GLOBLJE KO BREDETE, TEŽJE SE JE IZVLEČI

Žrtve pogosto najbolj finančno šibki

»Na eni strani imamo čisto neumna sporočila afriških vdov in loterijskih zadetkov. Pa še pri njih se najdejo ljudje, ki so jim pripravljeni verjeti,« pove Gorazd Božič. In, kar je najhuje, ti ljudje so pogosto v hudi finančni stiski.

»Nekdo, ki je v finančni stiski, ki se mu ruši svet, si tako želi, da bi bilo res, kar piše. Obravnavali smo primer gospe, ki je bila skoraj pol ure na telefonu in je poskušala mojega sodelavca prepričati, da je vseeno nekaj na tem. Šlo je za dediščino nekega daljnega sorodnika v tujini in javil se ji je odvetnik s sporočilom, da ji bo zrihtal to dediščino, verjetno bi bilo seveda treba 'plačati' določene stroške… Storilcu bi nekam nakazala 200 evrov, potem pa bi tip izginil ali pa bi morda iz nje še kaj izvlekel. Gospa si je najbolj želela slišati, da bi ji rekli, gospa, res je, v tem primeru mislimo, da gre za pravo zadevo. Seveda smo ji takoj povedali, da gre za stoodstotno goljufijo. Ampak, gospa je bila v taki stiski, da si je želela verjeti. Ne vemo pa, kaj je potem naredila.«

Takšni poskusi goljufije naj bi bili za bolj izkušene uporabnike interneta precej prozorni. Njihove žrtve naj bi bili predvsem starejši, manj izkušeni uporabniki interneta. Pa je temu res tako? Prepričanje, da je večina žrtev takšnih goljufij starejših oseb, ne drži. »Ali bo nekdo postal žrtev prevare, je prej značajsko vprašanje in je odvisno od tega, v kolikšni meri so ljudje dojemljivi za socialni inženiring,« pojasni Toni Kastelic, vodja centra za računalniško preiskovanje pri slovenski policiji.

Poleg tega niso vsi poskusi socialnega inženiringa tako prozorni kot zgoraj opisani primer. Gorazd Božič opiše zelo domišljen napad s socialnim inženiringom, s katerim so se srečali pred nekaj meseci. Storilec je z elektronsko komunikacijo kar tri mesece vzpostavljal zaupanje z žrtvijo. »Našel je neko gospo in se ji predstavil kot marinec v Afganistanu. Tri mesece sta samo klepetala. Tako je vzpostavljal stik. Nato pa si je izmislil, da je bil na patrulji, na kateri se je zgodilo nekaj strašnega. Bil je strašno sesut, z gospo sta imela emocionalen pogovor. To je učinkovalo. Lahko si predstavljamo, da je po treh mesecih čustveno nabitih debat težko ostati ravnodušen. Storilec je moral biti pravi mojster. Potem pa je želel dobiti denar, češ, na patrulji so našli kovček z denarjem ali zlatom, in to bi zdaj rad spravil iz Afganistana. Pri tem potrebuje vašo pomoč. Če bi prišel takoj s to idejo na plan, bi bilo veliko ljudi skeptičnih. Če pa vas nekdo tri mesece napeljuje in pripomni, ker ti zaupam in ker imamo že napeljano zvezo z neko špansko diplomatko, ki bo pomagala, ampak denar bi morali nakazati prek tvojega računa. Tako se začne... Najprej je treba plačati stroške za eno, pa za drugo, pa tretje. Potem začnejo delovati še drugi psihološki mehanizmi. Namreč, globlje ko bredete, več ko ste plačali, težje se je izvleči. Ta gospa nam je ob prijavi recimo zaupala, da se ji je takrat zdelo, kot bi bila v nekem transu.«

Božič si zato želi več raziskav, zakaj je socialni inženiring tako učinkovit. Deloma verjetno tudi zaradi evolucijske pogojenosti človeka, da pomagamo pomoči potrebnemu. Kar znajo dobri goljufi izkoristiti.

