Rig van den Broek, Mastercard: Trend pri kibernetskih grožnjah je zavajanje, ko napadalci prepričajo uporabnika, da sam izvede plačilo.

Mastercard kibernetske grožnje v Evropi spremlja iz svojega centra za kibernetsko odpornost v Waterlooju v bližini Bruslja, na kraju, kjer Napoleonova vojska ni pokazala dovolj »odpornosti« v bitki proti angleškim in pruskim četam. Kako odporni smo na kibernetske napadalce? O tem smo se pogovarjali z izvršnim podpredsednikom za rešitve na področju kibernetske varnosti v družbi Mastercard Rigom van den Broekom.

Kako vse večje kibernetske grožnje vplivajo na zaupanje v digitalno plačevanje?

Večino storilcev lahko razdelimo v tri skupine. Prva so kriminalne združbe z namenom kraje denarja, druga skupina so tisti s političnimi motivi, ki poskušajo destabilizirati družbo, tretja pa so posamezniki, pogosto iz spletnega okolja, ki poskušajo krasti podatke. Najbolj nas skrbita prvi dve skupini, saj merita predvsem na krajo denarja. Njihove taktike ostajajo enake. Spreminjajo in izboljšujejo pa se orodja za izvajanje napadov, da so ti učinkovitejši. Z umetno inteligenco razširijo svoje delovanje, dosežejo več ljudi ter prepoznajo ranljivosti, ki jih lahko izkoristijo za napade. Tako pridobijo večjo razsežnost in učinkovitost. Trend torej ni v tem, da bi se spreminjala sama narava kriminala, ampak orodja, s katerimi se ta izvaja. Storilci si prizadevajo za čim večjo učinkovitost, torej za čim višji donos glede na vložek. Zato so bolje zaščiteni sistemi, ki so posodobljeni in brez očitnih ranljivosti ter upoštevajo osnovne varnostne prakse, manj privlačne tarče.

Mastercard spremlja tveganja za plačilni promet v Evropi iz svojega evropskega centra za kibernetsko odpornost v Belgiji. FOTO: Mastercard

Hkrati pa se – in to opažamo tudi v Sloveniji – povečuje tako imenovana goljufija s prevaro. To je taktika, pri kateri storilec posameznika zavede, da sam izvede plačilo. Na primer: prepriča vas, da nakažete denar za kolo, ki v resnici ne obstaja, ali vas zvabi v navidezno razmerje oziroma investicijo, pri čemer uporabi katerokoli zgodbo, ki vas pripravi do nakazila. Storilci uporabljajo umetno inteligenco in jezikovne modele, da ustvarijo bolj prepričljive tako imenovane phishing napade in bolj dovršene ponaredke videoposnetkov (ang. deepfake). To je pravzaprav najizrazitejši trend, ki ga vidimo, in od bank zahteva prilagoditev sistemov ter tehnologij, da se s tem lahko soočijo, saj žrtve šele po izvedenem plačilu ugotovijo, da so bile zavedene in želijo preklicati transakcijo.

Storilci uporabljajo umetno inteligenco in jezikovne modele, da ustvarjajo bolj prepričljive tako imenovane phishing napade in bolj dovršene ponaredke videoposnetkov.

Mastercard uporablja umetno inteligenco za zaščito uporabnikov in lažje odkrivanje prevar. Kako bo Mastercard zaščitil uporabnike, ki bodo nakupovali prek UI-agenta?

To velja za celotno področje kibernetske varnosti. Razmere presojamo skozi tri ravni. Prva raven so ukrepi za preprečevanje: kaj lahko naredimo, da se kibernetski kriminal sploh ne zgodi? Kako lahko pomagamo uporabnikom, da ne postanejo žrtve? Konec leta 2024 smo prevzeli eno vodilnih podjetij na področju obveščevalnih podatkov o kibernetskih grožnjah Recorded Future, ki analizira prevarante – ali lahko zaznamo tako imenovane romantične in investicijske prevare ter prevare pri spletnih trgovcih. Zanimalo nas je tudi, ali te informacije lahko vključimo v naše sisteme, da takšne dejavnosti lahko ustavimo, še preden povzročijo škodo.

Druga raven je zaznavanje: Kako prepoznamo, da se napadi že dogajajo? V tej fazi lahko ugotovimo, da prihaja transakcija s kartice, za katero vemo, da je bila ukradena in ponujena na temnem spletu. Storilci pogosto najprej izvedejo testno transakcijo, da preverijo, ali kartica še deluje. To ni vedenje navadnega uporabnika in takšne poskuse blokiramo. Če zaznamo določen vzorec prevare v Peruju, poskrbimo, da enak vzorec ne deluje tudi v Sloveniji. Gre za globalni učni model na področju zaznavanja.

Tretja raven pa je odziv. Če je kljub vsemu uporabnik oškodovan, imamo vzpostavljene mehanizme, kot je jamstvo za plačila, s katerim zaščitimo uporabnika in mu škodo povrnemo – razen v nekaterih jasno določenih izjemah. Te so redke in strogo opredeljene; če uporabnik ravna zelo neprevidno, lahko banka zahtevek zavrne. V splošnem pa kot plačilna shema zagotavljamo, da banke v večini primerov uporabniku izgubo povrnejo.

