
Az EU nagyon szeretne fellépni a kibercsalások ellen az áldozatok védelmében, de nincs könnyű dolga. A PSD2, azaz a második európai fizetési szolgáltatási irányelv előírta a bankoknak a kétfaktoros azonosítást, más néven az erős ügyfélhitelesítést (SCA – Strong Customer Authentication) az online banki műveleteknél és vásárlásoknál. Ez természetesen fontos védelmi mechanizmus, de ha valaki mégis adathalászat, romantikus csalás, befektetési ígéret áldozata lesz, legtöbbször nem jár kártérítés, ha bizonyítható, hogy gondatlanságával hozzájárult a csalás sikeréhez.
Közben viszont minden kiberbiztonsági kutatás rendre kimutatja, hogy nem állunk jól a digitális felkészültségben: a védekezés legnagyobb szűk keresztmetszete a felkészületlen felhasználó, vagyis az ember. A banki csalások jelentős része úgy végződik, hogy a bank bizonyítja, hogy az áldozat hibázott – aligha lenne azonban igazságos, ha ez hosszú távon is így maradna, és úgy tűnik, sok minden változik a szabályozói attitűdben is.
Sok a hiányosság
A Mastercard magyar felhasználók körében végzett, ezerfős online kutatása szerint mindössze a kérdőív kitöltőinek 7,5 százaléka érte el a digitális szakértő szintet alapvető digitális biztonságot érintő kérdésekben. A hazai kis- és középvállalkozások (kkv-k) is jellemzően csak akkor foglalkoznak először a kiberbiztonság kérdésével, amikor már megkopasztották őket, vagyis sikeres támadás áldozatai lettek, előtte fel sem merül a rendszerszintű védekezés. Ráadásul az is egy ellentmondás, hogy miközben mindenki védi az adatait, és arról sem beszél senki szívesen, ha meglopták, (hiszen attól tart, hogy ez reputációs válságot okoz), eközben együtt is kellene működnie a feleknek a tapasztalatcserében, a védekezési ökoszisztéma fejlesztésében.
Semmiképpen sem örömteli, hogy nem állunk túl jól az egyéni és a céges felkészültségben, de vélhetően nem az az egyetlen válasz, hogy a felhasználókat okoljuk. Ma már ki sem kerülhető a digitális világ: alapvető elvárás egy állampolgártól – legyen fiatal vagy idős –, hogy legyen okostelefonja, fizetési alkalmazása, digitális tudása, máskülönben nem tud parkolni, nem jut be egy nemzetközi focimeccsre vagy nem tud pénzt költeni egy zenei fesztiválon. Ma már sok mindenből kimarad az, aki tudja magáról, hogy nem képes magabiztosan kezelni az ilyen appokat és az ökoszisztémát.
Emiatt értékes munka az ismeretterjesztés, sokat tesz az, aki segíti az edukációt, a felhasználói tudás megalapozását. Közben viszont valamiképpen abban is előre kell lépni, hogy akinek tényleg van tőkeereje, tudása, hatalma védekezni – vagyis a bankoknak, az államnak, a távközlési szolgáltatóknak, biztonsági cégeknek –, azok tegyenek még többet az emberek megvédéséért.
Kihelyezett bűnelkövetés
A digitális felhasználók kétharmada lesz kiberbűnözés áldozata, így tényleg érdemes a magánembereknek, vállalatoknak és az állami szektornak felkészülnie. Wittinghoff Dániel, a Mastercard kiberbiztonsági megoldások igazgatója szerint a digitális támadások ellen a fizetési rendszerek a fő védelmi vonal, de csak annyira vagyunk védettek, amennyire a rendszer leggyengébb pontja védett, így a kiberbiztonság soha nem volt ennyire erős üzleti kérdés.
A kiberbiztonság nem csak abban az értelemben üzlet, hogy a védekező fél azzal jár jól, ha elkerüli a sikeres támadásokat, de az elkövetői oldalnak is „nagy üzlet” a támadás. Sajnos globális szinten minden egyes évben új rekordok születnek az okozott kár tekintetében, amire már professzionális csapatok szerveződtek. A csalók ma már nem sötét internetkávézókból támadnak, hanem komoly szervezeteket működtetnek, képzik az embereiket, adaptálnak, skáláznak, teljesen úgy működnek, ahogy egy jól funkcionáló vállalkozás. Arról, hogy hogyan vált világméretű iparággá az online átverések piaca, ahol sokszor a csalók is áldozatok, itt írtunk bővebben.