Dobro znan pa je vpliv pohlepa. Ta je pogosto »krivec« za uspeh prevare. »Bolj smešen primer: nekdo je kupoval mačke iz Londona. Človek bi mu jih poslal brezplačno, le stroške poštnine bi bilo treba poravnati. To je že en del denarja. Potem pa so mačke potrebovale še veterinarski pregled, nakar naj bi paket z mačkami prišel že do Budimpešte, kjer pa jih je ustavila carina, češ da je pošiljka kršitev nekega zakona. In je morala žrtev plačati še globo. Seveda si je storilec celotno zgodbo izmislil in z njo uspešno iztržil denar,« pove Božič.

Pohlep je lahko včasih celo tako močan, da ne zaleže nobeno opozorilo več. Gorazd Božič opiše tudi tak primer. »Študent je na spletu kupoval rabljen xbox (konzolo za igranje igric). Pa se mu nekdo javi in reče, da jih ima, ampak samo v kompletu po deset. Pač v stilu, ne sprašuj, kje sem jih dobil, ampak ti jih dam po polovični ceni, a le v kompletu. In si reče študent, super, bom kupil vse in v Sloveniji prodal po višji ceni. Vendar je moral študent storilcu nato plačati to in ono in na koncu mu je zmanjkalo denarja. Zato se je obrnil na očeta. Temu se je zazdelo vse skupaj sumljivo. Zato je študent poklical k nam, kjer smo mu razložili, da gre za klasičen primer goljufije. Svetovali smo mu, naj pokliče policijo in preneha komunicirati s storilcem. Čez deset minut pa nas je poklical študentov oče in rekel: 'Razumem, kaj ste povedali, ampak vseeno je priložnost taka, da bi jo bilo škoda izpustiti. Mogoče pa je zadeva vseeno čista.' In potem je oče nakazal denar storilcu. V takih primerih tudi ozaveščanje ne pomaga.«

Klic s servisa

Socialni inženiring pa je, zanimivo, tudi glavno orodje vdorov v računalnik. »Tudi napad na informacijski sistem je najlaže izpeljati s socialnim inženiringom. Imeli smo primer, ko je računovodkinja dobila klic v smislu, da kličejo s servisa, ki naj bi servisiral njeno programsko opremo. Sporočili so ji, da ji bodo po elektronski pošti poslali datoteko, ki jo mora zagnati. Seveda se je v datoteki skrival virus, s katerim je napadalec dobil dostop do računalnika v finančni službi. Naslednji dan na računu ni bilo več denarja. Takšno nagovarjanje pa lahko poteka tudi prek elektronske pošte,« primer domiselnega socialnega inženiringa opiše Toni Kastelic iz slovenske policije.

Policija je med letoma 2009 in 2013 obravnavala 767 kaznivih dejanj napada na informacijski sistem, kot se pravno imenuje vdor v računalnik ali kakšno drugo elektronsko napravo. Sem torej spadajo vsa dejanja, pri katerih storilec dejansko vstopi v neki informacijski sistem – na primer, da prek socialnega inženiringa pridobi vstopno geslo v računalnik in nato v računalnik tudi vdre. Če pa prek elektronske pošte žrtev le prepriča, da mu sama nakaže denar, se to, kot rečeno, šteje za goljufijo.

Motiv za vdor v informacijski sistem je v 95 odstotkih primerov finančni, opaža Kastelic. »Storilci želijo z vdorom pridobiti številke kreditnih kartic, dostop do bančnih računov, s katerih bodo prenesli denar. Še pred leti so se pojavljali tudi razni 'robinhoodovski' motivi, razna nestrinjanja, zamere. Zdaj se je to preusmerilo v finančni motiv. In temu sledi tudi vedno boljša organiziranost storilcev.«

Z vdori v informacijski sistem so po podatkih policije zlikovci v letih 2009 do 2013 ukradli 860.000 evrov. Izstopata leti 2012 in 2013, ko je bilo škode za več sto tisoč evrov. Obstaja pa tudi posredna škoda, na primer izbris podatkov iz baze nekega podjetja. A takšno škodo je težko ovrednotiti.

Kljub zahtevnosti preiskovanja pa je preiskanost kaznivih dejanj po mnenju policije dobra. Storilce namreč odkrijejo v 58 odstotkih primerov. »To je kar visok odstotek glede na naravo kaznivega dejanja in občutljivost digitalnih podatkov, ki se zelo hitro uničijo ali pa so nekje shranjeni, pa ne vemo, kje,« ocenjuje Kastelic.

