Motherless-ügy: „ez a buli nem tart örökké, előbb-utóbb utolérjük őket”

Idén huszadik alkalommal rendezték meg az éves budapesti kiberbiztonsági konferenciát, az ITBN-t. Itt mindig az épp hódító és a közeljövőben várhatóan berobbanó új technológiák, az azokkal járó lehetőségek és kihívások vannak fókuszban – és jól mutatja a globális trendeket, hogy a rendezvény már második éve emeli a középpontba a mesterséges intelligenciát (ami persze már azt megelőzően is jó néhány éve állandó szereplője volt az előadásoknak). Idén az Europol egy nyomozója külön bemutatót tartott arról, hogy a kiberbűnözők hogyan élnek vissza az MI-vel, és milyen új eszközökkel akasztanak le minden korábbinál nagyobb pénzeket az áldozataikról.

Ehhez képest mi volt az elmúlt év online slágerátverése Magyarországon? A Nemzeti Nyomozó Iroda meghívott nyomozója szerint a telefonos banki csalások.

Persze attól még a magyar nyomozók is találkoznak az újabb módszerekkel, és folyamatosan készülnek ezekre. A modernebb és a hagyományosabb online csalásfajta pedig annyiban össze is ér, hogy az MI nemcsak a csillivilli deepfake videókra és cégvezetők hangjának lemásolására jó, hanem akár ezeket a jól bevált átveréseket is könnyebbé és költséghatékonyabbá teheti.

Csak reagálni tudunk, de azt minél gyorsabban

“Az elmúlt egy-két évünk abszolút a betelefonálós banki csalásokról szólt, rengeteg embert sikerült megtéveszteniük a bűnözőknek” – mondta Halász Viktor, az NNI Kiberbűnözés Elleni Főosztályának szakértője arra a kérdésre, hogy mik most a hazai trendek. Épp néhány hónapja volt egy nagyobb rajtaütésük, amikor ukrán kollégákkal együttműködve, a határ túloldalán felszámoltak egy ilyen átveréssorozatban használt call centert. Nem nevesítette, de alighanem az online csalások felderítésére indított Mátrix Projektre utalt, amelynek a keretében júniusban az eddigi legnagyobb ilyen hálózatot sikerült kiiktatniuk, de már márciusban is volt egy hasonló akciójuk, ahol szintén egy magyar–ukrán csoportot kapcsoltak le, csak akkor Magyarországon.

Ezek a csalások régóta velünk vannak, ami új bennük, az a szervezettség foka: több tucatnyian működnek együtt, és mindenkinek megvan a maga világos feladata. Ők szintet léptek, ezért a rendőrségnek is szintet kell lépnie – mondta Halász.

Nemcsak az NNI, de a vármegyei rendőrkapitányságok is nagy erőkkel dolgoznak az online csalások felszámolásán. Vármegyei rendőrök kaptak el például egy olyan csalót, aki tömegesen küldött bírság befizetésére felszólító hamis közleményt a rendőrség nevében; illetve egy telefonos csalásokhoz használt átjátszóállomást is ők kapcsoltak le – tette hozzá Timoska Kinga rendőr főhadnagy.

Ezután került szóba a címben már belengetett, egy hónapja nagy port kavart Motherless-ügy, amelyben több magyar nő azzal szembesült, hogy közösségi oldalakra feltöltött képeik vagy róluk készült lesifotók kerültek fel a Motherless nevű pornóoldalra, a feltöltők és a kommentelők pedig részletes üzenetekben vitatták meg, milyen kegyetlenségeket művelnének velük.

A beszélgetést vezető Köböl Anita felidézte, hogy a Redditen több érintett is arról számolt be, hogy a rendőrségen jelentkezve nem megfelelő bánásmódban részesültek, a velük kapcsolatba került rendőr bagatellizálta az ügyet, illetve nem a téma érzékenységéhez illő stílusban beszélt velük. Fel lehet-e készíteni az alacsonyabb szinteken dolgozó rendőröket az ilyen ügyek megfelelő kezelésére? – hangzott a kérdés. Timoska szerint folyamatosan képezik a kollégákat az ilyen helyzetekre, de valóban előfordul olyan, mint amiről a beszámolók szóltak, mert a rendőr is ember, és hibázhat – de ez szerinte inkább csak egy-egy elszórt eset, nem az általános tapasztalat.

Halász szerint az ilyen ügyeknél – amellett, hogy jogilag sem egyértelmű a megítélésük –, az a nehézség, hogy gyakran külföldi szervereken fut az oldal, a Motherless.com például Csehországban van bejegyezve, így nem tartozik a magyar rendőrség joghatósága alá. Ezekben az esetekben jogsegélykérelemmel fordulnak az érintett ország hatóságához, és ez általában működik is, de olyan esetben már nehezebb a dolog, ha valamilyen offshore országba van bejegyezve az adott oldal. A fő cél sosem az oldal lelövése, hanem az elkövetők elkapása, és csak utána jön az oldalak megszüntetése. De elsősorban az elkövetőket kell elkapni, hogy ne csinálják meg újra ugyanazt egy másik oldalon – tette hozzá.

