Za luknje v programski opremi vedno obstajajo popravki, za človeško neumnost pa večinoma na žalost ne. Kdor zna v sodobnem informacijskem svetu inteligentno manipulirati z uporabnikom, od njega izve vse, kar ga zanima, ne glede na kakovost programske opreme in varnostnih mehanizmov, ki jih ta ponuja. Plen nepridipravov je uporabnikova digitalna identiteta, ki mu lahko v kriminalnem podzemlju prinese veliko denarja, njegova metoda spletno hekanje. Spletno hekanje je le ena od oblik socialnega inženiringa, nevarnost, s katero se največkrat spoprijemajo uporabniki družabnih omrežij. Ker je Facebook največje takšno omrežje, so razumljivo najbolj na udaru ravno njegovi člani. Pred to obliko spletne prevare se ni prav preprosto zaščititi. Razumeti morate psihološke zvijače, ki jih uporabljajo tatovi identitet.
Socialni inženiring ali umetnost prevare ni nekaj, kar bi se pojavilo z računalniško revolucijo, temveč je z nami že od pamtiveka. Prevarant, ki se je hotel v družbi predstaviti kot nekdo drug, je moral najprej dobro spoznati svojo žrtev. Moral je vedeti vse o njej, da se je lahko zrinil v njeno kožo, saj je le tako lahko imel od nje koristi. Te so bile lahko kar koli – pred stoletji ali tisočletji je bilo morda dovolj, da ga je pleme, ki ga je obiskal, častilo kot sina poglavarja z drugega konca dežele, mu dalo jesti in piti ter mu ob odhodu v roke stisnilo še kakšen dragocen predmet. V nam nekoliko bližnjem času je bil socialni inženiring usmerjen proti podjetjem. »Napadalec« je manipuliral in zavajal zaposlene v podjetju, da je pridobil dragocene podatke. Motiv za »napad« so bili na prvi pogled najbolj neškodljivi podatki, kot je organizacijska struktura podjetja (hierarhija). Iskane podatke je lahko pridobil tudi z najbolj nenavadnimi načini, kot je brskanje po smeteh za zavrženimi dokumenti podjetja. Zato so tudi podjetja začela kupovati uničevalce dokumentov, ki so te razrezali na majhne koščke, da jih nihče več ne bi mogel zlepiti skupaj. Pa čeprav v ameriških filmih in serijah vidimo, kako uničene dokumente sestavijo »vrli« raziskovalci zločinov v nekaj urah, če ne celo prej. In ni pomembno, kako majhni so koščki in koliko dokumentov je bilo hkrati uničenih in zavrženih, vedno najdejo tistega, ki ga iščejo.
Digitalni »smetnjaki«
S selitvijo vsega, kar imamo in kar smo prestavili v internet oziroma na splet, spletnim prevarantom ni več treba brskati po smetnjakih. Vsaj tistih pravih in smrdljivih ne. Danes brskajo po digitalnih smetnjakih in iščejo vse tisto, kar so uporabniki zavrgli. Facebook zaradi svojega načela delovanja veliko pove o povezavah uporabnikov, hkrati pa so v digitalnih smetnjakih lahko podatki, kot so poštni naslovi, telefonske številke, politično prepričanje, povezani spletni računi, gesla in podobno. Za nekoga smeti, za spletne prevarante pa podatki, ki jih lahko »pretopijo« v denar. Na Facebooku naj bi bilo več kot 600 tisoč Slovencev, ki tam objavljajo svoje, pa tudi podatke o drugih ljudeh. Vrednost podatkov se giblje od nekaj centov do nekaj dolarjev, odvisno od količine podatkov o uporabniku in od kod ta je. Podatki prebivalcev bogatih zahodnih držav so na črnem trgu vredni več od podatkov prebivalcev držav v razvoju. Gre za velik »kriminalni« posel, kjer se ne prodajajo podatki ali profili enega uporabnika, temveč paketi, v katerih so podatki več sto ali več sto tisoč ljudi. Prodajalci so hekerji ali skupine hekerjev, ki svoje »storitve« ponujajo na specializiranih forumih. Pravi se skrivajo v temni mreži, delu interneta, ki je skrivnosten in težko dosegljiv neizobraženemu uporabniku (članek o globokem in temačnem internetu najdete tudi na naši spletni strani www.mojmikro.si). Hekerjev, ki ponujajo digitalne identitete, naj bi bilo veliko tudi zato, ker je nedopovedljivo veliko metod za krajo osebnih podatkov.
