Nakon teksta o digitalnim prevarama kojima je cilj materijalna, odnosno finansijska korist, evo i nastavka – priča o široko rasprostranjenoj kategoriji zlonamjernih aktivnosti, a to su ugrožavanje, odnosno krađa digitalnog identiteta, čije posljedice su obično mnogo teže za sanaciju. Ova vrsta prevara je vrlo podmukla, često jedno vrijeme i nevidljiva, pa samim tim i teža za otkrivanje. Zato je potrebno posvetiti posebnu pažnju upravo ovoj vrsti prevara kako bi se smanjila mogućnost da neko postane žrtva.
Ranije smo pisali da je digitalni identitet reprezent fizičke osobe u digitalnom svijetu, te da vrlo često vlasnika/vlasnicu opisuje mnogo bolje i detaljnije nego nekoliko suhoparnih atributa kojima je neko formalno definisan u ličnim dokumentima koje izdaje država. Želite li danas da saznate nešto o nekome koga ne poznajete lično, vaš prvi izbor će sasvim sigurno biti da ga potražite na društvenim mrežama. Nekada bismo možda pokušali da se raspitamo kod zajedničkih poznanika, ali danas je mnogo jednostavnije i brže pregledati Instagram, Facebook i LinkedIn, te za par minuta saznati dosta toga o osobi koja nas interesuje. Vjerovatno čak i više nego što bi nam ta osoba sama rekla u prvom razgovoru.
Za razliku od fizičkog identiteta koji je jedinstven za svaku osobu (osim ako niste kriminalac), u digitalnom svijetu je sasvim normalno da imamo više od jednog identiteta – za posao, za LinkedIn, za Facebook, za Twitter, Instagram, TikTok i tako dalje. Već dosta dugo se u naučnim krugovima, koji se bave digitalnim svijetom, traga za rješenjem koje bi omogućilo da svako ima samo jedan digitalni identitet koji bi na neki način sublimirao sve atribute sa danas različitih digitalnih identiteta koje ima svaka osoba. Takav identitet bio bi jedinstven za svaku osobu i mogao bi se koristiti na svim ili bar većini servisa koji danas zahtijevaju posjedovanje zasebnog digitalnog identiteta (koji često nazivamo i korisnički nalog ili account). Ipak, do globalno prihvatljivog rješenja se još uvijek nije došlo. (Onima koje zanima ovaj koncept preporučujem da pretraže sadržaje na temu decentralized identity.)
Značaj digitalnog identiteta direktno je proporcionalan učešću i aktivnošću njegovog vlasnika u digitalnom svijetu. Ovo je potpuno suprotno onome kako se ponaša naš analogni identitet, čija se vrijednost ili značaj uglavnom ne mijenja. Razlika se najbolje vidi na sljedećem primjeru: ukrade li neko ličnu kartu ili čak kreditnu karticu neke poznate osobe poput Elona Muska ili Billa Gatesa, vjerovatno se neće mnogo okoristiti, a sanacija štete će biti vrlo jednostavna. Ali ako bi neko kojim slučajem uspio samo na par sati preuzeti kontrolu nad digitalnim identitetom neke od ovih osoba, recimo na Twitteru, šteta bi mogla biti ogromna i teško saglediva. Samo jedan tweet ovih osoba može uticati na značajan pad ili rast vrijednosti dionica kompanija, što može izazvati lančano pogrešne reakcije hiljada ili miliona njihovih pratilaca. Kontroverzni i ekscentrični Musk je tako, bukvalno putem tweetova, već par puta rušio i dizao vrijednost bitcoina, ali i vrijednost dionica, kako svoje tako i drugih kompanija. Šta bi mogao uraditi neko zlonamjeran preuzimanjem digitalnog identiteta neke uticajne osobe može se samo naslućivati.
