Szivárgó adataink
Az internet sötét oldalaÉvente 500 millió felhasználó adatait lopják el, 10 másodpercenként próbálnak hozzáférni egy otthoni géphez, naponta 140 sikeres hekkertámadás zajlik le. Geolokációs, beazonosításra alkalmas és fizetéshez kapcsolódó adatok, fényképes információk érhetőek el rólunk az interneten. Nem vagyunk elég óvatosak, és ezt az Új Nemzedék Központ újra és újra be is bizonyítja különböző kísérletekkel, ezúttal a Nemzeti Bűnmegelőzési Tanáccsal összefogva, hogy felkeltse a közvélemény figyelmét.
Fotó: shutterstock.com, illusztráció
Legutóbb egy fiktív nyereményjátékon keresztül világítottak rá, hogy az emberek milyen könnyen megadják a személyes adataikat, sőt a jelszavaikat is: egy budapesti moziban toborozták a látogatókat egy mesés utazással kecsegtető játékba, amihez csak egy jelentkezési lapot kell kitölteni. Ezután a fiktív cég irodájába hívták a résztvevőket, akik meglepődve tapasztalták, hogy számukra idegen emberek vannak tisztában a magánéletük részleteivel: hova járnak sportolni, mit és mennyiért árulnak az interneten, kik a családtagjaik, azok hol dolgoznak és hova járnak iskolába, hogyan néznek ki stb. Az Új Nemzedék Központ Digitális Immunerősítő Programja és a Nemzeti Bűnmegelőzési Tanács közös projektjében a jelentkezők 87 százaléka megadott minden adatot, amit kértek, 250 emberből tízen az érvényes jelszavukat is, vagyis teljes hozzáférést az e-mail-fiókjuk tartalmához, jó páran pedig korábban lejárt jelszót bocsátottak rendelkezésre, ami azt jelenti, hogy valószínűleg más felületekre, Facebook- vagy Instagram-fiókra tudott volna belépni vele az, aki a birtokában van, hiszen a legtöbb ember két-három jelszót használ váltogatva.
– 207 ember beikszelte, hogy olvasta és elfogadja a játékszabályzatot, ami egyébként nem is létezett, ha ugyanis rákattintottak volna, a 404-es hibaüzenet jött volna ki. Szinte soha nem figyel arra az átlagember, milyen általános szerződési feltételeket fogad el például egy internetes vásárlás során – mondja Poór Csaba, az Új Nemzedék Központ munkatársa, a Digitális Immunerősítő Program (DIP) vezetője. – A projekt keretében végül egy álrendőrt is bevetettünk, hogy megmutassuk, milyen visszaéléseket lehet elkövetni ennyi adattal: céget, bankszámlát létrehozni, bűncselekményeket elkövetni az illető nevében, amelyekért ő fog felelni.
Érdemes elolvasni a DIP honlapján egy 116 pontból álló listát, amelyben tanácsokat adnak a biztonságos adatkezeléshez, a webshopokban való vásárláshoz, a közösségi média használatához, vagy ahhoz, milyen technikai megoldásokkal lehet megvédeni az otthoni számítógépeket és hálózatot a vírusoktól. A programon száz szakember dolgozott, pszichológusok, szociológusok, kiberbiztonsági szakértők és nyomozók, tanácsadó cégek és etikus hekkerek.
Gondolkodás nélkül
– Mi magunk is meglepődtünk, bár sejtettük, milyen eredmények fognak születni – mondja dr. Molnár István Jenő rendőr alezredes, a Nemzeti Bűnmegelőzési Tanács főosztályvezető-helyettese. – Megdöbbentő, hogy többen megadták a jelszavukat is, pedig nem volt értelme jelszót kérni, hiszen nem jött létre fiók, ez csak egy jelentkezési lap volt. Az embereknek egy ilyen kérdésre gyanakodniuk kellett volna, hogy az egész egy átverés. De a helyzet az, hogy sokszor offline térben sem vagyunk elővigyázatosak, nemhogy online, ahol nincs közvetlen kapcsolat az elkövető és az áldozat között, nincs olyan személyes kommunikáció, ami beindíthatná az emberben az egészséges gyanakvást.
