Az interneten terjedő adathalász és zsarolólevelek között gyakran egészen kreatívak is felbukkannak. A véleményem szerint ezek közé tartoznak a sextortion e-mail-ek. Általában engem elkerülnek a hasonló „megkeresések”, de most én is kaptam egyet.
Arra gondoltam, hogy bár általánosságban rengeteg figyelemfelkeltő cikk született már – főleg angol nyelven – a témában, de a probléma technikai részletei mögé ritkán kaphat az érdeklődő betekintést. Most erre tennék egy kísérletet, főleg, hogy a jelenség magyar felhasználókat is érinthet.
Sextortion
A leírás gyakorlati jellegű lesz, kezdjük először magával az e-mail-el. A levél a SPAM mappámban landolt, és azért figyeltem fel rá, mert a tárgy mezőben egyetlen, speciális karakterláncot tartalmazott, amit egyes weboldalakon, korábban, jelszóként használtam.
A zsarolás lényege, a levél szövege alapján, hogy a rendkívül felkészült kiberbűnöző feltörte a számítógépes rendszereimet és videofelvételt készített rólam, miközben pornófilmeket nézegettem. Megvan a pornográf film (még meg is dicséri az ízlésemet), a számítástechnikai eszközöm kamerája segítségével a rólam készült videó, és a Facebook/Messenger kontaktlistám.
A többit gondolom nem kell magyaráznom. A rámenősebb verziók olyan filmekre utalnak, amelyek birtoklása eleve törvénybe ütközik, vagy részletesebben kifejtik, hogy milyen videóval rendelkeznek a megzsarolt személy tevékenységéről. Amit én kaptam, az meglehetősen konzervatív hangvételű ezekhez a lehetőségekhez képest.
Szerencsére van megoldás: a zsaroló szerint, ha fizetek 1092 dollárnyi Bitcoint, akkor hajlandó a felvételt törölni, és mindenki mehet a másik irányba. Itt jegyzem meg, hogy az iparági leírások szerint, átlagosan, 1500-4000 dollárral szoktak zsarolni, tehát vagy a gazdasági válság miatt lett ez most kevesebb, vagy a rólam készült (valójában persze nem létező) felvétel nem túl izgalmas.
Jószívű zsarolóval van dolgunk, hiszen segítséget is kap a megzsarolt fél a Bitcoin vásárláshoz, ha elégtelen informatikai ismeretekkel rendelkezne. Mielőtt bárki megörülne, vagy megijedne, a videó természetesen nem létezik, a levél rengeteg variánsa kering már az interneten, ezeket nevezik összefoglaló néven sextortion, vagyis szexuális tevékenység rögzítésével kapcsolatos zsaroló leveleknek.
Jelszó
A leírások általában azzal zárják a cikkeket, hogy a zsarolásnak nem szabad felülni, ahogy említettem videó nem létezik (nyilván a helyzet sem), amit az érintett megtehet, az az, hogy törli az email-t, vagy SPAM-nek jelöli. Az érdeklődők viszont feltehetik a kérdést, hogy rendben, megértettem, hogy nincs baj, átverés, de a zsaroló honnan tudta a jelszavamat?
A jelszó megszerzése már valóban problémás, és sajnos gyakorlatilag bárkivel előfordulhat, hogy a jelszava illetéktelen kezekbe kerül. A továbbiakban tehát azt fogom megmutatni, hogy mindez miért van így, és mire kell felkészülni. Első körben érdemes az email címünket megvizsgálni, például a haveibeenpwned.com weboldalon keresztül.
A konkrét email címem kapcsán, amelyre a zsaroló levelet kaptam, már régóta tudom, hogy valamilyen adatbázisból kikerült egy jelszó, az email címhez párosítva. Így nem kellett meglepődnöm, hogy valaki, például a darkweben megvásárolta azt az adatbázist, amely az email címemhez rendelt egyik jelszót is tartalmazta,
Mit kell tenni, ha felmerül, akár a haveibeenpwned.com weboldal segítségével, hogy megszerezték a jelszavát? Mindenekelőtt módosítani kell, lehetőleg kellően bonyolult jelszóra. És így kell tenni minden olyan weboldalon, amelynél a konkrét email cím használva volt (mivel azt nem árulja el a weboldal, hogy milyen jelszó került nyilvánosságra).
Az informatikában jártas olvasókban felmerülhet az a kérdés is, hogy ha a felhasználók jelszavait titkosítva tárolják az informatikai rendszerek, akkor hogyan lehetséges, hogy egy titkosítatlan jelszó került a zsaroló levél tárgy mezőjébe?
Titkosítás
Kezdjük talán azzal, hogy az online kereskedelem és szolgáltatások egyik alapja az ügyfelek adatainak tárolása, amely praktikusan felhasználói profilok segítségével történik. Ebben a szegmensben rengeteg felkészült szolgáltató van, akiknek az informatikai rendszereiben biztonságban tudhatjuk az adatainkat.
A kiberbűnözők célpontjába ezek a cégek is bekerülnek, de a kemény célpontok mellett, illetve még inkább helyett, könnyű dolguk van a sarki virágkötő weboldalával, ahova a Jolán unokája készített egy webalkalmazást (állítólag egy csokor tulipánért), és ahova most be kell regisztrálni időpontot foglalni, hogy a COVID19 vírusriadó alatt ne kelljen sorban állni.
