Socijalni inženjering: vuk u koži prijatelja

Blog Datum: 11.12.2020.
Socijalni inženjering: vuk u koži prijatelja

Socijalni inženjering izgleda da je star koliko i ljudski rod, ali se pre pojave sajber kriminala zvao samo "prevara". U digitalnom okruženju, rizici od ovih prevara pokriveni su polisom osiguranja od sajber rizika čija se ekspanzija može uskoro očekivati i u Srbiji

 

Zamislite da se jednog jutra budite, otvarate kompjuter i gledate sopstveni vrlo autentičan, ali i vrlo kompromitujući snimak situacije u kojoj se nikad niste našli. Shvatate da je neko stručan mesecima pratio vaše objave, prikupljao informacije o Vašim interesovanjima i afinitetima, o tome šta interesuje Vaše prijatelje i one druge, a zatim napravio video gde glavni akter ima Vašu figuru, lice, glas i karakterističnu terminologiju, a sadržaj je takav da može da Vam potpuno upropasti karijeru i prijateljstva, ako se pojavi na društvenim mrežama.

Ovaj scenario koji se zasniva na socijalnom inženjeringu moguć je, ali malo verovatan, osim ako ste neka baš mnogo popularna ličnost spremna da plati veliki iznos da bi sprečila širenje videa.

Međutim, socijalni inženjering kao model za zloupotrebu ima veoma široku primenu u masovnim kampanjama gde su meta zaposleni u kompanijama - tu je rizik manji a verovatnoća za zaradu veća.

 

Šta je socijalni inženjering?

Ono što se vekovima zvalo "prevara", gde nas prevarant tako vešto navede da mu sami rado damo ono što želi, pa često i da ponudimo više od toga - danas se popularno, a posebno u sajber prostoru, naziva socijalnim inženjeringom.

Navođenje žrtve da nam dobrovoljno otkrije svoje ili tuđe podatke, da nas pusti u prostor u koji ne bi smela, da izvede neke protivzakonite operacije ili da nam da novac - osnovna je pretpostavka socijalnog inženjeringa. "Ssocijalni inženjeri" ozbiljno prate trendove, i u današnje vreme dominantno operišu u sajber prostoru, ali ne tako da napadaju sam sistem već da od osobe dobijaju informacije koje su im potrebne da u taj sistem uđu lagano. Oni se ne bave pretnjama, već često uspevaju da uspostave i prijateljski odnos sa žrtvom, pa ona uopšte nije svesna da je napadnuta - naprotiv, često se oseća srećnom i zadovoljnom jer misli da je nekome pomogla, ili da je uspešno odradila neki posao.

Zloupotrebe su najčešće usmerene na preduzeća, odnosno na zaposlene koji se navode da odaju lozinke i podatke o zaposlenima i IT sistemu, ili da prekrše bezbednosne mere tako što bi obavili određenu uplatu, omogućili ulaz u prostorije, i slično.

Jedna od najnovijih globalnih kampanja socijalnog inženjeringa "inspiraciju" je našla u još aktuelnoj pandemiji: računajući na ljudsku radoznalost, na nebrojeno adresa stizali su mejlovi sa "najnovijim informacijama o kovidu" - trebalo je samo otvoriti prilog ili otići na ponuđenu adresu i kompjuter bi već bivao zaražen. Na dnevnom nivou registrovane su hiljade internet domena koji sadrže "Sars-Cov-2", ili "COVID 19", a cilj hakera je bio da nas navedu da im omogućimo da ukradu podatke koji im mogu doneti materijalnu korist: brojeve kartica i bankovnih računa, ali i podatke za koje kasnije mogu tražiti otkupninu.

