Svatko tko je u svoj elektronički sandučić primio poruku da mora platiti određeni iznos bitcoina ne želi li da se javno razotkrije kakav vrući sadržaj gleda po internetu ili ga je možda nazvao kakav automat, susreo se sa socijalnim inženjeringom, digitalnom pošasti kojom mu hakeri žele ukrasti podatke. Malo je hrabrih koji priznaju da su nasjeli na tu foru
Jeste li kad primili poruku u kojoj vam prijete razotkrivanjem vrućih sajtova ili drugih kompromitirajućih stranica čestih u ‘historyju‘ vašega kompjutera ako ne uplatite određeni broj bitcoina ili ne prebacite novac na nečiji račun? U slučaju da je odgovor pozitivan, našli ste se u vrtlogu takozvanog socijalnog inženjeringa, točnije niza tehnika pomoću kojih pojedinac iskorištavanjem ljudskih pogrešaka i slabosti utječe na drugog pojedinca kako bi ga naveo da učini nešto što nije u njegovu interesu.
– Socijalni inženjering najčešće se upotrebljava u svrhu otkrivanja povjerljivih informacija ili dobivanja pristupa nekim drugim resursima do kojih napadač inače ne bi mogao doći. U svom osnovnom obliku postoji od pamtivijeka, a jedan od najboljih primjera jest svakako Odisej, koji se poslužio socijalnim inženjeringom kako bi ušao u Troju. Međutim, u kontekstu kibernetičke sigurnosti o njemu se počinje govoriti devedesetih godina prošlog stoljeća, a najzaslužniji za ponovni uzlet socijalnog inženjeringa jest poznati haker Kevin Mitnick – pojasnio je Svan Hlača, stručnjak CARNET-ova Nacionalnog CERT-a.
Tri prijevare
Mitnick je svakako jedna od najosebujnijih pojava u svijetu kibernetičke sigurnosti jer je riječ o čovjeku koji je u nekoliko navrata uspio provaliti u sustave američke vlade i FBI-a, a prvi hakerski napad, točnije nešto što bismo mogli nazvati njegovom pretečom, izveo je 1979. sa šesnaest godina kada je neovlašteno ušao i kopirao softver velike kompjuterske tvrtke Digital Equipment Corporation.
Teorija kaže da socijalni inženjering najčešće stiže u tri oblika: ‘phishingu‘ – pri čemu se žrtve navodi da otkriju podatke mahom slanjem prijetećih e-poruka, ‘vishingu‘ odnosno pecanju podataka putem telefonskih poziva, i ‘impersonationu‘ ili prijevari imitacijom
U više je navrata završavao iza rešetaka, posljednji put 1995., kada je odslužio petogodišnju zatvorsku kaznu nakon čega je pušten pod uvjetom da se ne smije koristiti nikakvom komunikacijskom tehnologijom osim fiksnim telefonom. U međuvremenu je prešao ‘na drugu stranu‘ pa tako danas vodi vlastitu kompaniju Mitnick Security Consulting, koja se, između ostalog, bavi i prevencijom socijalnog inženjeringa, tehnike koju je manje-više i osmislio.
– Mnogo je lakše prevariti nekoga socijalnim inženjeringom nego pokušati probiti njegov informacijski sustav – poznata je Mitnickova izjava. Socijalni inženjering najčešće dolazi u tri oblika: ‘phishingu‘, u kojem se žrtve navodi na otkrivanje podataka slanjem prijetećih mailova, ‘vishingu‘, odnosno ‘pecanju‘ podataka putem telefonskih poziva, i ‘impersonationu‘, u kojem se prijevara temelji na lažnom predstavljanju, točnije slučajevima u kojima počinitelj glumi nekog drugoga.
Najčešće u Hrvatskoj
U Hrvatskoj je još uvijek daleko najzastupljeniji phishing, barem što se tiče računalno-sigurnosnih incidenata u nadležnosti Nacionalnog CERT-a. Najčešći primjeri phishinga lažna su upozorenja banaka ili drugih financijskih institucija, prijevare vezane uz aukcijske stranice poput eBaya i lažne poruke od administratora o ugrožavanju sigurnosti korisnikova sustava.
Možda i najopasnijom metodom phishinga stručnjaci smatraju mailove ‘prijatelja‘ i ljudi s kojima redovno komunicirate. Uspije li napadač doći do vaše lozinke za privatni i poslovni mail ili društvene mreže, imat će pristup kompletnoj mailing listi i u vaše ime poslati poruku velikom broju vaših poznanika i suradnika.
To je moguće spriječiti ako smislite kompliciranu lozinku koju ne zna nitko osim vas, a preporuča se i korištenje različitih lozinki za pristup različitim stranicama.
Hlača, međutim, napominje kako svjetski trendovi pokazuju porast broja incidenata povezanih s vishingom zbog sve jeftinijih usluga automata koji nazivaju veliki broj korisnika u kratkom vremenu, takozvanih ‘robocallera‘. Najmanje je zastupljen impersonation jer je riječ o tehnici koja podrazumijeva potpuno preuzimanje identiteta osobe te je veoma složena u izvedbi jer iziskuje temeljito i dugotrajno ‘pripremanje terena‘.
Iz Nacionalnog CERT-a naglašavaju kako se većina ovakvih napada dijeli na četiri etape: prikupljanje podataka o žrtvi, uspostavljanje veze s njom, pristupanje žrtvi te realizacija napada. Posljedice uspješno izvedenog napada mogu biti višestruke, a najčešće su materijalni gubitak ili gubitak privatnih i službenih povjerljivih informacija, gubitak ugleda, upotreba podataka za daljnje napade, kao i emocionalni pritisak što ga napadnuta osoba osjeća.
Što se prevaranata tiče, isti izvor navodi kako oni moraju posjedovati osobine poput dobrog pamćenja, snalaženja u razgovorima, odgovarajućeg načina razmišljanja i drugih vještina koje im mogu donijeti prednost.
Sve o socijalnom inženjeringu i kako se od njega obraniti čitajte u digitalnom ili tiskanom izdanju poslovnog tjednika Lider