A cikk megjelenésének szakmai támogatója a CyberCamp, 
Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyen az adathalászat elleni védekezés alapjai is megtanulhatók.
www.cybercamp.hu

Az adathalászat és az emberi tényező

Az adathalászattal már régóta együtt élünk. Emlékszem az első ilyen típusú támadásra.  Az e-mail, amit a csalók küldtek nagyon magyartalan és érthetetlen volt. Természetesen a levélben volt egy link, ami egy adathalász oldalra vitt. A szövegezése inkább vicces volt, mint fenyegető, nem is lehetett igazán komolyan venni. A levélnek a tárgy részét és a benne lévő tartalmat Google fordítóval fordították le.

Azóta sok minden változott az adathalászat során, de egy dolog továbbra is megmaradt, még pedig az, hogy a csalók az emberek hiszékenységét, jóindulatát használják ki arra, hogy kicsalják a pénzüket. Hiszen ha belegondolunk, akkor csak is mi vagyunk azok, akik ráklikkelünk egy linkre, megadjuk az adatainkat, vagy engedjük hogy feltelepítsenek valamilyen programot az eszközünkre, stb. Azért, mert elhisszük azt, amit olvasunk vagy hallunk, azon egyszerű ok miatt, mert figyelmetlenek vagyunk.

Ekkor jött be a számlás csalások kora, ami még mindig tart.

Az okok pedig egyszerűek:

• egy sikeres tranzakcióval jóval több pénz elvihető a számláról, mint egy bankkártyás tranzakcióval
• nem terméket visznek el, hanem pénzt
• sok esetben magasabb limitek vannak a számlán, mint egy bankkártyán így nagyobb a nyeresége a csalóknak
• az elektronikus csatornák megszerzésével az ügyfél teljes számlája felett átveszik a hatalmat (betétek, befektetések, látra szóló egyenleg)
• az érintett ügyfelek kevésbé ismerték az ilyen elkövetési módot

Így ezek miatt a csalók most már kifejezetten, céltudatosan azokat az adatokat szeretnék megszerezni, amivel be tudnak lépni az internetbankba, a mobilapplikációba, hogy a számláinkon lévő pénzt elutalják.

A csalástípusok után összeszedtük azokat az eseteket, amelyek alapján felismerhető az adathalászati támadás.

Gyanús feladó: A küldő neve kis mértékben eltér a valós feladó nevétől. A küldő pontos azonosításához be kell menni a levelező programba.

Eltérések a megszokott formai jegyekben: nem a megszokott formátumú a levél tartalma (megszólítás, szöveg, aláírás)

Nyelvtani vagy nyelvhelyességi problémák: magyartalan a levél (Google fordító), ami nyelvtani hibákat tartalmaz.

Azonnali reakciók: Azonnali döntésre kényszerítés, valamilyen váratlan nagy veszély, vagy  valamilyen jó lehetőségről való lemaradás miatt.

Bizalmas információk kérése: érzékeny adatokat kérnek az üzenetben, hívásban, amelyek megadásához ügyfélazonosítás szükséges. Pl: telefonos azonosító kód

Hogyan védekezhetünk az adathalász támadások ellen?

