Vjerojatno nema osobe na Internetu koja nekad u životu nije zaprimila junk ili phishing mail – ili, još zanimljivije, lančanu Facebook poruku o tome da je upravo ona osvojila veliku svotu novca, da je od velike važnosti da reagira što prije na mail kako bi nekome pomogla ili neki drugi kreativan sadržaj. Neke od takvih poruka lakše je „pročitati“ od drugih i uvidjeti pravu namjeru iza njihova sadržaja, no određene se zlonamjerne poruke znaju doimati vrlo autentičnima i njihov sadržaj može biti do te mjere uvjerljiv da čitatelj shvati kako zanemarivanje ovog sadržaja nije opcija, odnosno da nereagiranje može imati važne i ozbiljne posljedice (npr. lažni mailovi o važnosti potvrde autentičnosti vlastitih podataka ili o povratu poreza koji su nedavno kolali Internetom).
Ti mi lažeš najbolje!
Ovakav sadržaj predmet je interesa socijalnog inženjeringa, područja u domeni informacijske sigurnosti koje se odnosi na prijetnju privatnosti osobe i predstavlja oblik psihološke manipulacije kojom se osobu navodi na poduzimanje određenih aktivnosti i otkrivanje svojih povjerljivih podataka. To mogu biti SMS-ovi, mailovi, poruke na društvenim mrežama, ali i telefonski pozivi. Svrha socijalnog inženjeringa je primarno prikup informacija, najčešće onih osjetljivog tipa koje se kasnije mogu iskoristiti kao direktan izvor novca, kao ucjena, sredstvo kojim se drugu osobu drži u nepovoljnom položaju te kao neki drugi oblik razmjene u kojem žrtva nevoljno sudjeluje. Temelji se na principima persuazije (uvjeravanja) i namjeri počinitelja da se svojim djelovanjem nepravedno okoristi.
Kabay, Bosworth i Whyne u svojem su priručniku iz 2014. o računalnoj sigurnosti istaknuli:
Socijalni inženjering umjetnost je iskorištavanja najslabije karike u sustavima informacijske sigurnosti - ljudi.
Više aspekata dovodi do stvaranja osjećaja povjerenja kod žrtve socijalnog inženjeringa, što ju čini podložnijom sve većem dijeljenju osjetljivih informacija. Kako bi manipulacija bila uspješna, dobar socijalni inženjer poduzet će sljedeće korake:
Izgraditi identitet
Socijalni inženjer uspješan je onoliko koliko dobro poznaje svoje žrtve. Primjerice, osoba koja je usamljena prije će reagirati na sadržaj koji se oslanja na emocije, privrženost i/ili romantiku, nego što bi to bila osoba u stabilnoj vezi (jedan od razloga uspješnosti tzv. Tinder Swindlera). U prvom koraku nastojat će uspostaviti kredibilitet i ostaviti dojam autentičnosti time što barata informacijama koje inače smatramo važnim znakovima i u interpersonalnoj komunikaciji (zna ime osobe kojoj se javlja, odjel ili tvrtku u kojoj radi i/ili kolege s kojima radi – npr. domenu maila tvrtke, pokazuje osnovno znanje o profesionalnim ili privatnim odnosima osobe i slično). Iako se doima kao mnogo truda, ove su informacije tipično navedene i podijeljene s javnošću na našim društvenim mrežama – gdje radimo, s kime se družimo, tko su nam članovi obitelji. Te informacije nazivamo Open-Source Intelligence i raznim alatima vizualizacije moguće ih je prezentirati na način da se lako iščitaju važniji odnosi, korelacije naših online interakcija i slično. Budući da je ovaj dio uvelike pod našom kontrolom, valja imati na umu da možda ne moraju baš svi znati informacije o našem statusu veze, zaposlenja ili o trenutnoj lokaciji.
