Slovensko bolo od útokov hekerov v minulosti chránené tým, že sme malý trh, ktorý má vlastný pomerne komplikovaný jazyk. Preto sa samotní útočníci často prezradili tým, že v správach, ktoré potenciálnym obetiam posielali, robili gramatické a štylistické chyby. Moderné technológie však útočníkom pomôžu vytvárať veľa verzií dôveryhodne vyzerajúcich správ. Počet útokov, ktoré majú za cieľ okradnúť klientov bánk, rastie a môže rásť ďalej. Ak útočník vyrobí podvodný e-mail v spolupráci napríklad s ChatGPT, niekoľko ďalších verzií môže mať do niekoľkých sekúnd. „Ak takýchto podvodných e-mailov príde denne tridsať a niektoré budú urobené naozaj kvalitne, tak sa niektorý napokon prešmykne,“ hovorí v rozhovore pre denník Pravda bezpečnostný expert spoločnosti Eset Ondrej Kubovič. Hekeri ale v súčasnosti veľmi často útočia na zraniteľnosti napríklad v elektronických obchodoch a údaje o platobných kartách sa snažia získať odtiaľ. Hrozieb v on-line priestore pribúda, no spolu s nimi sa rozvíja aj ochrana pre nimi.
Čo klientom bánk z on-line priestoru v súčasnosti hrozí?
Na mobiloch najčastejšie vidíme útoky web skimmerov. Je to niečo podobné, ako keď sa v minulosti na bankomaty dávali čítačky kariet. Keď ste do nich vložili kartu, tak si to oskenovalo meno držiteľa, číslo karty aj CVV kód, a tie sa uložili na nejaký malý harddisk. Ten si útočník následne prišiel fyzicky vyzdvihnúť. Tento typ útoku sa však veľmi rýchlo presunul do digitálneho priestoru, pretože tam je to o efektívnejšie pre útočníka. Nájde jednu zraniteľnosť, povedzme v predpripravenej šablóne e-shopu, prípadne v riešení, cez ktoré tieto platformy ich majitelia ovládajú. Útočník tak dokáže nainfikovať stovky, ak nie tisícky e-shopov naraz. Zber je tak plošnejší a útočník získa veľa údajov naraz. Takýmto spôsobom sa kradnú čísla kreditných kariet.
Ďalšou vecou sú bankové malvéry, škodlivé aplikácie, ktoré sa vydávajú za niečo iné, no ich skutočným cieľom je získať citlivé údaje, prihlasovacie mená, heslá a osobné informácie. Dosť sa v súčasnosti rozšírili takzvané clippery. Ide o škodlivý kód, ktorý spôsobí, že ak si s niekým vymieňate informácie pomocou chatu a nakopírujete si doň napríklad adresu kryptopeňaženky, škodlivý program spôsobí, že po odoslaní sa adresa peňaženky v zariadení príjemcu správy zmení na adresu peňaženky útočníka. To sú tri veľmi časté druhy útoku na mobilných zariadeniach.
Ako menia bezpečnostnú situáciu aplikácie ako ChatGPT a podobné nástroje? Sú útoky lacnejšie?
Áno, sú. Dôležité ale je najmä to, že útokov môžete urobiť veľmi veľa, pokojne môžete vytvoriť v krátkom čase aj desať alternatív toho istého útoku. Nie sú potrebné žiadne preklady, stačí umelej inteligencii zadať požiadavku. Chatbot dokonca môže správu na požiadanie útočníka postupne zlepšovať.
Útokov je viac a zlacňujú sa? Platí oboje?
Pokiaľ sa pozrieme na to, či je útokov viac, záleží na tom, na čo sa pýtame. V rámci našich systémov pozorujeme veľa druhov útokov. Sledujeme napríklad phishingové e-maily a prílohy a tiež webstránky, potom aj bankový malvér na mobiloch, aj bankový malvér na desktopových počítačoch, kde vidíme viaceré nové trendy. Za zmienku stojí najmä rastúci záujem útočníkov o kryptomeny. Útočníci si teda vyberajú nielen klasické financie, ale už aj alternatívne platidlá.
Čo by mal bežný človek urobiť, aby znížil pravdepodobnosť, že sa stane obeťou?