A szakértő szerint az internet egy olyan új tere az életünknek, ahol még nem alakultak ki az ösztönszerű önvédelmi mechanizmusok. Az offline térben is csak idővel vált általánossá, hogy bezárjuk az ajtót, ha nem vagyunk otthon, hogy tömegben vigyázunk a táskánkra. Az online tér használatát még csak most tanuljuk. Óriási probléma, hogy a szülők a tapasztalatok hiányában kevés jó tanáccsal tudják ellátni a fiatalokat, sokszor csak a tiltásig jutnak, ami kontraproduktív. A világ olyannyira gyorsan változik, hogy például öt éve, a 2013-ban született Nemzeti Bűnmegelőzési Stratégiában még nem szerepelt online térben elkövetett bűnesetek megelőzésével kapcsolatos teendő. Ma pedig már külön stratégia is létezik. Az internet világában minket érhető károk közül a legenyhébb, ha csak kéretlen reklámanyagokat kapunk az e-mail-címünkre, az már súlyosabb és az egyik leggyakoribb online csalás, ha megrendelünk valamit, és nem érkezik meg. Érdemes sokak által használt felületeken rendelni, ahol a felhasználók visszajelezhetnek a termékek minőségéről, így azokat el tudjuk olvasni. Továbbá ajánlott PayPal-számlát nyitni, tehát nem közvetlenül a lakossági folyószámláról utalni.
Az adatok kicsalása részben hasonló pszichológia mentén történik, mint offline: ha nyerhetünk, ha olcsóbban vagy ingyen megszerezhetünk valamit, lankad a figyelmünk, és óvatlanabbak vagyunk.
– Van példa olyan csalásra is, amikor külföldi munkavállalással kecsegtetik az embereket, de cserébe regisztrációs díjat kérnek, illetve adatokat – mondja Molnár István Jenő. – Egy korábbi, EUMELO elnevezésű kampányunkat erre építettük, első nap bedőlt a szerver, annyian jelentkeztek. Akkor például arra lehetett volna gyanakodni, hogy irreálisan magas fizetéseket ígértünk, miközben nem volt szükség nyelvvizsgára, szakképzettségre, a honlap szövege pedig rosszul volt megfogalmazva, hiányoztak az ékezetek, helytelen volt a szórend, mintha annak írója nem tudna magyarul. Egy ilyen beetetés a szervezett bűnözés előszobája is lehet.
Elveszett adatok
Másrészt gyakori a megtévesztés, hogy az ember kap egy levelet például a banki szolgáltatójának vélt központtól, hogy lépjen a megadott felületre, mert meg kell változtatnia a jelszavát. Ám a link egy álhonlapra vezet, ami a megtévesztésig hasonlít az eredetire, az áldozat pedig itt kiszolgáltatja a jelszavát. Ez ellen csak azt tehetjük, hogy mindig megnézzük az IP-címet, ha az például indiai vagy furcsa végződésű, ha vannak benne különleges karakterek, gyanakodjunk. Nemrég a NAV nevével éltek vissza, olyan leveleket küldve, amelyekben egy linkre kattintva adószámot és bankkártyaszámot kellett megadni.
– Ha szokatlan kérés vagy befizetnivaló érkezik, könnyen ellenőrizhetjük a valóságtartalmát az adott szolgáltatónál, de az intézmények is gyakran figyelmeztetnek egy-egy ilyen támadás, vírus esetén, érdemes ezeket az információkat követni – mondja Molnár István Jenő.
Sokszor előfordult már az is, hogy e-mailben érkezik egy vírus, amely a számítógépet zárolja, majd érkezik egy újabb levél arról, hová küldjünk pénzt, ha szeretnénk visszakapni a számunka értékes fotóinkat, dokumentumainkat. Ráadásul, aki egyszer fizetett, felkerül egy listára, és valószínűleg újra meg fogják támadni, vagyis érdemes a gépünkről napi szinten menteni az adatainkat valamilyen felhőszolgáltatásba.
A 21 éves FollowAnna, azaz König Anna a hazai vlogger- és Instagram-világ egyik legismertebb alakja, akinek videóit és fotóit százezrek nézik. A közelmúltig körülbelül 200 ezren követték az Instagramon, de feltörték a profilját, és tönkretették az addigi munkásságát: egy új profillal újra elkezdte gyűjteni a követőket, most 27 ezernél jár. Egy-egy Instagram- vagy Facebook-fióknak anyagiakban is kifejezhető értéke van a tulajdonosa számára, ha vállalkozása kapcsolódik hozzá.
