U svijetu gdje su digitalni napadi postali svakodnevica, kibernetička sigurnost nikada nije bila važnija. Pogledamo li recentniju povijest, SolarWinds napad je 2020. godine ugrozio 18.000 organizacija diljem svijeta, uključujući američke vladine agencije, a Colonial Pipeline incident je 2021. paralizirao opskrbu gorivom na istočnoj obali SAD-a – da spomenemo samo neke.
Prema podacima Nacionalnog CERT-a, u Hrvatskoj je tijekom 2024. godine zabilježeno 1113 računalno-sigurnosnih incidenata, s phishingom kao vodećim tipom napada koji čini čak 58 posto svih prijavljenih slučajeva. Broj zaraženih računala porastao je za više od 36 posto u odnosu na prethodnu godinu, dok napadači sve češće koriste umjetnu inteligenciju za stvaranje uvjerljivijih prijevara. Zbog ovih poprilično alarmantnih podataka razgovarali smo s troje stručnjaka s područja kibernetičke sigurnosti, kako bismo saznali što se zapravo događa i možemo li se na neki način zaštititi.
Phishing i njemu srodni napadi su u porastu
Viktor Olujić, član Uprave ASEE Hrvatska, priča nam kako je broj phishing napada u posljednje dvije godine u porastu. Uz uobičajene e-mail poruke, pojavljuju se i varijacije, poput smishinga, napada u kojem napadač koristi SMS poruke ili aplikacije poput WhatsAppa ili Vibera. Raste i broj quishinga, odnosno napada pomoću lažnih QR kodova, te vishinga, napada pomoću glasovnih poziva.
- Dodatni problem pri različitim phishing kampanjama je to što su napadači u određenim slučajevima i zemljama bili u mogućnosti da se pozivatelju predstave s lažnim brojem pozivatelja pri smishing i vishing kampanjama, što dodatno otežava mogućnost detekcije napada od strane osobe koja je odabrana kao žrtva napada – objašnjava nam Olujić iz ASEE-a, tvrtke koja djeluje u nekoliko ključnih segmenata informatičkog tržišta, s posebnim fokusom na rješenja i usluge za bankarski sektor te industriju plaćanja.
Jedan od istaknutijih problema u posljednje vrijeme je porast broja i dostupnosti alata za automatizaciju, kao i korištenje AI modela. Oni, tumači Olujić, omogućuju napadačima da svoje poruke, bilo e-mail ili SMS, prevedu na različite jezike. Dodatno, AI omogućuje i da se pozivi, odnosno glasovi, generiraju računalno, prilagođeni čak i na naglaske. Te nove mogućnosti dovode do dodatnih komplikacija, što pak dovodi do povećanja potrebnog napora da se takve poruke, odnosno napadi, prepoznaju i spriječe.
Važno okupljanje cybersecurity stručnjaka u Zagrebu
Razgovarali smo i s Edom Whiteheadom, potpredsjednikom zaduženim za vođenje i razvoj prodajne strategije tvrtke Darwinium. Whitehead je, kao i Olujić, bio jedan od govornika na ovogodišnjoj konferenciji Alert, koja je u Zagrebu okupila stručnjake iz Hrvatske i inozemstva kako bi raspravili aktualne prijetnje, tehnološke trendove i izazove s kojima se suočavaju različiti sektori, od financija do kritične infrastrukture. Ovogodišnji fokus bio je na tri ključne teme: novoj i postojećoj regulativi (NIS2 i DORA), utjecaju umjetne inteligencije na sigurnost te generacijskim promjenama u percepciji sigurnosti.
Whitehead ističe kako su trenutno najopasnije i najraširenije prijetnje one koje uključuju socijalni inženjering, gdje prevaranti uvjeravaju korisnike da podijele osobne podatke ili izvrše prijevarne uplate klikom na savršeno izrađene poruke e-pošte, SMS-ove ili čak lažne web stranice generirane pomoću umjetne inteligencije.