• Ne add meg a bankkártyád adatait, internetbank, mobilapplikációd jelszavát, azonosítóját vagy egyszer használatos SMS-ben kapott kódját! A bank ugyanis sosem kéri el ezeket az információkat, ha ilyet kérnek tőled, biztos lehetsz benne, hogy csalóval van dolgod.
• Ne kattints e-mailen, sms-ben vagy egyéb üzenetben érkező linkekre, mert azok szinte biztos, hogy hamis, az eredetire megtévesztésig hasonló weboldalra irányítanak át és az ott megadott adatokkal már az elkövetők szabadon rendelkeznek a számládon.
• Amennyiben fel akarjuk keresni bankunk vagy szolgáltatóink honlapját, mert átutalást akarunk végrehajtani, online vásárolni, akkor ne az internetes keresőbe gépeljük be a bankunk honlapját, hanem közvetlenül a menüsorba.
• Minden esetben legyél óvatos, tegyél fel kérdéseket, ha nem a megszokott módon folyik a telefonbeszélgetés vagy elbizonytalanodsz hívás közben.
• Amennyiben ismeretlen eredetű alkalmazás letöltését kérik – bármilyen okból -, akkor szakítsd meg a hívást.
• A bankok nem kérik az internet vagy mobilapplikációhoz szükséges belépési kódokat, jelszavakat vagy a kártyaadatokat (PIN, CVC). Ha ilyet kérnek, azonnal meg kell szakítani a hívást.
• Ne utalj pénzt telefonon érkező kérésre! A bankok sosem kérnek ilyet.
• Gyanús megkeresés esetén szakítsd meg a telefonhívást, majd hívd a bank ismert, a saját weboldalán publikált ügyfélszolgálati telefonszámát a hívás valódiságának ellenőrzéséhez.
• Ne használd a visszaellenőrzéshez azt a telefonszámot, amit megkaptál a hívó féltől! A szám hamis lehet, vagy kifejezetten erre a célra hozták létre.
• Mobilapplikációi alkalmazásban az ismeretlen kártyás vásárlásokat vagy átutalásokat, csak abban az esetben hagyd jóvá amennyiben azt te hajtottad végre.
• Legyen beállítva mobilbank (sms szolgáltatás) szolgáltatás a számlás és a kártyás tranzakciókra, hogy időben észleld a jogosulatlan tranzakciókat.

Iratkozzon fel hírlevelünkre!

A cikk megjelenésének szakmai támogatója a CyberCamp, 
Magyarország első széles körben elérhető junior kiberbiztonsági szakember képzése, amelyben az etikus hackelés alapjai is megtanulhatók.
www.cybercamp.hu

Mi az a ChatGPT és mit csinál?

A ChatGPT szemléletesen megfogalmazva egy beszélgető robot vagy beszélgető automata. Nevezik botnak, chatbotnak vagy MI-nek, esetleg AI-nek.  A ChatGPT-vel jelenleg csak írott formában, egy weboldalon keresztül lehet kommunikálni, habár a beszédfelismerés és a beszédszintézis már elég fejlett lenne ahhoz, hogy akár élő szóban is lehessen vele beszélgetni. A ChatGPT és a többi hasonló chat bot nem gondolkodnak, nincsenek érzelmeik, csupán választ generálnak a feltett kérdésekre. A beszélgetések során figyelembe tudják venni az előzményeket, így képesek kontextus-függő választ adni, illetve finomítani vagy korrigálni az adott választ, ha azzal az ember nem elégedett.

Kicsit pontosabban meghatározva, a ChatGPT az OpenAI da-vinci-3 nyelvi modelljére épülő, weben keresztül publikusan elérhető chat alkalmazás. Az OpenAI-nak többféle nyelvi modellje létezik, amelyek más-más területen bizonyulnak alkalmasnak. Az egyes nyelvi modelleket ki lehet próbálni a Playground – OpenAI API oldalán.

A ChatGPT-nek és az egyéb hasonló nyelvi modelleknek kérdéseket lehet feltenni, párbeszédet lehet velük folytatni. A modell nem előre megírt válaszokat tartalmaz, hanem a modellben lévő, a tréningezéskor beletöltött adatok, szabályok és a beszélgetés kontextusa alapján generál válaszokat. Hogy mennyire legyen variabilis, vagy éppen determinisztikus az adott modell, az egy 0 és 1 között állítható paraméter. Az OpenAI ezt temperature-nek nevezi, 0 esetén a modell determinisztikus, tehát ugyanarra a kérdésre mindig azonosak lesznek a válaszok; 1 esetén a rendszer sztochasztikussá válik, az adott válaszokban nagy lesz a variabilitás. A ChatGPT esetében ez a temperature 0,7 körül lehet, tehát kicsi az esélye annak, hogy egy komplexebb kérdésre kétszer teljesen megegyező választ adjon.