Če v Dubaju nekdo s kreditno kartico kupi ferrari, je to lahko razmeroma običajno. V Sloveniji pa bi takšno transakcijo verjetno obravnavali kot sumljivo.

Sistem temelji na več plasteh zaščite, ne na eni sami obrambi, kar storilcem otežuje razumevanje njegovega delovanja. Poleg tega se sistem nenehno spreminja in prilagaja, pri čemer ima umetna inteligenca ključno vlogo pri vzpostavljanju teh zaščitnih plasti. Pomembno je tudi, da zaščito izvajamo na globalni ravni. Vedenjski vzorci, ki so v Sloveniji običajni, niso nujno običajni v Dubaju. Če v Dubaju nekdo s kreditno kartico kupi ferrari, je to lahko razmeroma običajno. V Sloveniji pa bi takšno transakcijo verjetno obravnavali kot sumljivo oziroma potencialno goljufijo. Uporabljamo strojno učenje, ki omogoča, da so pravila za Slovenijo nekoliko drugačna kot za Francijo ali druge države. Obstajajo sicer skupni vzorci, vendar so pomembne tudi razlike glede na državo ter okoliščine, kot so prazniki, ko se vedenje uporabnikov spremeni. Zaradi te kompleksnosti storilci težko razumejo, kako sistem deluje. Poleg tega zaščito izvajamo tako mi kot tudi banke, kar pomeni dvojno obrambo.

Kakšne so lahko razlike med kibernetskimi grožnjami za Slovenijo ali našo regijo ter preostalimi deli sveta?

Grožnje v Sloveniji se v osnovi ne razlikujejo od tistih v Belgiji ali drugod. Razlika pa je v priložnostih, ki jih storilci izkoriščajo. Če je, na primer, v državi podaljšan konec tedna ali so prazniki, vedo, da je tik pred takšnim obdobjem primeren čas za napad. Orodja, ki jih uporabljajo, so povsod enaka, vendar jih prilagajajo lokalnim okoliščinam. V Sloveniji lahko, na primer, izkoristijo dogodke, kot so poleti v Planici, na katerih se zaradi povečane aktivnosti poveča tudi tveganje za zlorabe. V Mastercardu zato sistematično spremljamo večje dogodke. Ti so del naših modelov. Podobno je bilo ob olimpijskih igrah v Parizu – takšni globalni dogodki vzbudijo pozornost sveta, s tem pa tudi kibernetski kriminal. Ob izbruhu covida-19 so storilci hitro začeli napadati bolnišnice, ker so vedeli, da je verjetnost uspešnega izsiljevanja večja, s tem pa tudi donosnost napadov.

V modelih upoštevamo tudi značilnosti lokalnega gospodarstva. Če se, na primer, v kraju, ki je sicer večino leta miren, zaradi dogodka, kot je svetovni pokal v Planici, nenadoma močno poveča število transakcij, to zaznamo kot odklon od običajnega vzorca. Takšna aktivnost bi lahko kazala na napad, vendar vemo, da so posledica konkretnega dogodka. Zato sistem temu primerno prilagodimo – razlikujemo med legitimno povečano aktivnostjo in morebitnimi zlorabami.

Kakšno je zavedanje med uporabniki glede kibernetskih nevarnosti?

Mastercard veliko vlaga v izobraževanje. Z bankami sodelujemo v kampanjah o varnosti, sam pogosto predavam o kibernetski varnosti različnim skupinam. Izobraževanje je ključno, saj ukrepi, ki jih od ljudi pričakujemo, niso zapleteni: uporabljajte močna gesla, ne uporabljajte istega gesla za več spletnih strani, znati je treba prepoznati phishing sporočila, preveriti pošiljatelja in oceniti, ali je zaupanja vreden. Večina ljudi ta pravila pozna, težava pa nastane v praksi, ko ljudje v naglici niso pozorni, kliknejo na sporočilo in postanejo žrtve prevare. Zato je izobraževanje učinkovito, vendar mora sistem zagotoviti dodatno zaščito, ko posameznik naredi napako. Drugi izziv je, da vseh ni mogoče doseči z izobraževanjem, denimo starejših. Čeprav izvajamo tudi usposabljanja za starejše, so ta praviloma osebna in ciljno usmerjena.

Pomembno je tudi, da mediji pogosto izpostavljajo zelo napredne, tehnološko zahtevne oblike kibernetskega kriminala, ker so bolj novičarsko zanimive. V resnici pa približno 80 odstotkov napadov temelji na osnovnih napakah – na primer na ponovni uporabi gesel. Storilci pridobijo geslo na enem spletnem mestu in ga uporabijo drugje. Če gre za občutljive račune, kot je spletno bančništvo, so posledice lahko resne. Po drugi strani je bolj sofisticiranih napadov približno petina, ti so za storilce dražji in zato pogosteje usmerjeni v večja podjetja. 

VIR: https://www.delo.si