Stručnjaci IT Klinike - domaćeg portala koji nas informiše o novim sajber pretnjama i načinima zaštite kažu da su hakeri koji se bave socijalnim inženjeringom uspešni upravo zato što koriste jedini element na koji se ne može instalirati bezbednosno rešenje - čoveka. "Često govorimo o ranjivosti softvera. Ljudski ekvivalent softverskoj ranjivosti su emocije. Posebno kada su suočeni sa zastrašujućim scenarijom, ljudi često reaguju impulsivno, a tek kasnije razmisle. Hakeri upravo na ovoj „ranjivosti“ zasnivaju tehnike socijalnog inženjeringa pomoću kojih izvode uspešne sajber napade", kažu u IT Klinici.

 

Da li smo i mi zanimljivo "tržište"?

Tokom prva tri meseca pandemije, broj sajber napada zasnovan na socijalnom inženjeringu rastao je više od 300 odsto mesečno, pokazuju neke analize. Prelazak na rad od kuće doprineo je uspešnosti tih kampanja, jer je opala zaštita prelaskom na kućni wi-fi, a pod pritiskom situacije mnogima je opadala i pažnja. Međutim, napadi ovakvog tipa prisutni su i nezavisno od globalno aktuelne situacije, i očigledno su i dalje uspešni.

"Na globalnom nivou, najzastupljeniji su spam mejlovi, a slede phishing i malver napadi. Ne postoji opšta statistika, ali više organizacija i kompanija prati phishing kampanje i objavljuje podatke na osnovu raspoloživih izvora - na osnovu toga se izvode podaci za svet odnosno regione, kao što su USA ili EMEA", kaže za Svet osiguranja Vladimir Vučinić, direktor kompanije Net++ koja se bavi ICT bezbednošću, zaštitom podataka i upravljanjem računarskim mrežama i sistemima.

Da je i naša zemlja na mapi "socijalnih inženjera" pokazuje sve veći broj kampanja koje su na srpskom jeziku. "Srbija je već nekoliko godina pod aktivnim kampanjama koje ciljaju upravo naše tržište. Prvi malver mejl na srpskom pojavio se 2016. godine i imitirao da je došao od PKS: u tekstu poruke govorilo se o izmenama Zakona o porezu na dohodak građana i pozivalo se na preuzimanje pdf fajla sa detaljnim uputsvima. Link u poruci bio je zapravo .exe fajl koji u sebi sadrži Remote Admin alat. Danas već svakodnevno pristižu mejlovi koji imitiraju da dolaze iz banaka i drugih institucija", kaže Vučinić.

Pre nekoliko meseci pažnju je izazvala phishing kampanja usmerena uglavnom ka penzionerima, gde im je navodno u vezi sa isplatom penzije SMS-om "u ime banke" tražen JMBG,  broj računa, PIN... Udruženje banaka Srbije javno je upozorilo građane da im se banka može obratiti preko tekstualne poruke, ali im nikada neće tražiti da na taj način šalju lične podatke.

Vladimir Vučinić iz Net++ podseća da prijave sajber napada mogu da se podnesu Nacionalnom CERT-u ili MUP-u - Tužilaštvu za visokotehnološki kriminal. "Organizacije i preduzeća od značaja u smislu informacione bezbednosti su obavezne, prema odredbama Zakona o informacionoj bezbednosti, takođe da podnese izveštaje odgovarajućim telima u zavisnosti od toga o kakvom preduzeću ili organizaciji se radi, kao što recimo finansijske institucije u koje spadaju i osiguravajuće kuće cajber incidente prijavljuju Narodnoj banci Srbije", kaže on.

 

