Iako je kriminal teška riječ i ponekad je teško reći što točno kriminal jest, vrlo vjerojatno se svi možemo složiti da je krađa tuđih digitalnih podataka jedna vrsta zločina. Zapravo, vrlo slična je i definicija računalnog zločina koja kaže da je to zločin počinjen uz pomoć računala na štetu pojedinca, grupe ljudi ili kompanije. Phishing i social engineering su dvije popularne tehnike, odnosno načina krađe podataka i vrlo su rasprostranjeni danas. Zašto danas? Zato jer je oko nas jako puno tehnologije, svi ju koriste, a nisu svi korisnici svjesni opasnosti koja vreba pa mnogi od tih korisnika budu žrtve razno raznih prijevara, krađe identiteta i sličnih radnji. Zato je vrlo važno znati kako nas određeni pojedinci mogu oštetiti (op.a. nećemo ih nazvati hakerima jer riječ haker ne bi trebala imati loše konotacije, kao što ima danas), na što moramo paziti i kako se zaštititi. U ovom tekstu dotaknuti ćemo se phishinga i social engineeringa. Phishing je vrsta social engineeringa, dok obrnuto ne vrijedi. Social engineering nije nužno samo phishing nego i neke druge radnje, no o tome u nastavku teksta.
Porast računalnih zločina
Iako je računalnih zločina otkad je i računala, danas je to postalo nešto normalno, odnosno nešto o čemu možemo svjedočiti svaki dan. Pogledajte malo naslove po IT web stranicama i vidjeti ćete naslove: „Ukrali 200.000 korisničkih imena i lozinki“, „Opljačkali banku uz pomoć računala“ i slično. To nam govori da je danas jako puno ljudi koji su sposobni napraviti određenu vrstu računalnog kriminala, da je jako puno tehnologije oko nas i da koliko god ljudi mislili, većina tehnologije nija sigurna. Sigurna je do određene granice, a tu granicu određeni ljudi mogu prijeći. Danas su vrlo učestale razne računalne prijevare, krađa identiteta, krađa podataka o karticama, dječja pornografija … Zavirite malo u deep web i nećete vjerovati što tamo sve možete vidjeti i pročitati. Sve ovo što većina korisnika vidi i čuje je samo vrh sante leda. Ovome što govorimo ide u prilog i podatak koji je objavila kompanija McAfee – godišnja šteta zbog računalnih zločina iznosi oko 450 milijardi dolara. Milijardi, ne milijuna. Sad zamislite koliko ljudi jako dobro živi od takvih zločina. Nažalost, ova brojka se neće jako smanjivati u narednom razdoblju, nego baš suprotno. Mogla bi se popeti na vrtoglavnih 500 milijardi dolara. Samo u Americi se na online transakcijama godišnje ukrade oko 2 milijarde dolara. Puno novca, a zapravo jako mali postotak svjetskog kriminala, odnosno količine novca koja se vrti na ilegalnom tržištu.
Zanimljivo je da mnoge države na svijetu nemaju zapravo prave kazne za počinitelje ovakvih zločina. Država New York za najteže zločine kažnjava zatvorskom kaznom od 3 do 15 godina, kod nas se većinom takve stvari rješavaju određenim novčanim kaznama ili uvjetnim kaznama zatvora trajanja od svega par mjeseci … Druga stvar je kada se pojedinca pravnim trikovima optuži za (cyber) terorizam pa ga se u Americi doživotno zatvori u zatvor, no u većini zemalja nećete biti drastično kažnjeni. Da li je to propust ili jednostavno zakon ne prati dovoljno brzo napredak tehnologije, ne znamo, no pitanje je dana kada će se i tim pitanjem netko morati pozabaviti.
Ciljana skupina za računalne zločine su najčešće oni koji su tehnički slabije „potkovani“, odnosno ljudi koji se ne znaju zaštititi. Danas se računalima služe djeca od 3-4 godine pa sve do ljudi koji su prešli stotu. No, velika većina tih korisnika je nezaštićena, ne zna što na računalu smije, što ne smije raditi, otvaraju razne attachmente u emailovima koji na kraju budu ili virusi, malwarei ili spywarei itd. Takvim osobama je izuzetno teško pomoći, odnosno zaštititi ih jer oni naprave veliki dio posla za one koji im pokušavaju nauditi.
