Monika Krześniak-Sajewicz, Interia: Jak zmieniają się zagrożenia związane z cyberprzestępczością - sposoby atakowania i cele tych ataków - w porównaniu z okresem sprzed trzech-pięciu lat?
Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy, Słowację: - Zmiana jest znacząca. Kilka lat temu głównym celem ataków była infrastruktura: komputery, serwery, sieci, a użytkownicy koncentrowali się przede wszystkim na zabezpieczaniu warstwy technicznej. Obecnie dominują ataki oparte na manipulacji, czyli socjotechnice. Dotyczy to zarówno firm, jak i zwykłych indywidualnych użytkowników. Mechanizmy są identyczne: wywołanie silnych emocji, presji i poczucia pilności, tak aby ofiara działała impulsywnie, a nie racjonalnie. Widzimy coraz więcej scenariuszy budujących pozorne ryzyko, które mają skłonić do podjęcia szybkiej decyzji.
W jakich obszarach te manipulacje są najbardziej widoczne? Czyli jak to najczęściej wygląda w praktyce?
- Najczęściej wykorzystywane są sytuacje bardzo prawdopodobne i dotyczące wielu osób, takie jak wiadomości o rzekomej niedopłacie do paczki, brakującej płatności za prąd czy inne usługi. Popularne są również fałszywe zachęty inwestycyjne albo komunikaty o zagrożeniu środków na koncie. Kluczowy jest element wytworzenia pośpiechu i presji. Co istotne, jakość tych oszustw rośnie - komunikaty są coraz lepiej przygotowane językowo i stylistycznie, również wtedy, gdy tworzą je grupy działające poza Europą. Sztuczna inteligencja umożliwia masową produkcję takich treści i prób. W ubiegłym tygodniu ujawniono na przykład całe "farmy" telefonów wykorzystywanych do wykonywania setek manipulacji algorytmami w internecie, w ubiegłych latach rozbito szajki wykorzystujące telefony w celu manipulacji klientami i podszywania się pod skradzione tożsamości. Ponieważ niemal każde urządzenie jest dziś podłączone do sieci, brak ostrożności może spowodować, że komputer użytkownika zostanie wykorzystany jako element infrastruktury przestępczej. Sztuczna inteligencja wspiera również tworzenie realistycznych deepfake'ów głosu, które mogą brzmieć jak bliska nam osoba, np. dziecko proszące o przelew, bo 3-10-sekundowa próbka głosu wystarczy do stworzenia podstawowego deepfake'a.
Zobacz również:
No właśnie, deepfake'i dotyczą już także obrazu i ruchu twarzy, bardzo łatwo spreparować fałszywy filmik z daną osobą czy wypowiedź spreparowaną przy użyciu jej prawdziwego głosu. Czy to wpływa na narzędzia potwierdzania tożsamości, zwłaszcza te, które mają element autoryzacji z użyciem głosu czy twarzy?
- Tak, to nieustanny wyścig zbrojeń. Ataki stają się coraz bardziej wyrafinowane, ale równolegle rozwijają się technologie ochronne. Nowoczesne systemy potrafią wykrywać tożsamości syntetyczne oraz nienaturalne zachowania charakterystyczne dla botów. Człowiek w naturalny sposób jest "nieidealny", a ta nieregularność pomaga systemom wykrywać syntetyczne, zbyt idealne tożsamości. Na poziomie codziennych działań szczególnie ważne jest stosowanie podstawowych zasad bezpieczeństwa: ograniczonego zaufania, weryfikowania informacji u źródła, kontaktowania się z bliską osobą innym kanałem, jeśli rozmowa budzi wątpliwości oraz stosowania rodzinnego hasła do potwierdzenia tożsamości, ale takiego, którego nie da się odgadnąć, czyli nie powinno to być np. imię pieska czy miejscowość, w której mieszkamy.
- Jako ciekawostkę mogę podać przykład jednego z naszych kolegów ze Stanów Zjednoczonych, który pracuje w obszarze innowacji. Opowiadał historię o tym, jak wykorzystano jego głos nagrany podczas konferencji. Był wtedy przeziębiony i miał chrypę. Przestępcy użyli krótkiej próbki tego nagrania, stworzyli deepfake'owy głos i zadzwonili do jego mamy, podszywając się pod niego.
- Prosili ją o przelew pieniędzy, tłumacząc, że "stracił portfel" i potrzebuje środków. Mama nie była jednak pewna, więc zaczęła zadawać pytanie o hasło, które mieli wcześniej ustalone w rodzinie: "Co jadłeś na lunch?". Deepfake nie potrafił na nie odpowiedzieć - ta interakcja nie była przewidziana w przygotowanym scenariuszu. Przestępca próbował wracać do swojej historii o braku pieniędzy i sytuacji awaryjnej, ale nie był w stanie przejść próby. Po kilku podejściach rozłączył się. To pokazuje, że nawet bardzo realistyczny deepfake może "wyłożyć się" na prostym, nieoczywistym pytaniu, którego nie ma w scenariuszu ataku.
