Nove prevare so v bistvu enake kot stare

Dr. David Modic, strokovnjak za računalniško varnost na univerzi v Cambridgeu.
Objavljeno
15. marec 2018 13.58
Brane Maselj
Brane Maselj

V Cambridgeu je že skoraj pet let. Dela kot raziskovalec v skupini za računalniško varnost v računalniškem laboratoriju univerze in kot namestnik direktorja skupine za hitro odzivanje (CamCERT), ki je podobna slovenskemu centru SI-CERT. V obeh službah se ukvarja s psihologijo spletnih prevar in psihologijo računalniške varnosti. V pogovoru z njim smo poskušali razbiti nekatere najbolj pogoste mite o tem, kako varno oziroma nevarno je spletno okolje, v katerem preživljamo že skoraj več časa kot v resničnosti.

Kako ste prišli v Cambridge?

Po končanem doktoratu na univerzi v Exetru v Veliki Britaniji sem se z družino vrnil v Slovenijo. S partnerko sva si tu iskala službo, ona z magisterijem iz dramatike, jaz z doktoratom iz ekonomske psihologije z ene bolj prestižnih univerz na svetu. Po skoraj letu neuspešnih poskusov sem pisal profesorju s Cambridgea, ali bi se mu lahko priključil pri kakšnem projektu. Profesor se je ravno v tistem času prijavljal na razpis projekta na temo omejevanja zavajanja. Prosil me je, ali lahko napišem oris svojega dela projekta, in me na podlagi raziskovalnega predloga vključil v prijavo. Čez slabih devet mesecev so nam odobrili financiranje projekta, mene pa so povabili v Cambridge že malo prej, ker so se našla sredstva. Ponudil jih je Google.

Kaj vas privlači pri spletnih prevarah?

Zanima me, kateri psihološki mehanizmi povzročajo večjo dovzetnost za prevare, kakšne so njihove čustvene in finančne posledice, kako razviti mehanizme, ki zmanjšujejo dovzetnost za prevare in podobno. Pri računalniški varnosti me zanimajo tri področja: opredelitev in psihološki profili hekerjev; psihološki mehanizmi, ki jih uporabljajo tisti, ki brez pooblastila vdirajo v računalniške sisteme, ter razvijanje in praktična uporaba varnostnih politik, ki naj bodo bolj dostopne sleherniku.

Kaj je zdaj najbolj aktualna tema kibernetske varnosti?

Nevarnosti! Tisto, kar se trenutno najbolj prodaja, so t. i. blockchains in GDPR (smernice varovanja podatkov). O tem stranke največ govorijo in to se najbolje prodaja. Vendar to nista nujno temi, zanimivi za nas, ki se aktivno ukvarjamo z varnostjo. Večino nas bolj zanimajo človeški vidiki varnosti (t. i. socialni inženiring) in preprečevanje posegov tujih držav v aktualno dogajanje. Napadalci so pretkani in vztrajni. Ob lanskih britanskih volitvah je bila naša univerza preplavljena z naprednim programjem, ki se med drugim uporablja za krajo identitete. Poleg nas je bilo napadenih še več deset drugih prestižnih britanskih univerz. Cilj je bila zloraba vpliva, ki ga ima univerza na javno mnenje, in posredni vpliv na volitve. Samo predstavljajte si, kako bi v javnosti odmevalo, če bi tradicionalno levičarski akademiki in njihova univerza nenadoma začeli zagovarjati nacionalizem in diskriminacijo.

Ali ste napad odvrnili?

Smo. Začel se je tako, da je več tisoč zaposlenih dobilo pošto lokalnih administratorjev, da jih je DHL obvestil o zahtevi po plačilu carinskih dajatev za neki paket iz tujine. Ta zahteva je bila vključena v prvotno pošto. Ob potrditvi povezave v pošti DHL se je na računalnike naložil paket, ki se je ves čas spreminjal – naložilo se je različno programje upravljavcev na daljavo, prisluškovalcev tipkam in tako naprej. Uslužbenci, ki so bili tarča napadov, so bili natančno izbrani, med njimi ni bilo uslužbencev računalniške službe univerze, a ker sem sam delno zaposlen tudi v računalniškem laboratoriju, sem pošto dobil in jo posredoval CamCERT. Ti so takoj zaprli dostop do povezav v tisti pošti in potem poskušali analizirati programje v virtualnih računalnikih, ki jih imamo za ta namen. Sprva smo bili neuspešni, ker je programje zaznalo, da teče v varnem okolju, in se ni hotelo izvajati. Ko pa smo za analizo uporabili stare strežnike, smo lahko izvedeli več in napad povsem ustavili. V prvih minutah napada so storilci okužili približno 160 računalnikov.

Katere so najpogostejše računalniške prevare in ali njihovo število narašča?

