Socijalni inženjering izgleda da je star koliko i ljudski rod, ali se pre pojave sajber kriminala zvao samo „prevara“. U digitalnom okruženju, rizici od ovih prevara pokriveni su polisom osiguranja od sajber rizika čija se ekspanzija može uskoro očekivati i u Srbiji
Zamislite da se jednog jutra budite, otvarate kompjuter i gledate sopstveni vrlo autentičan, ali i vrlo kompromitujući snimak situacije u kojoj se nikad niste našli. Shvatate da je neko stručan mesecima pratio vaše objave, prikupljao informacije o Vašim interesovanjima i afinitetima, o tome šta interesuje Vaše prijatelje i one druge, a zatim napravio video gde glavni akter ima Vašu figuru, lice, glas i karakterističnu terminologiju, a sadržaj je takav da može da Vam potpuno upropasti karijeru i prijateljstva, ako se pojavi na društvenim mrežama.
Ovaj scenario koji se zasniva na socijalnom inženjeringu moguć je, ali malo verovatan, osim ako ste neka baš mnogo popularna ličnost spremna da plati veliki iznos da bi sprečila širenje videa.
Međutim, socijalni inženjering kao model za zloupotrebu ima veoma široku primenu u masovnim kampanjama gde su meta zaposleni u kompanijama – tu je rizik manji, a verovatnoća za zaradu veća.
Šta je socijalni inženjering?
Ono što se vekovima zvalo „prevara“, gde nas prevarant tako vešto navede da mu sami rado damo ono što želi, pa često i da ponudimo više od toga – danas se popularno, a posebno u sajber prostoru, naziva socijalnim inženjeringom.
Navođenje žrtve da nam dobrovoljno otkrije svoje ili tuđe podatke, da nas pusti u prostor u koji ne bi smela, da izvede neke protivzakonite operacije ili da nam da novac – osnovna je pretpostavka socijalnog inženjeringa. Socijalni inženjeri ozbiljno prate trendove i u današnje vreme dominantno operišu u sajber prostoru, ali ne tako da napadaju sam sistem, već da od osobe dobijaju informacije koje su im potrebne da u taj sistem uđu lagano. Oni se ne bave pretnjama, već često uspevaju da uspostave i prijateljski odnos sa žrtvom, pa ona uopšte nije svesna da je napadnuta – naprotiv, često se oseća srećnom i zadovoljnom jer misli da je nekome pomogla, ili da je uspešno odradila neki posao.
Zloupotrebe su najčešće usmerene na preduzeća, odnosno na zaposlene koji se navode da odaju lozinke i podatke o zaposlenima i IT sistemu, ili da prekrše bezbednosne mere tako što bi obavili određenu uplatu, omogućili ulaz u prostorije i slično.
Jedna od najnovijih globalnih kampanja socijalnog inženjeringa inspiraciju je našla u još aktuelnoj pandemiji, računajući na ljudsku radoznalost, na nebrojeno adresa stizali su mejlovi sa „najnovijim informacijama o kovidu“ – trebalo je samo otvoriti prilog ili otići na ponuđenu adresu i kompjuter bi već bivao zaražen. Na dnevnom nivou registrovane su hiljade internet domena koji sadrže informacije o virusu Sars-Cov-2, ili COVID-19, a cilj hakera je bio da nas navedu da im omogućimo krađu podataka koji im mogu doneti materijalnu korist: brojeve kartica i bankovnih računa, ali i podatke za koje kasnije mogu tražiti otkupninu.
Stručnjaci „IT klinike“, domaćeg portala koji nas informiše o novim sajber pretnjama i načinima zaštite, kažu da su hakeri koji se bave socijalnim inženjeringom uspešni upravo zato što koriste jedini element na koji se ne može instalirati bezbednosno rešenje – čoveka. „Često govorimo o ranjivosti softvera. Ljudski ekvivalent softverskoj ranjivosti su emocije. Posebno kada su suočeni sa zastrašujućim scenarijom, ljudi često reaguju impulsivno, a tek kasnije razmisle. Hakeri upravo na ovoj „ranjivosti“ zasnivaju tehnike socijalnog inženjeringa pomoću kojih izvode uspešne sajber napade“, kažu u „IT klinici“.
Da li smo i mi zanimljivo „tržište“?
Tokom prva tri meseca pandemije, broj sajber napada zasnovan na socijalnom inženjeringu rastao je više od 300 odsto mesečno, pokazuju neke analize. Prelazak na rad od kuće doprineo je uspešnosti tih kampanja, jer je opala zaštita prelaskom na kućni wi-fi, a pod pritiskom situacije mnogima je opadala i pažnja. Međutim, napadi ovakvog tipa prisutni su i nezavisno od globalno aktuelne situacije i očigledno su i dalje uspešni.
„Na globalnom nivou, najzastupljeniji su spam mejlovi, a slede phishingi malvernapadi. Ne postoji opšta statistika, ali više organizacija i kompanija prati phishingkampanje i objavljuje podatke na osnovu raspoloživih izvora – na osnovu toga se izvode podaci za svet odnosno regione, kao što su USA ili EMEA“, kaže za „Svet osiguranja“ Vladimir Vučinić, direktor kompanije „Net++“ koja se bavi ICT bezbednošću, zaštitom podataka i upravljanjem računarskim mrežama i sistemima.