Situácia na Slovensku je taká, že technické zabezpečenie bánk je veľmi dobré, väčšina platieb sa musí autorizovať. Sám klient však na svojom zariadení môže spôsobiť bezpečnostnú dieru. Systémy je potrebné aktualizovať a aj používať nejaký bezpečnostný softvér, ktorý napríklad odhalí web skimmery. Tieto ochranné programy môžu fungovať aj proti phishingu a napríklad zablokovať prístup na škodlivú stránku. Rád je, samozrejme, viac, napríklad je dobré neveriť ponukám, ktoré znejú príliš dobre, teda ak vám niekto ponúka drahý telefón za desatinu jeho trhovej ceny, zrejme bude niekde háčik.
Počul som názor, že mnohé podvodné stránky schválne nie sú urobené úplne bezchybne a tvoria prvý filter, ktorý nachytá len menej ostražitých ľudí a neláka tých, ktorí by napokon v posledných krokoch cúvli a svoje dáta neposlali. Funguje aj niečo takéto?
To sú psychologické aspekty, ktoré sa v súčasnosti využívajú napríklad pri podvodných telefonátoch. V minulom roku sa objavovali útoky, keď človeku najprv zavolal automat, ktorý hovoril anglicky. Ak nehovoríte anglicky, tak vám nebude volať operátor, lebo je to zbytočné, aj tak by ste mu nerozumeli. Predfiltre podobného druhu teda naozaj existujú.
Na druhej strane, ak ide o phishingový útok, ktorý napodobňuje banku, tam takýto prvotný filter podľa mňa nedáva zmysel. Tam to má vyzerať čo najdôveryhodnejšie, útočník totiž chce od vás získať citlivé údaje.
Okrem bežných kriminálnikov pritom existujú aj vyspelejšie a sofistikované skupiny, ktoré často podporujú štáty. Ide napríklad o jednotky tajných služieb a armád. Práve tieto organizácie zlepšujú sociálne inžinierstvo a vytvárajú útoky, ktorým sa dá na prvú uveriť a od nich tieto techniky potom preberajú zločinci. Človek by sa musel naozaj veľmi snažiť, aby si takýto útok všimol.
Kriminálnici ale trochu zaostávajú. Oni totiž pracujú vo veľkom a nemajú možnosť šiť útok na mieru každej potenciálnej obeti. Robia útok na tisíce jednotlivcov naraz a keď im z toho vyjde desať percent, päť percent, ale aj jedno percento, stále to má pre nich zmysel a nejaké peniaze získajú. Tento útok je však práve preto nedokonalý, lebo necielia priamo na konkrétneho človeka.
Dá sa odhadovať, do akej miery skutočne sú takéto útoky na Slovensku úspešné? Povedzme, že príde desaťtisíc SMS správ v mene banky, koľko z nich je úspešných?
Dať dokopy takú štatistiku by bola alchýmia. Zbierali by to operátori, bezpečnostné firmy, prispieť vlastnými číslami by museli aj banky a ďalší aktéri na trhu, no vždy by sme mali iba čiastkový obraz. Mieru úspechu je teda ťažké odhadnúť.
Osobne som si urobil malý prieskum pri takzvaných sextortion e-mailoch, ktoré boli nadviazané na sledovanie nevhodného obsahu. To sú správy, ktoré tvrdili, že adresáta správy odosielateľ nahrával, keď niečo nevhodné sledoval na internete a ak adresát nezaplatí na uvedenú kryptopeňaženku 1 500 eur, tak útočník nahrávku rozpošle rodine, známym či kolegom obete. Je to hlúpy textový mail, ktorý môže človek rovno vymazať a nič sa nestane.
Mňa zaujímalo, koľko ľudí na také niečo reaguje. Sledoval som teda pohyby zhruba na šesťdesiatich kryptopeňaženkách a útočníci takto zozbierali asi päťdesiattisíc eur. Je to taký minitest, ktorý som robil zhruba pred dvoma rokmi.
Výsledok mi ukázal, že ak útočník dokáže svoju obeť dostatočne vystrašiť, tak tá pomerne rýchlo robí to, čo útočník žiada. Ide teda o to, aby sa mu podarilo na svoju obeť vytvoriť tlak. Platí teda, že čím je stratégia a príprava útočníka lepšia, tým je úspešnejší.
