Kada čitamo o nekim prijevarama putem interneta i hakerskim napadima u kojima su iskorištene neke osobne i privatne informacije koje nisu javno poznate, zapitamo se kako su se hakeri i prevaranti uspjeli dokopati takvih informacija i kakve su te tehnike koristili da su ih se dokopali. O tehnikama koje se koriste u takvim slučajevima na iznimno zanimljivom predavanju u sklopu Advanced Technology Daysa, konferencije koja je održana ovog tjedna, a govorio je stručnjak za kibernetičku sigurnost Alen Delić.
Prvi korak u napadima i prijevarama jest dobivanje informacija o meti, odnosno osobi koju se želi napasti, tj. prevariti (ili koja je zaposlena u nekoj kompaniji koju se želi napasti) pri čemu se često koristi metoda socijalnog inženjeringa.
Delić je socijalni inženjering opisao kao proces utjecanja na ljude kako bi napravili određenu radnju ili prenijeli neku informaciju. Tehnike i alati kojima se prevaranti služe su različite te nisu svi jednako uspješni u svim taktikama – npr. jako učinkovita taktika je laganje kako bi se dokopali informacija, no ne mogu svi biti uspješni u tome.
Čuvajte se servisera printera!
Na temelju vlastita iskustva, kao i iskustva kolega iz industrije kibernetičke sigurnosti (koje kompanije plaćaju za testiranje sigurnosti, dakle vrše "legalne" napade u svrhu testiranja), Delić je nabrojao neke od tehnikakoje su se u praksi pokazale iznimno uspješnima.
Jedna od takvih tehnika je - ponavljanje. Ako u razgovorima s ljudima ponavljate njihove rečenice i riječi, oni će imati tendenciju nastaviti govoriti i dovršavati te rečenice koje ste ponovili s novim (i za prijevare korisnim) podacima. Zvuči nevjerojatno da se nekom takvom jednostavnom metodom mogu iz ljudi izvući korisni podaci koji se mogu upotrijebiti u velikim prijevarama, no Delić kaže da je iznimno učinkovita.
Još jedan takav "jednostavan" način dobivanja informacija od meta napada jest i tzv. lažna izjava. Npr. osobi kažete neku neistinu poput npr. "čujem da vam je budžet 50 tisuća kuna", a ta vam osoba može dati odgovor koji vam daje naslutiti koliko je budžet (npr. pa malo je veći od toga ili slično). Za slučaj da nekoga direktno pitate o budžetu, vjerojatno ne bi dobili takav odgovor.
Vrlo je važan i utjecaj grupe, pri čemu se primjenjuju određene psihološke taktike u kojima se ljude okreće na svoju stranu i tako dobivaju važni podaci do kojih se inače nikada ne bi došlo.
Još jedna takva taktika za koju ne bi često pomislili da će se kibernetički prevaranti služiti odnosi se na iskorištavanje osobine ljudi koji drugima vole - pomoći. Npr. Alen kaže da je uspio ući u firme praveći se da je osoba koja je poslana popraviti printer (jer, printeri se često kvare pa zaposlenici neće posumnjati da je zaista došao netko tko popravlja printer) te su zaposlenici uvijek spremni pomoći takvim "majstorima".
Popravak printera idealan je za postavljanje nekog hardvera za špijunažu, a kada zamole ljude da testiraju radi li printer, daju im USB s njihovim navodnim testnim stranicama za printanje - pri čemu na USB mogu pohraniti različiti špijunski softver. Pri tome, naravno, zaposlenici kompanije uopće nemaju pojma da je u pitanju prijevara s kojom se može zaraziti njihovo računalo, odnosno računalna mreža cijele kompanije.
Pazite što bacate u smeće
Ljudi često važne dokumente bace u smeće (npr. ako im se ne sviđa font, bacit će taj dokument u smeće i isprintati novi dokument), pogotovo u kante za recikliranje koje se često nalaze pored printera.Takve su kante izvor važnih podataka o zaposlenicima kompanija, a o stvarima koje znaju naći u smeću često nisu htjeli govoriti ni klijentima koji su ih unajmili za testiranje sigurnosti firme - npr. znali su pronaći rezultate testova za trudnoću.
Govoreći o internetskim prijevarama, neizbježno je spomenuti phishing, a podaci koji je ovaj stručnjak za sigurnost pokazao govore da čak 45 posto Hrvata nasjeda na phishing, dok je 90 posto spear phishing mailova koje su slali u Hrvatskoj bilo uspješno. Da su se više potrudili, odnosno da su poslali 3 takva dobro konstruirana maila, uspjeh bi možda bio i 100-postotan.
Kao taktiku koja je jako uspješna i s kojom se iz ljudi može izvući veliki broj podataka, Delić je izdvojio - alkohol, no kako to nije etički, takav pristup izvlačenja podataka mu je zabranjen, no jasno je kako bi ga "pravi" prevaranti itekako mogli iskoristiti.
Za kraj, Delić je svima poručio da se pri računalnim prijevarama i izvlačenju podataka ne koriste pištolji, već se iskorištavaju ljudske ranjivosti, a kao lijek protiv takvih prijevara naglasio je – edukaciju.
