Kiberbiztonsági kutatók olyan állami dokumentumokat találtak kormányhivatali weboldalakon, amelyek állami ügyintéző felületekre lennének hivatottak továbbirányítani az állampolgárokat, de a szövegben található linkek ehelyett olyan oldalra mutatnak, amelyről néhány éve kiderült, hogy az orosz katonai hírszerzéshez köthető hekkerek használták fel a magyar kormány elleni adathalász támadáshoz – olvasható a Telex tényfeltárásában.
Ebből kiderül többek között, hogy nem az oroszok hekkelték be magukat a rendszerbe. Az iratok beszkennelésekor egy hibás karakterfelismerés miatt kerültek olyan linkek az anyagokba, amelyek a magyar kormányzati oldalak gov.hu végződése helyett az arra nagyon hasonlító qov.hu domainre mutatnak.
A lap előljáróban emlékeztet arra a 2014-es esetre, amikor orosz hekkerek célzott adathalász támadást indítottak a Honvédelmi Minisztérium ellen. A fegyverük akkor az volt, hogy weboldalakat másoltak le és tettek elérhetővé az eredetihez megszólalásig hasonlító linkeken, majd ezeket elküldték nekik. A támadók regisztrálták a kormányzati oldalaknál használatos gov.hu-ra hasoníltó qov.hu domaint, hogy – akár véletlenül is – odatévedjenek az áldozatok, így nyerve ki tőlük értékes információkat.
Mint kiderült, a qov.hu domain néhány évig tartó parkoltatás után újra elérhetővé vált, megint került mögé IP-cím, ráadásul magyarországi. Ezt Frész Ferenc, a Cyber Services alapító-vezérigazgatója és munkatársai fedezték fel, majd közzé is tették egy zárt Facebook-csoportban. Ezt ők maguk hozták létre az orosz–ukrán háború kitörésekor, hogy elősegítsék a kiberbiztonsági szakértők közötti információmegosztást. Közben viszont felfedezték, hogy a qov.hu egy magyar IP-n, a Freemium nevű doménszolgálatónál egy ideje újra elérhető.
A hekkereknek ez azonban még nem jelent azonnali sikert, az embereket oda is kell terelni a megfelelő helyre. Ezt egy szkennelési baki megoldotta helyettük.
gov vagy qov
2015-ben kezdte meg a működését a KÉR, az egységes kormányzati ügyiratkezelő rendszer érkeztető rendszere, aminek megszűnéséig az volt a feladata, hogy digitalizálja a nyomtatott formában beérkező iratokat, és úgy küldje tovább a címzett állami szervnek. Ahogy a Telex írja, a papíralapú dokumentumokat is digitális formátumból nyomtatták ki, mielőtt papíralapon feladták őket, hogy később a visszaszkenneljék őket. Így a szkennelt szövegekben is találhatók linkek, amelyeket a szkennelés során újra kattinthatóvá tettek. Ennek a folyamatnak az egyik eredménye lehet a qov.hu-s felület létrejötte és elterjedése.
Ez a jelek szerint senkinek nem tűnt fel, mert ebben a formában tették elérhetővé az érintett dokumentumokat.
Ez egy óriási baki, amire jó, hogy most fény derült, mert ha ezek a domének aktívak, márpedig most aktívak, akkor onnantól kezdve nagyon egyszerű a támadó dolga
– mondta Frész Ferenc a Telexnek, aki azt is elmondta, ő is talált aggályos dokumentumot, még csak nagyon keresnie sem kellett. A Szabolcs-Szatmár-Bereg Megyei Kormányhivatal által kiadott egyik dokumentum az Államkincstár Adategyeztetési és Nyugdíjbiztosítási Osztályához tartozó árvaellátási ügyekről szól. Ebben szerepelt egy link, ami a szándék szerint az Államkincstár nyugdíjbiztosítási aloldalára, valójában azonban a qov.hu domén egy aloldalára vezet, amelynek a címében, szintén az aláhúzott szöveg rossz felismerése miatt, szerepelt a „nvuadiibiztositas” szó is.
Frész szerint a történet pozitívuma, hogy a hibára idejében fény derült, a felismerése után pedig az illetékesek rögtön cselekedtek.