Leni zlikovci

Sledi spletnega kriminala hitro zavijejo v tujino. Tu odločilno vlogo odigrata mednarodni organizaciji za izmenjavo podatkov, Interpol in Europol. Tudi sodišča lahko pridobivajo dokaze z mednarodnimi zaprosili za pomoč. »Mednarodno sodelovanje je iz leta v leto boljše. Delovne skupine različnih policij v Europolu se na primer sestajajo večkrat mesečno in si izmenjujejo podatke. So pa še zmeraj tretje države, od katerih je težko pridobiti podatke,« razmere opiše Kastelic. Po opažanju policije največ storilcev izvira iz Rusije in Kitajske.

Pomembno vlogo odigra tudi digitalna forenzika – pridobivanje dokazov, ki so kot programska koda ali beležke mrežnega prometa shranjeni v okuženih napravah, mrežni infrastrukturi in napravah storilca. Zelo pomembno je pridobiti IP-naslov internetnega priključka napadalca, prek katerega lahko nato odkrijejo lastnika priključka, in s tem tudi storilca. Analiza lahko traja od dveh ur pri enostavnih do več mesecev pri zapletenih primerih. Pa vendarle: storilci po navadi niso amaterji in uporabljajo orodja za prikritje svojega spletnega prometa. Eno izmed njih je spletno omrežje tor, z uporabo katerega lahko storilec zakrije svoj IP-naslov. Kako odkrijejo te storilce? »To je pa tistih 40 odstotkov, ki jih ne ujamemo,« se nasmehne Toni Kastelic.

Toda, kako je mogoče, da zlikovci tega relativno nezahtevnega orodja pogosto ne uporabijo? »Mislim, da je razlog človeška lenoba. Tor nekoliko upočasni hitrost omrežja, obenem pa mora storilec opraviti nekaj dodatnega dela. Precej jih tor na začetku še uporablja, ko pa jim uspe uspešno izvesti nekaj napadov, se polenijo in ga prenehajo uporabljati. Podobno je s šifriranjem povezave,« pojasni Kastelic.

Z opažanjem policije se strinja tudi Gorazd Božič s SI-CERT, s katerim policija redno sodeluje pri preiskovanju kiberkriminala. »Storilci so zaverovani vase, zato začnejo delati napake. To je psihološki pojav.«

Dokazi se v preiskavi po navadi gradijo skozi daljši čas. »Iz vsakega posameznega incidenta, ali pa tudi ne iz čisto vsakega, se dobi en drobec. Nekje napadalec morda naredi kakšno napako. V nekem primeru so nekoga dobili, ker se je njegovo dekle z njegovega laptopa vpisala v svoj facebook račun in pri tem ni uporabila tora. Ta delček informacije je bil še zadnji, ki so ga policisti potrebovali za pridobitev IP-naslova storilca.«

Ključno vlogo pri zahtevnejših preiskavah po navadi odigrajo Američani. »So pragmatični pri sodelovanju. Imajo jasno zastavljen cilj, so fleksibilni. Njihov cilj je dobiti storilca in ne na primer izpolniti normo, koliko prijav morajo napisati.«

Policiji z digitalno forenziko pomaga tudi SI-CERT. Gorazd Božič opiše primer Mariborčana, ki je z virusom ciljal na računovodje v manjših slovenskih podjetjih. S pazljivo predpripravo tarč mu je uspelo z računov podjetij ukrasti skoraj dva milijona evrov, česar se ne bi sramoval niti kak globalno bolj razvpit kiberkriminalec. »Pri tem primeru smo virus analizirali v laboratoriju, tako da smo 'razstavili' programsko kodo virusa. Včasih dobimo notri kakšen podatek, ki kaže na storilca. Na primer pozabljeno ime mape, direktorija, v katerem je bil program prvotno razvit. In ta mapa lahko vsebuje uporabniško ime, ki je ime in priimek storilca. To ni dovolj za obsodbo. A če ima policija še deset drugih dokazov, to dopolni sliko.«

