A digitális korban a hitelesítő adatok – a felhasználónevek és jelszavak – jelentik a kaput személyes és vállalati értékeinkhez. Ennek megfelelően a kiberbűnözők számára ezek az adatok váltak az egyik legértékesebb célponttá. Egy nemrégiben napvilágot látott, példátlan méretű adatszivárgás ismételten rávilágított a probléma súlyosságára és arra, hogy a fenyegetés természete alapvetően megváltozott.

A Cybernews felfedezése: 16 milliárd rekord a felszínen

2025 júniusában a Cybernews kiberbiztonsági kutatócsoportja egy rendkívüli méretű adatvédelmi incidensre derített fényt. A kutatók összesen 30, nyilvánosan hozzáférhetővé tett adatkészletet azonosítottak, amelyek együttesen egy szinte felfoghatatlan mennyiségű, 16 milliárd rekordot tartalmaztak. Ezen adathalmazok mindegyike több tízmilliótól egészen a 3,5 milliárdot is meghaladó számú bejegyzést foglalt magában.

Az elemzés egyértelművé tette, hogy a kiszivárgott adatok forrása nem egyetlen, nagyszabású vállalati betörés volt. Az adatok struktúrája – jellemzően URL, bejelentkezési név és jelszó formátumban, gyakran kiegészítve munkamenet-tokenekkel, sütikkel és egyéb metaadatokkal – egyértelműen az információlopó (infostealer) kártevőkre utalt. Ezek a rosszindulatú programok egyedi számítógépeket fertőznek meg, és onnan gyűjtik be a böngészőkben és más alkalmazásokban tárolt hitelesítő adatokat. Az adathalmazok valószínűsíthetően ilyen, különféle infostealer kampányokból, valamint korábbi szivárgásokból összeállított, úgynevezett "hitelesítőadat-tömési" (credential stuffing) készletekből származtak.

A kiszivárgott adatok gyakorlatilag bármilyen online szolgáltatáshoz biztosíthattak hozzáférést, a legnépszerűbb közösségi média platformoktól (Facebook, Telegram) és technológiai óriások fiókjaitól (Apple, Google, GitHub) kezdve egészen a különböző kormányzati szolgáltatásokig. A kutatók megjegyzik, hogy az ilyen hatalmas, új adatkészletek néhány hetente jelennek meg a feketepiacon, ami az információlopó kártevők riasztó mértékű elterjedtségét jelzi.

Kontextus: A mega-szivárgások kora

A 16 milliárdos incidens, bár méretében kiemelkedő, nem egyedi jelenség. Az elmúlt években több, hasonlóan gigantikus adathalmaz került a kiberbűnözők és a biztonsági kutatók látóterébe. Fontos azonban megkülönböztetni ezek természetét, mivel az alapvetően meghatározza a védekezési stratégiát.

• "Mother of All Breaches" (MOAB): A Cybernews és a Security Discovery kutatói által 2024 januárjában felfedezett, valaha volt talán legnagyobb aggregált adatszivárgás. Ez egy 12 terabájt méretű, 26 milliárd rekordot tartalmazó adatbázis, amely nem egyetlen új incidensből származik, hanem több ezer korábbi, ismert adatszivárgás (pl. LinkedIn, Twitter, Dropbox) és privát adatbázisok anyagának összevonásából jött létre. Ez a típusú gyűjtemény, az úgynevezett "Compilation of Many Breaches" (COMB), a kiberbűnözők számára egy hatalmas, kereshető adatbázist biztosít a támadásaikhoz.

• RockYou2024: 2024 júliusában egy 'ObamaCare' álnevű hacker tett közzé egy közel 10 milliárd egyedi, nyílt szöveges (plaintext) formátumú jelszót tartalmazó listát. Ez a "RockYou2021" nevű, 8,4 milliárdos lista frissített és 1,5 milliárd új jelszóval bővített változata. A MOAB-hoz hasonlóan ez is egy COMB, amely több ezer különböző forrásból, több mint két évtized alatt összegyűjtött adatokat tartalmaz. Az ilyen listák a jelszótörő és credential stuffing támadások elsődleges "nyersanyagai".

• ALIEN TXTBASE: 2025 februárjában Troy Hunt, a "Have I Been Pwned" (HIBP) adatszivárgás-ellenőrző szolgáltatás alapítója dolgozott fel egy 1,5 terabájt méretű, 23 milliárd sornyi adatot tartalmazó gyűjteményt, amely egy Telegram csatornáról származott. Ez a gyűjtemény – a MOAB-bal és a RockYou-val ellentétben – szinte teljes egészében infostealer naplófájlokból (logs) állt, és 284 millió egyedi e-mail fiókot érintett. Ez az eset különösen jól mutatja a fenyegetési környezet eltolódását a szerveroldali adatsértésektől a kliensoldali, egyedi eszközöket célzó fertőzések felé.

A fenti példákból kirajzolódik egy kritikus fontosságú megállapítás. Míg a közvélemény és gyakran a vállalati döntéshozók is az "adatszivárgás" hallatán egyetlen, jól körülhatárolható eseményre, egy nagyvállalat rendszerének feltörésére gondolnak, a valóság ennél sokkal összetettebb. A legújabb mega-szivárgások nem egyetlen ponton bekövetkezett katasztrófák, hanem milliónyi, egymástól független, egyedi mikro-incidens – egy-egy felhasználói gép megfertőzésének – aggregált eredményei. Ez a felismerés alapjaiban változtatja meg a hatékony védekezésről alkotott képet. A hangsúly a központi szerverek erődítményszerű védelméről átkerül a sokkal nehezebben kontrollálható végpontok, a felhasználói eszközök és a felhasználói viselkedés menedzselésére. A "16 milliárdos szivárgás" valójában 16 milliárdnyi, egyenként ellopott adatpont összessége, ami a védekezés decentralizálását és személyre szabását teszi szükségessé.

A Probléma Gyökere: A jelszóparadoxon

A nagyszabású adatszivárgások és a hitelesítő adatokkal való visszaélések iparszerűvé válásának elsődleges táptalaja a felhasználók jelszókezelési szokásaiban rejlik. A Cybernews egy másik, 19 milliárd kiszivárgott jelszót elemző kutatása megdöbbentő eredményre jutott: a jelszavak 94%-a újrahasznosított vagy duplikált volt. Ez azt jelenti, hogy a felhasználók túlnyomó többsége ugyanazt a jelszót használja több különböző online szolgáltatáshoz, ami egyetlen fiók kompromittálódása esetén láncreakciószerűen teszi sebezhetővé az összes többit.

Bár a szolgáltatók által megkövetelt szigorúbb jelszóházirendeknek köszönhetően némi javulás látható a komplexitás terén – a kis- és nagybetűket, számokat és speciális karaktereket egyaránt tartalmazó jelszavak aránya 2022-es 1%-ról 19%-ra emelkedett –, ez a pozitív tendencia eltörpül a leggyakrabban használt jelszavak riasztó egyszerűsége mellett. A listákat továbbra is olyan triviális kombinációk vezetik, mint a "123456", a "password", vagy egyszerű nevek, mint az "Ana". Emellett gyakoriak a szitokszavak, ételek, márkanevek és városok is, amelyek könnyen kitalálhatók vagy szótáralapú támadásokkal gyorsan feltörhetők. Ez a jelszóparadoxon – miszerint a felhasználók a biztonsági figyelmeztetések ellenére is a kényelmet választják a biztonság helyett – teremti meg azt a sérülékeny környezetet, amelyet a kiberbűnözők ipari méretekben képesek kihasználni.

Az információlopó (Infostealer) malware működése

Az információlopó kártevők a modern kiberbűnözés svájci bicskái. Nem látványosan rombolnak, mint a zsarolóvírusok, hanem csendben, a háttérben megbújva gyűjtik össze a legértékesebb digitális kincseket: a hitelesítő adatokat. Működésük megértése elengedhetetlen a hatékony védekezéshez.

Az információlopó (angolul infostealer vagy stealer) egy olyan rosszindulatú szoftver (malware), amelyet kifejezetten arra terveztek, hogy a megfertőzött számítógépről bizalmas információkat gyűjtsön és lopjon el. Elsődleges célpontjai a felhasználói fiókokhoz és pénzügyi forrásokhoz való hozzáférést biztosító adatok. A kártevő általában a következő adattípusokra specializálódik:

• Böngészőadatok: Mentett felhasználónevek és jelszavak, automatikus kitöltési adatok (nevek, címek), böngészési előzmények és munkamenet-sütik (session cookies).

• Pénzügyi információk: Bankkártyaadatok, online banki bejelentkezési adatok.

• Kriptovaluták: Helyileg tárolt kriptovaluta-tárcák (wallet) fájljai és a hozzáférést biztosító kulcsok (seed phrases).

• Alkalmazás-specifikus adatok: Különböző szoftverekből, például FTP kliensekből, VPN programokból, azonnali üzenetküldőkből (Telegram, Discord) és játékplatformokról (Steam) származó hitelesítő adatok.

A megszerzett adatokat a kártevő egy csomagba, úgynevezett naplófájlba (log file) rendezi. Egy-egy ilyen naplófájl jellemzően egyetlen fertőzött rendszer teljes "lenyomatát" tartalmazza. Ezeket a naplókat a kártevő továbbítja egy távoli, a támadók által felügyelt parancs- és vezérlőszerverre (Command and Control, C2), ahonnan később a Dark Web piactereire kerülnek értékesítésre.

Fertőzési vektorok: Hogyan kerül a rendszerbe?

Az infostealerek terjesztői változatos és egyre kifinomultabb módszereket alkalmaznak, hogy rávegyék a felhasználókat a kártevő letöltésére és futtatására. A leggyakoribb fertőzési útvonalak a következők:

• Social Engineering és adathalászat (Phishing): Ez a legelterjedtebb módszer. A támadók megtévesztő e-maileket vagy üzeneteket küldenek (pl. csomagkövetés, lejárt számla, fiókzárolási értesítés), amelyek egy rosszindulatú csatolmányt (pl. ZIP, DOCX) vagy egy kártékony weboldalra mutató linket tartalmaznak. A gyanútlan felhasználó, aki megnyitja a fájlt vagy a linkre kattint, akaratlanul is elindítja a fertőzési folyamatot.

• Malvertising és SEO Poisoning (Kártékony hirdetések és keresőoptimalizálás-mérgezés): A bűnözők legitimnek tűnő hirdetéseket vásárolnak népszerű platformokon (pl. Google, Yahoo), vagy keresőoptimalizálási (SEO) trükkökkel juttatják a találati listák élére a hamis weboldalaikat. Ezek az oldalak gyakran népszerű, ingyenes szoftverek (pl. Notepad++, Rufus, AnyDesk) hivatalos letöltőoldalainak álcázzák magukat. Amikor a felhasználó le akarja tölteni a programot, a legitim szoftverrel együtt az infostealer is a gépére kerül.

• Szoftverkalózkodás és játékcsalások: Nagyon gyakori terjesztési módszer a kártevő elrejtése fizetős szoftverek feltört (cracked) verzióiban, licenckulcs-generátorokban (keygens) vagy népszerű videojátékokhoz készült csalóprogramokban (cheats) és módosításokban (mods). Az ingyenes szoftver vagy a játékbeli előny csábítása sok felhasználót óvatlanná tesz.

• Kifinomultabb és rejtett technikák: A fejlettebb infostealerek már nem csupán a felhasználó megtévesztésére építenek.

  • Dead Drop Resolver: Az ACRStealer nevű kártevő például a parancs- és vezérlőszerverének (C2) címét nem a saját kódjában tárolja, hanem egy legitim, megbízható szolgáltatásban, például egy nyilvános Google Docs dokumentumban vagy egy Steam profil leírásában. A kártevő innen olvassa ki az aktuális C2 címet. Ez a módszer megnehezíti a blokkolást, mivel a támadók könnyen megváltoztathatják a címet a Google Doc frissítésével, a kimenő forgalom pedig egy legitim szolgáltatás felé irányul, ami kevésbé kelt gyanút a biztonsági rendszerekben.

  • Hamis CAPTCHA: A Lumma Stealer egyik innovatív terjesztési módszere a hamis CAPTCHA oldalak használata. A felhasználó egy weboldalon egy "Nem vagyok robot" ellenőrzéssel találkozik. Amikor a gombra kattint, a weboldal egy rejtett szkript segítségével egy kártékony PowerShell parancsot másol a vágólapra, majd felszólítja a felhasználót, hogy a Win+R billentyűkombinációval nyissa meg a Futtatás ablakot és a Ctrl+V billentyűkombinációval illessze be, majd futtassa a parancsot. A felhasználó azt hiszi, egy biztonsági ellenőrzést hajt végre, valójában azonban saját maga telepíti a kártevőt.

Adatgyűjtési technikák: Amit a támadó lát

Miután az infostealer aktívvá vált a fertőzött rendszeren, megkezdi a szisztematikus adatgyűjtést. A legtöbb modern stealer a következő lépéseket hajtja végre:

1. Rendszerinformációk gyűjtése: Első lépésként felméri a környezetet: összegyűjti az operációs rendszer verzióját, a hardveres adatokat (CPU, GPU), a felhasználónevet, a számítógép nevét, az IP-címet és a földrajzi helyzetet. Különösen fontos számára a telepített biztonsági szoftverek (antivírus, EDR) listája, hogy megpróbálja kijátszani azokat.

2. Böngészőadatok kinyerése: A kártevő célzottan támadja a népszerű, Chromium-alapú (Google Chrome, Microsoft Edge, Opera) és Gecko-alapú (Mozilla Firefox) böngészőket. Hozzáfér a helyileg tárolt adatbázisokhoz (pl. SQLite fájlok), és kinyeri belőlük a mentett jelszavakat, sütiket, automatikus kitöltési űrlapadatokat és bankkártya-információkat. A jelszavak visszafejtéséhez gyakran ellopja a böngésző "Local State" fájljában tárolt, a felhasználó profiljához kötött dekódoló kulcsot is.

3. Munkamenet-lopás (Session Hijacking): A modern infostealerek egyik legveszélyesebb képessége a munkamenet-sütik (session cookies) és a kétfaktoros hitelesítéshez (2FA) kapcsolódó tokenek ellopása. Egy érvényes munkamenet-sütivel a támadó anélkül tud bejelentkezni a felhasználó fiókjába (pl. Gmail, vállalati felhőszolgáltatás), hogy ismerné a jelszót, és ezzel megkerülheti a 2FA védelmet is.

4. Célzott fájlok és alkalmazások keresése: A kártevő előre definiált listák alapján keres specifikus fájlokat és mappákat a felhasználó gépén. Különösen nagy hangsúlyt fektet a kriptovaluta-tárcákra (pl. Electrum, Exodus, Metamask), valamint az olyan alkalmazások által tárolt adatokra, mint a FileZilla (FTP), a NordVPN/OpenVPN/ProtonVPN (VPN kliensek), a Steam (játékplatform), a Discord és a Telegram (kommunikációs kliensek).

5. Képernyőkép készítése: A legtöbb stealer készít egy képernyőképet a felhasználó asztaláról a fertőzés pillanatában. Ez további kontextust adhat a támadóknak a megfertőzött rendszerről és a felhasználó tevékenységéről.

Esettanulmányok: A legelterjedtebb kártevők

Bár több száz infostealer variáns létezik, a piacot néhány domináns "márka" uralja, amelyek a Malware-as-a-Service (MaaS) modellben bérelhetők.

• Lumma Stealer (LummaC2): 2022-ben jelent meg, és gyorsan az egyik legnépszerűbb C++ nyelven írt kártevővé vált. A Dark Web fórumokon már havi 250 dolláros ártól bérelhető. Sikerét a folyamatos fejlesztésnek és a kifinomult rejtőzködési technikáknak köszönheti. Ilyen például a "control flow flattening", amely a program logikai folyamatát olvashatatlanná teszi az elemzők számára. A Lumma élen jár az innovatív terjesztési módszerek alkalmazásában is, mint a már említett hamis CAPTCHA oldalak, vagy a C2 szerver címének elrejtése a Binance Smart Chain blokkláncon, ami rendkívül ellenállóvá teszi a hagyományos blokkolási kísérletekkel szemben.

• Redline Stealer: Egy másik rendkívül elterjedt,.NET (C#) alapú MaaS kártevő, amely 2020 óta aktív. Jellemzően hamis szoftvertelepítőkkel és adathalász kampányokkal terjed. A perzisztencia (a rendszer újraindítása utáni ismételt elindulás) biztosítására gyakran manipulálja a Windows Feladatütemezőjét (Task Scheduler) vagy a rendszerleíró adatbázis (registry) "Run" kulcsait. A parancs- és vezérlőszerverrel való kommunikációhoz a Windows Communication Foundation (WCF) keretrendszert vagy újabban REST API-t használ. A C2 szerverek címének elrejtésére és a redundancia biztosítására előszeretettel használ legitim szolgáltatásokat, például GitHub repozitóriumokat "dead-drop resolver"-ként.

• Vidar Stealer: Ez a variáns arról vált hírhedtté, hogy a C2 szerverének aktuális IP-címét nem a kártevő kódjában, hanem nyilvános, de a támadók által kontrollált közösségi média profilok leírásában tárolja. Korábban a Mastodon és a Telegram volt a kedvelt platform, de újabb verziók már a Steam, a TikTok, sőt, az Ultimate Guitar (egy gitártabulatúrákat megosztó oldal) felhasználói profiljait is használják erre a célra. Ez a módszer rendkívül rugalmassá teszi a támadók infrastruktúráját: ha egy C2 szervert lekapcsolnak, egyszerűen frissítik a profilleírást egy új IP-címmel, anélkül, hogy a már telepített kártevőket frissíteniük kellene.

Az alábbi táblázat összefoglalja a leggyakoribb információlopó kártevők főbb jellemzőit, rávilágítva a fenyegetések sokszínűségére. Ez a diverzitás egyértelművé teszi, hogy a hatékony védekezés nem támaszkodhat egyetlen technológiára; ehelyett egy rugalmas, többrétegű stratégiára van szükség, amely képes alkalmazkodni a támadók folyamatosan változó taktikáihoz.

A kiberbűnözés gazdaságtana: A szolgáltatásként nyújtott kártevőktől a kezdeti hozzáférés piacáig

Az információlopó kártevők elterjedése nem csupán technológiai, hanem gazdasági jelenség is. A háttérben egy professzionális, specializált és rendkívül jövedelmező árnyékgazdaság húzódik meg, amely a legitim digitális piacok üzleti modelljeit másolja. Ennek a gazdaságnak a megértése kulcsfontosságú a kockázatok teljes körű felméréséhez.

A szolgáltatásként nyújtott kártevő (Malware-as-a-Service - MaaS) üzleti modell

A MaaS forradalmasította a kiberbűnözést. A modell lényege, hogy a magasan képzett kártevő-fejlesztők nem maguk hajtják végre a támadásokat, hanem egy komplett "szolgáltatáscsomagot" kínálnak bérbeadásra. Ez a csomag jellemzően a következőket tartalmazza :

• A kártevő (pl. Lumma, Redline): Egy folyamatosan frissített, a legújabb védelmi technológiák (antivírus, EDR) kijátszására optimalizált rosszindulatú program.

• Vezérlőpult (Panel): Egy webes felület, ahol a "bérlő" (az ún. affiliate) menedzselheti a kampányait, generálhat új kártevő-variánsokat (builder), és megtekintheti a lopott adatokat.

• Infrastruktúra: A fejlesztők biztosítják a háttérben futó parancs- és vezérlő (C2) szervereket, amelyek fogadják a lopott adatokat.

• Támogatás: A MaaS szolgáltatók gyakran technikai támogatást, útmutatókat, sőt, Telegram-csatornákon keresztül "ügyfélszolgálatot" is nyújtanak a bérlőiknek.

Ez a modell drámaian csökkentette a belépési korlátot. Ma már alacsony technikai tudással és viszonylag kevés pénzzel (a Redline havi 150 dollárért, a Lumma 250 dollárért bérelhető) rendelkező bűnözők is képesek kifinomult, globális adatlopó kampányokat indítani. A fizetési modellek változatosak: a havi vagy éves előfizetéstől az egyszeri díjakon át a sikeres támadásokból származó profit megosztásáig terjednek.

A Dark Web piacterei: A naplófájlok kereskedelme

A MaaS kampányok során begyűjtött, lopott adatokat tartalmazó naplófájlok (logs) a kiberbűnözői ökoszisztéma "nyersanyagát" képezik. Ezeket a fájlokat a támadók a Dark Weben található, erre szakosodott fórumokon és piactereken (pl. Russian Market, BreachForums, XSS) értékesítik.

A naplófájlok ára jellemzően alacsony, gyakran csupán 10 dollár körül mozog egy-egy fertőzött gép teljes adatcsomagjáért. Az alacsony ár oka a tömegesség és a minőség ingadozása; egy-egy napló tartalmazhat értékes vállalati hozzáférést, de lehet, hogy csak érdektelen, lejárt jelszavakat. Az adatok értéke az idő múlásával gyorsan csökken, mivel a felhasználók megváltoztatják a jelszavaikat, vagy a kompromittált fiókokat letiltják. Ezért a "frissesség" a legfontosabb értékmérő a piacon. A MaaS szolgáltatók közötti verseny egyik fő terepe éppen az, hogy ki tud frissebb, jobb minőségű, könnyebben kereshető és osztályozható naplókat biztosítani a vevőinek.

A kezdeti hozzáférés brókerei (Initial Access Brokers - IABs)

Az IAB-k a kiberbűnözői ellátási lánc specializált, magasabb szinten álló szereplői. Ők azok, akik áthidalják a szakadékot a tömeges, de alacsony értékű adatgyűjtés és a célzott, nagy értékű vállalati behatolások között. Működésük a következő lépésekből áll :

1. Felvásárlás és szűrés: Az IAB-k nagy tételben vásárolják fel az infostealer naplókat a Dark Web piacairól.

2. Validálás: Automatizált eszközökkel és manuális ellenőrzéssel kiszűrik azokat a naplókat, amelyek értékes, működő vállalati hozzáféréseket tartalmaznak. Ilyen lehet például egy VPN (Virtual Private Network), RDP (Remote Desktop Protocol), Citrix, vagy egy felhőszolgáltatáshoz (pl. AWS, Azure) tartozó fiók.

3. Értékesítés: A validált, garantáltan működő vállalati hozzáférést ("initial access") jóval magasabb áron, gyakran több száz vagy akár több ezer dollárért értékesítik a Dark Web fórumain. A vevők jellemzően zsarolóvírus-csoportok, adatlopásra szakosodott bandák vagy akár állami hátterű hírszerző ügynökségek.

A hirdetéseikben az IAB-k szándékosan homályosak, hogy megvédjék a "terméküket" az idő előtti lelepleződéstől. Jellemzően csak az érintett vállalat iparágát, éves árbevételét, földrajzi elhelyezkedését és a hozzáférés típusát (pl. Domain Admin, Local Admin) és privilégiumszintjét tüntetik fel.

A lánc következő Szeme: A "Credential Stuffing" támadások

A credential stuffing egy másik módja a tömegesen megszerzett hitelesítő adatok monetizálásának. Ahelyett, hogy egyedi, értékes hozzáféréseket keresnének, a támadók itt a mennyiségre játszanak. A folyamat a következő :

1. Combolist beszerzése: A támadók hozzájutnak egy hatalmas, felhasználónév-jelszó párosokat tartalmazó listához (combolist). Ezek származhatnak infostealer naplókból vagy korábbi adatszivárgásokból.

2. Automatizált eszközök: Speciális, nyílt forráskódú vagy megvásárolható szoftvereket (pl. OpenBullet, Sentry MBA, SNIPR) használnak, amelyek képesek automatikusan, nagy sebességgel kipróbálni a listán szereplő adatpárokat több száz vagy ezer különböző weboldal bejelentkezési felületén.

3. Rejtőzködés: A támadások során proxy szerverek kiterjedt hálózatát használják, hogy a rengeteg bejelentkezési kísérlet különböző IP-címekről érkezzen. Ezzel megnehezítik a forrás azonosítását és az IP-alapú letiltást.

4. Siker kiaknázása: Ha egy adatpár működik egy adott oldalon, az eszközt rögzíti a sikeres bejelentkezést. A támadó ezután átveheti az irányítást a fiók felett és azt csalásra, adatlopásra vagy további támadások indítására használhatja fel.

A credential stuffing támadások azon a széles körben elterjedt, de rendkívül veszélyes felhasználói szokáson alapulnak, hogy sokan ugyanazt a jelszót használják több különböző online fiókjukhoz.

Ennek a többszintű, specializált gazdasági modellnek a felismerése alapvető fontosságú a vállalati kockázatértékelés szempontjából. A MaaS modell lehetővé teszi a kártevők széles körű terjesztését alacsony képzettségű szereplők által, ami hatalmas mennyiségű, de vegyes minőségű "nyersanyagot" (infostealer naplókat) termel. Az IAB-k egy újabb gazdasági réteget képeznek: ők a "minőség-ellenőrök" és a "nagykereskedők", akik áthidalják a szakadékot a tömeges adatgyűjtés és a célzott vállalati behatolás között. A Verizon DBIR statisztikája, miszerint a zsarolóvírus-áldozatok 54%-ánál már korábban megjelentek a hitelesítő adatok a feketepiacon, statisztikailag is igazolja ennek a láncnak a működését. Ennek fényében egyetlen ellopott vállalati jelszó nem csupán egy fiók kompromittálódását jelenti, hanem egy ipari méretű kiberbűnözői gépezet beindításának potenciális gyújtópontja. Ez a felismerés a vállalati kockázatértékelésben a hitelesítő adatok védelmének prioritását drámaian megemeli.

A kockázatok vállalati és egyéni szinten

Az információlopó kártevők által vezérelt adatlopás következményei messze túlmutatnak egy egyszerű jelszó elvesztésén. Mind a vállalatok, mind a magánszemélyek számára súlyos, gyakran pénzügyileg is mérhető károkat okozhatnak. A kockázatok megértéséhez elengedhetetlen a teljes támadási lánc és annak lehetséges hatásainak elemzése.

Vállalati kockázatok: Az első lépéstől a teljes kompromittációig

Egyetlen kompromittált vállalati hitelesítő adat megszerzése a támadók számára csupán az első lépés. A valódi veszélyt az jelenti, ami ezután következik.

• Kezdeti hozzáférés és oldalirányú mozgás (Lateral Movement): Amikor egy támadó egy érvényes felhasználónévvel és jelszóval (pl. egy VPN-fiókhoz) bejut a vállalati hálózatba, az elsődleges célja, hogy minél mélyebbre jusson és minél magasabb jogosultságokat szerezzen. Ezt a folyamatot nevezik oldalirányú mozgásnak. A CrowdStrike 2025-ös Globális Fenyegetettségi Jelentése szerint a támadók rendkívül gyorsak: a kezdeti behatolást követően átlagosan mindössze 48 perc alatt megkezdik az oldalirányú mozgást a hálózaton. A leggyorsabb mért "breakout time" pedig mindössze 51 másodperc volt. Ez a szűk időablak hatalmas nyomást helyez a védelmi csapatokra, hogy a behatolást szinte azonnal észleljék és megállítsák.

• Adatszivárgás és szellemi tulajdon ellopása: Miután a támadók megvetették a lábukat a hálózaton, hozzáférhetnek és ellophatnak bármilyen érzékeny adatot: ügyféladatbázisokat, pénzügyi nyilvántartásokat, üzleti terveket, kutatás-fejlesztési dokumentációt és egyéb, a vállalat számára kritikus szellemi tulajdont. Ennek következményei a versenyhátránytól a súlyos jogi és szabályozói bírságokig terjedhetnek.

• Zsarolóvírus-támadások: Az infostealerek által szerzett kezdeti hozzáférés az egyik leggyakoribb és legközvetlenebb út a zsarolóvírus-támadásokhoz. A bejutást követően a támadók titkosítják a vállalat adatait és váltságdíjat követelnek a visszaállításukért. A Verizon 2025-ös Adatsértési Jelentése (DBIR) egyértelmű korrelációt mutatott ki: a zsarolóvírus-támadások áldozatává vált vállalatok 54%-ánál a támadást megelőzően már megjelentek a kompromittált hitelesítő adatok a feketepiaci adatbázisokban. Ez azt jelenti, hogy az infostealer fertőzés gyakran a zsarolóvírus előszobája.

• Üzletmenet-folytonossági problémák és pénzügyi veszteségek: Egy sikeres kibertámadás, különösen egy zsarolóvírus-incidens, napokra vagy akár hetekre megbéníthatja a vállalat működését. Az ebből fakadó közvetlen pénzügyi veszteségek (bevételkiesés, helyreállítási költségek, szakértői díjak, bírságok) mellett a közvetett károk is jelentősek lehetnek. Az IBM szerint egy adatsértés átlagos globális költsége 2024-ben elérte a 4,9 millió dollárt.

• Reputációs kár és ügyfélbizalom elvesztése: Egy nyilvánosságra került adatvédelmi incidens súlyosan károsíthatja a vállalat hírnevét, és megingathatja az ügyfelek, partnerek és befektetők bizalmát. A bizalom helyreállítása hosszú és költséges folyamat lehet.

Magánszemélyeket érintő veszélyek

Bár a jelentés fókusza a vállalati kockázatokon van, fontos megérteni a magánszemélyeket érintő veszélyeket is, mivel a vállalati incidensek gyakran a munkavállalók személyes eszközeinek kompromittálódásával kezdődnek.

• Közvetlen pénzügyi veszteség: Az online banki hozzáférések vagy kriptovaluta-tárcák adatainak ellopása a legegyértelműbb veszély, ami az áldozat megtakarításainak teljes elvesztéséhez vezethet.

• Személyazonosság-lopás és csalás: Az ellopott személyes adatok (név, cím, azonosító számok) birtokában a bűnözők az áldozat nevében nyithatnak bankszámlákat, vehetnek fel hiteleket, vagy követhetnek el más, az áldozatot jogilag és anyagilag is kellemetlen helyzetbe hozó csalásokat.

• Fiókok elvesztése és megszemélyesítés: A támadók átvehetik az irányítást az áldozat közösségi média és e-mail fiókjai felett. Az ellopott e-mail fiók különösen veszélyes, mivel gyakran ez a kulcs a többi online szolgáltatás jelszó-visszaállítási folyamatához. A bűnözők az áldozat nevében küldhetnek spam vagy adathalász üzeneteket, ezzel károsítva annak hírnevét és kapcsolatait.