A mesterséges intelligencia használatával ráadásul szinte végtelen a támadási lehetőség, minden skálázható, automatizálható, minimális tárgyi tudással olyan eszközökhöz lehet jutni potom 20 dollárért, amivel már hatékonyan lehet támadni olyanoknak is, akiknek nincs is digitális vénája. Egy időben divat volt a „SaaS” és „IaaS” (software/infrastructure as a service) szolgáltatás: a két kifejezés azt takarja, amikor cégek nem megvesznek, hanem szolgáltatásként vesznek igénybe szoftvereket, infrastruktúraelemeket. Mára megjelent egy új jelenség is: a „crime as a service”.
Régen a kiberbűnözőknek először egy sor technikai készséget el kellett sajátítaniuk, hogy aztán rosszindulatú programot hozzanak létre, és megpróbáljanak megtámadni egy vállalatot. Manapság azonban bárki néhány kattintással beszerezhet egy kész bűnelkövetési készletet a legkülönfélébb típusú rosszindulatú programokkal. Az Europol internetes bűnözési fenyegetésértékelése szerint a bűnözés mint szolgáltatás az egyik legnagyobb kiberbiztonsági kihívás Európában. A jelentés rámutat, hogy a bűnözők a sötét web fórumait és piactereit használják különféle illegális szolgáltatások, például zsarolóvírusok, adathalászat és szolgáltatás-megtagadási támadások adásvételére.
A zsarolóvírus-szolgáltatásnál egy kiberbűnöző rosszindulatú kódot hoz létre, amely titkosítja a felhasználó számítógépén található fájlokat. A bűnöző modell az, hogy a támadó és a zsarolóvírus készítői pénzt kérnek a feloldásáért, ha kapnak, a befolyt összegen osztozkodnak. Fizessünk-e ilyenkor, vagy sem? Klasszikus játékelméleti kérdés. Mikroszinten az értékes adatok, fotók, bizalmas információk megmentése megérheti a pénzt, de makroszinten, ha fizetünk, erősítjük az „üzlet” terjedését.
A szakemberek szerint természetesen nem érdemes fizetni, mert csak pozitív visszacsatolást adunk a maffiának. Szerintük ha már pénzt költünk, azt költsük inkább egy IT-biztonsági cégre, amely talán megmentheti az adatainkat.
A dark weben kapható komplett csomag az adathalászathoz is. A népszerű webes üzletek, a neves bankok elrendezését utánzó oldalaktól kezdve az adathalászat alkalmazásának teljes kézikönyveiig a kiberbűnözés mindent kínál, amire egy laikus gazembernek szüksége van az internetfelhasználók megtévesztéséhez.
Javulnak az esélyek, de nőnek a számok
Bár olykor kedvező trendekről is hallani, még mindig nőnek a bűnelkövetési számok. 2025-ben az Egyesült Államokban az igazolt, bejelentett csalási veszteség 21 milliárd dollárra nőtt, ami 26 százalékos növekedés az előző évhez képest. Tavaly fordult elő először, hogy elérte az egymilliót a bejelentett visszaélések száma. A legtöbb pénzügyi veszteség az adathalászatból ered, ez 208 százalékkal nőtt egyetlen év alatt, ami bevételkiesést, reputációs válságot és regulációs bírságot is jelenthet a megtámadott cégnek. Vagyis nem az a kérdés, hogy megtörténik-e a támadás, hanem az, hogy mikor, és hogy elég felkészültek vagyunk-e.
A számok amúgy mindig kétségesek: a csalások egy részéből rendőrségi feljelentés lesz, valamivel nagyobb részükből banki bejelentés. Az összes sikeres csalás száma természetesen ezeknél magasabb, hiszen mindig lesznek olyan csalások, amikből nem lesz feljelentés vagy bejelentés, az ember elkönyveli a veszteséget, kártyát zárol, bankot vált, hasonlók.
A Cyber Island szerint tíz magyarból csak három tartja felkészültnek magát a digitális visszaélések kivédésére. A magyar válaszadók 78 százaléka szerint a bankok felelőssége, hogy megvédjék a felhasználókat a kibercsalásoktól, de csak 60 százalék látja őket ebben hatékonynak.
