Szerző: Koi Tamás

2021. március 29. 11:47

FluBot: kié lehet a felelősség?

Közel egy hete fertőz itthon az először Spanyolországban felfedezett, SMS-ben terjedő FluBot, mely kétféleképpen tud kárt okozni egy ügyfélnek - egyrészt a banki bejelentkezési adatainak ellopásával és felhasználásával, másrészt tömeges SMS-küldéssel, illetve az azzal járó esetleges számlafizetési kötelezettséggel. Jelenleg úgy tűnik, a hálózatot üzemeltető mobilszolgáltató egyikért sem felelős, mivel az ügyfél súlyos gondatlansága vezet a káreseményhez.

Múlt hét végére komoly biztonsági krízissé fajult Magyarországon az először március elején Spanyolországban felfedezett, SMS-ben terjedő FluBot adathalász támadás, mely rendkívül szofisztikált módszerekkel igyekszik kicsalni az androidos okostelefonokkal rendelkező felhasználókból bizonyos banki bejelentkezési adatokat és tranzakciók elvégzéséhez szükséges megerősítő kódokat. A kártevő óvatos becslések szerint eddig akár százezres nagyságrendben fertőzhetett meg készülékeket Magyarországon, megpróbáltunk utána járni, kit terhel a felelősség egy ilyen káreset során.

SMS-BEN NEM JÖHET KÁRTEVŐ

A FluBot többek közt éppen azért tud olyan hatékonyan fertőzni, mivel a malware disztribúciója az eddig megszokott e-mailen érkező hamis üzenetek helyett SMS-ben történik (arra építve, hogy az általános közvélekedés szerint az SMS-ek jóval megbízhatóbbak az e-maileknél). Az érintettek az egyik futárcég oldalához megszólalásig hasonló weboldalra mutató linket kapnak rövid szöveges üzenetben, ahol egy csomagkövető alkalmazás telepítésére buzdítják a felhasználókat. Az applikáció telepítését követően válik az androidos készülék fertőzötté. 

flubot
a kártékony kódhoz vezető linket tartalmazó sms (forrás: kiber.blog.hu)

Docker és Terraform képzésekkel indul a tavaszt! (x)

Április 19-20-án 12 órás online, alapozó képzéseket indít a HWSW.

Docker és Terraform képzésekkel indul a tavaszt! (x) Április 19-20-án 12 órás online, alapozó képzéseket indít a HWSW.

A malware ezt követően két szálon kezd dolgozni, egyrészt eltérített oldalakon keresztül begyűjti a banki szolgáltatásokhoz használt belépési azonosítókat, másrészt a készülék névjegyzékét feltölti egy disztribúciós szerverre, mely a partneradatokat disztributálja a megfertőződött készülékek közt - ennek köszönhető, hogy szinte mindenki ismeretlen számról kapja az SMS-eket.

A rendszer ráadásul képes elfedni a kiküldött SMS-eket, így előfordulhat, hogy valaki több ezer üzenetet küld el a tudta nélkül, ezzel amellett, hogy a csalók hozzáférhetnek a bankszámlájához, jelentős kár érheti abban az esetben, ha olyan díjcsomagot használ, melyben nem, vagy csak részben (például hálózaton belül) korlátlan az SMS-küldés.

Az utóbbi kapcsán alkalmazott protokollról kérdeztük a szolgáltatókat, illetve a felügyeletet ellátó Nemzeti Média- és Hírközlési Hatóságot. Utóbbi válasza alapján a FluBot bár jellegéből fakadóan nem közvetlenül a szolgáltatók hálózatát fertőzi, a mobilcégeknek mégis tájékoztatási kötelezettségük van a felhasználó felé.

A hatóság válaszában közölte, a vonatkozó kötelezettségeket az Eht. 156. § (11) bekezdése tartalmazza, mely kimondja,

Ha a hálózat egységességét és a szolgáltatás biztonságát érintő vagy veszélyeztető esemény következtében korábban nem ismert, új biztonsági kockázat jelentkezik, a szolgáltató legalább ügyfélszolgálatán és internetes honlapján haladéktalanul tájékoztatja a felhasználókat a korábban nem ismert, új biztonsági kockázatról, a védelem érdekében a felhasználó által tehető intézkedésekről, és azok várható költségeiről. A szolgáltató által nyújtott tájékoztatásért külön díj nem kérhető a felhasználótól. A szolgáltató által nyújtott tájékoztatás nem mentesíti a szolgáltatót a védelem érdekében teendő, a hálózat egységességével és szükséges intézkedések megtétele alól.

Az NMHH Kommunikációs Igazgatóságának lapunkhoz eljuttatott álláspontja szerint a konkrét esetben gyakorlatilag a szolgáltató jóindulatán múlik, hogy a szándékolatlanul elküldött SMS-eket teljes egészében kiszámlázza-e az előfizetőnek, hiszen a megfertőződéshez a készülék használójának jelentős behatása (súlyos gondatlanság) szükséges, azaz nem elég pusztán az SMS-t megnyitni, de további lépéseket is kell tenni, melyek közben a tulajdonos ráadásul biztonsági riasztásokat is kaphat a telefonjától.

A Telenor Magyarország pénteken egy részletes tájékoztatót adott ki a témában, melyben az elhárításról és a biztonsági óvintézkedésekről írt a szolgáltató, a vállalat által lapunkhoz eljuttatott külön álláspont ugyanakkor arra utal, hogy az SMS-ek költségét mindenképpen kiszámlázza az ügyfélnek a szolgáltató. A Magyar Telekom annyit közölt megkeresésünkre, hogy egyelőre az ügyfelek tájékoztatására fókuszál, illetve vizsgálja az előfizetők érintettségét, ezt követően dönt a további lépésekről. A Vodafone Magyarország sajtóosztálya későbbre ígért választ.

NEM INDOKOLT ÉS NEM IS SZABAD SZŰRNI

A FluBot kártevő hatékony terjedéséhez az ügyfél felelőtlensége mellett hozzájárulhat ugyanakkor az is, hogy a mobilszolgáltatók jelenleg jórészt semmilyen, az SMS-rendszereken zajló forgalmat szűrő algoritmust (SMS spamfilter) nem alkalmaznak, többnyire arra hivatkozva, hogy adatvédelmi okokból az SMS-ek szövegét nem ismerhetik meg. Az SMS-ben terjedő malware ráadásul eddig szinte teljesen ismeretlen jelenségnek számított - legalábbis hazánkban -, így látszólag semmi nem tette indokolttá, hogy a mobilszolgáltatók bármilyen, az SMS-ek tartalmát vizsgáló szűrőt használjanak a rendszerben.

Az NMHH álláspontja alapján ugyanakkor mindez a jövőben változhat, mivel a szolgáltatót a törvényben meghatározott, a hasonló biztonsági incidensek során felmerülő tájékoztatási kötelezettség mellett a felhasználó és a hálózat védelme érdekében intézkedési kötelezettség is terheli.

a címlapról