Elviss Strazdiņš: Ikviena ierīce mūsu kabatā nozīmē 500 veidus, kā var izkrāpt naudu 0
Autors: Kibernoziegumu pētnieks Elviss Strazdiņš
Attīstoties mākslīgā intelekta (MI) risinājumiem un tehnoloģijām kopumā, strauji pieaug veidi, kā krāpnieki var piekļūt mūsu datiem, izmantot dažādu sistēmu ievainojamības un radīt dziļviltojumus. Nākotnē šie izaicinājumi tikai pieaugs, tāpēc ir svarīgi attīstīt aizsardzības spējas un izpratni gan par dažādiem digitālās krāpniecības veidiem, gan iespējām mazināt riskus. Patīk mums tas vai nē, bet mūsdienās ikviena ierīce, ko izmantojam, pat viedtālrunis mūsu kabatā, nozīmē vismaz 500 veidus, kā mūs var apkrāpt. Tas nozīmē pavisam vienkāršu patiesību – vai nu mēs apgūstam tehnoloģijas vai ar mums būs cauri. Ir jāiet un jāmācās, jo tehnoloģijas vienlaikus ir gan riski, gan mūsu nākotne.
Žetonu (token) zādzības un bezkontakta maksājumu sistēmu izmantošana
Tehnoloģiju izmantošana krāpniecībā nemitīgi attīstās. Viena no jaunākajām tendencēm saistās ar bezkontakta mobilajiem maksājumu risinājumiem kā Apple Pay un Google Pay – cilvēka vārdā, viņam nezinot, maksājumu kartei pievieno kādu no šiem servisiem un pēc kāda laika sāk tērēt līdzekļus. Vēl viena strauji augoša krāpniecības metode ir sesijas žetonu (token) zādzība. Vienkāršoti skaidrojot, kad cilvēks pieslēdzas kādai vietnei, piemēram, sociālajiem medijiem, sistēma pēc paroles ievades piešķir tā saukto “sesijas žetonu”, tas ir kā digitāls apliecinājums autorizācijai. Tas ļauj turpināt lietot pakalpojumu, neievadot paroli katru reizi. Ar ļaunatūru, pikšķerēšanas saitēm vai inficētiem paplašinājumiem pārlūkā krāpnieki nozog šo tokenu no lietotāja datora vai telefona, pēc tam viņi var pieslēgties attiecīgajam kontam bez paroles un pat bez divu faktoru autentifikācijas, bet sistēma to uztver kā jau autentificētu lietotāju.
Finansiālie, reputācijas un juridiskie riski
Iespējams, kādam varētu šķist, ka tie jau ir tikai sociālie mediji, kur nav pārāk svarīga informācija, tomēr der atcerēties, ka lielākais risks ir tajā, ka tie ir sociāli – tur ir mūsu radu, draugu un kolēģu kontakti, un krāpnieki var izmantot to dažādos veidos, piemēram, lai rakstītu viņiem un prasītu naudu, lai mūsu vārdā reklamētu krāpnieciskas lapas u.tml. Domājot par kiberdrošību, jāatceras, ka pastāv ne tikai finansiālie, bet arī reputācijas un juridiskie riski. Ja kāds mūsu vārdā reklamē krāpnieciskas vietnes vai izmanto mūsu profilus, lai izkrāptu naudu citiem, var nākties piepūlēties, lai pierādītu, ka to neesam darījuši mēs paši. Tas var notikt arī situācijās, kad administrējam kādas organizācijas vai uzņēmuma sociālo mediju profilus. Patiesībā gadījumos, ja esam bijuši nevērīgi pret datu drošību savas profesionālās darbības ietvaros, tas ir īpaši būtiski, jo Krimināllikuma 197. pants paredz atbildību par nolaidīgu darba pienākumu pildīšanu, tai skaitā nevērīgu attieksmi pret datiem.
Pakalpojumu atteices uzbrukumi
Ar kiberdraudiem saskaras gan fiziskas personas, gan organizācijas. Piemēram, valsts iestādes aizvien biežāk saskaras ar pakalpojumu atteices uzbrukumiem, kuru mērķis ir padarīt kādu sistēmu, mājaslapu vai pakalpojumu nepieejamu lietotājiem. Pateicoties MI, krāpnieki jau šobrīd masveidā var meklēt ievainojamības sistēmās un nākotnē šī problēma tikai pieaugs. Tas tiek darīts ar dažādiem mērķiem – lai izspiestu no servisa īpašniekiem naudu, lai traucētu infrastruktūras, mediju vai valsts pakalpojumu darbību, vai arī lai novērstu drošības komandu uzmanību un paralēli veiktu cita veida kiberuzbrukumus.
Jāpilnveido zināšanas gan individuālā, gan organizāciju līmenī
Pēdējo desmit gadu laikā kiberuzbrukumi ir strauji attīstījušies. Šovasar piedalīšos biedrības “Riga TechGirls” desmitgades festivālā, kur runāsim par šo tēmu plašāk, bet jau tagad ir skaidrs – ja pirms desmit vai pat pieciem gadiem krāpniekiem nācās meklēt ievainojamības manuāli, šobrīd to var darīt jau pavisam citā līmenī, ar automatizētiem risinājumiem. Krāpniekiem šis ir jauns iespēju laikmets, un mūsu zināšanas tām pagaidām nespēj tikt līdzi. Mums ir jāpilnveido zināšanas un prasmes gan individuālā, gan organizāciju līmenī, izmantojot iespējas, ko sniedz dažādas programmas. Gan biedrības “Riga TechGirls”, gan IT un jaunuzņēmumu programma “StartSchool” un līdzīgi risinājumi ir absolūts minimums, lai sāktu apgūt to, ar ko mums neizbēgami būs jāsadzīvo nākotnē.
Ja vēl pirms desmit gadiem, iespējams, daži varēja iztikt bez šīm zināšanām, mūsdienās tas vairs nav iespējams – ir jāiet un jāmācās, jo kiberdrošība vairs nav tikai IT speciālistu jautājums, bet gan ikviena cilvēka ikdienas prasme. Tāpat kā mēs apgūstam ceļu satiksmes noteikumus vai finanšu pratību, arī digitālajā vidē mums jāspēj atpazīt riskus un rīkoties atbildīgi. Jo ātrāk to sapratīsim un ieguldīsim savās zināšanās, jo lielāka iespēja, ka tehnoloģijas strādās mūsu labā, nevis pret mums.