Przejdźmy do płatności kartowych. Czy cyberprzestępcy celują w użytkowników z określonych krajów? I jak wygląda bezpieczeństwo płatności online, zwłaszcza w zagranicznych sklepach, poza UE?
- W tym obszarze regulacje europejskie działają na korzyść klientów i stoją na straży ich finansów (jeśli tylko klienci zechcą zadbać o swoją tożsamość i jej bezpieczeństwo). Obowiązek dwuskładnikowego uwierzytelnienia zwiększa bezpieczeństwo transakcji, choć przez indywidualnych klientów czasem bywa postrzegany jako uciążliwy. Polski system bankowy jest jednym z najbezpieczniejszych w Europie, a instytucje płatnicze i banki wiele inwestują w edukację użytkowników. Problemy zaczynają się częściej przy zakupach w zagranicznych sklepach, gdzie standardy bezpieczeństwa mogą być zróżnicowane. Dlatego tak istotna jest tokenizacja płatności. Przy takiej transakcji nie podaje się numeru karty - używany jest token przypisany do urządzenia i osoby, a nawet konkretnej transakcji. Nawet jeśli dane zostaną wykradzione ze sklepu, token jest zabezpieczeniem, nie daje przestępcy realnego dostępu do karty. Tak działają między innymi rozwiązania typu Click to Pay oraz portfele Apple Pay czy Google Pay, w których każda kombinacja karta-portfel (lub karta-urządzenie) posiada osobny token.
Zobacz również:
A co użytkownik może zrobić sam, aby chronić swoją kartę - zarówno fizycznie, jak i przed kradzieżą danych?
- Ważne jest ustawienie limitów transakcyjnych na różne typy operacji: internetowe, fizyczne oraz wypłaty z bankomatów. W polskich bankach można je zmieniać natychmiast, więc łatwo np. wyłączyć wypłaty z bankomatu i włączać je tylko doraźnie. Dobrym rozwiązaniem jest posiadanie osobnej karty do zakupów internetowych, z niskimi i zmienialnymi limitami. Warto unikać wpisywania danych karty w sklepach, którym nie ufamy, i używać portfeli cyfrowych typu Click to Pay. Coraz częściej telefony i komputery pozwalają też maskować adres e-mail przy zakładaniu kont w sklepach - to dodatkowe zabezpieczenie. Kluczowe są również silne, unikalne hasła oraz korzystanie z menedżerów haseł, ponieważ przestępcy bardzo często wykorzystują powtarzalność haseł.
Czy można podać skalę zjawiska? Jak często dochodzi do cyberataków?
- Średnio co 39 sekund na świecie dochodzi do cyberataku - obejmuje to zarówno firmy, jak i użytkowników indywidualnych. Duże organizacje są atakowane jeszcze częściej. Szacuje się, że globalna wartość strat wynikających z cyberprzestępczości wynosi około 10,5 biliona dolarów rocznie, co lokuje ją na pozycji trzeciej największej "gospodarki" świata. Co ważne, przestępcy wciąż chętnie stosują proste metody manipulacji, ponieważ da się je łatwo skalować. Manipulacja użytkownikiem często pozwala ominąć wszystkie techniczne zabezpieczenia. Dlatego często najsłabszym ogniwem w starciu z cyberprzestępcami pozostaje człowiek. Mimo to, jak pokazują wyniki naszego badania, przeprowadzonego wśród ekspertów odpowiedzialnych za cyberbezpieczeństwo w polskich dużych, średnich i małych firmach, podejście do edukacji pracowników w organizacjach jest zróżnicowane i w dużej mierze zależy od wielkości przedsiębiorstwa. 64 proc. dużych firm, które są również bardziej świadome zagrożeń, szkoli pracowników co najmniej raz w roku. Natomiast w co drugiej małej organizacji nigdy nie przeprowadzono tego typu szkolenia. Tymczasem, jak pokazują wyniki naszego badania, już połowa (50 proc.) dużych firm i co czwarta mała firma (25 proc.) doświadczyły ataku cybernetycznego.
Czy wiemy, ile z tych prób kończy się powodzeniem? I czy z tego punktu widzenia bardziej "opłacalne" dla cyberprzestępców jest atakowanie firm czy osób prywatnych?
- Dane statystyczne dotyczą zgłoszonych incydentów, więc rzeczywista skala jest zapewne większa - wiele osób nie zgłasza oszustw z powodu wstydu. Zdarza się, że ktoś daje się oszukać więcej niż raz. Z punktu widzenia przestępców liczy się masowość i łatwość celu, dlatego ataki na osoby indywidualne są często spotykane. Duże firmy są oczywiście atakowane intensywnie, ale przeciętny użytkownik, mniej świadomy zagrożeń, pozostaje nadal atrakcyjnym celem.
Rozmawiała Monika Krześniak-Sajewicz