Psihološki utjecati
S obzirom na mnogobrojne moguće strategije ostvarivanja psihološkog utjecaja na druge ljude (konzistentnost, autoritet, obveza, …), socijalni inženjer tipično se detaljnije usmjerava na jednu od njih i nastoji pokriti ostale u manjoj mjeri kako bi nas uvjerio u svoju autentičnost, što podrazumijeva određene propuste. Kao što bi to bio slučaj pri upoznavanju uživo, prilikom susretanja s novim sadržajem ili osobama u online okruženju trebali bismo „provjeriti“ iste nepoznanice – koji su razlozi javljanja ove osobe, je li vjerodostojna, ima li autoritet i razumije li doista temu razgovora. Prisjetimo se Milgramovog eksperimenta iz 1963. godine koji nam je ukazao na to da 66% sudionika ne oklijeva u izvršenju direktne zapovjedi od strane osobe koju smatraju legitimnim autoritetom, čije naredbe tipično ne preispitujemo. Upravo propitivanje izvora i autoriteta trebalo bi nam moći pomoći razaznati stvarni sadržaj od zlonamjernog, imajući na umu to koliko se prosječni socijalni inženjer trudi kako bi bio uspješan (u smislu prikupa velikog broja površnih informacija).
Uspostaviti rapport
Izraz „rapport“ znači bliski i usklađeni odnos u kojem vladaju ugodna komunikacija, osjećaji i ideje. Ovakav se odnos gradi i temelji na povjerenju, a očituje se u našoj komunikaciji i povezanosti s osobama koje su nam od povjerenja. Ono što predstavlja u kontekstu socijalnog inženjeringa je još jedan dodatak kredibilitetu poruke koji se oslanja na validaciju, postavljanje pitanja, postojanje vremenskog ograničenja u obavljanju aktivnosti, spor govor i slično, a čime se sugovorniku daje do znanja da je poduzimanje aktivnosti s njezine strane pod određenim pritiskom i emocionalno obvezujuće (kao izraz empatije/simpatije ili kolegijalnosti). Ovaj aspekt izražen je u porukama koje spominju hitan slučaj u obitelji, uzvraćanje usluge ili potrebnu pomoć (kao i spominjanje nepovoljnih posljedica u suprotnom slučaju), što ponovo potiče žrtvu na reakciju.
Jesmo li bespomoćni?
Činjenica da „nasjedamo“ na socijalne prijevare proizvod je naše ljudskosti. Netflixove uspješnice The Tinder Swindler ili Inventing Anna govore u prilog tome kako neke osobe uspijevaju manipulirati okolinom i dovesti do stvarnih značajnih šteta (i zapanjujućih rezultata!) pomno isplaniranim detaljima. Skloni smo vjerovati u ispravnost većine naših interakcija te tipično ne sumnjamo u tuđe namjere (izuzev osoba koje ostvaruju iznadprosječne rezultate na dimenzijama neurotičnosti i neugodnosti te onih koji imaju ranija neugodna iskustva). U tom pogledu, nije ideja da ovim tekstom promičemo sumnju i prekomjerna ograničenja u komunikaciji s drugima koja će nam narušiti kvalitetu odnosa, već razumjeti mehanizam kojim se ovakvi pokušaji odvijaju i zaštititi se u razumnoj mjeri kako bismo prevenirali ovakve situacije. U slučaju kada primijetimo da nešto nije u redu i izaziva nam nelagodu (popularni eng. gut feeling, ali u lošem smislu), možemo poduzeti određene korake kako bismo provjerili kredibilitet i zaštitili se.
Preventivno, u svakom trenu imamo opciju izmijeniti i ograničiti pristup svojim podacima na društvenim mrežama. Iako sama naša prisutnost na društvenim mrežama podrazumijeva izloženost u nekoj mjeri (za koju pridruživanjem dajemo svoju suglasnost), stupanj u kojem smo spremni podijeliti svoje informacije pod našom je kontrolom (i podložan promjeni u postavkama privatnosti pripadajućih aplikacija). Također, važno je da ažuriramo aplikacije koje koristimo kako bi najnovije promjene i dorade bile usvojene u radu na našim aplikacijama (uključujući i sigurnosne postavke) te, nažalost, planiramo scenarij u kojem su naši podaci izloženi – što ako izgubimo mobilni telefon ili računalo, ako netko pristupi našem mailu i slično. Postoje navike koje možemo usvojiti u svojem svakodnevnom radu (brisanje nepotrebnih osjetljivih dokumenata, povijesti pretraživanja i slično), a koje u takvim slučajevima otežavaju ugrožavanje i dijeljenje naše privatnosti.