Čítajte viac Povolila vzdialený prístup k počítaču a mobilu a dívala sa, ako jej z účtu miznú peniaze. Pozor na podvodníkov na internete
Pokračujte.
Ako ďalší príklad môžeme uviesť, že ku koncu marca sa podávajú daňové priznania. Ak krátko pred uplynutím lehoty príde človeku e-mail od útočníka, ktorý sa vydáva za daňový úrad, v správe môže tvrdiť, že je potrebné niečo vyplniť, v opačnom prípade mu daniari nepreberú daňové priznanie. Ak je to pár hodín pred odovzdaním priznania, je to obrovský tlak na obeť. Daňovník sa ponáhľa, a tým stúpa pravdepodobnosť, že bude konať skratovo. Do rovnakej pasce útočník pritom chytí viac ľudí, ak takúto správu plošne rozpošle práve koncom marca. Ak by to posielal v januári, veľká časť potenciálnych obetí si povie, že ešte je na dane dosť času.
Čítajte viac Podvody s bankovými kartami sú na vzostupe. Podvodníci sa tvária ako banka, kuriér či pošta, nedajte sa oklamať (+ návod)
Útočníci sa teda snažia útočiť v kontexte.
Určite áno, aj keď ten kontext je často univerzálny. Daňové priznania sa v mnohých krajinách podávajú v podobnom čase, podobne veľká časť sveta oslavuje Vianoce v rovnakom čase a tiež sa tam dá vytvoriť tlak. Niektoré orientačné body sú teda veľmi univerzálne.
Skúsme si porovnať slovenský trh so svetom. Sme relatívne malý, jazykovo náročný trh, do akej miery nás to chráni? Ako vyzerajú hrozby vo svete?
Nás dlho chránilo, že sme malý štát, s jazykom, ktorý sa z pohľadu finančnej návratnosti nemá zmysel učiť. Ak chcete urobiť lokálnu kampaň, radšej sa zameriate napríklad na poľštinu, ktorou hovorí násobne viac ľudí. To nás v minulosti významne chránilo a platí, že ak by chcel v strednej Európe útočiť povedzme niekto z Ázie, mal by to relatívne náročné. Veľa hekerov však pozatýkali v posledných rokoch na Ukrajine. Ak títo ľudia útočili napríklad na Slovensko, kultúrny kontext bol pre nich relatívne blízky.
Bohužiaľ, chatboty postavené na umelej inteligencii a strojovom učení už dnes hovoria pomerne dobrou slovenčinou. To pravdepodobne zvýši kvalitu a objem útokov. Zároveň nám ale táto technológia môže pomôcť dostať do tohto regiónu služby, ktoré tu v minulosti neboli, lebo sú jazykovo náročné. Umelá inteligencia má teda za aj proti, možno potrvá rok, dva, tri, možno aj desať, kým zistíme, čo z toho preváži.
Predtým, ako sme sa stretli, ste novinárom poslali phishingový e-mail, žiadali ste v ňom určité údaje. Text pripravila umelá inteligencia. Koľko vás vytvorenie takéhoto e-mailu stálo času a peňazí?
Finančne to vôbec nie je náročná záležitosť. My ako firma máme zaregistrovanú dôveryhodne vyzerajúcu doménu – teda to, čo vidíte v adrese za zavináčom, napríklad meno.priezvisko@nieco.sk – z ktorej vám správa prišla. Nebudeme o tom konkrétne hovoriť, aby sme sa neprezradili, ale vy ste ho videli. Takýto server sa dá dobre využiť, lebo sa podobá na niečo veľmi legitímne a je relatívne málo pravdepodobné, že si človek všimne malú chybu v názve. Na to, aby ste si platili takúto doménu, potrebujete niekoľko desiatok eur ročne.
K tomu potrebujete nejaký e-mailový server. Opäť sa to dá zriadiť aj on-line a nestojí to veľa. Na technickej strane útoku sa teda celkovo bavíme o desiatkach eur ročne.
