Vedno, ko razmišljamo o kibernetskih napadalcih, si predstavljamo zlobnega pametnjakoviča, ki sedi v kleti za računalnikom in lansira zapletene napade, ki se bodo izvajali preko spleta. Res je, da veliko kibernetskih napadalcev uporablja spletne tehnologije, vedeti pa je potrebno, da uporabljajo tudi navadna telefonska omrežja. Zakaj? Enostavno – računalniški sistemi imajo že veliko varnostnih mehanizmov, ki jih vedno znova tudi dopolnjujemo in nadgrajujemo. Tako je poglavitni razlog, da se napade izvaja preko sistemov, ki imajo slabše varnostne mehanizme. Drugi razlog, zakaj bi izvedel napad preko telefona namesto preko računalniškega sistema pa je zagotovo vidik socialnega inženiringa – napadalec je z žrtvijo v neposrednem stiku in lahko glede na ugotovljeno sproti ugotavlja, prilagaja in usmerja napad. Ne verjamete? OK. Se bomo razdelili v dve skupini. Fantki in punčke. Torej fantje – koliko punc ste peljali na… …pijačo na podlagi poslanega sporočila elektronske pošte in koliko na podlagi pogovora. Punce. Koliko čevljev kupite, če dobite po mailu oglas in koliko, če greste v blagovnico? Ja, saj vem – rabite jih, ker je poletje. Fantje pa s(m)o žejni. Zdaj se razumemo.
Kako napadi preko telefona delujejo?
Najprej je potrebno vedeti, kaj je cilj napadalca. Najpogosteje želijo denar, informacije ali dostop do račnunalnika. Včasih celo vse troje. Cilj dosežejo tako, da te prepričajo, da jim daš tisto, kar potrebujejo.
Napadalci torej izvajajo klice preko celotnega sveta in ustvarjajo situacije, ki se zdijo nujne. Njihov namen je, da te zmedejo in da te postavijo izven ustaljenih tirnic dela in razmišljanja. Potem pa čakajo, da narediš napako. Povsem enako kot s …pijačo in čevlji, a ne?
Najpogostejši scenariji napadov preko telefonskih klicev
Klicatelj se pretvarja, da je predstavnik finančne uprave in da je potrebno plačati zapadle obveznosti. V primeru, da obveznosti ne bodo poravnane nemudoma, ti grozi zaporna kazen. Ja, vsi vemo – samo smrt in davki so neizbežni, vse ostalo pa je prilagodljivo. Ko napadalci vidijo, da je zgodba padla na plodna tla, razložijo, da lahko plačilo izvedeš s pomočjo kreditne kartice in kar preko telefona. Seveda gre za prevaro. Davčne uprave v večini primerov niti ne kontaktirajo osebno (niti preko telefona, niti preko elektronske pošte), ampak preko klasične priporočene pošte. Vsa uradna korespondenca pa je vedno poslana preko klasične pošte.
Drugi primer v ospredje predstavlja Microsoftovo tehnično podporo, ki ti sporoči, da imaš okužen računalnik. Ko te prepričajo, ti ponudijo še programsko opremo, ki te bo dobro varovala pred novimi okužbami. Vse lepo in prav – ali veste, koliko računalnikov je priklopljenih na internet. Chuck Noris jih ne more prešteti. In ti boš tisti, ki ga bodo poklicali in te opozorili. Seveda. Aja – a misliš, da imajo poleg tega oddelka na Microsoftu še oddelek, ki poje uspavanke, tistim, ki jih muči nespečnost? Nimajo. Vem, da te je novica prizadela, samo tisti, ki te kličejo vsak večer in pravijo, da so iz službe za branje uspavank, se norčujejo.
Tretji primer je prejetje klica s strani avtomatskega odzivnika, kjer ti povedo, da so ti preklicali plačilno kartico. Povedo ti tudi, na katero številko je potrebno klicati, da ti ponovno aktivirajo kartico. Po klicu te sprašujejo veliko različnih vprašanj, kjer razkriješ svoje zasebne podatke. Te zbirajo z namenom kraje identitete.
Četrti primer je, da ti napadalec proda določen izdelek pod ceno, nato pa ti pusti številko za pridobivanje podatkov o prevzemu blaga. Se spomniš halokupona in poceni vinjet, kjer je bilo v ozadju klicanje na plačljivo številko?
Peti primer, ki se vedno pogosteje pojavlja v poslovnem svetu, pa se nanaša na kombinacijo pošiljanja sporočil elektronske pošte na temo izvedbe plačil, ki ji sledi klic glede preverjanja izvedbe. Pri tem se napadalec navadno predstavi kot član ali predsednik uprave.
Zdaj smo spoznali 5 primerov, kar bi moralo zadoščati, da ugotovimo vzorec napada. Klicatelj kliče, ustvari “nujnost situacije” in s tem prepriča, da se izvede nekaj, kar se sicer ne bi zgodilo.
Čevljev ne bi kupila, pa so imeli ravno popust / Draga, saj se nisem mislil peljati na pijačo, samo sem bil pa tako žejen, da sem to naredil zaradi sebe, sicer bi lahko omedlel.
Kako se zaščitim?
Najboljša zaščita pred tovrstnimi napadi si ti sam. Ti in tvoja ZKP. Če je nimaš, si nemočen. In verjetno si ti tisti, ki še danes misli, da bo res dobil tiste bone za študentsko hrano, ki jih je pred 25 leti posodil sošolcu…
OK. Za tiste, ki niste opremljeni z dovoljšno količino ZKP – nekaj napotkov še za vas, za tiste, ki pa ste super ZKPjevci, pa recimo, da je to test, kako vam gre:
- Vedno, ko te kliče nekdo neznan in želi ustvariti občutek nujnosti, postanite sumljivi. Tudi v primeru, če klic sprva izgleda in poteka normalno in se kasneje spremeni v bolj sumljivega – vedno imate možnost, da klic preusmerite v drugo smer ali pa ga končate. Ta napotek morajo seveda agenti klicnih centrov jemati nekoliko zadržano, saj njih vedno kličejo, ko je situacija nujna, pa če tudi gre za neznano številko.
- V kolikor mislite, da klic ni legitimen, lahko klic prekinete. V kolikor želite vseeno preveriti, ali je šlo za legitimen klic, lahko pokličete podjetje oziroma organizacijo, iz katere je bil klic predvidoma izveden in preverite, ali je bil klic dejansko izveden. Tako boš tudi vedel, da se pogovarjaš z organizacijo, s katero se želiš pogovarjati.
- Nikoli ne zaupaj prikazani številki. Napadalci imajo orodja, s pomočjo katerih prikažejo številko na način, ki se jim zdi ustrezen. Ja – to dejansko pomeni, da uporabijo orodja, ki omogočajo, da se ti izpiše +386 41 123 223 pa čeprav kličejo iz Zambije, Romunije, Novega Sada ali Trbovelj.
- Nikoli ne dovoli, da nepreverjen klicatelj izvaja oddaljeno pomoč in se poveže na tvoj računalnik. Posebej neprimerno bi bilo, če bi želel klicatalj, ki ga ne poznate, izvesti povezavo na računalnik, potem pa bi predlagal nameščanje dodatne programske opreme.
Napadi in prevare, ki se poslužujejo uporabe telefonskih klicev, so v vzponu. Klic lahko predstavlja samostojno obliko napada ali pa je kombiniran s kakšno drugo metodo (na primer elektronsko ali klasično pošto).
Najboljša obramba pred tovrstnimi napadi je previdnost, najboljša zaščita pa vaš razum.