Pogostost in tip prevare sta odvisna od tarče. Univerzam poskušajo ukrasti dostop in raziskave, podjetjem patente in prototipe, posameznikom denar in upanje. Naše raziskave kažejo, da so avkcijske spletne prevare daleč najbolj učinkovite – pri njih je oškodovan vsak drugi udeleženec, ki pride v stik s prevaranti. Težko rečemo, da število prevar narašča, nihče nima podatkov o tem, je pa verjetno varno sklepati, da se spletne prevare kot pojav obnašajo kot druge oblike kriminalitete. Hočem reči, da noben tip kriminala ni kar naenkrat bolj razširjen. Te spremembe se dogajajo počasi. Pojavila pa se je teza, da je spletnega kriminala več, ker je tistega v konkretnem svetu manj. Če je storilcev še vedno približno enako in se pogostost bistveno ne spreminja, potem je vsa ta kriminaliteta morala nekam iti. Morda na splet?

Zaslediti je, da škodo internetnih prevar po svetu ocenjujejo že na 40 do 50 milijard dolarjev.

Ocene škode zaradi prevar divje nihajo. Od nekaj milijard do več sto milijard ameriških dolarjev na leto. Vse to so približki, odvisni od tega, ali upoštevamo še spremljajoče stroške, katero področje merimo in na kakšen način posplošujemo pridobljene podatke. Britanski urad za zaščito potrošnikov je denimo pred leti ocenil, da v Veliki Britaniji izgube zaradi spletnih prevar znašajo okoli deset milijard funtov na leto. Tak izračun je bolj kot ne čisto ugibanje, ne vemo namreč, ali je v nekaterih regijah napadov več kot drugje, ne upoštevamo industrijskega kriminala, ne vključujemo spremljajočih stroškov in hkrati upoštevamo samo finančne izgube, ki pa niso niti edine niti največje. Čustvene posledice so v vseh merjenih prevarah večje kot finančne.

Kdo so računalniški goljufi in kdo so najpogostejše žrtve?

Vemo, da v kiberkriminalu storilci niso tipični v vseh pogledih. Ne spadajo nujno v nižji sloj, večkrat, kot je to običajno, so visoko izobraženi in nadarjeni. Na splošno pa lahko rečemo, da si je svet razdelil pogačo – tradicionalno je ruska mafija tista, ki najema hekerje za razvijanje mehanizmov za pranje denarja in spletne igre na srečo. Ruska vlada pa najema hekerje, da rušijo stabilnost drugih držav. Nigerija ima skoraj monopol nad prevarami vnaprejšnjega plačila. Kitajska vodi v industrijskem kriminalu in akademskih prevarah. Žrtve so odvisne od tipa prevar, najbolj preprosto pa je reči, da za vsako rit šiba raste. Ob tem bi rad poudaril, da je verjetnost, da bo nekdo oškodovan zaradi spletne prevare, razmeroma majhna, zagotovo pa manjša od desetih odstotkov.

Kako so videti nove računalniške prevare?

V svojem bistvu enako kot stare. Nigerijska prevarantska pisma, v katerih se na primer zlažejo, da si podedoval ogromne količine denarja, a da moraš najprej plačati kak kolek, odpreti bančni račun v Nigeriji, financirati odprtje podjetja ipd., so v svojem bistvu enaka kot tako imenovana pisma španskih zapornikov, ki so se prvič dokumentirano pojavila v 16. stoletju. Mehanika prevar se bistveno ne spreminja, ker pač delujejo take, kot so, s časom se spreminjajo samo pristopi in vsebina. Cilj je vedno isti – prepričati človeka, da sprejme odločitev, ki je na koncu zanj slaba. Pri tem velja poudariti, da nekateri raziskovalci pojmujemo prevare kot različico marketinga. Prijemi so enaki, razlika je samo v končnici. Pri klasičnem oglaševanju na koncu tudi dobimo tisto, za kar smo plačali, pri prevarah pač ne.

Ali niso nigerijska pisma že malo zastarela?

So, skoraj nihče jim več ne verjame. Ampak odstotek prejemnikov – po mojih raziskavah – še vedno meni, da so iskrena. In ker pošiljanje pošte milijonom ljudi skoraj nič ne stane – po zadnjih podatkih Rusi zaračunajo 25 dolarjev za prepošiljanje pošte na tri milijone aktivnih naslovov –, ni nobenega razloga, da bi nehali. Po drugi strani se tudi nigerijska pisma spreminjajo. Neka slovenska znanka, ki je kot računovodkinja poskušala preprečiti stranki, da bi – še bolj – nasedla na ponudbo posodobljene različice nigerijskega pisma, mi je pripovedovala, da je šlo za navidez angleško podjetje, ki je ponujalo evropska kohezijska sredstva malim podjetnikom. A preden bi podjetniki lahko začeli črpati sredstva, bi morali plačati procesne stroške, odpreti bančni račun v Amsterdamu, podpisati »svetovalno pogodbo« z njimi in tako naprej. Stranka je do takrat že nakazala več deset tisoč evrov podjetju, ki ji je obljubljalo kmetijske subvencije v vrednosti okoli 800.000 evrov. Ko sem pregledal korespondenco, je postalo jasno, da to podjetje ne obstaja, da nima sedeža v Londonu, niti lastne domene, niti ne vedo, kakšen je v resnici postopek pridobivanja evropskih sredstev. Šlo je za prevaro vnaprejšnjega plačila, torej zgolj in samo za modernizirano nigerijsko pismo.