Međutim, nisu samo poznate, bogate i uticajne osobe ugrožene od krađe digitalnog identiteta. One možda jesu pod najvećim rizikom, ali ugroženi su praktično svi. Krađa ili kompromitacija digitalnog identiteta žrtve može se raditi iz različitih razloga – da bi se neovlašteno pristupilo nečijim podacima, da bi se sama žrtva kompromitovala, da bi se došlo do novca, ili jednostavno iz zabave. Šta god da je motiv, rezultat je to da žrtva više nema kontrolu nad jednim ili više svojih digitalnih identiteta. Većina kompanija koje su vlasnici popularnih servisa poput Googlea, Metae, Microsofta i slično ima procedure koje se aktiviraju kada prijavite da vam je neko ugrozio ili preuzeo nalog (identitet) na nekoj od mreža, ali te procedure često nisu jednostavne niti brze jer sada vi morate dokazati da ste onaj ili ona za koju se predstavljate, te da je ukradeni identitet zaista bio vaš. Za to vrijeme napadač može raditi ono što je naumio predstavljajući se kao vi drugim korisnicima ili digitalnim servisima kojima ste imali pristup. Međusobne interkonekcije različitih servisa cijelu priču čine još složenijom.
Kako se krade digitalni identitet?
Kada formirate svoj digitalni identitet na nekom internet-baziranom servisu, obično prolazite kroz manje-više uobičajenu proceduru. Ostavljate nešto od svojih ličnih podataka i u jednom od koraka definišete svoje korisničko ime i lozinku. Ta dva podatka korištena zajedno način su na koji vi otključavate svoj digitalni identitet, te zatim pristupate resursima servisa na kojem ste ga kreirali (recimo Gmail, Facebook, Instagram, Office365 i slično). Napadaču je obično dovoljno da na neki način sazna vaše korisničko ime i lozinku i time sebi omogući pristup svemu čemu vi inače imate pristup. Nekada ranije lozinke su mogle i da se pogode kroz takozvane bruteforce napade jer su korisnici težili ka tome da postavljaju lako pamtljive i jednostavne lozinke, ali danas se taj metod krađe sve manje koristi i zbog toga smo ranije naglasili da je izrazito preporučljivo uz lozinku definisati i metodu višefaktorske provjere (obično putem mobilnog telefona), ali veliki broj korisnika to još uvijek ne radi. Danas napadač pribjegava metodama socijalnog inžinjeringa putem kojeg se korisnik navodi da sam otkrije, odnosno upiše svoje podatke (korisničko ime i lozinku) na mjesto koje mu napadač podmetne. U metodama socijalnog inžinjeringa napadači su izrazito maštoviti i vješti, pa je zato potrebno biti posebno oprezan.
Nekoliko je načina na koje napadači navedu žrtvu da se sama ugrozi:
- Lažna obavijest putem e-maila da vam je istekla lozinka na nekom od servisa koje upotrebljavate, te da je potrebno da je odmah promijenite. U e-mailu se obično podmetne link na stranicu napadača (koja izgleda slično ili isto kao prava), gdje se od korisnika traži da upiše postojeću i novu šifru. Nasjednete li, napadač dobija vaše podatke vrlo brzo, pristupa vašem nalogu, mijenja šifru na onu koja je samo njemu poznata i vi više nemate pristup.
- Lažna obavijest da vam je neko pokušao provaliti u korisnički nalog, te da je hitno potrebno da potvrdite vlasništvo nad njim da biste ga zadržali. Daljnji scenario isti je kao u prethodnom slučaju.
- Lažna obavijest banke da je potrebno da upišete svoje podatke za e-banking radi održavanja sistema.
- Lažna obavijest policije (ovo je dosta često u posljednje vrijeme u BiH) da ste počinili prekršaj, te da je potrebno da se logujete na stranicu policije (naravno lažnu) kako biste napisali izjašnjenje.
- Lažna obavijest telekom-operatera da je vaš račun zadužen za neki veliki iznos, pri čemu se navodite na logovanje na lažnu stranicu.
- Lažne obavijesti o nagradama koje daju velike kompanije poput Microsofta, gdje se traži upisivanje korisničkog imena i lozinke da bi se nagrada preuzela.
- Lažna obavijest da vam je prostor u mailboxu popunjen i da je potrebno logovanje da biste ga proširili, inače će vam nalog biti suspendovan.
- Telefonski poziv od, recimo, novog zaposlenika u IT-u kompanije u kojoj radite, u kojem se traži da kažete svoje lozinku kako bi se izvršile neke navodne popravke na sistemu.