Phishing
Phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog inženjeringa koja se odnosi na prijevare, kojima se služe zlonamjerni korisnici šaljući lažne poruke koristeći pritom postojeće Internet servise. Riječ je o kriminalnoj aktivnosti gdje se koriste razni načini manipulacije, a kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. U pravilu, phishing poruke prenose se putem elektroničke pošte koja navodi korisnika da klikne na određeni link koji ga dalje vodi na stranice zloćudnog web poslužitelja.
Takve zloćudne Web stranice obično se lažno predstavljaju kao Web stranice banaka, servisa za elektroničko plaćanje (PayPal i dr.) i sl. krivotvoreći, odnosno imitirajući njihov izgled. U svrhu phishing-a, osim elektroničke pošte, mogu poslužiti i drugi servisi poput foruma, servisa za izravnu komunikaciju i društvene mreže (Skype, Google Talk, Facebook, Twitter itd.). Društvene mreže posebno su opasne jer podaci prikupljeni sa njih mogu poslužiti za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja, kojima su kompromitirani (oteti) računi, imaju određeni kredibilitet i ako se vi predstavite kao osoba XY (kojoj je ukraden korisnički račun) i pošaljete poruku prijatelju YZ i kažete mu da na nešto klikne, velika je šansa da će on to i napraviti. Kad klikne i napravi nešto što ne bi smio, najčešće je kasno. U zadnje vrijeme je opet počela kružiti email poruka koju vam šalje „prijatelj“, ta vas moli da mu hitno uplatite određenu svotu novca jer je zapeo u inozemstvu, a ukrali su mu novce i dokumente i nema se kako vratiti doma. Iako poruka ima određenih gramatičkih grešaka, u prvi tren biste čak i mogli povjerovati da vam je tu poruku poslala baš ta osoba, odnosno vaš prijatelj. Ne nasjedajte na to, makar ta osoba u trenutku kada ste dobili email bila u inozemstvu!
Phishing tehnike
Generalna phishing tehnika je upravo ovo opisano – putem mail dobijete (najčešće) link na koji kliknete, lograte se jer stranica izgleda kao Facebook login stranica, a zapravo ste username i lozinku poslali na neki udaljeni server i ako istog trena ne promjenite šifru izgubili ste korisnički račun. U najboljem slučaju, samo to je kazna. Sigurno ste mnogo puta našli web stranicu koja vam nudi neki ilegalni sadržaj (recimo e-knjigu), ali ju ne možete skinuti dok ne lajkate stranicu na Facebooku. Naranvo, link za lajkanje vas vodi na stranicu koja izgleda kao Facebook, ali po URL-u možete skužiti da se radi o prevari (mi smo našli link: www.facebookxyz.com/application_form)… Na prvi pogled vidite riječ facebook u URL-u – ukoliko ga uopće pogledate – no kada malo bolje promotrite skužite da je to lažna stranica.
Druga popularna tehnika je „Spear phishing“ i ona se koristi baš za određenog pojedinca ili kompaniju. Recimo da ste vrlo popularni u svom gradu i netko želi baš vaš korisnički račun na određenoj druđtvenoj mreži, pristup vašem emailu ili vaše podatke o kreditnoj kartici. Tada se radi spear phishing u kojem se raznim načinima o vama prikupljaju podaci sve do trena dok napadač ne uspije, recimo, uči u vaš email račun ili dok jednostavno ne odustane. Najviše phishing napada se radi ovako, a neki kažu da je čak 91 posto phishing napada zapravo napad na pojedinca ili kompaniju. Uzmimo na primjer email. Većina nas ima kod resetiranja lozinke tajno pitanje na koje iskreno odgovorimo. To može biti majčino djevojačko prezime, ime kućnog ljubimca, zanimanje našeg oca … Te podatke je moguće naći o svima, posebice ukoliko vas „napadač“ poznajte. Samim time će lako resetirati vašu lozinku i ući u vaš email. To je samo jedan od primjera. Zato mi uvijek zagovaramo dvostruku autentifikaciju (uz pomoć mobitela, tokena …).