Prevara kao preteča socijalnog inženjeringa

Mada se ovaj termin češće pojavljuje tek u digitalno doba, korišćenje obmane da bi se dobile neke informacije ili da bi se neka osoba navela da ostvari neku radnju postoji vekovima. Jedan od najpoznatijih prevaranata novijeg doba bio je Frenk Vilijam Abagnejl Džunior, po kojem je snimljen i hoivudski film "Uhvati me ako možeš": on je uživao u vrlo luksuznom životu nekoliko godina zahvaljujući šarmu i moći ubeđivanja, ali i svojoj sposobnosti da savršeno falsifikuje dokumente. Već do svoje 21. godine, imao je više od osam različitih identiteta, a prva žrtva mu je bio sopstveni otac: kada je sa 15 godina našao honorarni posao, otac mu je dao svoju kreditnu karticu da bi putovao do posla. Frenk ju je upotrebio tako što je kupovao delove za auto, zatim ih prodao i tako došao do keša. Tokom života, ozbiljno je igrao na kartu poverenja pa se, osim trgovine čekovima, predstavljao i kao čuvar da bi uzimao novac od klijenata koji su iznajmljivali automobile na aerodromima, kao lekar i advokat, a jednom se čak predstavio i kao pilot da bi putovao besplatno. Kad je uhvaćen, osuđen je na 12 godina zatvora, ali je odslužio svega pet, a kasnije se zaposlio kao predavač na FBI akademiji!

Neki se možda sećaju "nagradne igre" koja se pre petnaestak godina pojavila kod nas, koja se zvala "Kancelarija direktora nagrade" - na kućne adrese brojnih građana stizala su pisma u kojima je pisalo da su dobili vrlo skup auto, i da mogu da dođu da ga preuzmu u jednom od najboljih hotela u Beogradu određenog dana u navedeno vreme. Nešto sitnijim slovima, ispod je pisalo i objašnjenje: prethodno je potrebno za pedesetak evra pouzećem kupiti neke drangulije (plastični sat, komplet nožića...), što bi navodno bila "ulaznica" za izvlačenje nagrade - pomenutog automobila. Hotel, naravno, o "dodeli nagrade" ništa nije znao, uvoznik te marke automobila takođe, a na adresi na kojoj je bila registrovana firma "direktora nagrade" nalazila se prodavnica sportske opreme. A da je bilo puno onih koji su poverovali, potvrđeno je i u pomenutom hotelu gde se navedenog datuma okupio priličan broj obmanutih ljudi, a posebnu pažnju je izazvao jedan od "dobitnika" koji je u predstavništvo proizvođača automobila doneo pečeno prase, da časti!

Bivalo je, naravno, i mnogo skupljih prevara, a ono što je karakteristično za "kvalitetne prevarante" jeste da prilično dobro poznaju ljudsku prirodu: u ovom konkretnom slučaju - da reč "nagrada" baca u senku davanje novca, da mnogi automatski veruju autoritetu pa makar bio i izmišljen, i da su iz radoznalosti spremni da učine i ono što se od njih eksplicitno ne traži.

 

Kako se osigurati?

Osiguranje od prevare u digitalnom svetu uzelo je zamah tek u poslednjih nekoliko godina, kad je ovaj rizik postao aktuelan. Sajber osiguranje obuhvata pokriće za štete koje nastanu bilo tehnološkim napadom na sistem, bilo uz pomoć socijanog inženjeringa - preko ljudi. "Ukoliko je kompanija zakonski odgovorna za fizičko lice - zaposlenog koji je aktivirao maliciozni softver, sajber osiguranje nadoknađuje troškove odštetnih zahteva koje je kompanija zakonski u obavezi da plati oštećenim licima - licima koja su pretrpela finansijsku štetu zbog povrede bezbednosti i privatnosti podataka", kažu u kompaniji VIB koja se bavi posredovanjem u osiguranju.

Kada dođe do štete izazvane socijalnim inženjeringom, polisa sajber osiguranja će nadoknaditi troškove angažovanja IT stručnjaka koji će utvrditi obim štete, uklanjanje zlonamernog virusa, mogućnost vraćanja podataka.

Najveću opasnost predstavlja krađa podataka trećih lica ukoliko kompanija njima upravlja. Ova polisa obično pokriva angažovanje pravnih stručnjaka ukoliko se ugroze ti podaci, angažovanje savetnika za krizne situacije, troškove obaveštavanja lica čiji su podaci ugroženi, i druge troškove nastale u cilju očuvanja reputacije kompanije.