Stručnjaci ističu važnost bihevioralne analitike u detekciji generativnih napada koji koriste umjetnu inteligenciju za imitaciju korisničkog ponašanja. Ed Whitehead iz Darwiniuma objašnjava da napredni sustavi zaštite analiziraju digitalne interakcije, prateći odstupanja od uobičajenih obrazaca ponašanja korisnika. Generativni napadi često ostavljaju suptilne tragove poput nesigurnosti u navigaciji ili nepravilnog ritma tipkanja, što može ukazivati na pokušaje zloupotrebe. Takvi sustavi mogu prepoznati neuobičajene obrasce poput naglih promjena uređaja ili oklijevanja pri autentifikaciji, što može biti znak pokušaja iskorištavanja sigurnosnih mehanizama.
Zaštita od phishing napada ovisi i o zemlji
Zaštita od phishing napada uvelike ovisi o zemlji u kojoj se žrtva nalazi, budući da su neke države uložile značajne napore kako bi spriječile ovakve napade na nacionalnoj razini. Olujić kaže da je u nekim zemljama uspostavljena suradnja između regulatora, telekom operatera i drugih ključnih sudionika, što je omogućilo učinkovitu prevenciju phishing prijetnji.
- S druge strane, u Hrvatskoj i drugim državama koje nisu implementirale takve mjere, organizacije koje trpe štete od phishing napada - bilo kroz izravne financijske gubitke ili zbog smanjenog povjerenja korisnika u mobilne aplikacije i digitalne usluge - moraju se same brinuti o svojoj zaštiti – dodaje Olujić.
Biometrija, poput Touch ID-a i Face ID-a, već se desetljećima koristi u ASEE-u. Prema Olujiću, to je jedna od najboljih zaštitnih tehnologija jer je jednostavna za korištenje, ne zahtijeva pamćenje ili utipkavanje, a pruža visoku sigurnost. Novije zaštitne metode razvijene posljednjih godina zahtijevaju minimalno sudjelovanje korisnika. Proizvođači mobilnih aplikacija tako osiguravaju zaštitu bez dodatne interakcije s korisnikom. Napredne metode koje prate obrasce ponašanja i lokaciju mogu poboljšati korisničko iskustvo slanjem relevantnih informacija, poput obavijesti o tečaju valute pri prelasku granice. Budući da mlađe generacije, Gen Z i Gen Alpha, imaju drugačija očekivanja od starijih korisnika, primjena jednostavnijih i sigurnijih metoda zaštite bit će ključna za uspjeh mobilnih aplikacija.
Zaštita se bazira na jednoj osnovi
Unatoč tome što omogućuje naprednije napade, AI, po Olujićevom mišljenju, ne bi trebao biti bauk.
- Napadi izvedeni korištenjem AI modela se u metodama zaštite ne razlikuju previše od napada napravljenih nekom drugom tehnologijom. Ono što je AI donio je značajno ubrzanje i olakšavanje posla napadačima da pripreme i pokrenu napad, jer umjesto pretraživanja interneta i osobnog učenja čitanjem članaka, blogova ili testiranjem i isprobavanjem dostupnog izvornog koda, sada im AI model može pripremiti i dati gotovi malware ili phishing skriptu unutar nekoliko minuta – kaže Olujić.
U osnovi, sama zaštita mobilnih aplikacija bazira se na shvaćanju da u najvećem broju slučajeva organizacija koja je izradila mobilnu aplikaciju ne kontrolira mobitel niti instaliranu i korištenu mobilnu aplikaciju.
- Odnosno, prema mobilnoj aplikaciji koja se nalazi na nečijem mobitelu trebamo se odnositi kao prema računalu s našom aplikacijom koji se nalazi u posjedu napadača, možda u nekoj faveli ili u zemlji s kojom naši pravosudni organi nemaju uspostavljenu suradnju, i u slučaju da saznamo identitet napadača, nećemo moći pokrenuti pravni proces protiv njega – dodaje Olujić.
Ključ uspjeha leži u suradnji
Renata Vujasinović, direktorica Vise u Hrvatskoj, ističe kako financijska industrija koristi napredne alate umjetne inteligencije i strojnog učenja za prepoznavanje i sprječavanje prijevara, osobito kod transakcija bez fizičke prisutnosti kartice. Takvi sustavi omogućuju analizu transakcija u stvarnom vremenu i prepoznavanje sumnjivih obrazaca, čime se izdavateljima olakšava pravovremeno reagiranje na prijetnje, bez značajnijeg utjecaja na korisničko iskustvo. Uz tehnologije poput tokenizacije i biometrijske autentifikacije, industrija kontinuirano ulaže u sigurnost digitalnih novčanika i razvija nova rješenja u suradnji s tehnološkim partnerima. Vujasinović naglašava kako je ključ uspjeha u borbi protiv sofisticiranih prijetnji suradnja između različitih sudionika ekosustava i razmjena informacija o novim oblicima prijevara.