Ovo su samo neke najčešće primijećene tehnike koje napadači koriste ne bi li žrtvu naveli da upiše svoje podatke za pristup digitalnom identitetu na stranicu koju napadač podmetne, a koja najčešće izgleda vrlo slično onoj pravoj. Nemoguće je pobrojati sve načine koji se danas koriste jer se gotovo svakodnevno iznalaze nove metode. Dok su ranije ove lažne obavijesti dolazile uglavnom na engleskom jeziku, danas je gotovo redovna pojava da se lokaliziraju na jezik žrtve, što ih čini dodatno uvjerljivim. Tehnologije napreduju, pa tako i metode za napade. Napadači posvećuju dosta vremena pripremi, posebno ako napadaju neku tačno određenu žrtvu. Na dark webu je moguće (naravno ilegalno) platiti i naručiti napad na digitalni identitet određene osobe. Napadač je tada motivisan novcem koji dobija od naručioca napada, često i ne znajući koga i zašto napada.
Kako se zaštititi od krađe digitalnog identiteta?
Svijest o važnosti digitalnog identiteta i potrebi njegove zaštite ključna je za odbranu od ove vrste napada. Ta svijest je danas, u prosjeku, na dosta niskom nivou, pa je i broj uspješnih napada ove vrste dosta visok. Naprosto, ljudi još uvijek nemaju stvarnu predstavu o tome koliko su duboko u digitalnom svijetu i koliko je važno da svoje bivstovanje u njemu obezbijede: nešto poput pješaka koji bi šetali autoputem nesvjesni da njim prolaze automobili, i to velikom brzinom.
Kada svijest postoji, na nju se onda mora nadograditi znanje o tome kako prepoznati i izbjeći napade ove vrste.
Postoje neka pravila koja mogu pomoći da izbjegnemo napade ili ublažimo posljedice:
- Prije upisivanja korisničkog imena i lozinke na neku internet-stranicu uvijek provjerite da li je ona autentična, pogotovo ako ste na nju došli putem linka iz e-maila. Autentičnost se može provjeriti pregledom internet-adrese na kojoj se stranica nalazi, posjedovanjem validnog certifikata na internet-stranici (na to će vas upozoriti internet-pretraživač), kao i pregledom sadržaja stranice.
- Nikada ne vjerujte porukama u kojima se od vas traži upisivanje korisničkog imena i lozinke, posebno ako izgleda da te poruke (navodno) stižu od velikih i dobro poznatih kompanija (Google, Microsoft, Facebook...). Niti jedna ozbiljna kompanija neće od korisnika tražiti lozinku putem e-maila.
- Nikada ne vjerujte porukama telekoma ili banke u kojima dobijate poziv da izvršite određenu akciju koja zahtijeva upisivanje lozinke. Ako ipak mislite da je poruka autentična, provjerite prvo telefonom, pozivanjem call centra.
- Niti jedna policija ne obavještava prekršioce zakona putem e-maila o počinjenom prekršaju, a pogotovo ne traži izjašnjenje putem e-maila. Koliko god te poruke djelovale uvjerljivo (a djeluju uvjerljivo, čak i za naše lokalne policije), nemojte nasjedati.
- Ako se nađete u situaciji da neko putem telefona traži vašu lozinku, nemojte to raditi. Niko dobronamjeran to neće tražiti.
- Nikada nemojte dijeliti svoje korisničke podatke ni za jedan servis s drugim ljudima. Koliko god da nekome vjerujete, to predstavlja dodatni rizik.
- Nemojte postavljati iste lozinke na različite digitalne identitete. Ako to uradite, ugrožavanje jednog identiteta olakšava napadaču ugrožavanje drugih sa istom lozinkom.
- Uključite višefaktorsku provjeru autentifikacije gdje god je to moguće. Vrijedi potrošiti tih par sekundi više prilikom logovanja, a sigurnost se značajno podiže.
U svakom slučaju, opreza nikada nije previše. Ako sumnjate, pitajte ili provjerite. Razmišljajte o svom digitalnom identitetu i onome što on znači za vas. U budućnosti koja je pred nama to će biti sve važnije. Vrlo brzo morat ćemo početi razmišljati i o grobljima digitalnih identiteta. Koliko god da ta tema danas zvuči morbidno ili uvrnuto, sahrana digitalnog identiteta jednako je realna kao njegovo rođenje. Ali to je već neka druga tema.