Ako zaposleni nisu dobro obučeni kako da se čuvaju od ovakvih napada, pa "crv" uđe u kompanijski sistem, polisa sajber osiguranja trebalo bi da pokrije finansijske posledice odgovornosti zbog propusta u bezbednosnoj prevenciji, ali i da nadoknadi i iznose novčanih kazni propisanih od strane ovlašćenog državnog organa.

Čest je slučaj da napadnuta kompanija ne upravlja podacima trećih lica, ali zato joj sajber "upadom" može biti blokirano poslovanje što izaziva poslovni gubitak, dok će istovremeno napadač tražiti novac za otkup ili deblokadu sistema. Polisa sajber osiguranja uglavnom pokriva i izgubljenu dobit ali i trošak iznude, pri čemu se za pregovore sa ucenjivačima obično angažuje posebna agencija, kako bi se izbegla mogućnost da i sam oštećeni učestvuje u prevari.

U Srbiji se zasad samo jedna osiguravajuća kompanija bavi ovom vrstom rizika, ali kako stvari stoje, ovo će uskoro biti hit-polisa i kod nas - u svetu ovaj rizik pre samo nekoliko godina nije bio ni na listi prvih pet a sada, prema procenama Minhen Re, globalno tržišta sajber osiguranja vredi više od sedam milijardi dolara, i procenjuje se da će do 2025. dostići vrednost veću od 20 milijardi. Severna Amerika je i dalje najjače tržište vrednosti 5,3 milijarde dolara, a snažan rast se predviđa i u Aziji, kao i u Evropi gde je vrednost ovog tržišta sada oko milijardu dolara. Najveća potražnja, kažu, dolazi iz najugroženijih sektora: zdravstva, prerađivačke industrije, IT kompanija, finansijskog i sektora usluga, a ključni elementi osiguravajućeg pokrića su zaštita od prekida poslovanja i od krađe podataka.

Ova oblast mogla bi da zaživi i kod nas, ako bi u pomoć osiguravajućim kompanijama pritekao IT sektor. A dok se to ne desi ostaje nam da otvorimo četvore oči, i da - makar kad su u pitanju prijateljstva preko mreža - pokušamo da emocije držimo što više po strani.

Preuzeto iz novembarskog broja magazina Svet osiguranja (novembar 2020).

Foto: Pixabay.com

 

Blog


Ostale objave iz ove kategorije:

Socijalni inženjering: vuk u koži prijatelja
Da li znate šta od podataka dajete kad kliknete da prihvatate politiku privatnosti?

maj 4, 2022

Pre par godina mala kompanija iz Ajove, SAD, je dodala obaveštenje u okviru svoje politike privatnosti nudeći nagradu od 1000 američkih dolara bilo kome ko ih kontaktira. Posle gotovo šest meseci i preko 3000 novih korisnika primili su prvi..

Pročitaj više...

Socijalni inženjering: vuk u koži prijatelja
Zašto je HSE važan za kompanije

mar 20, 2022

Piše: Nenad Stanojevski, konsultant za interne komunikacije  Safety-Communication ‒ Ako stavim sve na ništa, a ništa je moj broj… ‒ ..

Pročitaj više...

Socijalni inženjering: vuk u koži prijatelja
Bezbedni i povoljnije osigurani

nov 29, 2021

Piše: prof. dr Igor Franc, CEO&osnivač Secitsecurity   Bezbednosnu proveru je važno raditi, pre svega, preventivno da bi se utvrdilo trenutno stanje sistema, a u cilju da se spreči curenje osetljivih podataka..

Pročitaj više...

Socijalni inženjering: vuk u koži prijatelja
Internet-kolačići: kako obrađuju lične podatke, i šta o tome kaže Zakon?

avg 17, 2021

Piše: Petar Mijatović , advokat, Mijatović Law Office Upotreba internet kolačića na veb-sajtovima je uobičajena praksa, kako u Srbiji, tako..

Pročitaj više...