Bombariadók: az orosz Yandexen keresztül, azeri fiókból érkezhetett az iskolákat fenyegető levél
Rendőrök vonultak ki a bombafenyegetésben érintett iskolákhoz (Fotó: a rendőrség Facebook-oldala) - Fotó: Vaszko Viktor

Összetett módon próbálta védeni identitását az a levélíró, aki csütörtökön több száz magyarországi iskolát és diákot fenyegetett meg – a visszakövethető szálak pedig Európa peremeire vezetnek, tudtuk meg Frész Ferenc kiberbiztonsági szakértőtől.

Mint megírtuk, csütörtök reggel több mint 200 magyarországi iskolában volt bombariadó, miután robbantással fenyegető levelek érkeztek az e-mail címeikre. 11 óra után a közösségi médiában a rendőrség maga is közzétette a bombafenyegetést tartalmazó elektronikus levelet a Facebook-oldalán, A kormányinfón Gulyás Gergely is megerősítette, hogy hitelesek az internetről felkerült, a fenyegető e-mailekről készült képek, 

Ahogy arról lapunk is írt, a levél a harcos [at] coredp [dot] com címről érkezett. A coredp egy „eldobható email-cím” szolgáltatás, amit jellemzően akkor használnak, ha az illető adott fiókba, felületre nem a saját e-mail-címével szeretne bejelentkezni, el akarja rejteni saját adatait – mondja a szakember. Az eldobható címeket egy Lviv-ben bejegyzett ukrán cég generálja, ám a bombával fenyegető levélíró ettől még nem (feltétlenül) ukrajnai; gyakorlatilag bárki, bármelyik országból kérhet ilyen e-mailt a felhő alapú szolgáltatások korában, ahol a szolgáltató és a fizikai szerverállomány más-más kontinensen is lehet.

yandex

További érdekes részlet azonban, hogy a levélíró a coredp(at)com dobhatós címmel az oroszországi Yandex egyik fiókjába regisztrált be. Méghozzá – a levél forráskódja alapján – egy azerbajdzsáni fiókba, erre utal a yandex(at)az cím. „A forráskódból látszik, hogy az illető a moszkvai, vagyis 3-as időzónából küldte levelét. Amikor a küldés gombra nyomott, az ottani idő szerint fél kilenc után, már munkaidőben történt” – állította Frész, aki a Facebook-oldalán is posztolt meglátásairól. Az Átlátszó a Reddit.com egyik magyar fórumán megjelent posztra hivatkozva arról ír: a reddites képeken s látszik, hogy a megerősítő e-mail nem egy Yandex.com, hanem yandex.com.am végződésű e-mailről érkezett. A .am örményországi domain-végződés, de a yandex.com.am szintén az orosz szolgáltató oldala.  

A levél láthatóan fordítóprogrammal készült, szóhasználata, mondatszerkezete helyenként idegenszerű. Nyilatkozónk szerint készítője (vagy készítői) nem végeztek vele profi munkát. Közvetítőnyelvként valószínűleg az angolt használták, és az arab nyelvekre jellemző cirádákat, emelkedettebb stílusjegyeket is próbáltak a levélbe csempészni, egy dzsihadista fenyegetéshez illően. Máshol azonban a levél nyelvezete jóval egyszerűbb – mintha több szövegből ollózták volna össze az üzenetet.

A levélíró identitását elfedő technikák, az érintett országok és maga a levél homályos tartalma miatt sem lehet megmondani, hogy ki küldhette a magyar iskolákat fenyegető e-mail-t – mint Frész rámutat, gyakorlatilag bárki, bármelyik titkosszolgálat, de akár egy felkészültebb szabotőr is állhat mögötte. A cél azonban egyértelműnek tűnik: megingatni a magyar állampolgárok biztonságérzetét, a kormány cselekvőképességébe vetett hitet. És ez – tekintve a NATO-tagként is orosz érdekeket előtérbe helyező Orbán-kormány helyzetét, diplomáciai lavírozását – ez számos szereplő érdeke lehet.