A nyelvi modell másik tulajdonsága, hogy képes tanulni a válaszaira adott reakciókból is, de azt biztonsági okokból a nagyközönség felé nyilvános modellen már elég erősen limitálják. Miért? Emlékezzünk például a 2016-os esetre, amikor a Microsoftnak le kellett kapcsolnia a chatbot-ját, mert a kommentelők rövid idő alatt rasszistává változtatták azt.

A ChatGPT felhasználása és veszélyei

A ChatGPT hatalmas mennyiségű adattal, információval rendelkezik. Nagyságrendekkel többel, mint amennyit egy átlagos ember képes lenne megjegyezni vagy akár egész életében csak elolvasni. És ezt az információt fel is tudja használni. Tud benne keresni és tud új információt szintetizálni. Képes a birtokában lévő adatok segítségével olyan problémákat is megoldani, amelyekkel nem találkozott, amelyekre nem készíttették fel.

Mennyi a ChatGPT intelligenciahányadosa?

Erre a kérdésre nehéz válaszolni, mert ehhez az intelligencia fogalmát kellene a chatbotra is alkalmazhatóan meghatározni. Ami viszont biztos, hogy az intelligencia tesztekben használt szöveges feladatokat pillanatok alatt és helyesen képes megoldani.

A ChatGPT veszélyei?

A ChatGPT egy nagy potenciállal bíró hasznos eszköz lehet a mindennapi életben, megkönnyítheti például az informatikusok munkáját és rövid időn belül például akár az ügyfélszolgálatok munkájának nagyrészét is elvégezheti. De kutatók is eredményesen használhatják a napi feladatiak során. Azonban ennek a technikának is lehetnek árnyoldalai. Vegyük sorba, hogy az egyes felhasználási esetekben milyen veszélyt jelenthet a ChatGPT.

Tévedni emberi dolog

Most már ez nem biztos, hogy igaz. A chatbot mögött rejtőző mesterséges intelligencia az idegrendszer működését modellezi, hasonlóan működik az emberi agyhoz. Mint az emberek, a chatbot is adhat inkorrekt választ, tehát tévedhet. Ezért mindig kritikával kell fogadni a kapott válaszokat. Ez történhet esetleg más forrásból történő ellenőrzéssel vagy további kérdések feltételével, ha kétség merül fel a válasz helyességében.

Amerikában egyre több iskolás esik abba a tévhitbe, hogy nem szükséges tanulni, mert a ChatGPT mindent tud, csak meg kell tőle kérdezni. Több iskolában le is tiltották az OpenAI honlapját, de ez mobilnet használatával könnyedén megkerülhető. Ez a tendencia várhatóan a chatbotok nyelvi képességeinek fejlődésével még inkább terjedni fog és várhatóan világ méreteket fog ölteni a gyermekek körében. Tudni kell azonban, hogy megfelelő tudás nélkül nem lehet kellően pontosan megfogalmazni az elvárásokat, illetve kritikusan szemlélni a kapott válaszokat, tehát továbbra is szükség van a tanulásra és a világ megértésére.

Sok a szöveg

A ChatGPT segítségével bármilyen témában könnyen lehet tetszőleges terjedelemben, tetszőleges korcsoportnak szánt szövegeket készíteni. Ezt a tulajdonságot álhírek készítésére is fel lehet használni, mely a pontosan eltalált nyelvezet, téma és érvelés miatt komoly negatív hatást is kiválthat.

De nem is kell feltétlenül álhíreket készíteni ahhoz, hogy az automata által végtelen mennyiségben elkészített szövegbe egyszerűen belefulladjanak a hírportálok és esetleg az egész emberiség. Most már bárki, komolyabb tudás nélkül bármiről képes bármilyen hosszú szöveget írni. Vajon ez a cikk is ChatGPT-vel készült?