Clone phishing je pokušaj zamjene legalnog emaila kloniranim emailom koji na sebi ima maliciozni kôd. Recimo da je osoba A poslala Osobi B email. Napadač „ukrade“ tu poruku, klonira ju (pri čemu recimo normalni attachment mijenja lažnim u kojem se nalazi maliciozni kôd) i ponovno ju šalje osobi A, tako da izgleda da je osoba B dva puta poslala isti email. Takva situacija je legitimna i svima nam se dogodi da dva puta pošaljemo isti email. Ukoliko osoba A ne skuži da je drugi email lažan, može biti da će osobi B odgovorit na taj email i da će skinuti zaraženi attachment. Na taj način napadač može zaraziti računalo, dobiti kontrolu nad njim, koristiti ga za ddos napade i slično. Ovo nije jedna od najuspješnijih tehnika, ali s vremena na vrijeme „prođe“.
I ostaje nam još „whaling“ tehnika. To je phishing tehnika koja cilja na ljude malo višeg ranka, odnosno ne-obične ljude. Ciljevi napada su C-manageri (izvršni direktori), bogati ljudi, poznate osobe … Pokušava se doći do njihovih podataka kako bi ih se s njima moglo ucijeniti ili osramotiti u javnosti. Sjetite se nedavne afere u Americi gdje su određeni pojedinci ukrali lozinke i korisnička imena celebrityja, poskidali sve moguće slike sa Apple clouda na tajne servere i zatim ih puštali u javnost. Neke od žrtava su bile Kate Upton, Bar Rafaeli, Jennifer Lawrence, Selena Gomez, Kirsten Dunst, Ariana Grande, Kaley Cuoco … U Americi se često cilja na menadžere kojima email šalje FBI u nadi da će zaštititi kompaniju od mogućih hakerskih napada, ali da bi dobili više informacija, menadžeri moraju otvoriti određeni link. Na tom linku ili „poberu“ virus ili ostave privatne podatke kako bi ih FBI mogao kontaktirati. Naravno, ne radi se o FBI-ju nego o kriminalcima koji tako dođu do podataka do kojih inače ne bi mogli doći. A s tim podacima neće samo nastradati pojedinac koji je dao podatke, nego je u opasnost doveo i firmu za koju radi.
Kako izbjeći phishing?
• nikad ne odgovarajte na elektroničke poruke koje traže osobne podatke – financijske institucije imaju vaše podatke, a i mala je vjerojatnost da bi vas bilo koja renomirana tvrtka zatražila osobne podatke putem maila
• nikad ne slijedite linkove koji se nalaze unutar sumnjivih i neočekivanih e-mail poruka
• nikad ne slijedite linkove, ako niste sigurni tko je pošiljatelj – za ovu svrhu dobro je koristiti digitalne potpise
• uvijek provjerite da li adresa (URL) na koji unosite povjerljive podatke odgovara legitimnoj (adresa krivotvorene Web stranice može se razlikovati u jednom slovu od legitimne)
• koristite dobre lozinke i često ih mijenjajte – dobre lozinke sastoje se od kombinacije velikih i malih slova, brojeva i simbola što ih čini vrlo teškim za probijanje
• provjerite da li web stranica preko koje unosite povjerljive podatke koristi HTTPS protokol – Web adresa financijskih institucija trebala bi počinjati s https:// umjesto sa http://
• obavezno provjerite digitalni certifikat web poslužitelja prije unosa bilo kakvih podataka
• koristite softver za filtriranje spama – ovi programi će smanjiti broj neželjenih poruka koje većina korisnika svakodnevno prima
• koristite antivirusni softver – ova vrsta programa prepoznaje maliciozni softver koji se također može koristiti za prikupljanje osobnih informacija
• koristite osobni firewall – da možete pratiti promet prema internetu u oba smjera i uočili moguće sumnjive aktivnosti
• koristite antispyware softver
• redovito ažurirajte softver koji koristite
• pratiti stanje vaših računa za obavljanje novčanih transakcija
• budite u toku, pratite informacije o phishingu na internetu – sigurnosna edukacija je najefikasnija obrana od pokušaja phishinga
Social engineering
Social engineering, odnosno socijalni inženjering po Hrvatski, je tehnika u kojoj se nastoji zaobići sigurnosna prepreka ali ne na način da se ona „probija“ tehničkim putem (brute force, iskorištavanje ranjivosti, krađa korisničkih imena i lozinki …), nego zaobilaznim putem preko određene osobe ili osoba. Jedna od prvih osoba u povijesti koja je bila ekspert u ovom području je Kevin Mitnick – osuđivani haker, a danas konzultant za sigurnost. Poanta socijalnog inženjeringa je doći do informacija tako da vam neka druga osoba da podatke koje možete iskoristit. Mnogo je primjera u povijesti gdje su pojedinci pokušavali ući u računalni sustav tako da su nazivali agente i ostale zadužene za isti da resetiraju lozinku i daju im ju kako bi mogli ući u sustav. Recimo da imate sustav X u koji može ući osoba A. Vi znate da osoba A može ući u sustav ali nemate njegove podatke. Tada možete zvati određenu osobu (agente, sistemske administratore …) i predstaviti se kao osoba A i reći da ste zaboravili podatke za ulazak u sustav i da molite da vam resetiraju šifu i kažu vam je.