“Ez a buli nem tart örökké, előbb-utóbb igenis utol fogjuk őket érni. Más kérdés, hogy ez mennyi időt és mennyi energiát vesz igénybe”

– mondta Timoska, de azért azt is megjegyezte, hogy az elkövetős elkapása sem feltétlenül jelenti azt, hogy onnantól ugyanaz ne ismétlődhetne meg. Az ukrán telefonos csalók lekapcsolása után például ez a fajta visszaélés időlegesen visszaesett a statisztikákban, de később visszaállt a korábbi szintre, mert új elkövetők léptek a letartóztatottak helyébe.

Cikkünk megjelenése előtt írásban érdeklődtünk a rendőrségnél, hogy tart-e még a nyomozás a Motherless-ügyben, sikerült-e azonosítani az érintett felhasználókat, és hogyan léptek fel az oldallal szemben. “A kérdezett üggyel kapcsolatban a rendőrséghez érkezett valamennyi bejelentést és feljelentést a Készenléti Rendőrség Nemzeti Nyomozó Iroda egy eljárás keretében vizsgál. A nyomozás érdekére tekintettel azonban bővebb információt nem áll módunkban adni” – válaszolták.

Nem lehetséges-e olyan központi szabályozást létrehozni, hogy az ilyen tartalmak már eleve fel se kerülhessenek az internetre? – tette fel a némileg utópisztikus kérdést a műsorvezető. Kérdés, hogy akarjuk-e társadalmi szinten, hogy ilyen szigorú, Nagy Testvér-típusú szabályozás szülessen, amely egyúttal a szólásszabadságot is korlátozná – hangzott Timoska válasza. Szerinte inkább arra kell törekedni, hogy minél gyorsabban tudjanak reagálni. És bár a rendőrség reagáló szerv, nem önmagában küzd a kiberbűnözők ellen, ennek a küzdelemnek a kulcsa az együttműködés bankokkal, telekomszolgáltatókkal, minden érintett céggel. Például az olyan programokon keresztül, mint a sokszor pozitív példaként emlegetett KiberPajzs. Ez az együttműködés és tudásmegosztás pedig Timoska szerint előnyt jelent.

Halász szerint az együttműködés a határokon átívelő nyomozásoknál is megkerülhetetlen, és ehhez már ki vannak építve az információmegosztási csatornák, hiszen manapság szinte nem is lehet már online csalásoknál határon belül maradva nyomozni. Nagyon jó bázisa ennek az Europol, amelynek a feladata a közös nyomozások koordinálása. Ők nem küldenek kommandósokat látványos akciókban, hanem az állami hatóságokat segítik. De az érintett országokkal a közvetlen, kétoldalú kapcsolatok is jól működnek ilyen esetekben – mondta.

Ugyanígy az újabb technológiák terén is folynak az együttműködések, Magyarország tagja például egy csaló kriptobefektetések elleni és egy MI-vel kapcsolatos munkacsoportnak is. A rendőrség mindig reagál, de azért próbálnak előre is gondolkodni, kutatni, hogy mivel próbálkozhatnak a bűnözők, például a Dark LLM-eket ők is vizsgálják – tette hozzá, utalva a ChatGPT gonosz ikertertvéreire, amelyekről egy korábbi előadásban az Europol nyomozója is beszélt.

A bűnözői MI-k már a spájzban vannak

Ennél konkrétabban nem is fogok tudni hivatkozni az illetőre, mint hogy “az Europol nyomozója”, mert a nevét és a fotóját nagy titokzatoskodás közepette már az előzetesen kiadott programban sem tették közzé, hogy ne kompromittálják a kibertérben végzett munkáját. A neve az előadásán sem derült ki, de az arca igen, úgyhogy csak remélni lehet, hogy a hallgatóság soraiban nem bújtak meg kiberbűnözők.

A titokzatos nyomozó mindenesetre az Europol 2013-ban alapított Európai Kiberbiztonsági Központjának (European Cybercrime Centre, EC3) szakértője, és arról beszélt, hogy a kiberbűnözők a gyakorlatban hogyan élnek vissza a generatív mesterséges intelligenciával, azaz az olyan modellekkel, amelyek a ChatGPT csetbotnak vagy a DALL-E képgenerátornak is a motorját jelentik.

“Nem azért jöttem, hogy lenyűgözzem önöket, hanem hogy megerősítsem, hogy minden, amiről hallottak, igaz”

– mondta, utalva arra, hogy nem valamiféle varázslatra kell gondolni, amikor MI-t használó kiberbűnözőkről van szó: ez is csak egy (illetve sok) eszköz, ami könnyebbé teszi az életet, csak ez esetben épp a bűnözőkét, illetve lejjebb viszik a belépési küszöböt az ilyen bűncselekményeknél.

