Heker, ki je uspešno vdrl v uporabnikov Facebook račun, ima v rokah zanj največjo dragocenost, »geslo« in »uporabniško ime«. Ta ni ključ le do ogromno osebnih in manj osebnih podatkov, velikokrat odpre tudi vrata do uporabnikovih drugih spletnih računov, Google, Amazon, eBay, PayPal, storitve spletne pošte in še veliko drugega. Zakaj? Ljudje smo po naravi leni in imamo slab spomin. Zato delamo natančno to, pred čemer nas vsi svarijo in za kar vemo, da ne bi smeli početi. Eno in isto uporabniško ime in geslo uporabljamo za različne spletne storitve. Raziskave navad spletnih uporabnikov kažejo, da je uporabnikov, ki to počnejo, več kot polovica. Koliko sta v tem primeru vredna oba podatka na hekerskem trgu? Menda tudi do 200 dolarjev.
Ne gre le za črni trg. Vse več je podatkov, ki kažejo, da so naročniki napadov na Facebookove račune tudi podjetja in vlade. Oba »naročnika« namreč zanima, kaj na Facebooku pišejo zaposleni, ne vsi po tekočem traku, temveč le tisti, za katere vedo, da imajo kaj povedati. Pri tem pa ne pozabijo poudariti, da so lahko zaradi curljanja podatkov ogrožena tudi življenja. Znan je primer iz leta 2010, ko je izraelska vojska odpovedala načrtovani napad na palestinska ozemlja, saj je vojak na svojem Facebook profilu objavil čas in kraj napada. Podjetja imajo lahko podobne težave. Zaposleni lahko na svojih profilih nevede izdajo podatke, kot so podatki o organiziranosti podjetja (strukturi zaposlenih), že tako, da med svoje osebne podatke zapišejo, v katerem podjetju so zaposleni in kakšen je njihov status v njem. Kaj pa, če skupine znotraj podjetja uporabljajo sicer zaprte in nejavne mreže ljudi za poslovno delo in sodelovanje? S tem načelno ni nič narobe, dokler so podatki, ki si jih člani izmenjujejo, zaupni. Težave se pojavijo, ko napadalec s pomočjo socialnega hekanja, morda s podatki, ki jih je nehote izdal zaposleni tega podjetja na svojem zasebnem profilu, vdre v to skupino in pridobi zaupne podatke. Menda so na črnem trgu na voljo tudi zaupni poslovni podatki, njihova cena pa je visoka.
Nič neobičajnega ne bi smelo biti, da podjetja in vlade plačujejo hekerskim skupinam in posameznim hekerjem, da jim ti priskrbijo želene podatke. Hekerjev pa etika dejanja ne zanima, najpomembnejše je, da so za svoje storitve ustrezno plačani.
Postavljanje vab in izsiljevanje
Bistvo socialnega hekanja je izvedeti čim več o uporabniku, ta pa hkrati tudi ve, da nekatere strani dajejo nagrade, če jih uporabnik »lika« oziroma pove, da mu je prispevek, skupina ali kar koli že všeč. Heker lahko temu doda anketo, in če je ta pravilno oblikovana, lahko izve veliko o uporabniku, te podatke pa uporabi morda tudi za vdor v njegov račun. Vaba je tisto, kar uporabnik dobi, da naredi, kar od njega zahteva. Lahko pa je marsikaj, tudi denar.
Družabna omrežja so primeren kraj za izsiljevalce. Njim ni toliko pomembno, da vdrejo v uporabnikov račun. Raje se kot prijatelj vključijo v čim več zasebnih mrež in čakajo, da člani tam objavijo na primer žgečkljiv videoposnetek. V tem primeru gre za klasičen primer socialnega inženiringa. Napadalec se mora predstaviti kot oseba, ki jo člani mreže poznajo, a tega še ni na Facebooku. Ko dobijo, kar so iskali, zahtevajo denar, ali pa bodo obremenilni material javno objavili.
Javni podatki, objavljeni na Facebookovem računu, so lahko tudi drugače zgovorni. Nekatere storitve, na primer poštne storitve, imajo sistem za vračanje pozabljenega gesla, ki ga pošljejo na poštni naslov, ki ga vpišemo. Kar je logično, pošiljanje na star naslov nima smisla, saj ga zaradi pozabljenega gesla ne moremo prebrati. Zato take storitve uporabljajo drugačne varnostne mehanizme. »Kako je ime tvojemu očetu?« Napadalec, ki napada pošto točno določene osebe, gre pogledati, kakšno je ime očeta, preprosto tako, da pogleda javne podatke na Facebookovem računu. Pametno je pomisliti, da pri varnostnih vprašanjih ne izbiramo takšnih, katere odgovore imamo javno objavljene. Po udaru lahko napadalec med pošto poišče material za izsiljevanje ali pa pridobljeni poštni naslov izkoristi za ponastavitev oziroma vdor v Facebookov račun žrtve. Oziroma račun kakšnega drugega družabnega omrežja.
Izdajanje za nekoga je v družabnih omrežjih preprostejše kot v pravem življenju. Goljuf, ki hoče nekoga prepričati, da je oseba, za katero se izdaja prek telefona, mora na vsako zastavljeno vprašanje hitro odgovoriti. Na družabnem omrežju si lahko vzame čas in morda poišče nove podatke o žrtvi. Zaradi vsega napisanega bo Facebook še dolgo tarča hekerjev, ti pa bodo razvijali nove, še nevarnejše strategije. Naslednji korak je lahko ribarjenje s kopjem (spear phising). To pa je usmerjen napad spletnega ribarjenja, izveden na podlagi psihološkega profila, samodejno oblikovanega na podlagi podatkov, ki jih uporabniki puščamo na družabnih omrežjih. Facebook in varnostna podjetja se trudijo zaščititi omrežje, kot je najbolje mogoče. A kot smo zapisali na začetku: programske luknje lahko zakrpajo, lahko odstranijo lažne profile in škodljive aplikacije, nikakor pa ne morejo omrežja varovati pred človeško neumnostjo in lahkovernostjo.
Moj mikro, Julij Avgust 2012 | Marjan Kodelja |