Da je i naša zemlja na mapi socijalnih inženjera pokazuje sve veći broj kampanja koje su na srpskom jeziku. „Srbija je već nekoliko godina pod aktivnim kampanjama koje ciljaju upravo naše tržište. Prvi malvermejl na srpskom pojavio se 2016. godine i imitirao da je došao od PKS. U tekstu poruke govorilo se o izmenama Zakona o porezu na dohodak građana i pozivalo se na preuzimanje pdf fajla sa detaljnim uputstvima. Link u poruci bio je zapravo .exe fajl koji u sebi sadrži Remote Adminalat. Danas već svakodnevno pristižu mejlovi koji imitiraju da dolaze iz banaka i drugih institucija“, kaže Vučinić.
Pre nekoliko meseci pažnju je izazvala phishing kampanja usmerena uglavnom ka penzionerima, gde im je navodno u vezi sa isplatom penzije SMS-om, „u ime banke“ tražen JMBG, broj računa, PIN… Udruženje banaka Srbije javno je upozorilo građane da im se banka može obratiti preko tekstualne poruke, ali im nikada neće tražiti da na taj način šalju lične podatke.
Vladimir Vučinić iz „Net++“ podseća da prijave sajber napada mogu da se podnesu nacionalnom CERT-u ili MUP-u – Tužilaštvu za visokotehnološki kriminal. „Organizacije i preduzeća od značaja u smislu informacione bezbednosti su obavezne, prema odredbama Zakona o informacionoj bezbednosti, takođe da podnese izveštaje odgovarajućim telima u zavisnosti od toga o kakvom preduzeću ili organizaciji se radi, kao što recimo finansijske institucije u koje spadaju i osiguravajuće kuće sajber incidente prijavljuju Narodnoj banci Srbije“, kaže on.
Prevara kao preteča socijalnog inženjeringa
Mada se ovaj termin češće pojavljuje tek u digitalno doba, korišćenje obmane da bi se dobile neke informacije ili da bi se neka osoba navela da ostvari neku radnju postoji vekovima. Jedan od najpoznatijih prevaranata novijeg doba bio je Frenk Vilijam Abagnejl Džunior, po kojem je snimljen i holivudski film „Uhvati me ako možeš“.
On je uživao u vrlo luksuznom životu nekoliko godina zahvaljujući šarmu i moći ubeđivanja, ali i svojoj sposobnosti da savršeno falsifikuje dokumente. Već do svoje 21. godine, imao je više od osam različitih identiteta, a prva žrtva mu je bio sopstveni otac. Kada je sa 15 godina našao honorarni posao, otac mu je dao svoju kreditnu karticu da bi putovao do posla. Frenk ju je upotrebio tako što je kupovao delove za auto, zatim ih prodao i tako došao do keša. Tokom života, ozbiljno je igrao na kartu poverenja pa se, osim trgovine čekovima, predstavljao i kao čuvar da bi uzimao novac od klijenata koji su iznajmljivali automobile na aerodromima, kao lekar i advokat, a jednom se čak predstavio i kao pilot da bi putovao besplatno. Kad je uhvaćen, osuđen je na 12 godina zatvora, ali je odslužio svega pet, a kasnije se zaposlio kao predavač na FBI akademiji!
Neki se možda sećaju „nagradne igre“ koja se pre petnaestak godina pojavila kod nas, koja se zvala „Kancelarija direktora nagrade“ – na kućne adrese brojnih građana stizala su pisma u kojima je pisalo da su dobili vrlo skup auto i da mogu doći da ga preuzmu u jednom od najboljih hotela u Beogradu određenog dana u navedeno vreme. Nešto sitnijim slovima, ispod je pisalo i objašnjenje: prethodno je potrebno za pedesetak evra pouzećem kupiti neke drangulije (plastični sat, komplet nožića…), što bi navodno bila „ulaznica“ za izvlačenje nagrade pomenutog automobila. Hotel, naravno, o „dodeli nagrade“ ništa nije znao, uvoznik te marke automobila takođe, a na adresi na kojoj je bila registrovana firma „direktora nagrade“ nalazila se prodavnica sportske opreme. A da je bilo puno onih koji su poverovali, potvrđeno je i u pomenutom hotelu gde se navedenog datuma okupio priličan broj obmanutih ljudi, a posebnu pažnju je izazvao jedan od „dobitnika“ koji je u predstavništvo proizvođača automobila doneo pečeno prase, da časti!
Bivalo je, naravno, i mnogo skupljih prevara, a ono što je karakteristično za „kvalitetne prevarante“ jeste da prilično dobro poznaju ljudsku prirodu ‒ u ovom konkretnom slučaju da reč „nagrada“ baca u senku davanje novca, da mnogi automatski veruju autoritetu, pa makar bio i izmišljen i da su iz radoznalosti spremni da učine i ono što se od njih eksplicitno ne traži.
[…] Kako je socijalni inženjering našao inspiraciju u pandemiji? […]