A csalók arra is rájöttek, hogy nagyon hatásos adathalász emaileket lehet vele íratni vagy manipulációra felhasználni. Például lejárató kampányokat szervezni egy cég munkatársai körében és az így elégedetlenné tett és igazságtételre vágyó munkavállalókat felhasználva belülről indítani támadást a szervezet ellen.

Házi feladat

Ezekkel a nyelvi modellekkel a diákoknak nem kell sok időt tölteni egy-egy fogalmazás megírásával. Elég, ha csak beírják, hogy miről és milyen hosszú fogalmazást kell írni, és a bot készséggel elkészíti azt. Ugyanígy képes megoldani pl. matematika, fizika, stb feladatokat is. A pedagógusnak nem sok esélye van a chatbottal szemben. Szerencsére a magyar nyelvi képességei még limitáltak az ilyen botoknak, de ez valószínűleg nem sokáig lesz már így.

Veszélyes fegyver

Az nem várható, hogy a ChatGPT a Terminátorhoz hasonlóan az emberiség ellen fordulna, de bűnözői körök máris kihasználják a bot hatalmas tudását. A készítők próbáltak intézkedéseket hozni, hogy ez ne történhessen meg, de egy kis kreativitással ki lehet játszani. A ChatGPT-től lépésről lépésre instrukciókat lehet kapni, hogy hogyan kell egy autót ellopni, valahová betörni, vagy pl. kártékony programot készíteni és azt bejuttatni egy rendszerbe. Segítségével akár az informatikához alig értők is veszélyes hekkerré válhatnak.

Csalók a láthatáron

A fentiekhez társul még egy tényező, amiről a ChatGPT készítői nem tehetnek.  A ChatGPT körüli nagy hullámokat igyekeznek meglovagolni a csalók is. Sorra jelennek meg az olyan appok Androidra és IOS-re is, amik a ChatGPT szolgáltatásait ajánlják app formájában. Fontos tudni, hogy a ChatGPT a cikk írásakor csak az OpenAI weblapján érhető el. Vannak más botok is, és az OpenAI is kínál a ChatGPT-n kívül más MI megoldásokat, tehát nem lehet biztosan tudni, hogy valójában mit is töltünk le, annak milyen képességei és esetleg mellékhatásai lehetnek. Ha mégis ilyen alkalmazás letöltése mellett döntünk, alaposan fontoljuk meg, hogy melyiket választjuk. Azonnal gyanakodjunk, ha kevés értékelése van, túl sok mindenhez kér hozzáférést illetve, ha az adatvédelmi tájékoztatónál az szerepel, hogy nem lehet kérni a személyes adatok törlését.

Összefoglalás

A ChatGPT publikus megjelenése minden bizonnyal egy új korszak kezdete az informatikában. Segítségével az ember csak a kreativitást igénylő feladatokra koncentrálhat. Az unalmas, keresgélést igénylő, ismétlődő feladatokra ott a bot. A mesterséges intelligencia alkalmazása jelentősen növelheti a számítógéppel végzett munka hatékonyságát. A ChatGPT és egyéb mesterséges intelligencia felhasználásának az előnyök mellett azonban veszélyei is vannak. Eszközként használva mindig kritikával kell fogadni a válaszait, mert az MI sem tévedhetetlen. A hatékonyságnövekedés sajnos az MI-t használó bűnözők esetében is fennáll, így ők is hatékonyabbak lehetnek a segítségével.

Iratkozzon fel hírlevelünkre!

Miről szól az MNB rendelet?

Az 1/2023. (I. 17.) MNB rendelet a kibocsátott, forgalomban lévő, továbbá a forgalomból bevont, de törvényes fizetőeszközre még átváltható forintbankjegyek, valamint, a pénzkibocsátásra jogosult külföldi intézmény által kibocsátott, forgalomban lévő, továbbá a forgalomból bevont, de törvényes fizetőeszközre még átváltható külföldi bankjegyek feldolgozására, forgalmazására, valamint hamisítás elleni védelméről szól.