A SarkiViragkotoWebshop webáruházból, a regisztráció után kiküldött megerősítő levélben a felhasználót tájékoztatják, hogy nagyon örülnek a regisztrációnak, tájékoztatják a GDPR és Cookie szabályokról, a felhasználónevéről és a jelszaváról. A fenti webáruház és cselekménysor persze kitalált, de hol a probléma?
Az, hogy ha egy megerősítő levélben megkapjuk a valódi jelszavunkat, akkor az szinte biztos, hogy az adatbázisban sincs lekódolva, vagyis, ha a kiberbűnözőknek sikerül feltörniük a SarkiViragkotoWebshop adatbázisát, akkor megismerik az email-cím/jelszó adatainkat. Innentől kezdve pedig védtelenek vagyunk. Mit kell tennünk?
Bízhatunk Jolán unokájának informatikai képességeiben, de jobban tesszük, ha azonnal jelezzük a problémát (email-ben kiküldött jelszó) a webshopnak, töröljük a regisztrációnkat, és ha máshol is használjuk a jelszót, akkor ott is módosítjuk azt. De az sem mindegy, hogy mire.
Gyenge jelszó
A csapból is az folyik, hogy gyenge jelszót nem szabad használni az informatikai rendszerekben, de az általában már nem kerül bemutatásra, hogy mi a gond ezekkel a jelszavakkal, főleg, ha jó esetben – és többségében – valóban titkosítva vannak tárolva.
Miért baj az, ha a jelszó például az informatika világában oly kedvelt „asdf”, ha az le van titkosítva? Ennyire egyszerű lenne feltörni? Az alábbi képen az „asdf” jelszó szerepel, (példaként) MD5 hash karakterláncként, egy általam használt adatbázisban.
Jól látható, hogy az adatbázisban már nem az „asdf” szó szerepel a jelszónál. Éppen ezért levelet sem tud az üzemeltető kiküldeni, hogy ez, és ez a felhasználó jelszava, hiszen ezt ő sem tudja visszafejteni. Éppen ezért nincs olyan opció az informatikai rendszerekben, hogy elfelejtett jelszónál a jelszót küldje ki a rendszer, hanem azt – megfelelő beazonosítás után – csak módosítani lehet.
Akkor tehát nem lehet baj? De igen, mert az MD5 hash (egy speciális, hasított karakterlánc, érték) képző eljárás (és minden más, hasonló elven működő megoldás) ugyanazon szó esetében mindig ugyanazt a karakterláncot fogja legenerálni. 100-ból 100 alkalommal.
Vagyis a potenciális jelszavak hash értékeiből adatbázist lehet építeni, ahova beírva a kódolt karakterláncot meg lehet kapni a valódi jelszót (ha valaki már használta, és az adatbázis részévé vált, vagy szándékosan erre célra létrehozott algoritmusok gyártják és hash-elik a potenciális jelszavakat).
A fenti képen, egy „tipikus” hash adatbázis látható, ahol visszafejtésre került a jelszavunk, annak ellenére, hogy eredetileg MD5 hash-ként volt az adatbázisban eltárolva. Éppen ezért kerülni kell azoknak a népszerű jelszavaknak a használatát, amelynek hash értéke jól ismert lehet, mert sokan használják (starwars, 123456, asdf, admin, password).
Mi fog történni?
Ha egy email és jelszó páros megismerésre kerül, akkor praktikusan meg fognak próbálni a jelszóval az email címbe bejelentkezni, és a levelezésből kideríteni, hogy milyen online szolgáltatásokat veszünk igénybe. A népszerű webáruházakban (EBay, Amazon), banki rendszerekben, a népszerű online fizetési módok használatával könnyedén forintosítható kárt okozhatnak nekünk.
Ha az email szolgáltatásba nem tudnak belépni, az azonosító párost felhasználhatják ugyanezekbe a szolgáltatásokba való közvetlen belépéshez, illetve a népszerű tartalommegosztó oldalakhoz, amelyeknél a valódi profilok, önmagukban is értéknek számítanak.
Például hamis Viagrát reklámozhatunk a Messengeren keresztül az ismerőseinknek, „vírust” terjeszthetünk, és hasonlóan meglepő aktivitást mutathatunk külföldi választásokról szóló híreket ismeretlen nyelveken kommentelve.
Ennek persze előfeltétele, hogy mindenütt ugyanazt a jelszót használjuk, amely ténylegesen is megismerhető vált a kiberbűnözők számára. Végezetül, ha semmilyen egyéb értékkel nem bír az azonosító párosunk, akkor egy jó kis zsaroló kampányhoz még elegendő lehet, így kaptam én is ezt a levelet.
Mik a teendők?
A rövid válasz persze most is a megfelelően bonyolult jelszavak következetes használata. Összességében pedig bízni kell az informatikai rendszerek biztonságában, de fel kell készülni és stratégiát kell alkotni az esetleges problémák megelőzése, és ha bekövetkezik, akkor kezelése érdekében is.
Valójában ezért ez a probléma egy sokkal komplexebb, és egyedibb személetet kíván a véleményem szerint, hiszen a kompromisszummentes információbiztonság sokak számára nem elérhető és nem is biztos, hogy minden területen szükség van rá. De ez már egy másik, hasonlóan hosszasan kifejthető témakör lenne.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: