Kormányhivatali weboldalakon több olyan dokumentum is megtalálható, amik a biztonságos weboldalak helyett egy olyan linkre viszik a felhasználót, amiről régóta ismert, hogy azt az orosz katonai hírszerzéshez köthető hackerek használták – írta meg a Telex.hu.

A nyugtalanító jelenségre kiberbiztonsági szakértők hívták fel a figyelmet: Frész Ferenc, a Cyber Services alapító-vezérigazgatója és munkatársai erről jelentést is tettek a CyberThreat.Report nevű zárt Facebook-csoportban. Ezt ők maguk hozták létre, még az orosz–ukrán háború kitörése előtt, hogy segítsék a kiberbiztonsági szakértők közötti információmegosztást.

A probléma hátterében az áll, hogy több dokumentumban nem a magyar kormányzati oldalak gov.hu végződése szerepel, hanem az arra nagyon hasonlító qov.hu cím.

A cikk szerint nem arról van szó, hogy az oroszok behekkelték magukat ezekbe a dokumentumokba, vagy az állami rendszerekbe, a magyarázat ennél meghökkentőbb: az iratok beszkennelésekor véletlenül, hibás karakterfelismerés miatt kerülhettek be olyan linkek, amik a „q”-s végződésű címre mutatnak.

A Telex szerint az ügynek van egy ide kapcsolható előzménye is. 2014-ben célzott adathalász támadás érte a Honvédelmi Minisztériumot. A támadók úgy próbáltak meg bejutni a minisztériumi levelezőrendszerbe, hogy az ott dolgozók érdeklődési körébe eső weboldalakat másoltak le és tettek elérhetővé az eredetihez nagyon hasonló linkeken. Majd ezeket tájékoztató e-mailnek álcázva elküldték nekik. A linkre kattintva azonban nemcsak az oldalak nyíltak meg, hanem a háttérben a minisztériumi levelezőrendszer webes belépőfelületének másolata is, szintén az eredetihez nagyon hasonló doménen:

a mail.hm.gov.hu helyett a mail.hm.qov.hu címen – azaz g betű helyett q-val.

„Ez egy óriási baki, amire jó, hogy most fény derült, mert ha ezek a domének aktívak, márpedig most aktívak, akkor onnantól kezdve nagyon egyszerű a támadó dolga” – mondta a mostani ügyről Frész Ferenc.

A konkrét példa, amelyben a q-s domént Frészék megtalálták, a Szabolcs-Szatmár-Bereg Megyei Kormányhivatal által kiadott dokumentum. Ez az Államkincstár Adategyeztetési és Nyugdíjbiztosítási Osztályához tartozó árvaellátási ügyekkel foglalkozik. Ebben szerepelt egy link, ami a szándék szerint az Államkincstár nyugdíjbiztosítási aloldalára mutatott volna. Ám valójában a qov.hu domén egy aloldalára vitt, amelynek a címében, szintén az aláhúzott szöveg rossz felismerése miatt szerepelt a „nvuadiibiztositas” szó is.

Frész Ferenc szerint a történet pozitívuma, hogy az állami szereplők a hiba felfedezése után rögtön léptek: „Szerintem nagy eredmény, hogy a Facebook-csoportunkban ott vannak az állami szereplők is, és ezek a kollégák nagyon gyorsan reagáltak.”