S socialnim inženiringom do sto tisoč evrov

Tudi med bližnjimi prijatelji, ki so lahko nevede tarča za pridobitev pomembnih informacij o našem poslovanju z banko in drugih zaupnih podatkih. Tako med drugim pravi dr. Igor Bernik, predstojnik laboratorija za informacijsko varnost na Fakulteti za varnostne vede Univerze v Mariboru. Ukvarja se z varovanjem informacij, varnostjo informacijskih sistemov in uveljavljanjem ustrezne prakse za dvig ozaveščenosti uporabnikov pri delu v z IKT podprtih sistemih. Z njim smo se pogovarjali o tako imenovani kibernetski kriminaliteti, njenih pojavnih oblikah, razširjenosti in možnostih zaščite pred kibernetskimi napadalci. Kaj pravzaprav označujemo s pojmom kibernetska kriminaliteta? Za katera kazniva dejanja gre? Pri kibernetski kriminaliteti govorimo o kriminaliteti v splošnem. Pri tem se v Sloveniji naslanjamo na kazenski zakonik, ki pokriva tudi področje kibernetske kriminalitete. Gre za kriminaliteto, ki se dogaja v kibernetskem prostoru, v praksi to pomeni na področju interneta, računalniških omrežij, kjer je mogoče dostopati do različnih informacijskih virov.

Koliko je kibernetska kriminaliteta razširjena, koliko primerov kaznivih dejanj beležimo pri nas, glede na vedno bolj razširjeno uporabo elektronskih sredstev? Število primerov kibernetske kriminalitete se v zadnjih letih zelo povečuje. Če smo pred petimi leti govorili o napadih enkrat na mesec, pa pred dvema, tremi leti enkrat na teden, se danes takšni napadi vrstijo večkrat na dan oziroma smo ogroženi praktično v vsakem trenutku. V zadnjih letih se na tem področju pojavlja mnogo primerov različnih zlorab, ki pa so slabo raziskani, veliko ljudi teh zlorab tudi ne prijavlja. Na sodišče prenesenih primerov odkrite kibernetske kriminalitete pa je relativno malo, samih obsodb pa še toliko manj.

Kateri so najpogostejši primeri zlorab in kaznivih dejanj v kibernetskem prostoru? Razdelimo jih lahko na dva vidika, osebnostnega in korporativnega. Pri osebnostnem gre za veliko primerov socialnega inženiringa, za pridobivanje podatkov na različne načine, kot so phishing, pharming in drugi. Zelo veliko primerov v zadnjem času pa se dogaja s tako imenovanimi trojanskimi konji oziroma s programi, ki omogočajo dostop do uporabnikovega računalnika brez njegove vednosti. S takim programom se lahko zelo hitro okužimo, ko odpremo nek dokument.

Katere pa so najpogostejše metode kibernetskih napadalcev? Princip organiziranega kriminala v kibernetskem prostoru poteka tako, da najprej uporabijo tehniko socialnega inženiringa. To pomeni, da spoznajo osebo, potem poiščejo znanca od te osebe, nekoga, ki ga ta oseba spoštuje, razume, se poznata in od njega poskušajo izvedeti podatke o interesih, hobijih napadene osebe. Tej potem pošljejo nek dokument z naslova njegovega prijatelja, ki so ga zlorabili in mu ukradli identiteto. Ko dobi od znanega pošiljatelja, "prijatelja", dokument s področja, ki ga zanima, je ta sicer pristen, vendar pa je zraven tudi škodljiva koda, ki omogoča odpiranje računalnika napadene osebe v svet, in na podlagi tega lahko potem z njenega računalnika prenašajo podatke. Pri tem gre lahko za dva cilja, ali želijo napadalci nekoga kompromitirati ali pa pridobiti premoženjsko korist kot v drugih oblikah kriminalitete.

