Kako zaštititi ljude od phishinga i drugih prijevara?

Osviještenost korisnika više ne bi trebala biti prva crta obrane od socijalnog inženjeringa. Ustvari, tehnologija kibernetičkog kriminala razvila se do te mjere da se može pobijediti samo pomoću dovoljno jake suprotne tehnologije.

Christiaan Colen/Flickr
AUTOR: Markus Jakobsson
OBJAVLJENO: 12.02.20 u 15:32
https://bit.ly/2OOFEdl
Prije otprilike 15 godina, phishing je prerastao iz gotovo nepoznate pojave u svakodnevnu temu za medije. Kako je rastao broj novih korisnika interneta i kako je komercijalizacija interneta postajala sve ozbiljnija, porastao je i broj prilika za prevarante koji se služe lažnim identitetima da bi prevarili korisnike e-pošte. Kao rezultat toga, ali i nepostojanja tehničkih mjera suzbijanja, phishing poruke iznenada su se našle u svačijim e-mailovima. Praktično gledano, jedina obrana bili su savjeti sigurnosnih stručnjaka: Pazite se loše napisanih poruka i nemojte otvarati linkove koje vam pošalju.

S vremenom su napadi postajali sve sofisticiraniji, a zajedno s tim došla je i sve veća raznolikost obmanjujućih poruka, kao i strategija napada, poput primjerice lažnog predstavljanja prevaranata kao kolega s posla (poznate kao kompromitacija poslovnog e-maila), koje su bile sve češće. Sofisticiraniji napadi rezultirali su većom zaradom, izazivajući sve više potencijalnih kriminalaca da iskušaju svoju sreću u prevarama.

Korporacije i druge organizacije i dalje smatraju da mogu svoje korisnike naučiti kako izbjeći cyber napade. Gartner procjenjuje da će tržište obuke za osvješćivanje ljudi o cyber sigurnosti rasti po složenoj godišnjoj stopi rasta od 42% barem do 2023. godine, sa $451 milijuna u 2018. godini.

Ali u ovom trenutku, tradicionalno naglašavanje obrazovanja korisnika je trošenje resursa i opterećenje krajnih korisnika koje se više ne može opravdati rezultatima. Kako se tehnike obmane umnožavaju i postaju sve sofisticiranije, pojedinim korisnicima postaje sve teže otkriti prijevare. Povrat ulaganja u napore vezane za sigurnost na mreži je drastično opao, a teret korisnika u donošenju sigurnosnih odluka je porastao.

Osviještenost korisnika više ne bi trebala biti prva crta obrane od socijalnog inženjeringa. Ustvari, tehnologija kibernetičkog kriminala razvila se do te mjere da se može pobijediti samo pomoću dovoljno jake suprotne tehnologije. Ljudi se sami više ne mogu adekvatno obraniti od kibernetičkog kriminala, jednako kao što se ni borci s lukovima i strijelama ne bi mogli obraniti od neprijatelja s jurišnim helikopterima.

Većina sustava obrane bolje je prilagođena algoritmima nego krajnjim korisnicima. Stručnjaci za sigurnost i upravljanje rizikom zapravo bi trebali educirati korisnike samo o prijetnjama koje bi realno mogli očekivati, ali da istovremeno ovise o tehničkim sredstvima pri obrani od većine napada.

U početku su "tradicionalni" phishing napadi imali zaradu od 3%, što znači da velika većina žrtava nije padala na napade. S druge strane, bilo je i daleko sofisticiranijih napada, poput spear phishinga, gdje je profit prelazio i 70%.

Pažljivo izrađene lažne e-poruke (kao i druge vrste obmanjujućih e-poruka) teško mogu primijetiti tipični korisnici.

Neke vrste napada je gotovo nemoguće prepoznati, čak i kada su u pitanju osvješteniji korisnici. Uzmimo za primjer napad u kojem prevarant kompromitira pravi račun e-pošte i zatim ga koristi da bi došao do drugih žrtava u njegovim kontaktima.

Druge napade, poput onih gdje se prevaranti lažno predstavljaju kao kolega žrtve, korisniku je lakše primijetiti. Redovnim provjeravanjem adrese e-pošte pošiljatelja i provjerom je li u pitanju poznati korisnik, možete izbjeći takve napade. Međutim, veći nadzor dolazi s visokom cijenom – svaki dodatni korak tijekom obavljanja svakodnevnih zadataka za sobom povlači i pad produktivnosti.

Štoviše, teško je otkriti ovakve napade u praksi s obzirom na element ljudske pogreške: mnogi ljudi, barem ponekad, slučajno pošalju e-poruke s osobnih umjesto s poslovnih računa, ili obrnuto, što dodatno otežava prepoznavanje pouzdanih i nepouzdanih poruka. Kao rezultat toga, jedan od deset korisnika pada na ovakve prevare, izvještava Barracuda.

S obzirom na ograničene proračune, kako i u pogledu financija, tako i u pogledu pažnje, tvrtke i pojedinci moraju odlučiti gdje se više isplati educirati ljude, a gdje je bolje raditi na automatizaciji zaštite. Uzmite primjerice poznati savjet – "ako se nešto čini previše dobro da bi bilo istinito, onda vjerojatno i jeste" – kao i varijantu "ako se nešto čini previše loše da bi bilo, vjerojatno i jeste". Ljudi imaju emocije i rasuđivanje koji ih mogu upozoriti kada nešto spada u ovu kategoriju, ali računala to nemaju, barem ne zasad. U skladu s tim, to je situacija u kojoj je podizanje svijesti bolja opcija.

S druge strane, lažno predstavljanje je ljudima relativno teško primijetiti, ali računala ga vrlo lako mogu prepoznati. To je jedna od situacija gdje je automatizacija sustava prikladnija od podučavanja ljudi i podizanja svijesti.

I za digitalno i za ljudsko zdravlje isti je relativni utjecaj ponašanja naspram tehnologije. Od ranog djetinjstva ljude se uči da izbjegavaju stvari koje su rizične za njihovu sigurnost – nemoj jesti zemlju, ne prelazi cestu dok ne pogledaš u oba smjera, nemoj pušiti. Ali, veliki rast u kontekstu životnog vijeka, postignut tijekom prošlog stoljeća, primarno je posljedica napretka medicinske tehnologije za borbu protiv bolesti.

Recept je isti – da biste bili zdravi, vodite računa o sebi i izbjegavajte poznate rizike, ali u svakom slučaju nađite dobrog liječnika i pijte svoje lijekove. Za "elektroničko zdravlje", naučite korisnike osnovnoj digitalnoj higijeni, ali uložite novac i vrijeme u to da budete korak ispred neprijatelja u utrci za tehničkim oružjem koju je nemoguće izbjeći.


Piše Markus Jakobsson za Scientific American
Prevela: Ružica Ereš