Na vytvorení e-mailu som pracoval s ChatGPT. Vytvorenie e-mailu mi aj s úpravami zabralo niekoľko minút, nasledovalo doplnenie vymyslených, no dôveryhodne vyzerajúcich informácií ako meno a titul odosielateľa či napríklad jeho pracovné zaradenie. Nasledovala koordinácia s ďalšími ľuďmi, ktorí s testom pomáhali. Odhadol by som, že celý proces výroby tohto testu mohol trvať tak tri, možno štyri hodiny. Dôležité ale je, že keď už som raz spolu s ChatGPT ten e-mail vyrobil, môžem mu povedať, aby ho zobral a prerobil. Za niekoľko sekúnd tak môžem mať desať ďalších verzií. V budúcnosti teda budem potrebovať len zlomok času, aby som mal ďalšiu verziu.
Bude teda takýchto a dokonalejších útokov pribúdať? Vy ste napríklad využívali to, že medzi veľkým I ako Ivan a malým l ako Lenka je malý vizuálny rozdiel.
Predpokladáme, že to tak bude. Ak takýchto podvodných mailov príde denne tridsať a niektoré budú urobené naozaj kvalitne, tak sa niektorý napokon prešmykne. Je teda dobré mať nejaké technické bezpečnostné riešenie. Do určitej miery sa to totiž dá zachytávať. Už dnes napríklad existujú riešenia, ktoré vedia určiť, či konkrétny text bol generovaný strojom. V ďalších rokoch sa budú tieto riešenia určite rozvíjať.
Smerujeme k tomu, že aplikácie, ktoré nám umožňujú prístup k e-mailom, to budú automaticky vyhodnocovať?
Najprv to asi bude skôr v bezpečnostných riešeniach, ale časom určite áno. Pre používateľa sa to stane už takým náročným, že to nebude schopný odhaliť.
Ak si pozrieme porovnanie posledných rokov, koľko je útokov po celom svete a koľko peňazí útočníci mohli získať?
Pokiaľ ide o peniaze, to my nevidíme. Pracujeme proaktívne, ešte skôr, kým sa niečo stane. Tu by k škodám dôjsť nemalo, ak zákazník nebude ignorovať naše hlásenia. To sa tiež stáva. Počty narastajú, no kvalitnejšia „umelá inteligencia“ v podobe chatbotov je k dispozícii verejnosti len zhruba od začiatku tohto roka a zatiaľ nemôžeme popísať trend. Samotní útočníci teraz ešte určite testujú, čo funguje. Jasnejšie informácie o trendoch by sme mohli mať koncom tohto roka. Až potom uvidíme, či to naozaj narástlo.
Upozorňujete na to, že napríklad slovenské banky sú z pohľadu bezpečnosti na tom relatívne dobre. Ako si to máme predstaviť, čo to znamená?
Poviem to na trochu staršom príklade, keď ste sa pred desiatimi rokmi prihlasovali do internetového bankovníctva, potrebovali ste prihlasovacie meno, heslo a GRID kartu, prípadne fyzickú čítačku, ktorá generovala jednorazový kód.
V USA vám stačilo štvormiestne, možno šesťmiestne heslo a boli ste prihlásený v internetovom bankovníctve. Mohli ste robiť transakcie. V tomto sme boli výrazne napred a napredujeme aj technologicky. Napríklad EÚ vytvára veľký tlak na to, aby banky nepoužívali ako druhý overovací faktor SMS správy. O SMS správach totiž vieme, že sú veľmi zraniteľné a technologicky zdatní útočníci ich vedia kradnúť. Je preto tlak na to, aby sa ako druhý faktor overenia používali tokeny. Aj tieto tokeny môžu pritom byť na nižšej alebo vyššej úrovni.
To sa na Slovensku používa relatívne bežne.
My na Slovensku podľa všetkého používame riešenia, ktoré sa v iných krajinách len chystajú a avizujú klientom. Zdá sa teda, že stále platí, čo hovoríme už roky. Slovensko je mnohokrát testovacím priestorom pre nové riešenia, a keď sa u nás overí, že technológia funguje, nasadí sa inde. Nič z toho, čo sa používalo, sme v zásade nezahodili. Áno prestali sme používať čítačky, no fyzické overenie je stále jednou z najlepších možností dvojfaktorového overenia. Možno sa len ukázalo, že fyzická čítačka je nepraktická a radšej máme mobilné riešenie, lebo mobil máme všade so sebou.