Ključ uspjeha u borbi protiv sofisticiranih AI prijetnji leži u suradnji s bankama, fintech tvrtkama i drugim partnerima, kao i u razmjeni informacija o prijetnjama i trendovima prijevara. Unatoč prednostima koje AI donosi u obrani, ista tehnologija omogućuje i kriminalcima razvoj naprednih napada poput deepfakeova i phishinga, pa Visa kontinuirano ulaže u razvoj novih modela zaštite i zagovara standardizaciju te međusektorsku suradnju kako bi svi sudionici digitalnog platnog ekosustava ostali korak ispred prijetnji.
- Ova utrka naoružanja znači da će i napadačke i obrambene strategije postajati sve sofisticiranije. Visa vjeruje da će etični i odgovorni razvoj AI-ja, u kombinaciji sa suradnjom i ulaganjima, biti ključni za očuvanje sigurnosti. Budućnost će ovisiti o tome tko će brže inovirati i ostati korak ispred – kroz budnost, partnerstva i globalnu suradnju – kaže Vujasinović.
Financijska industrija jedna je od prvih meta
Viktor Olujić naglašava važnost zaštite integriteta mobilnih aplikacija sprječavanjem njihove neovlaštene izmjene ili pokretanja u debug načinu. To se postiže ugrađivanjem zaštitnih modula koji otkrivaju pokušaje manipulacije i obavještavaju serversku stranu o kompromitaciji aplikacije, čime se smanjuje rizik od zloupotrebe, osobito u financijskim servisima.
Olujić upozorava da napadači mogu iskoristiti i nefinancijske aplikacije (npr. loyalty programe) za stjecanje bodova koje nisu zaradili, prijenos virtualnih dobara na tuđe račune ili krađu korisničkih i poslovnih podataka, jer serveri često pretpostavljaju valjanost svih dolaznih zahtjeva.
Svijest o AI mogla bi biti bolja
Olujić upozorava da ni zaposlenici, ni menadžeri, pa ni kibernetički stručnjaci, nisu dovoljno svjesni rizika koje donosi upotreba AI tehnologija – posebice kad se koriste za orkestriranje napada. Kako snažni AI algoritmi postaju dostupniji, obrana zahtijeva iste metode – slično vatrenom oružju, prednost napadačima izjednačit će se kada se AI primijeni i u obrambene svrhe. Stoga je ključno podići svijest o AI-u, no hrvatske tvrtke ne smiju odgađati uvođenje AI-ja; ranija primjena ubrzat će pronalazak optimalnih modela i praksi. Uz to treba provesti analizu rizika (izbor modela, pristup podacima, ovlasti) i pripaziti na trovanje modela tijekom treniranja te nevidljive perturbacije koje mogu narušiti točnost u produkciji.
S obzirom na njegovo iskustvo i stručnost u području kibernetičke sigurnosti, Olujića smo zamolili da nam pokuša predvidjeti što nas može očekivati u sljedećih 12 mjeseci po pitanju AI-driven prijetnji. Odgovara nam kako u osnovi možemo očekivati sve bolje i kvalitetnije napade koji koriste različite audio-vizualne komponente, tzv. deepfake video, te napade koji će biti sve bolje i sve preciznije prilagođeni osobi odnosno organizaciji koju napadač želi napasti.
- S druge strane, tvrtke koje se bave izradom sigurnosnih rješenja konstantno rade na novim metodama zaštite, tako da već danas postoje metode zaštite koje mogu raspoznati deepfake videa i slike, odnosno sustavi koji kreiraju digitalni žig pri kreiranju videa/slike u hardverskom uređaju, te se pri svim kasnijim korištenjima multimedijalne datoteke trajno zabilježi njezino izvorno podrijetlo, što olakšava raspoznavanje od umjetno kreiranih datoteka – zaključuje Olujić.
Sponzorirani sadržaj nastao u suradnji Native Ad Studija Hanza Medije i ASEE Hrvatska.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....