Ali ljudje neradi priznajo, da so bili ogoljufani prek spleta?

Ja. Nihče ne prizna zlahka, da se mu je zgodilo nekaj neprijetnega, še sploh takrat, ko lahko pričakuje, da se mu bodo drugi posmehovali, češ da je neumen ali pohlepen. Temu pojavu pravimo sekundarna viktimizacija. Primerljiv je s položajem, ko je ženska posiljena, znanci in kolegi pa menijo, da je itak sama kriva, ker je izzivala z obleko ali obnašanjem. Takšne reakcije so posledica psihološke zaslepljenosti, ker večinoma želimo o sebi verjeti, da smo na splošno dobri in bi drugim morali pač pomagati, razen če so sami krivi svoje nesreče. A prav vsakomur se lahko zgodi, da kdaj nasede, in nihče ni imun. V tem pogledu sodelujem z Inštitutom za kriminologijo Univerze v Cambridgeu in metropolitansko policijo v Londonu pri razvijanju preventivnih kampanj in šolanju policistov, pri čemer so dotikamo tudi tem, kot je sekundarna viktimizacija.

Menda je vsaj četrtina profilov na družbenih omrežjih lažnih?

Tega, koliko ima lažnih profilov, najbrž tudi sam Facebook ne ve zagotovo, a dovolj je, da pogledate, koliko vaših prijateljev uporablja lažno ime, kar je proti pravilom uporabe Facebooka, pa jih nihče ne ustavlja. Tudi na prvi pogled se mi zdi številka kar visoka. Po tej logiki je na Facebooku, ki ima skoraj dve milijardi uporabnikov, približno 500 milijonov lažnih profilov? Kaj pa Linked-in kot družbeno omrežje, ki se tradicionalno uporablja za to, da ljudje razvijajo poslovne mreže? Težko verjamem, da je od približno 500 milijonov aktivnih uporabnikov več kot 115 milijonov takih, ki nočejo mrežiti.

Ali lahko to štejemo tudi za goljufijo?

Ne glede na to, koliko je takih lažnih profilov, zagotovo gre za goljufijo, saj je to proti pravilniku večine družbenih omrežij, torej je že samo dejanje v očeh ponudnikov teh storitev goljufivo.

Čemu so lahko namenjeni lažni profili na družbenih omrežjih?

Pogosto so ti profili tudi orodje prevarantov za doseganje drugih ciljev. Vsilijo se v uporabnikov krog zaupanja – spoprijateljijo se z nekom, ta zaprosi za prijateljstvo druge, ki najprej pogledajo, ali imajo skupne prijatelje, in ker ga že imajo, sprejmejo in potem gre čedalje lažje in lažje. Po nekaj mesecih so prepleteni z drugimi in nato ponudijo možnost hitrega zaslužka z majhnim vložkom svoji mreži prijateljev. Druga opcija je zbiranje podatkov, ki so uporabni za krajo identitete – od rojstnega datuma in naslova do zaposlovalca, družinskih članov in tako naprej. Če vemo še, da skoraj devet od desetih ljudi uporablja isto geslo za vse uporabniške račune, potem je dovolj, da nekdo ugane eno, na podlagi informacij, ki jih ima o osebi, pa dobi dostop do banke, spletne pošte, telefonskega predala, PayPala, Amazona itd. Večinoma storilci najprej pregledajo družbena omrežja in guglajo posameznike, ki jih poskušajo kompromitirati. Socialni inženiring je uporabljen v skoraj vseh uspešnih vdorih v omrežje Univerze v Cambridgeu.

Koliko odstotkov opozoril o ogroženosti računalnika je lažnih?

Tega zelo verjetno nihče ne ve, ker ne obstaja enotna baza, v kateri bi bila zbrana vsa obvestila, ki so lažna ali resnična. Taka baza je problematična tudi zato, ker bi bila prva točka napada ali reference. Storilci bi lahko vnaprej preverjali, ali bo njihovo opozorilo prepoznano kot legitimno ali ne. Po drugi strani bi na primer jaz, če bi bil napadalec, takoj dodal svoje opozorilo v tako bazo kot povsem legitimno. Če ne bi imel dostopa, bi ukradel identiteto nekomu, ki bi imel tak dostop. Na kratko, vsi centralni arhivi, ki bi ločevali med resničnim in lažnim, so dvorezni meč.

Ali opozorila o ogroženosti računalnikov res pošiljajo sami prodajalci protivirusne zaščite?

Ne verjamem, da imajo proizvajalci protivirusnih programov prste zraven. Za njihov poslovni model to ni dobro. Dovolj bi bil en tak dokumentiran primer in bi propadli, ker njihove programske opreme ne bi nihče več kupoval. Poleg tega je resničnih groženj več kot dovolj, da ni potrebe po tem, da bi si izmišljevali lažne.