A pénzintézeteket az állami intézmények (73 százalék), a közműszolgáltatók (71 százalék), az online piacterek (69 százalék) és a telekommunikációs cégek (68 százalék) követik a szubjektív felelősségi rangsorban a válaszadók szerint. A vállalatok 85 százalékát érte már incidens, 43 százalékuknál ez visszatérő. A leginkább érintett iparágak a pénzügy, a telekommunikáció, az online kereskedelem. De a Cyber Island friss felmérése kimutatta: ahol rendszeres, cselekvésre ösztönző kommunikáció zajlik, ott jelentősen magasabb tudásszint és jobb felhasználói teljesítmény figyelhető meg – mondta Csertán Ákos, a Cyber Islands alapítója a szervezet júniusi eseményén.
Van egy szakadék a tudás és a cselekvés között is: vannak, akik rendelkeznek azzal a tudással, amellyel biztonságosan közlekedhetnek a kibertérben, de a gyakorlatban mégsem ismerik fel a csaló üzeneteket. Az ezer fős kutatás azt mutatta ki Magyarországon, hogy az újabb típusú fenyegetések felismerési aránya 37 százalék, a hamis weboldalak felismerése 24 százalék, vagyis alacsonyabb, mintha érmefeldobásra bízták volna a döntést.
Az előadást követő panelbeszélgetésben sok szó esett arról, hogy mit lehetne tenni az ügyfelek fokozott védelméért. Borókai Bence, az OTP Bank csoportszintű kiberbiztonsági vezetője szerint az OTP Bank az elmúlt években jelentősen csökkentette a megvalósult pénzforgalmi visszaélések számát. „A védelmi intézkedéseket a rendőrséggel és a fizetéstechnológiai cégekkel szoros együttműködésben dolgozzuk ki” – mondta.
Ez a szolgáltatói oldal, azt ugyanakkor mindenki elmondta, hogy az ügyféloldal is fontos, az edukáció szinte lehetetlen, de legalábbis soha véget nem érő feladat. Bíró Gabriella kiberbiztonsági szakértő szerint sokan tehetnének érte: „Ahhoz, hogy egy megfelelő biztonsági szintet elérjünk, minden demográfiai csoportnak kellene üzeneteket küldeni minden lehetséges fórumon, papíron, plakáton is, nem csak a digitális csatornákon.”
Krasznay Csaba, a Cyber Islands egyik alapítója, egyetemi tanár arról beszélt, hogy egy munkahelyváltás alkalmával ő maga is volt olyan pszichológiai helyzetben, amikor kapott egy az élethelyzetébe beleillő „adatfrissítési” kérést, és majdnem bedőlt a csalóknak. Mindez arra is jó példa, hogy nemcsak olyan áldozatok vannak, akik úgy válnak az unokázós csalás áldozatává, hogy nincs is unokájuk (valós példa), vagy úgy lesznek befektetési csalás áldozatai, hogy a bankár háromszor szeretné megakadályozni a csaló kriptós cég üzenetének megfelelő utalást („Még ezer dollárt utaljon át, és megkaphatja a megtakarítása mesés hozamát!”), de az áldozat harmadszorra is követeli az utalás elindítását. Az egyre felkészültebb csalók és a mesterséges intelligencia által generált, fókuszált, élethelyzethez passzoló üzenetek fokozott veszélyt jelentenek.
Hinkel Attila, az Alverad kiberbiztonsági cég ügyvezető igazgatója úgy véli, a szakma célja az összefogás és a prevenció, nem a rengeteg kár. Lehet, hogy az üveges annak örül, ha sok az üvegtörés a faluban, de jó lenne, ha a kiberbiztonsági cégekre elsősorban a támadások megelőzésében számítanánk, nem csak a tűzoltásban.
Pozitív változás azonban mindenképpen van: lehet, hogy a magyarok azt érzik, felkészületlenek a kiberbiztonsági ügyekben, de ma már nagyon széles körben ismert a fogalom és a veszély, a védekezés rengeteg helyen téma.
A szabályozás itthon is abba az irányba megy el, hogy ne mindig az áldozat legyen a hibás. Ezt szolgálja a központi visszaélésszűrő rendszer (KVR), de Európában egyre több olyan bírósági döntés is születik, ami az ügyfél számára kedvezőbben határozza meg, hogy mi számít súlyosan gondatlan ügyfélmagatartásnak.