Hovoríte o tom, že útočníkom sa darí kradnúť už aj druhý faktor, povedzme si o tom viac.
Na začiatku by som povedal, že SMS správa ako druhý faktor je stále lepšia ako nič. Druhý faktor je dobré mať. Nehovorím len o bankách, ale aj o sociálnych sieťach. Dôležité je mať dlhé, silné, unikátne heslo a na ňom druhý faktor. Vždy, keď je to možné, majte ho tam. Super je to, že dnes už existujú rôzne autentifikačné aplikácie, ktoré generujú kód, ktorý sa mení napríklad každých tridsať sekúnd. Ak útočník tento kód získa, má tridsať sekúnd, aby ho zadal, inak mu je nanič.
Ak by som si teraz zakladal účet v banke, chcel by som dvojfaktorovú autentifikáciu a vybral by som si overenie tokenom. K dvojfaktorovej autentifikácii už banky núti európska regulácia a token je momentálne najvyšší stupeň takéhoto zabezpečenia.
SMS správy by som neodporúčal najmä preto, že fungujú pomocou starého nešifrovaného protokolu. Útočník si ich preto vie prečítať, ukradnúť a preposielať bez toho, aby ste si to všimli. Tokeny a jednorazové kódy nie je také jednoduché ukradnúť, často nie je možné ani urobiť „screenshot“ takého kódu a poslať si ho.
Na tokeny sa teda neútočí?
Útočníci aj v tomto prípade nejaké útoky robiť vedia, no je to logisticky a finančne náročné. Zločinci si teda rozmyslia, či urobia stotisíc plošných útokov, alebo radšej jeden cielený na vybranú obeť, ktorá má veľa peňazí.
Pravdepodobnosť plošných útokov sa teda znižuje.
Myslím si, že áno. Tu hrá rolu aj to, že Slovensko je malý trh.
Aj mne osobne od útočníkov chodia SMS správy v mene banky, aj takých bánk, kde nemám účty. Takéto podvodné správy sú typické tým, že pravdepodobne vždy obsahujú nejakú linku. Je to tak?
Áno, musí tam byť nejaký spôsob, ako od vás údaje vylákajú. Musí tam byť hypertextový odkaz.
Dá sa to považovať za skúšku správnosti.
Povedzme, že áno, ale čo je pre používateľa dôležité vedieť, je, že na takéto linky nemá klikať, a ak aj klikne tak nerobiť žiadne ďalšie kroky. Na druhej strane aj banka môže poslať správu s odkazom napríklad na zmenu obchodných podmienok, to však skôr urobí cez zabezpečený kanál, ako je napríklad jej aplikácia. Nikdy však od klienta nebude pýtať citlivé údaje.
Smerujeme do lepšej budúcnosti alebo bude viac nástrah?
Odpoviem nepriamo, lebo definitívnu odpoveď nemám. Keď sa zavádzal internet, nevedeli sme, čo to prinesie. To isté platilo aj pri sociálnych sieťach. Na začiatku sme možno videli všetky tie krásne veci, že so všetkými budeme v kontakte a komunikácia bude ľahká. Veľa z toho sa aj stalo. Považujeme to však už za samozrejmosť, nadšenie opadlo a začínajú prevažovať negatíva. Sú tu konšpirácie, zatvárame sa do bublín, no tie pozitíva tu stále sú. Napríklad chatovacie aplikácie zmenili spoločnosť. Či podobný efekt prinesie umelá inteligencia? Zatiaľ nevieme a až čas ukáže, čo bude pozitívne a čo negatívne.
Považujete sociálne siete v celkovom kontexte skôr za hrozbu?
Ako používateľ som na sociálne siete prestal prispievať. Uvedomujem si hrozby, riziká, a to aj smerom k vlastným deťom. Tieto hrozby a riziká sme si niekedy neuvedomovali a až tým, ako sa začali prejavovať, sme sa im začali vyhýbať. Nie je to záhuba ľudstva, sociálne siete priniesli veľa pozitívneho, najmä pokiaľ ide o spoločenský život a kontakt s ľuďmi. Pre mňa to však už nie je platforma, kde by som zverejňoval alebo dokumentoval svoj život.