Френк Абагнејл тврди да је данас криминалцима 4.000 лакше него пре

Френк Абагнејл, жива инспирација за филм Стивена Спилберга „Ухвати ме ако можеш“, говори о сајбер-безбедности, лозинкама и грешкама директора компанија. Некада је био врхунски преварант и криминалац, а већ више од четрдесет година ради као инструктор у FBI. Међу стручњацима које обучава налазе се и директори компанија које Абагнејл упућује у проблеме сајбер-безбедности. „Првенствено им скренем пажњу на то да је најважније да обуче своје запослене“, каже Абагнејл у вези са сајбер-безбедношћу, „да је њихов најважнији посао да заштите податке који су им поверили клијенти. Дакле, то је најважније. Нажалост, многе компаније не обучавају своје запослене у вези са сајбер-безбедношћу због чега их лако преваре лажиране поруке е-поште (пхисхинг) и брзо постају жртве разних обмана социјалног инжењеринга путем телефона преко кога дају много више информација него што би требало. Људи су у суштини искрени и због тога једноставно ни не помишљају да ће их неко преварити. Зато им се и дешава да при погледу на е-поруку која изгледа прилично званично одмах претпоставе да је права.

Радим на Академији FBI већ 43 године и подучавао сам две генерације FBI агената који су се школовали на академији. Највише сам запењен чињеницом да је много лакше починити кривично дело данас него кад сам ја то радио пре педесет година. У ствари, 4.000 пута је лакше јер тада нисам имао сву технологију која је данас на располагању. Дакле, технологија рађа криминал. Одувек је то радила и увек ће бити људи који ће користити технологију на негативан начин да би остварили корист за себе. Бавио сам се случајевима нарушавања безбедности података од случаја ТЈ Маxx, пре четрнаест година, па све до случајева са ланцем хотела „Мариот“ и компанијом „Фејсбук“ пре неколико месеци. Током свог рада у ФБИ научио сам да свако нарушавање приватности података долази због тога што је неко у тој компанији урадио нешто што није требало или неко није урадио оно што је требало.

Поверљивост података не нарушавају хакери, већ запослени у компанијама, сви хакери траже слабе тачке у систему да би ушли у њега. У случају компаније „Еквифакс“, откривено је да нису ажурирали системе, нису инсталирали безбедносне исправке и тако су отворили врата хакерима. Пре четири године, хакер су упали у пореску управу Јужне Каролине, државе у којој живим, и украли 3.8 милијарди пореских давања становника те државе. После истраге је утврђено да је један од запослених у управи однео службени преносни рачунар кући, што није смео да уради. Пошто га је укључио у незаштићеном окружењу, хакер је упао у рачунарски систем. Због тога је важно образовати запослене и упутити их у најважнији део посла, а то је заштита података који су им поверени.“

Каква је будућност лозинки?

„Лозинке још могу да заштите само кућице на дрвету. Лозинке представљају технологију из 1964. године, дакле, уведене су кад сам имао 16 година, према томе, много пре него што сам урадио све оно што сам урадио кад сам био млад. Недавно сам напунио 71 годину, а ми и даље користимо лозинке, које су данас главни узрок појаве свих злонамерних програма и многих других опасности на мрежи. Последњих пет година сарађујем на владином пројекту укидања лозинки, не само у нашој земљи, и скоро смо успели да га завршимо. Можда сте видели рекламу у којој Серена Вилијамс у тренерци и патикама трчи по тржном центру и носи мобилни телефон. Одједном, угледа огрлицу која јој се свиђа. Одлази до банкомата, отвара апликацију на телефону и подиже новац не користећи ни лозинку ни картицу. У суштини, већина банака у Америци почиње да прихвата процесе који не подразумевају коришћење лозинке. Многим компанијама које пружају услуге, као што су авио-компаније, биће потребно две-три године да се привикну на процесе без лозинки. Дакле, доћи ће време кад ћете чути: „Можете да користите лозинку, а и не морате, како вам је воља.“ Коначно смо стигли до тог нивоа да нам лозинке не требају, али сматрам да је то морало много раније да се деси.

Нити је постојала нити ће икад постојати технологија, укључујући и вештачку интелигенцију, која ће успети да победи социјални инжењеринг. Ја сам га користио помоћу телефона пре 50 година да бих дошао у посед пилотске униформе. Нисам знао да, заправо, користим методе социјалног инжењеринга, а имао сам само једну средство комуникације, телефон. Данас постоји много облика комуникације. Данас постоји једна могућност коју можете искористити у телефонској компанији. На пример, позовем телефонску компанију и представим се као ви. У том тренутку сам добио одговоре на сва безбедносна питања која би ми могли поставити. Затим им кажем да сам уништио своју сим-картицу у телефону и да ми треба друга. Они ми шаљу другу сим-картицу, ја је стављам у мој телефон и аутоматски имам ваш телефон.

Дакле све што се налази у вашем телефону сад је у мом: бројеви телефона, подаци о банковним рачунима и картицама, дакле, све. То је једна врста социјалног инжењеринга која злоупотребљава кориснички сервис. Запосленог у корисничком сервису треба убедити да сам ја ви, а он не зна ништа друго да предузме осим да постави већ позната питања која му се појављују на екрану: Који је ваш матични број? Како гласи девојачко презиме ваше мајке? Одговоре на та питања можете врло лако да пронађете на друштвеним мрежама.“

Како се данас хватају криминалци?

„Глобална природа интернета представља проблем. Кад сам ја планирао преваре, FBI се бавио углавном домаћим криминалцима. Имао је надлежност да их ухапси и да истражује њихове злочине. И данас то ради. Сваког дана имамо 5.000 лажних е-порука. Већи део укупне суме од 12 милијарди долара који се прикупи у таквим преварама распоређује се на 115 различитих држава у свету – Кину, Индију, Русију и друге – одакле и почињу лажне е-поруке. Чак и ако знамо ко су кривци и имамо њихове адресе, не можемо им ништа. Не можемо да их ухапсимо, пребацимо у Америку и осудимо их. Ту се суочавамо са препреком. Због тога је последњих година много важније спречавање и одбрана од таквог напада јер ако једном изгубите новац, сигурно је да га вам га нико неће вратити.

Према томе, првенствено им не дозволите да вам узму новац. Поседујемо задивљујућу технологију. Али проблем је у томе што га већина компанија не користи. Увек заузму став, „О, то се мени неће десити јер поседујем велику компанију. Не желим да беспотребно трошим новац на неку безбедност.“
На Академији FBI подучавам нове агенте. Осим обуке намењене полицајцима, два пута годишње окупимо око педесет директора из групе компанија Фортуне 500. На академији проведу недељу дана и ја им држим део предавања. Увек се сетим како сам пре 40 година одлазио у банке и упознавао банкаре како се фалсификују чекови, како се проневерава новац. Док сам тамо седео помислио сам да свима говорим оно што они боље знају од мене.

Убрзо сам схватио да погрешно мислим. Данас се ништа није променило. Држим предавање људима који би требало да буду шефови одсека за информатичку безбедност у компанијама и схватам да не знају много што-шта. Сматрају да им је то задужење дато и одлучили су да успут уче, а то је, бар за мене, помало застрашујуће.“

Рачунарски факултет Рачунарски факултет 011-33-48-079