Elég egy kis baki és máris orosz hackerekhez visznek egyes magyar kormányzati dokumentumok

Az adathalászat e formája állítólag még csak nem is szánt szándékkal történt, egy, a szkennelés során felbukkanó hiba okozza az anomáliát.

A magyar kormány elleni adathalász támadáshoz használtak fel orosz katonai hírszerzéshez köthető hackerek bizonyos linkeket, amelyek magyar állami ügyintéző felületekre lennének hivatottak továbbirányítani az állampolgárokat. Kiberbiztonsági kutatók szerint a kormányhivatali weblapokon található dokumentumok szövegeiben egyes linkek az ügyintéző felületek helyett ezekre az orosz hackerek által használt oldalakra irányítottak – írja a Telex.

Az eset egyik furcsasága, hogy mindez nem úgy történt meg, hogy az oroszok „behackelték magukat” ezekbe a dokumentumokba, hanem úgy, hogy az iratok beszkennelésekor hibás karakterfelismerés miatt olyan linkek kerültek be a szövegekbe, amelyek a magyar kormányzati oldalak gov.hu végződése helyett az ahhoz képest mindössze egy betűnyi különbséget mutató qov.hu domainre visznek. Az eset amellett, hogy megkönnyítette a magyarok elleni adathalászatot, azért is lényeges, mert nagy óvatlanságot jelez, igaz, a hibára szerencsére időben fény derült, és a magyar állam meg is tette a szükséges ellenlépéseket.

A Telex felidézett egy 2014-es esetet, amikor a Honvédelmi Minisztérium ellen intéztek adathalász támadást, ekkor a támadók úgy próbáltak bejutni a tárca levelezőrendszerébe, hogy az ott dolgozók érdeklődési körébe eső weblapokat másoltak le, majd az eredetihez hasonló linkeken elérhetővé tették azokat, s tájékoztató e-mailnek álcázva elküldték nekik.

Frész Ferenc, a Cyber Services alapító-vezérigazgatója és munkatársai fedezték fel, hogy a qov.hu domain kormányhivatali dokumentumokban is felbukkan, s közzé is tették a CyberThreat.Report nevű zárt Facebook-csoportban. Frész Ferenc a Telexnek úgy nyilatkozott, elkezdték újra megvizsgálni a 2014-es támadásból ismert elírt (misspelling) domainneveket, így bukkantak rá az anomáliára.

Mivel a kérdéses URL-ek a dokumentumok kinyomtatásakor aláhúzott szövegként jelentek meg, a rendszer nem tudott különbséget tenni a g és a q betűk között, ami ezt követően lehetővé tette, hogy a kormányzati oldalak helyett az orosz adathalászok webhelyein kössön ki a gyanútlan állampolgár. Frész Ferenc szerint ez egy óriási baki, mivel a domainek most aktívak, így a hackerek dolga innentől kezdve jelentősen leegyszerűsödik. Kiemelte, jó, hogy most fény derült erre, s azt is közölte, ő maga is talált aggályos dokumentumot, s még csak nagyon keresnie sem kellett.