A nyomozó felsorolt néhány területet, amelyeken már a gyakorlatban is sokszor tűnik fel az MI. Az egyik ilyen a social engineering, amikor nem egy rendszert hekkelnek meg, hanem az embert, akiből információkat szednek ki. Ilyen az adathalászat, amelyhez az MI sokkal jobb minőségű szöveget generál, a bűnözőknek nem kell aggódniuk a helyesírás vagy az árulkodó nyelvtani hibák miatt, és egy-egy cégre vagy egyénre is könnyebben tudják rászabni a neki szánt emailt. Szintén jól jön az MI a typosquattinghoz, azaz amikor a támadók olyan domainneveket foglalnak be, amelyek népszerű szolgáltatások elírt változatai, hogy ha valaki például az opt.hu-ra téved, akkor gyanútlanul adja meg a belépési adatait a lemásolt, kamu banki oldalon. Az MI itt a lehetséges elírt domainek összegyűjtését könnyíti meg automatikusan generált listákkal.

Szintén nem drámai újítás, de a bűnözőélet nagy megkönnyítője, hogy kódgenerálásra is használhatók ezek az MI-modellek. Egyrészt szkripteket lehet velük íratni, amelyek automatizálnak bizonyos szöszmötölősebb programozói feladatot; másrészt akár teljes digitális kártevőket, például zsarolóvírusokat is megírnak. Gyakorló bűnözőknek ezek még önmagukban nem elég kifinomult szoftverek, bevetés előtt továbbfejlesztendők, de így is sok időt spórolnak.

Egy harmadik nagy terület a gyerekek szexuális kizsákmányolása. Ebben a képgeneráló modelleket használják a bűnözők, egyrészt saját maguknak gyerekprofilképek generálására, hogy könnyebben be tudjanak férkőzni az áldozatok bizalmába; másrészt valódi gyerekekről meztelen képek létrehozására, például zsarolás céljából vagy pedofil indíttatásból. Az MI abban is segít, hogy a hatóságok által már ismert, így automatizáltan keresett gyerekpornográf képeket úgy lehessen manipulálni, hogy ezek az automatizmusok kevésbé tudjanak rájuk találni. A legzavarbaejtőbb pedig talán az a szürke zóna, amikor valóságalap nélkül generálnak pedofil képeket, mert ebben az esetben nincs áldozat, így a szabályozás sem egyértelmű, és országonként eltérhet.

De hogyan tudják mindezt véghez vinni?

Beírják a ChatGPT-be, hogy “írjál nekem egy zsarolóvírust”? Ennyire nem egyszerű a dolog, hiszen ezeknek a nagy nyelvi modelleknek a fejlesztői igyekeznek kizárni az ilyen visszaélések lehetőségét. A bűnözőknek két lehetőségük van. Egyrészt megpróbálhatják megkerülni a modellekbe épített biztonsági akadályokat, olyan promptokat (azaz a modelleknek megadott parancsokat) keresve, amelyekkel kiskaput találnak a szabályokon. Ez a módszer azonban egyre kevésbé működik, ahogy a biztosítékok is egyre jobbak.

Ilyenkor jön a képbe a másik lehetőség: a Dark LLM-ek, azaz az olyan, saját fejlesztésű nagy nyelvi modellek, amelyek akár a legitim, nyílt forráskódú LLM-eken is alapulhatnak, de nem tartalmazzák ezeket a biztosítékokat. A nyomozó mutatott is néhány ilyet, legalábbis a nevüket és a szlogenjüket, például a WormGPT-t (”a közismert ChatGPT legnagyobb ellensége”), a DarkBERT-et (”tapasztalja meg az első, dark weben tanított MI-t”) vagy a BlackchatGPT-t (Egy fekete kalapos hekker és egy amorális programozó szimulációja”).

De maga az Europol is fejlesztett ilyen Dark LLM-et DarkGPT néven, persze csak saját maguknak, hogy kipróbálják, hogyan működnek az ilyesmik, tapasztalatot gyűjtsenek vele – az meg is el is árulta különösebb ellenvetés nélkül, hogyan kell csőbombát készíteni.

Ezek a realitások, a hatóságok sem mondják azt, hogy menjünk vissza a kőkorszakba. A technológia jó, de meg kell találni az egyensúlyt a rendben lévő technológiahasználat és az elkerülhetetlen visszaélések között – mondta. Szerinte ehhez szükség van központosított hatóságokra, amelyek léteznek is (például a munkahelye), de a szabályozás le van maradva, nem veszi figyelembe az összes lehetőséget és forgatókönyvet.

“Úgy érzem, a fő kockázat jelenleg nem a visszaélések elkerülhetetlensége, hanem az, ha a hatóságok és a velük együttműködő vállalatok nem kapják meg ugyanazokat az eszközöket, hogy mérsékeljék ezeknek a visszaéléseknek a hatását”

– vonta le a tanulságot titokzatos nyomozónk.