Az MNB meghatározta, kire vonatkozik, így a rendelet a pénzfeldolgozók, pénzforgalmazók (Posta, Hitelintézetek), valamint az egyéb gazdasági szereplőkre értendő.
Ezen szereplők első feladata az, hogy kötelesek felmérni a rendeletnek való megfelelésüket és az MNB-t meghatározott időn belül értesíteni erről.

A rendelet nagyon sok előírást tartalmaz. A legfontosabbak – a teljesség igénye nélkül – a következők:

1. A készpénzes automaták darabszámának megállapítása, üzemeltetése és rendelkezésre állása.
2. A pénztár nélküli fiók létesítése, illetve egy adott fiók pénztárának megszüntetése vagy működése.
3. A hamisgyanús bankjegyek kezelése.
4. A készpénzellátás zavartalanságát veszélyeztető események felmérése és ezek megakadályozása végett intézkedési terv kidolgozása.
5. Címlet és átváltási szabályok a forintbankjegyekre.
6. Bankjegyvizsgáló gépre előírt szabályok (gép használata, működése).
7. A bankjegyforgalmazás alapvető feltételei.
8. A pénzfeldolgozókra vonatkozó speciális előírások.

Amennyiben valakit érint, vagy érdekel az ajánlás, keresse a FORTIX-ot bizalommal. Segítünk értelmezni, felmérni a jelenlegi helyzetet, bevezetni a szükséges intézkedéseket.

Iratkozzon fel hírlevelünkre!

Kriptoeszköz-szolgáltatók: a tervezet értelmében „minden olyan személy, akinek foglalkozása vagy üzleti tevékenysége körében egy vagy több kriptoeszköz-szolgáltatást harmadik személy részére szakmai alapon nyújt;”.

Kriptoeszköz-kibocsátó: a tervezet értelmében „olyan jogi személy, amely nyilvános ajánlattétel keretében bármely típusú kriptoeszközt kínál, vagy ilyen kriptoeszközt be kíván vezetni valamely kriptoeszköz-kereskedési platformra;”.

Eszközalapú tokenek kibocsátói: a tervezet értelmében „eszközalapú token: olyan kriptoeszköz-típus, amely stabil érték fenntartására hivatott azáltal, hogy több, törvényes fizetőeszköznek minősülő fiat valuta, egy vagy több áru, vagy egy vagy több kriptoeszköz, illetve ezen eszközök kombinációjának értékére hivatkozik;” és ezen eszközhöz kötött token kibocsátója lesz majd a DORA rendelet alanya.

Jelentős eszközalapú tokenek kibocsátói: Érdekes módon a hivatkozott MiCA rendelet tervezet a fogalom magyarázat részben nem ad pontos meghatározást, mit ért ezen meghatározás alatt. Viszont a későbbiekben egy külön cikket szentel a jelentős eszközalapú tokeneknek, ahol a megadott ismérvek alapján egyértelmű a beazonosítások.

Központi értéktárak: A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Jelenleg itthon egy központi értéktár van, ez a KELER Zrt.

Központi szerződő felek: A 909/2014/EU rendelet 2. cikke (1) bekezdése 1. pontja alapján a következőt kell érteni alatta: „a melléklet A. szakaszának 3. pontjában említett értékpapír-kiegyenlítési rendszert működtető jogi személy, amely legalább egy további, a melléklet A. szakaszában felsorolt alapvető szolgáltatást nyújt;”. Ebből szintén egy van itthon, ez a KELER KSZF Zrt.

Kereskedési helyszínek: A 2014/65/EU irányelv 4. cikke (1) bekezdésének 24. pontja alapján a következőt kell érteni alatta: „bármely szabályozott piac, multilaterális kereskedési rendszer vagy szervezett kereskedési rendszer;”. A kereskedési helyszínek olyan létesítmények, ahol több harmadik fél részéről vételi és eladási szándékok hatnak egymásra.

Kereskedési adattárak: A 648/2012/EU rendelet 2. cikkének 2. pontjában alapján a következőt kell érteni alatta: „olyan jogi személy, amely központilag összegyűjti és kezeli a származtatott ügyletek adatait;”.