Snowden premešal karte

Pisanje o kiberkriminaliteti ne more ignorirati nečednosti ameriških in britanskih tajnih služb, ki jih je razkril žvižgač Edward Snowden. Poročila o napadih teh tajnih služb na vlade in podjetja zahodnoevropskih držav se kar vrstijo. Sredi decembra so mediji poročali o vdoru britanske tajne službe GCHQ v belgijskega telekomunikacijskega giganta Belgacom. S škodljivo programsko kodo so tako lahko v letih 2011 do 2013 prestrezali klice vseh uporabnikov omrežja. Ker je prek Belgacomovega omrežja potekalo tudi precejšnje število mednarodnih klicev, je bil nabor tarč za prisluškovanje zelo širok. Računalniški strokovnjaki so si bili enotni – virus GCHQ je najnaprednejši, s katerim so bili kdajkoli soočeni.

Se ti kibernetski napadi, ki jih pravzaprav izvajajo države, dogajajo tudi v Sloveniji? Odgovor Gorazda Božiča je pritrdilen. »Zaznali smo nekaj napadov, pri katerih so sledi kazale na Kitajsko. Šlo je za kibernetske napade na državne uradnike, ki sodelujejo v delovnih skupinah v tujini. Zadeve, o katerih beremo, se dogajajo tudi v Sloveniji. V zadnjih petih letih smo obravnavali več kot deset takšnih primerov. Ne vemo pa, kolikšnega deleža napadov nismo odkrili. Upal bi si trditi, da kar nekaj. Verjetno so Američani, Rusi in Kitajci v naših državnih mrežah.«

Znanje, kader in sredstva za boj proti temu visoko sofisticiranemu kiberkriminalu imamo, zatrjuje Božič. »Drugo vprašanje pa je, ali je tega dovolj, in predvsem, ali pravilno usmerjamo ta sredstva ter gradimo sisteme, v katerih bomo nato zaposlovali ljudi z znanjem in na tem znanju gradili. Odgovor na to vprašanje pa je nikalen.« Področje informacijske varnosti se tako po Božičevem opažanju zanemarja že deset let. Od politikov pogosto slišimo primerjave z Estonijo, ki podpira razvoj informacijskih tehnologij na najširši ravni. »Vsakič jo potegnejo iz rokava, češ, v Estoniji je pa tako in tako. A Estonci že dvajset let informacijsko tehnologijo postavljajo v ospredje. Načrtno gradijo na znanju, imajo močne IT-oddelke na univerzah. Mi tega ne počnemo.«

Zaradi slabe organiziranosti v naših sistemih tujih tajnih služb niti ne moremo zaznati in se proti njihovim vdorom boriti. Dobre prakse sicer obstajajo, a so odvisne od entuziazma posameznikov. Le štirje zaposleni na SI-CERT so občutno premalo za boj proti sofisticiranim napadom. Pri prošnjah za podporo strokovnjaki tako pri naših državnih uradnikih in politikih naletijo na gluha ušesa.

Kaj pa sodelovanje z Američani, ki nam pomagajo pri razkrivanju spletnih kriminalcev? Kako so razkritja Edwarda Snowdna vplivala na to? »Dobro vprašanje! Sistem CERT smo začeli postavljati sredi devetdesetih let. Imamo evropsko in globalno mrežo CERT-ov. Nato je prišel Snowden... Zdaj se sprašujemo, komu lahko zaupamo in mu pošljemo določene podatke. A sodelovanje je vseeno smiselno,« pove Božič. Na primer, Američani so jih pred kratkim opozorili na ranljivosti informacijskega sistema ene izmed naših hidroelektrarn. Sistem je vseboval škodljivo programsko kodo, ki je napadalcu omogočala spremljanje stanja elektrarne. Z nekaj dodatnega programiranja bi morda lahko prevzel tudi nadzor nad delovanjem elektrarne.

»V tem primeru smo bili ZDA hvaležni za pomoč. Še vedno obstajajo skupni projekti, ki so v interesu vseh.« A sodelovanje bi bilo nedvomno boljše, če ameriške obveščevalne službe ne bi vohunile za svojimi zaveznicami. »Nihče se ni zavedal, kako globoko in široko paleto delovanja ima ameriška tajna služba NSA. To priznavajo tudi najuglednejši strokovnjaki. S stališča tehnologije in pristopa je res fascinantno, kako profesionalno so zadevo naredili. Tako da s tega vidika, kapo dol,« zaključi Gorazd Božič.