Naravno da će ovo upaliti u malom broju situacija, ali ako ste vješti i ako imate dovoljno podataka da dokažete da ste vi osoba A, možda i uspijete. Kada dobijete novu lozinku, možete se spojiti na sustav iako niste autorizirani. Nešto slično ste mogli vidjeti i u kultnom filmu Hakeri gdje se dobar dio „hakiranja“ temelji upravo na socijalnom inženjeringu.
Mogli bismo reći da je socijalni inženjering zapravo manipulacija (prijevara) ljudi u svrhu otkrivanja povjerljivih podataka i dobivanja kontrole nad određenim resursima. Napadač u ovakvom napadu uvijek pokušava dobiti na legitimnosti, odnosno uvjerljivosti.
Usporkos svim naporima, ogromnim i kompliciranim lozinkama, dvostrukoj autentifikaciji – ovo ja najlakši zapravo put dobivanja određenih informacija. U svom srcu, socijalni inženjering je zapravo forma hakiranja u kojoj vi bilo kojim putem pokušavate dobiti određeni rezultat.
Ponavljamo – hakireri su bili ljudi koji su hakirali sustave ali ne zlonamjerno, nego su to bili izuzetno sposobni ljudi koji su išli od točke A do točke B kako bi dobili određeni rezultat. Kasnije je taj pojam počeo koristiti i za one koji su radili kriminalne radnje i dan danas riječ „haker“ budi loše konotacije, što ne bi trebalo tako biti.
Postoji nekoliko oblika socijalnog inženjeringa, no mogli bismo reći da je to generalno svaki oblik manipulacije u kojem napadač pokušava dobiti povjerljive informacije od određene osobe. No, ipak postoje 4 skupine u koje možemo podijeliti socijalni inženjering:
Pretexting
Jedna od uobičajenih metoda socijalnog inženjeringa usmjerenih na osobe je stvaranje scenarija ili eng. pretexting. Radi se o postupku korištenja scenarija za navođenje osobe na otkrivanje informacija ili izvođenje neke radnje. obično se provodi preko telefona, a uključuje prethodno istraživanje te slaganje dijelova informacija za uspostavljanje povjerenja kod žrtve. Ova se tehnika često koristi za neovlašteno dobivanje informacija o kupcima, telefonskim zapisima, bankovnim ispisima i drugim povjerljivim informacijama. Primjer je kada osobe traže od vas da im skenirate kreditnu ili neku drugu karticu za obje strane. Ako to učinite, oni imaju sve što im treba – broj kartice i CVV broj – te vam mogu preko noći napraviti ogroman račun preko bilo kojeg servisa (npr. PayPal). Nadamo se da ipak to nećete učiniti, jer vas nitko nikada ne bi trebao to tražiti.
Lažna anketa
Uobičajeni scenarij može uključivati kriminalca – napadača koji pokušava pristupiti tuđem bankovnom računu. Napadač naziva žrtvu kod kuće i kaže da provodi anketu. Iako pitanja mogu djelovati bezopasno, kao rezultat, pozivatelj može doći do osobnih podataka kao što su djevojačko prezime, datum rođenja, ime kućnog ljubimca ili čak OIB. Pomoću tih podataka, napadač može preko web bankarstva, doći do vašeg računa i nanijeti vam financijsku štetu.
