Orosz nyelvű fiókhoz kapcsolódik az e-mail cím, amelyről az iskolai bombafenyegetéseket küldték

Orosz nyelvű e-mail fiókot használhatott az iskolai bombafenyegetések küldője. A fenyegetéseket egy eldobható e-mail címről küldték, amit a Reddit egyik felhasználójának sikerült megnyitni. A „[email protected]” címre a bombafenyegetés elküldése előtt egy orosz nyelvű e-mail érkezett, ami arra utal, hogy hozzárendelték egy orosz nyelvi beállításokkal regisztrált Yandex-fiókhoz.

Csütörtök reggel több mint 200 magyarországi iskolában volt bombariadó, miután robbantással fenyegető levelek érkeztek az e-mail címeikre. Az aznapi kormányinfón Gulyás Gergely megerősítette, hogy hitelesek az internetről felkerült, a fenyegető e-mailekről készült képek, ez a cím küldte el ugyanazt a szöveget az érintett iskoláknak.

A képernyőfotókon az látszik, hogy az e-maileket egy „[email protected]” című fiókról küldték el. A magyar nyelvű szöveg utalásokat tartalmaz az iszlamista terrorizmusra, és bár látszólag nyelvtanilag helyes, de sok szófordulata magyartalan, ami arra utal, hogy fordítóprogrammal fordították le eredeti nyelvről.

Szabadon hozzáférhető e-mailről érkezett

Délután a reddit.com egyik magyar fórumán megjelent egy poszt, ahol a szerző azonosította az e-mail cím domainját. Mint írta, a coredp.com több kétes tulajdonos kezén ment át, jelenleg pedig egy eldobható e-mail szolgáltatáshoz tartozik. Az eldobható e-mail oldalak lényege, hogy regisztráció nélkül is készíthetünk rajtuk anonim e-mail fiókot, amiken ezután lehet e-maileket fogadni, vagy akár küldeni is.

A bejegyzésből kiderül, hogy a coredp.com végződésű eldobható e-maielen működő tempm.com oldalon a megfelelő url-t beírva bárki megnyithatja a bombafenyegetések küldésére használt fiókot is, és láthatja az arra beérkezett e-maileket. Itt több magyar diák levele is látható volt, némelyik dühösen, mások köszönettel reagáltak a bombariadóra. Ennél azonban érdekesebb két, még a bombariadó kiküldése előtt érkezett orosz nyelvű e-mail.

Az aktivitás alapján úgy tűnik, a [email protected]-ot használó személy reggel 05:56-kor másodlagos (biztonsági) e-mailként hozzárendelt az eldobható e-mail címet egy Yandex.com-os felhasználói fiókhoz, ehhez kapott egy megerősítő e-mailt. Mintegy negyed óra múlva a felhasználó elküldte magának a bombafenyegetést tartalmazó e-mailt, feltehetően tesztként, mielőtt az iskoláknak küldte volna. A megosztott képernyőfotókon látható Yandex-es e-mailek utalnak arra, honnan férhettek hozzá a terrorfenyegetéshez használt fiókhoz.

Orosz nyelvű fiók, örmény domain

A Yandex egy orosz kereső és e-mail szolgáltató, ami azonban nem csak orosz nyelven működik. Ha magyar IP-címről, illetve magyar nyelvi beállításokkal rendelkező böngészőből nyitjuk meg az oldalt, akkor a Yandex.com angol változata jelenik meg.

A fenyegetéseket kiküldő fiókba érkezett orosz nyelvű e-mailek. Forrás: reddit.com

Próbaképp regisztráltunk egy fiókot a Yandexen, amit hozzárendeltünk egy eldobható e-mail címhez. A megerősítő e-mail angol nyelven érkezett. Ezután a Yandex-fiók nyelvét angolról oroszra változtattuk, és újra megpróbáltunk hozzárendelni egy másodlagos címet – ekkor a megerősítő e-mail már oroszul jött.

Mindez arra utal, hogy a fiók használója orosz nyelvű Yandex-fiókot használ.

A reddites képeken az is látszik, hogy a megerősítő e-mail nem egy Yandex.com, hanem yandex.com.am végződésű e-mailről érkezett. A .am örményországi domain-végződés, de a yandex.com.am szintén az orosz szolgáltató oldala. A különbség annyi, hogy akármilyen IP-címmel vagy böngészőbeállítással nyitjuk meg, a .am-es oldal mindig oroszul jelenik meg.

Yandex.com biztonsági e-mail fiók regisztrációjáról kapott e-mail

Próbaképp tehát beléptünk a fiókba az örmény végződésű oldalon is, és ismét kértük a biztonsági e-mail regisztrációját. Ezúttal már ugyanolyan .am-es végződésű feladótól érkező, orosz nyelvű e-mailt kaptunk, mint ami a fotón is látható.

A Yandex.com által kiküldött, biztonsági e-mail cím regisztrációja után kapott angol, orosz, és .am címről érkezett e-mailek.

Összefoglalva tehát úgy tűnik, hogy az e-maileket olyan személy küldte ki a magyar iskoláknak, aki a Yandex örmény domain nevű verzióját használja, orosz nyelvi beállításokkal. Az illető a Reddit-es bejegyzés szerint azért részben ügyelt arra, hogy ne legyen visszakövethető, ugyanis a fiókba német VPN-nel lépett be.

Bulgáriában is orosz e-mail-szerverről küldtek bombafenyegetést

Egy nappal korábban Bulgáriában is több száz iskola kapott bombafenyegetést, ezek szövege akkor is iszlamista terrorizmusra utalt. Ugyanakkor az olyan terrorszervezetekre, mint például az Iszlám Állam – az ő szóhasználatukat idézi például a magyarországi e-mailekben felbukkanó kalifátus emlegetése – módszereire nem jellemző, hogy egy valós támadás előtt figyelmeztessék a célpontot. A dzsihádista terror jellemzően épp a civil áldozatok maximalizására törekszik.

Bolgár médiajelentések ehelyett Oroszországot valószínűsítik mint a fenyegetések forrását. A rendőrség kiberbűnözési osztályvezetőjére hivatkozva azt írták, az ottani fenyegetések egy orosz e-mail-szerverhez köthetők. Bulgáriában tavaly tavasszal is egy hasonló bombariadó-sorozat miatt kellett iskolákat evakuálni, akkori sajtóhírek szerint e fenyegetések mögött szintén az orosz hibrid hadviselést sejtették, amely akár az akkor tartott választásokon próbálhatott zavart kelteni.

Hasonló, látszólag szintén iszlamista e-maileket kaptak a közelmúltban csehországi iskolák is. Tompos Márton momentumos országgyűlési képviselő a Facebookon arra hívta fel a figyelmet, hogy a cseh titkosszolgálat szintén orosz hadműveletet sejt a bombariadók mögött, ezért, mint írta, kezdeményezi az Országgyűlés nemzetbiztonsági bizottságának összehívását.

Zubor Zalán