• Célzott adathalászat (Spear Phishing) és zsarolás: A megszerzett részletes személyes információk (pl. levelezés tartalma, böngészési előzmények) birtokában a bűnözők sokkal hitelesebb, személyre szabott adathalász támadásokat indíthatnak. Emellett az érzékeny adatok nyilvánosságra hozatalával való fenyegetés (zsarolás) is gyakori módszer.

Iparági statisztikák és trendek: A számok tükrében

A fenyegetés súlyosságát a vezető kiberbiztonsági cégek és szervezetek jelentései is alátámasztják:

• Verizon 2025 DBIR (Data Breach Investigations Report): A jelentés szerint a hitelesítő adatokkal való visszaélés a vizsgált adatsértések 42%-ában játszott szerepet. Az elemzett infostealer naplókban szereplő, kompromittált eszközök 30%-a egyértelműen vállalati licenccel rendelkező gép volt. Ennél is aggasztóbb, hogy a vállalati bejelentkezési adatokat is tartalmazó fertőzött eszközök 46%-a nem a vállalat által menedzselt, személyes (BYOD - Bring Your Own Device) gép volt, ami rávilágít a távmunka és a személyes eszközök munkahelyi használatának kockázataira.

• CrowdStrike 2025 Global Threat Report: A jelentés drámai tendenciára hívja fel a figyelmet: a támadások 79%-a már "malware-free", ami azt jelenti, hogy a támadók nem hagyományos kártevőket, hanem ellopott hitelesítő adatokat és a rendszerbe épített, legitim eszközöket (pl. PowerShell) használnak a céljaik elérésére. Ez a módszer sokkal nehezebben detektálható a hagyományos antivírus szoftverek számára. Az Initial Access Broker hirdetések száma egyetlen év alatt 50%-kal nőtt a Dark Web fórumain, jelezve a piac robbanásszerű növekedését.

• KELA Report: A KELA kiberhírszerző cég jelentése szerint az infostealer fertőzések száma 2024-ben elérte a 4,3 milliót, amelyek során 330 millió új hitelesítő adatot loptak el. A piacot három fő kártevőcsalád uralja: a Lumma, a StealC és a Redline, amelyek együttesen a fertőzések több mint 75%-áért felelősek.

A statisztikákból egyértelműen kirajzolódik a "Bring Your Own Device" (BYOD) és a távmunka által jelentett, drámaian megnövekedett vállalati támadási felület. A személyes és munkahelyi digitális terek összemosódása a kiberbűnözők számára aranybányát jelent. A védekezés már nem állhat meg a vállalati hálózat határán (perimeter). A Verizon adatai világosan megmutatják, hogy a kompromittált vállalati adatokat tartalmazó eszközök közel fele nem a vállalat által felügyelt, hanem személyes gép. Az infostealerek jellemzően ilyen személyes eszközöket fertőznek meg, például játékokhoz letöltött kiegészítőkön vagy kalózszoftvereken keresztül. A felhasználók a kényelem érdekében gyakran mentik el a munkahelyi jelszavakat (pl. VPN, Office 365) a személyes gépük böngészőjébe. Amikor egy infostealer lefut egy ilyen gépen, válogatás nélkül gyűjti össze a személyes (pl. Facebook) és a vállalati adatokat is. Mindez arra a következtetésre vezet, hogy a vállalatok kiberbiztonsága ma már közvetlenül függ az alkalmazottak otthoni digitális higiéniájától. A leggyengébb láncszem nem a legmodernebb tűzfal, hanem az az alkalmazott, aki a személyes laptopján a vállalati VPN jelszavát a böngészőben tárolja egy fertőzött program mellett. Ez a felismerés a biztonságtudatossági képzések és a végpontvédelmi stratégiák teljes újragondolását teszi szükségessé.

Nemzetközi ellencsapás: A bűnüldöző szervek harca az infostealer-hálózatok ellen

Az információlopó kártevők és a rájuk épülő kiberbűnözői ökoszisztéma globális jellegére válaszul a nemzetközi bűnüldöző szervek is egyre inkább a határokon átnyúló, összehangolt műveletekre helyezik a hangsúlyt. Ezek az akciók a magánszektorral való szoros együttműködésben valósulnak meg, és céljuk a bűnözői infrastruktúra felszámolása.

Globális összefogás a kiberbűnözés ellen

A modern kiberbűnözés nem ismer országhatárokat. Egy MaaS szolgáltató szerverei lehetnek egy országban, az "affiliate" bűnözők egy másikban, az áldozatok pedig a világ bármely pontján. Erre a kihívásra válaszul az olyan nemzetközi szervezetek, mint az Europol (az Európai Unió Bűnüldözési Együttműködési Ügynöksége) és az INTERPOL (Nemzetközi Bűnügyi Rendőrség Szervezete), kulcsfontosságú koordinációs szerepet töltenek be. Összefogják a nemzeti hatóságok (mint például az amerikai Igazságügyi Minisztérium - DOJ és a Szövetségi Nyomozó Iroda - FBI) nyomozati munkáját, és platformot biztosítanak a hírszerzési információk gyors megosztására.

Jelentős műveletek és eredményeik

Az elmúlt időszakban több sikeres, nagyszabású művelet is rávilágított a nemzetközi összefogás erejére:

• Operation Secure (INTERPOL): 2025 elején lezajlott, 26 ázsiai és csendes-óceáni ország rendőri szerveit tömörítő művelet, amely kifejezetten az infostealer-hálózatokat célozta. Az akció során több mint 20 000 kártékony IP-címet és domaint kapcsoltak le, 41 szervert foglaltak le és 32 gyanúsítottat tartóztattak le. A művelet részeként a hatóságok több mint 216 000 potenciális áldozatot értesítettek, hogy tegyék meg a szükséges óvintézkedéseket.

• Lumma Stealer Takedown (Microsoft, DOJ, Europol): 2025 májusában egy példaértékű, köz- és magánszféra közötti együttműködés keretében összehangolt csapást mértek a Lumma infostealer MaaS szolgáltatásra. A Microsoft technikai felderítése alapján az amerikai Igazságügyi Minisztérium bírósági végzéssel lefoglalta a Lumma központi vezérlőpultjait üzemeltető domaineket. Ezzel párhuzamosan az Europol koordinálta az európai, a japán Kiberbűnözés Elleni Központ (JC3) pedig a japán illetőségű infrastruktúra lekapcsolását. A művelet során mintegy 2300 domaint tettek elérhetetlenné. A lefoglalt domaineket úgynevezett "sinkhole" szerverekre irányították át, amelyek nem lopnak adatot, hanem gyűjtik a fertőzött gépekről érkező kapcsolódási kísérleteket, ezzel segítve a fertőzések feltérképezését és az áldozatok értesítését.