Kako bi komentirali nedavni razvpiti primer kranjskega podjetja, ko so mu nepridipravi, ki so se po elektronski pošti predstavljali kot izvajalci posodabljanja računalniške programske opreme, s transakcijskega računa ukradli 100 tisoč evrov? Prav v tem primeru se je pokazala vloga socialnega inženiringa, saj so s to metodo pridobili podatke o bančnem računu, načinu nakazovanja in načinu sodelovanja podjetja s poslovno banko. Potem ko so "vstopili" v računalnik podjetja, so z lahkoto zlorabili njihov račun. Oseba, ki je v podjetju imela dolžnost, da izvaja finančne transakcije, je pozabila na osnovne elemente informacijske varnosti. Premajhna pazljivost in tudi premajhno znanje jo je privedlo do tega, da je napadalcem zaupala pomembne podatke.

Ali lahko tudi zlorabo računovodskih servisov, kot na primer zadnji na soboški gimnaziji, prav tako štejemo v kategorijo kibernetske kriminalitete? Če govorimo o računovodskih zlorabah, ki jih je zdaj kar nekaj, so to drugačni primeri. Ne gre namreč za to, da zlorabljajo informacijski sistem zunanji ljudje, ampak za čisto navadno zlorabo pooblastil in pravic, ki jih neka oseba ima. Računovodje imajo to prednost, da delajo z denarjem in imajo do njega lažji dostop. Ne gre pa pri tem za primere kibernetske kriminalitete, ki pa vedno poteka znotraj računalniških omrežij in kjer je vedno prisotna tehnologija.

Kdo so najpogostejše tarče napadov, podjetja ali fizične osebe? Pri fizičnih osebah je lažje napasti in lažje uspeti, ker je znanje pri uporabnikih pogosto manjše, nimajo posebnega izobraževanja na temo zavarovanja lastne identitete, zasebnosti. Z dostopnostjo informacijskih tehnologij in možnostjo povezovanja v kibernetski prostor kadarkoli in kjerkoli, je mnogo ljudi z vidika informacijske varnosti neukih. Pri tem pa ne gre za tako velike finančne učinke, kot če napadalci uspejo vdreti v informacijske sisteme korporativnih okolij. Za podjetja pa nastane dvojna škoda, poleg izgube denarja še kompromitiranje in izguba zaupanja v podjetje.

Kako je pa s kibernetsko kriminaliteto v okviru državnih organov? Na tem področju gre predvsem za pridobivanje podatkov, ki lahko pomenijo uspeh ali neuspeh za nekoga pri poslu, ki ga delajo z državo. Lahko pomenijo informacije, ki jih lahko dobijo vnaprej in do katerih niso upravičene. S predhodnim pridobivanjem informacij od konkurence oziroma državnih organov in služb lahko dobijo konkurenčno prednost. Gre za primer informacijskega bojevanja, ki ga tudi štejemo med kibernetsko kriminaliteto.

S pojavom različnih elektronskih naprav se je zelo razširila tudi uporaba elektronskega poslovanja, spletnega in mobilnega bančništva. Kje so na tem področju največje nevarnosti? V osnovi je elektronsko bančništvo relativno dobro zaščiteno, če se seveda držimo osnovnih priporočil, ki jih poslovne banke priporočajo pri uporabi, se pravi osnovna programska zaščita računalnika, varno hranjenje gesel, certifikatov. Seveda pa je zelo pomembno tudi ustrezno fizično zaščititi elektronske naprave, ki jih uporabljamo, še posebej mobilne. Večkrat se dogaja, da s temi napravami ne ravnamo dovolj skrbno, da jih puščamo nezavarovane. V nekaj deset sekundah pa lahko nekdo, ne da bi nam jo fizično odtujil, namesti program, s katerim prevzame kontrolo nad napravo in potem počne na njej stvari, kot jih lahko mi sami.

Ko omenjate fizično varovanje, ali nas je morda lahko vedno bolj strah, da nas bo kakšen nepridiprav napadel v stanovanju, nam prislonil pištolo na glavo in zahteval, da nakažemo denar iz svoje spletne banke na račun, ki ga zahteva napadalec? V tem primeru bi šlo bolj za klasični kriminal. Taki primeri se sicer tudi dogajajo, ampak v zadnjem času se v Sloveniji ne spomnim kakšnega konkretnega. Pri drugih možnostih, ki jih kibernetski kriminal za napadalce ponuja, se je danes nesmiselno izpostavljati, saj lahko do elektronskih naprav drugih oseb dostopajo v svojih prostorih.