U slučaju zaprimljenih mailova ili poruka iz nejasnog izvora valja obratiti pažnju na propuste u komunikaciji - od stvarnih javljanja kredibilnih izvora nećemo nailaziti na nejednoznačnosti u komunikaciji (nespretno sročene, zbunjujuće ili dvosmislene poruke), značajne gramatičke greške i druge propuste naspram kojih bismo mi (kao osobe kojima takve poruke ne ulijevaju povjerenje) trebali dati određene povjerljive informacije i dovesti se u ranjivu poziciju. Također, legitimni izvori koji nas kontaktiraju zahtijevat će veći stupanj sigurnosti dijeljenja podataka (između ostalog, zbog zadovoljenja obveznih odredbi o zaštiti podataka korisnika) s više koraka u provjeri ispravnosti (npr. potvrda unošenjem koda zaprimljenog putem SMS-a, prijava u certificiranu aplikaciju i slično).
Tražite druge moguće izvore kontakata i provjere ispravnosti (primjerice, broj telefona koji se odnosi na službeni kontakt koji je javno dostupan i provjerljiv). Socijalni inženjeri izbjegavat će sastanke uživo, veliki broj dodatnih provjera i neplanirane komunikacije zbog mogućeg rizika od razotkrivanja i dovođenja sebe u ranjivu poziciju. Ako sumnjate na postojanje rizika izlaganja svojih podataka, ovim putem potvrdit ćete povjerljivost – ili svoje sumnje. Istraživanje Bulléea i suradnika pokazalo je da 60 % napada u socijalnom inženjeringu koristi jednostavne principe uvjeravanja, dok njih manje od 30 % koristi kombinirane korake. Drugim riječima, mali broj ovih strategija ima hijerarhiju razrađenih koraka i dubinu - u slučaju stvarnih razloga i potreba za dijeljenjem vaših povjerljivih podataka, postojat će osobe koje su u mogućnosti rastumačiti situaciju i potvrditi svrhu.
Za kraj - podijelite svoje brige s drugima! Slučajevi u kojima je zabranjeno ili nemoguće otvoreno pričati o svojim sumnjama i izvorima zabrinutosti vrlo su rijetki (i tipično se tiču odnosa prema radu ili etičnosti struke), posebno u privatnom životu. U redu je preispitati sadržaj koji kod nas izaziva zbunjenost i nelagodne osjećaje, a tuđi uvid i iskustvo u ovim slučajevima mogu nam biti od pomoći u prepoznavanju valjanosti izvora. Ako smo zaprimili prijeteće poruke koje nas ili nama bližnje osobe dovode u bilo kakvu opasnost, važno je analizirati ih prema ranijim smjernicama i obratiti se za pomoć i daljnje korake prijavom na dostupne kontakte (primjerice, nacionalnom tijelu za prevenciju i zaštitu od računalnih ugroza sigurnosti u RH CERT-u ili Agenciji za zaštitu osobnih podataka AZOP-u).
Izvori:
Bullée, J. W. H., Montoya, L., Pieters, W., Junger, M. i Hartel, P. (2018). On the anatomy of social engineering attacks — A literature‐based dissection of successful attacks. Journal of investigative psychology and offender profiling, 15(1), 20-45.Kabay, M. E., Whyne, E. i Bosworth, S. (2014). Computer security handbook. John Wiley and Sons, Incorporated.
CARNet CERT i LS&S (2006). Socijalni inženjering. Preuzeto 18.01.2023. s https://www.cert.hr/wp-content/uploads/2006/10/CCERT-PUBDOC-2006-10-172.pdf.