(A sorozat következő részében folytatjuk a rendelet tervezet alanyainak felsorolását.) 

Szerző:

Dr. Simon Norbert

Iratkozzon fel hírlevelünkre!

A globális kiberbiztonsági kihívások kezelése és a digitális bizalom javítása érdekében 2022. Október 25-én tették közzé az ISO/IEC 27001 új és továbbfejlesztett változatát. A világ legismertebb információbiztonsági irányítási rendszerszabványa segít a szervezeteknek az információs eszközeiket biztonságban tartani – ami létfontosságú a mai, egyre inkább digitális világunkban.  

A kiberbűnözés egyre súlyosabb és kifinomultabb, ahogy a hackerek fejlettebb kiberbűnözési technikákat fejlesztenek ki. A Világgazdasági Fórum globális kiberbiztonsági kilátásokról szóló jelentése szerint a kibertámadások száma 2021-ben globálisan 125%-kal nőtt, és a trend az, hogy 2022-ben is folytatódik ez a növekedés. Ebben a gyorsan változó környezetben a vezetőknek stratégiai megközelítést kell alkalmazniuk a kiberkockázatokkal kapcsolatban.  

A kiberbűnözés egyre súlyosabb és kifinomultabb. 

„A negyedik ipari forradalom közepette a rendszerszintű egymásrautaltság a kiberkockázatok költségeit kézben tartva egyre nagyobb értéket teremt” – mondja Andreas Wolf, aki a szabványért felelős szakértői csoportot vezeti. „Azok a szervezetek vezetnek minket a digitális jövőbe, amelyek nemcsak elég szerények ahhoz, hogy beismerjék, hogy egyedül nem tudják megtenni, hanem elég magabiztosak és hozzáértőek is ahhoz, hogy felismerjék, hogy jobb, ha a vállalkozások meg sem próbálják.”  

E kiberbiztonsági kihívások kezelése érdekében a szervezeteknek fokozniuk kell ellenálló képességüket, és kiberfenyegetés-csökkentő erőfeszítéseket kell végrehajtaniuk. Az ISO/IEC 27001:2022 szabvány a következőképpen válik a szervezet hasznára: 

• Segít biztonságossá tenni az információt minden formában, beleértve a papíralapú, felhőalapú és digitális adatokat is 
• Felkészít a kibertámadásokkal szembeni ellenállóképesség növelésére 
• Központilag felügyelt keretrendszert biztosít, amely minden információt megfelelően véd 
• Biztosítja az egész szervezetre kiterjedő védelmet, beleértve a technológiai alapú kockázatokat és egyéb fenyegetéseket is 

• Támogatja a változó biztonsági fenyegetésekre történő hatékony reagálást 
• Segít csökkenteni a költségeket és a nem hatékony védelmi technológiára fordított kiadásokat 
• Biztosítja az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának védelmét 

Azok a szervezetek, amelyek magabiztosan alkalmazzák a kiberrezilienciát, gyorsan az iparág vezetőivé válnak, és meghatározzák az ökoszisztémájuk színvonalát. Az ISO/IEC 27001:2022 holisztikus megközelítése azt jelenti, hogy az egész szervezetre kiterjed, nem csak az informatikára. Így az információbiztonsági irányítási rendszer működése révén az emberek, a technológia és a folyamatok mind profitálnak. 

Az ISO/IEC 27001:2022 szabvány használatakor az adott szervezet bemutatja az érdekelt feleknek és az ügyfeleknek, hogy elkötelezett az információk biztonságos kezelése mellett. Emellett az ISO/IEC 27001:2022 alapú információbiztonsági irányítási rendszer bevezetése és működtetése nagyszerű módja annak, hogy népszerűsítse szervezetét, megünnepelje eredményeit és bebizonyítsa, hogy munkatársai, partnerei, ügyfelei megbízhatnak benne. 

Forrás:

https://www.iso.org/standard/82875.html

https://www.weforum.org/reports/global-cybersecurity-outlook-2022