ténylegesen alkalmazzák – különösen a viselkedés-alapú monitorozást és a valós idejű blokkolást – a csalások jelentős része megelőzhető lesz. (Már van olyan hazai pénzintézet, aki élen jár ebben.) Ugyanilyen fontos azonban a vállalati oldal: belső ellenőrzési lánc, utalások kettős jóváhagyása, és egy világos szabály, hogy e-mailben soha nem indulhat „sürgős” kifizetés vezetői utasításra.
Összegzés
A BEC és CEO-fraud nem futurisztikus hacker-történet, hanem a mindennapi vállalati élet realitása, a nem megfelelően kialakított védelem kihasználása az elkövetők által. A feltárt esetek világosan mutatják: a csalások sikerének kulcsa nem az elkövetők zsenialitása, hanem a csalásmegelőző rendszerek gyenge paraméterezése és szervezeti reflexek hiánya.
A védekezés kulcsa az együttműködés:
- a bankoknak a technológiai detektálásban és megállításban,
- a vállalatoknak a humán és jóváhagyási folyamatokban, a kiberbiztonság tudatosság fokozásában, költségekkel és kockázatokkal arányos védekezés kialakításában,
- a dolgozóknak pedig a tudatosság-fokozásban történő részvételben, a belső szabályok betartásában van felelősségük.
[1] https://www.pepcogroup.eu/media-news/pepco-group-n-v-notice-regarding-hungarian-business/