Sokszor vagyunk óvatlanok: ne használjunk ingyenes wifihálózaton keresztül olyan weboldalakat, ahová jelszóval kell belépni, ugyanis a hálózat tulajdonosa is látja a jelszót. Ezenkívül a telefonunk évekig tárolja azokat az információkat, hogy mikor milyen wifi-hálózatokra csatlakoztunk fel. Ha ezeket egy hekker megszerzi, az életünk egy jó részét rekonstruálhatja.
– Az is probléma, hogy elég nagy a látencia. Például egy öt-tízezer forintos veszteség esetén az áldozat nem veszi a fáradságot, hogy feljelentést tegyen, pedig ezekben a bűncselekményekben mindig van valami sorozatjelleg, vagyis az illető információi megkönnyítik a hatóságok munkáját. Ezért fontos, hogy az áldozatok minden esetben felvegyék a kapcsolatot a hatóságokkal. Zsarolásra is van példa, kompromittáló fotók vagy információk kapcsán, ezek szintén rejtve maradhatnak a hatóságok elől. Sokan az átverést sem jelentik azért, mert szégyellik magukat – mondja Molnár István Jenő.
A szakértő szerint nagyon fontos beszélgetni a gyerekekkel az internet világáról, mert ők ugyan könnyebben boldogulnak a digitális világban technikai szempontból, de egyéb ismereteik hiányosak. Tiltani nincs értelme például a közösségi oldalak használatát, ezért fontosabb inkább a döntéshez szükséges információkat átadni. Ezenkívül a gyerekek sokszor nincsenek tisztában azzal, mi az, ami már a legalitás határa, akár áldozatként, akár potenciális elkövetőként találkoznak valamivel. Erről is érdemes beszélni: például gyakran kiadják egymásnak a jelszavaikat, pedig egy internetes fiókba jogosulatlanul belépni bűncselekménynek számít.
Tudom, ki vagy
– Nem tekintjük értéknek a személyes adatainkat. Sokan kis pontnak gondolják magukat, nem értik, miért pont az ő életük lenne a fontos a hekkereknek – mondja Poór Csaba. – Pedig a sok kicsiből jön össze valami nagy. A dark neten banszámlaszámokat árulnak, e-mail-címeket és jelszavakat, ahonnan aztán további adatokat, fotókat lehet eltulajdonítani. Mindenki küldött már beszkennelt tb-kárnyát, személyi igazolványt, bankszámlaszámot e-mailben, ezért baj, ha feltörik a fiókot. Bizonyos adatok birtokában az áldozat nevében aztán lakásokat adhatnak ki, és kérhetnek kauciót, árusíthatják az autóját előleget kérve stb. Küldhetnek az összes barátjának, családtagjának egy e-mailt, hogy bajba került, segítsenek, pénzre van szüksége.
Annak, amit mi internetnek hívunk, csak a négy százalékát érjük el a klasszikus böngészőkkel, a dark neten pedig 50-70 ezer identitást árulnak fényképekkel és a személyes adatokkal. Nagyon óvatlanok vagyunk a közösségi médiában is: volt példa olyan rablásra, amikor az elkövetők a Facebookról szerezték be az információkat, miután az áldozat megosztott fényképeket a házáról, illetve azt is nyilvánvalóvá tette, hogy éppen nyaral. De az is előfordulhat, hogy a fotóinkat felhasználják, például hirdetésekben.
– Egy magyar átlagember 106 giga adatot fogyaszt egy hónapban, és 15 giga személyes adatot tölt fel magáról: geolokációs adatokat, fényképeken látható vagy fizetéshez kapcsolódó információkat – mondja Poór Csaba. – Még nem is feltétlenül látjuk, hová vezet ez, milyen értéket jelenthet a jövőben. Például Michal Kosinski pszichiáter bizonyította: már száz like-ból lehet alkotni egy pszichológiai profilképet egy felhasználóról, háromszáz like-ból pedig a jövőbeli viselkedésre is lehet következtetni.
Egyik kutatása szerint a Facebook-felhasználók lájkolásait és profilját vizsgálva meghatározható valaki intelligenciaszintje, a szexuális beállítottsága, a főbb személyiségjegyei, a politikai nézetei, a vallási hovatartozása. A kutatók 88 százalékos pontossággal azonosították be a homoszexuálisokat a résztvevők között úgy, hogy azoknak csupán öt százaléka lájkolt erre egyértelműen utaló oldalakat. A különféle drogok fogyasztását 75 százalékos pontossággal tudták meghatározni az ártatlannak tűnő adatokból.