• Operation Endgame (Europol, Eurojust): Egy nagyszabású, több fázisból álló, folyamatban lévő művelet, amely nem egyetlen kártevőt, hanem a kiberbűnözői ökoszisztéma alapjait, a kártevő-terjesztő hálózatokat (droppereket és loadereket) célozza. Olyan hírhedt kártevőcsaládok infrastruktúráját számolták fel, mint a Trickbot, IcedID, Qakbot vagy a Bumblebee. Ezek a kártevők az infostealerekhez hasonlóan gyakran a "kezdeti hozzáférést" biztosítják a zsarolóvírus-csoportok számára, így a felszámolásukkal a teljes támadási láncot (kill chain) igyekeznek megbénítani.

A köz- és magánszféra együttműködésének (Public-Private Partnership) jelentősége

A fent említett sikeres műveletek egyike sem lett volna lehetséges a magánszektor kiberbiztonsági cégeivel való szoros partnerség nélkül. Az olyan vállalatok, mint a Microsoft, a Kaspersky, a Trend Micro, az ESET vagy a Group-IB, rendelkeznek azzal a globális telemetriával, technikai szakértelemmel és fenyegetés-felderítési képességgel, amely a bűnözői hálózatok feltérképezéséhez szükséges.

A modell lényege a munkamegosztás:

• A magánszektor felderíti és elemzi a fenyegetéseket, azonosítja a kártékony infrastruktúrát (C2 szerverek, domainek), és a technikai bizonyítékokat átadja a hatóságoknak.

• A bűnüldöző szervek a jogi eszközökkel (nyomozati jogkörök, bírósági végzések, nemzetközi jogsegély) élve hajtják végre a fizikai és virtuális lefoglalásokat, lekapcsolásokat és a gyanúsítottak elfogását.

Ez a szimbiózis teszi lehetővé, hogy a hatóságok hatékonyan lépjenek fel a gyorsan változó, globális kiberfenyegetésekkel szemben.

A hatósági műveletek mögött egy egyre kifinomultabb stratégia húzódik meg. A bűnüldöző szervek felismerték, hogy a reaktív, egyedi bűncselekmények (pl. egy-egy zsarolóvírus-támadás) felderítése rendkívül erőforrás-igényes és kevésbé hatékony. Ehelyett a proaktív, ökoszisztéma-szintű beavatkozásokra helyezik a hangsúlyt. Az "Operation Endgame" neve is erre utal : a cél a támadási lánc (kill chain) minél korábbi szakaszának megzavarása, a "játék" végét jelentő zsarolás helyett. Azzal, hogy a kezdeti hozzáférést biztosító szolgáltatásokat (MaaS, IAB-k, dropperek) számolják fel, a teljes kiberbűnözői "iparágtól" veszik el a működéshez szükséges alapvető eszközöket. Ez a stratégiai váltás a vállalatok számára azt jelenti, hogy a hatósági fellépések ideiglenes enyhülést hozhatnak egy-egy kártevőcsalád visszaszorulásával. Ugyanakkor a kiberbűnözői piac rugalmassága és gyors alkalmazkodóképessége miatt a fenyegetés mindig új formában, új szereplőkkel fog újjászerveződni. Ezért a külső segítség ellenére a saját, robusztus védelem kiépítése továbbra is elkerülhetetlen.

Védelmi stratégiák magyar vállalatok számára: A megelőzéstől az incidenskezelésig

A hitelesítő adatok ellopására épülő támadások elleni védekezés komplex, többrétegű megközelítést igényel, amely a legmodernebb technológiai megoldásokat ötvözi a szigorú szervezeti eljárásokkal és a munkavállalók folyamatos képzésével. A magyarországi vállalatok számára mindezt keretbe foglalja és kötelezővé teszi az új NIS2 kiberbiztonsági szabályozás.

Technológiai védvonalak: A modern védekezés pillérei

A technológia jelenti a védelem első, alapvető rétegét. A modern fenyegetésekkel szemben azonban a hagyományos eszközök már nem nyújtanak elegendő védelmet.

• Végpontvédelem (Endpoint Protection): Az infostealerek rejtőzködő természetűek; gyakran csak a memóriában futnak és igyekeznek elkerülni, hogy a merevlemezen nyomot hagyjanak. A hagyományos, szignatúra-alapú antivírusok, amelyek ismert kártevő-mintákat keresnek, gyakran tehetetlenek velük szemben. Ezért elengedhetetlen a fejlettebb, viselkedésalapú elemzésre képes Végpont-észlelési és Reagálási (Endpoint Detection and Response - EDR) vagy Kiterjesztett Észlelési és Reagálási (Extended Detection and Response - XDR) megoldások alkalmazása. Ezek a rendszerek nem csak ismert kártevőket keresnek, hanem a gyanús folyamatokat és tevékenységeket (pl. egy irodai program hirtelen elkezd böngészőadatbázisokat olvasni, vagy szokatlan hálózati kapcsolatot épít ki) is figyelik, és képesek automatikusan blokkolni azokat.

• Többfaktoros hitelesítés (Multi-Factor Authentication - MFA): Az MFA a legkritikusabb és leghatékonyabb védelmi vonal a hitelesítő adatokkal való visszaélés ellen. Még ha egy támadó meg is szerzi a felhasználó jelszavát, az MFA megkövetel egy második, független azonosítási faktort (pl. egy mobilalkalmazás által generált kód, egy ujjlenyomat, egy fizikai biztonsági kulcs), ami nélkül nem tud bejelentkezni. Fontos azonban megjegyezni, hogy nem minden MFA módszer egyformán biztonságos. A modern infostealerek képesek ellopni a munkamenet-sütiket, amivel bizonyos MFA-védelmek megkerülhetők. Ezért a legmagasabb biztonságot az úgynevezett "adathalászat-rezisztens" (phishing-resistant) MFA megoldások, mint például a FIDO2 szabványon alapuló fizikai biztonsági kulcsok (pl. YubiKey) nyújtják.