Cilj napada na profil uporabnika družabnega omrežja je pridobiti neposredni in popolni nadzor nad uporabnikovim profilom (računom). Tako napadalec doseže dvoje: pridobi dostop do vseh osebnih podatkov »žrtve«, hkrati pa tudi priložnost, da napade prijatelje tega uporabnika. Odličen vzvod za napad so aplikacije za Facebook, mali programi, ki na prvi pogled delajo nekaj, kar si uporabnik želi (na primer igre), hkrati pa tudi odprejo napadalcu vrata do računa. Vsako aplikacijo v Facebooku mora uporabnik potrditi, preden je ta aktivna v njegovem računu. Praksa kaže, da so uporabniki navdušeni nad aplikacijami, ki obljubljajo nekaj res norega oziroma natančno to, kar si ti uporabniki želijo, in jih zelo neselektivno aktivirajo, toliko bolj, če jim aplikacijo predlagajo njihovi prijatelji. Od tu priložnost, da napadalec, ki je uspešno vdrl v uporabnikov račun, hitro in enostavno s svojo škodljivo kodo okuži tudi njegove prijatelje.
Spletni prevaranti niso neumneži in poskušajo vse, da bi dosegli svoje, tudi če uporabnik njihove aplikacije noče zagnati, torej namesto »dovoli« pritisne gumb »ne dovoli« dostopa aplikacije do profila. To namreč ne pomeni, da smo se s tem obvarovali pred neželenim učinkom. Nepridipravi so namreč predvideli tudi to možnost in nas po izboru enega ali drugega gumba lahko vržejo na ponarejeno osnovno stran Facebooka, ki zahteva ponovno prijavo v račun. Ta stran je na videz enaka kot prava, v resnici pa gre za stran, namenjeno prestrezanju uporabnikovih prijavnih podatkov. Ker je videti kot prava prijavna stran v Facebook, uporabnik vpiše uporabniško ime in geslo, nato se mu odpre prava Facebookova stran oziroma uporabnikov profil. A ker je bila vmes »hekerska« stran namesto prave, so ti podatki šli neposredno nepridipravom. Uporabniku se vse skupaj ne zdi čudno, vendar je v procesu nekomu nevede izdal vse podatke, s katerimi se ta lahko prijavi v njegov račun. Torej: nikdar in nikoli ne vnašajte uporabniškega imena in gesla, če niste popolnoma prepričani, da ste na pravi strani za prijavo v Facebook. Kako zadevo preveriti? Poglejte spletni naslov, na katerem ste. Če ni Facebookov, je ponarejen in ste tarča napada.
Da gre pri krajah osebnih podatkov za velik posel, kaže tudi »podporna programska industrija«. Kdor želi narediti in razširiti nevarne škodljive Facebook aplikacije, niti ni nujno, da je vešč in izkušen programer oziroma heker. Na voljo so mu programska orodja, kot je na primer Tinie. Zanj zahtevajo 25 dolarjev. Grozljivo je, kako preprosta so ta orodja za uporabo, treba je le slediti navodilom (čarovniku) in na koncu nastane delujoča »škodljiva« aplikacija. Tudi ko se najde zdravilo zanje, morda celo pristanejo na Facebookovi črni listi, hekerji izdelajo nova orodja, nove aplikacije, ki so sposobne prelisičiti zaščito.
Moj mikro, Julij Avgust 2012 | Marjan Kodelja |