Emocionalna karta
Scenarij također može biti kreiran oko poruka s emocionalnim značenjem. Na primjer, vaš navodni prijatelj tj. osoba koja se tako predstavlja, pokraden je u stranoj zemlji. On vas putem e-maila traži da mu pošaljete novac kako bi se mogao vratiti kući. Vi znate da je vaš prijatelj zaista na putovanju te, bez dodatne provjere identiteta, šaljete novac koji tako dospijeva u ruke kriminalca.
Zlouporaba društvenih mreža
Posebnu pažnju treba obratiti na zlouporabu društvenih mreža. Za socijalne inženjere, mreže poput Facebooka ili Twittera su nepresušan izvor vrijednih informacija. Razlog tome je što često zaboravljamo da ono što jednom dospije na Internet, tamo praktički zauvijek i ostaje. Na društvenim mrežama ljudi se često slobodnije ponašaju nego u stvarnom životu. Ne provjeravaju dodatno identitet svoji navodnih virtualnih prijatelja i često spremno otkrivaju privatne detalje iz svog života koje napadač lako može zloupotrijebiti za svoje namjere (nanošenje financijske štete, narušavanje nečijeg ugleda…).
Kako se zaštititi?
Očito je na prvom mjestu da ne otkrivate povjerljive informacije nikome. Pogotovo ne na društvenim mrežama jer zamislite koliko podataka se o vama tamo može pronaći – datum rođenja, mjesto rođenja, mjesto gdje živite, edukacija koju ste prošli, ljudi s kojima se družite, slike iz privatnog života … Iako vam se to sve čini bezopasnim, mnogima osobama su te informacije izuzetno bitne. Pogotovo kada iskreno odgovorite na pitanje za resetiranje lozinke.
To nas vodi do druge točke – na pitanja za resetiranje lozinke nikada nemojte odgovarati točno. Ako vas pitaju koji je datum rođenja, možete iskoristiti neki drugi datum. Recimo uzmite ili dodajte jedan dan/mjesec/godinu na dan vašeg rođenja. Ili uzmite neki drugi vama važan datum. Ako vas pitaju ime vašeg prvog kućnog ljubimca, nemojte im dati pravo ime. Ili izmjenite ime na način da je svima osim vama nelogično. Također, koristite kompleksne šifre i dvostruku autentifikaciju gdje god je to moguće. Morate se prije svega tehnički maksimalno zaštititi, a zatim na sve druge načine. Naš savjet je da koristite password managere koji će vam izgenerirati ogromne šifre za svaki servis ili web stranicu na koju se logirate. VI samo morate znati master password, a password manager će učiniti sve ostalo.
S vremena na vrijeme bilo bi dobro da provjerite aktivnost na svojim korisničkim računima. Većina servisa vam nudi informacije tko se kada spajao, od kuda, koliko dugo ste bili spojeni. Možda najbolji sustav istoga ima Facebook pa možete pogledati kako to izgleda. Ukoliko ste već danima niste spajali na Facebook, a netko je jučer bio online na vašem računu, onda je to dobra informacija da još netko se može spojiti na vaš račun.
I ne zaboravite – nitko nikada vas neće telefonski ili emailom pitati da im date povjerljive informacije. Makar se predstavili kao zaposlenici bilo kojeg servisa, nemojte im dati tražene podatke. Zamislite da netko iz Googlea vas pita da mu kažete korisničko ime i lozinku. Da se radi o pravom zaposleniku Googlea, vjerojatno bi to i sam mogao pogledati, odnosno vidjeti u bazi podatak – iako ne bi trebao, ali vjerojatno može vidjeti određen stvari. Sigurno vam neće slati emai. Isto tako nitko vas iz banke neće zvati da mu pročitate broj kartice, broj računa, datum kada kartica istječe i CVV broj sa poleđine kartice. One informacije koje im trebaju imaju u sustavu, a one koje nemaju s trazlogom nemaju niti trebaju imati.
Ako se držite samo ti par savjeta, veliak je šansa da vam nitko neće moći „nauditi“ na ovaj način i da nećete imati problema sa krađom digitalnog identiteta, krađom novca i ostalim mogućim štetama koje vam netko može učiniti.
autor: B.P.