• Hálózati szegmentáció és Zero Trust architektúra: A hagyományos "várerőd" modell, ahol a belső hálózat megbízható, a külső pedig nem, mára elavult. A hálózati szegmentáció azt jelenti, hogy a belső hálózatot kisebb, izolált részekre (szegmensekre) bontják. Így ha egy támadó bejut az egyik szegmensbe (pl. a marketing osztály gépeire), nem fér hozzá automatikusan a többihez (pl. a pénzügyi szerverekhez), ami jelentősen megnehezíti az oldalirányú mozgást. Ezt az elvet emeli a legmagasabb szintre a

  Zero Trust (Soha ne bízz, mindig ellenőrizz) architektúra, amely szerint semmilyen felhasználó vagy eszköz nem tekinthető alapértelmezetten megbízhatónak, függetlenül attól, hogy a hálózaton belül vagy kívül található. Minden egyes hozzáférési kísérletet szigorúan ellenőrizni és hitelesíteni kell.

• Proaktív fenyegetés-felderítés (Threat Intelligence) és Dark Web monitoring: A reaktív védekezés (a már bekövetkezett támadásokra való reagálás) helyett a proaktív megközelítésre kell törekedni. Ez magában foglalja a Dark Web folyamatos monitorozását speciális szolgáltatások segítségével. Ezek a szolgáltatások figyelik a kiberbűnözői fórumokat és piactereket, és riasztást küldenek a vállalatnak, ha a céghez (pl. a @vallalat.hu domainhez) vagy annak alkalmazottaihoz köthető hitelesítő adatok, esetleg belső rendszerekhez való hozzáférések bukkannak fel eladóként. Ez a korai figyelmeztetés lehetőséget ad a vállalatnak, hogy azonnal lecserélje a kompromittált jelszavakat, letiltsa a fiókokat és kivizsgálja az incidenst, mielőtt a támadók felhasználnák az adatokat.

Az alábbi táblázat egy gyakorlati mátrixban foglalja össze a legfontosabb fenyegetéseket és az ellenük javasolt, többrétegű védelmi intézkedéseket. Ez a "harcászati térkép" segítheti a biztonsági vezetőket a prioritások meghatározásában és a meglévő képességek felmérésében.

Szervezeti és emberi tényezők: A technológia nem elég

A legfejlettebb technológia is hatástalan, ha a szervezeti folyamatok hiányosak, vagy ha a felhasználók nincsenek felkészítve a rájuk leselkedő veszélyekre.

• Biztonságtudatossági képzés: A munkavállalók a védelem első vonalát és egyben a leggyengébb láncszemét is jelentik. A képzés nem lehet egy évente egyszer letudott, unalmas prezentáció. Rendszeres, gyakorlatias, a legújabb támadási trendekre (pl. AI-generált phishing) reflektáló oktatásra van szükség. A szimulált adathalász kampányok kiválóan mérik a felkészültséget és segítenek a kockázatosabb felhasználói csoportok azonosításában.

• Incidensreagálási terv (Incident Response Plan): Elkerülhetetlen, hogy egy vállalatot előbb-utóbb valamilyen biztonsági incidens érjen. A kérdés nem az, hogy megtörténik-e, hanem az, hogy a vállalat felkészült-e rá. Egy előre kidolgozott, a vezetőség által jóváhagyott és rendszeresen (pl. asztali gyakorlatokkal, zsarolóvírus-szimulációval) tesztelt incidensreagálási terv kulcsfontosságú. Ennek a tervnek pontosan meg kell határoznia a lépéseket, a felelősségi köröket (IT, jog, kommunikáció, menedzsment), a belső és külső (pl. hatóságok, ügyfelek) kommunikáció rendjét, valamint a technikai helyreállítás folyamatát.

• Beszállítói lánc biztonsága (Supply Chain Security): A vállalatok digitális ökoszisztémája szorosan összefonódik a partnereik és szolgáltatóik rendszereivel. Egy beszállítónál bekövetkezett biztonsági incidens könnyen átterjedhet a vállalatra. Ezért a partnerek kiválasztásánál a kiberbiztonsági érettségnek is szempontnak kell lennie, és a szerződésekben rögzíteni kell a biztonsági követelményeket és az incidensek jelentési kötelezettségét. Ez a terület a NIS2 szabályozás miatt is kiemelt fontosságúvá válik.

Várható Trendek

A kiberbiztonság területe folyamatosan változik, a támadók és a védők állandó fegyverkezési versenyben állnak. A közeljövőben a következő trendek várhatóak:

• A mesterséges intelligencia (AI) szerepének növekedése: A támadók egyre inkább bevetik a generatív AI-t a social engineering támadások finomítására. Az AI által írt adathalász e-mailek nyelvezetileg tökéletesek, a hangklónozás és a deepfake videók pedig új szintre emelhetik a vezetői szinteket célzó, megtévesztésen alapuló csalásokat (CEO fraud).

• Az infostealerek dominanciájának folytatódása: Amíg a jelszóalapú hitelesítés a legelterjedtebb, az infostealerek a kezdeti hozzáférés megszerzésének elsődleges eszközei maradnak. A MaaS piac várhatóan tovább fejlődik, új, még kifinomultabb és nehezebben detektálható kártevőkkel.

• A hatósági és szabályozói nyomás erősödése: A nemzetközi bűnüldöző szervek várhatóan folytatják a kiberbűnözői infrastruktúra felszámolására irányuló műveleteiket. Ezzel párhuzamosan a NIS2-höz hasonló szabályozások egyre több vállalatot kényszerítenek majd a biztonsági szintjük emelésére, ami a piac egészére pozitív hatással lehet.

Záró gondolat

A digitális korban a kiberbiztonsági reziliencia nem egy egyszer elérendő, statikus állapot, hanem egy folyamatos alkalmazkodási és tanulási folyamat. A fenyegetések folyamatosan fejlődnek, és a védelmi stratégiáknak is lépést kell tartaniuk velük. A proaktív védekezési kultúra kiépítése, a technológiai, szervezeti és emberi tényezők együttes kezelése, valamint a folyamatos éberség ma már nem csupán egy IT-feladat, hanem a digitális korban való üzleti túlélés és a fenntartható működés alapfeltétele.