Deepfake, tehnologija koja koristi umjetnu inteligenciju, posebno metode dubokog učenja, kako bi stvorila uvjerljivu varku bilo u glasovnom ili video obliku, jedna od najinovativnijih metoda prevare, omiljena napadačima u digitalnom svijetu.
Potvrdio je to Robert Preskar, direktor Odjela za razvoj proizvoda i rješenja iz područja sigurnosti i kartičnog poslovanja u IT firmi ASEE Hrvatska, gostujući na panelu ‘Novo doba prijevara u plaćanju: Hakeri protiv heroja’.
“Teško je prevare takve vrste kontrolirati regulativama, one su reaktivne. Svaka čast europskim regulativama NIS-u i DORA-i koje su odlične da poduzetnike, pogotovo bankarski i financijski sektor potaknu na otpornost. Međutim, one neće spriječiti i ublažiti efekt ‘phishinga’ koji je trenutačno u procvatu”, kazao je Preskar. Osim hakerima, AI pomaže i stručnjacima za sigurnost, no može podcijeniti stvarni broj napada zbog ograničenja u kvaliteti treninga i složenosti prijetnji.
Pravila i crne liste
“AI pomaže u automatizaciji sigurnosnih sustava koji u pozadini prate da ne dođe do cyberincidenata, i o tome obavještava ljude, no što s hakerima koji mogu generirati vrlo targetirane i sofisticirane napade, i to u ogromnim količinama. AI sigurnosni alati pomažu da 3000 takvih slučajeva suzimo na njih 14, no što ako ih je u stvarnosti zapravo bilo 200. U tom smislu, regulativa je ograničavajuća, guši inovativnost. Ako proizvođač softvera želi napraviti dobar sigurnosni alat protiv smishinga (slanje lažnih SMS poruka, op.a.), stroj, program mora pročitati SMS, a u doba GDPR-a svi smo silno osjetljivi na takvu praksu. Dakle, moramo raditi kompromise, balans između regulative i primjene je ključan”, pojasnio je Preskar.
Koliko god se banke naoružavale svim naprednim alatima koji im omogućuju analizu uobičajenog ponašanja klijenata te postavljanje pravila i crnih lista, to ipak nije dovoljno za potpunu zaštitu klijenata, kazala je Blanka Zubalj, direktorica sigurnosti u Raiffeisen banci. “Napadači najčešće igraju na kartu emocija čim je riječ o poruci tipa: ‘Mama, imam problema, možeš li mi poslati novac?’ ili jednostavno koriste činjenicu da svi danas živimo silno ubrzano i pod stresom, pa ljudi u takvim situacijama griješe. Toliko se trude uvjeriti klijenta da je priča legitimna da na kraju on osobno potvrdi transakciju ili preda sve podatke koji im omogućuju prijevaru. Bankama je stoga ključno da u što kraćem roku dobiju obavijest da je aktualna neka obmanjujuća kampanja”, napomenula je Zubalj.
Treba osigurati da sustav autentifikacije transakcija ostane dovoljno jednostavan za korisnika i istovremeno siguran, a ravnotežu je naći iznimno teško, dodaje Preskar.
Ne zaboraviti građane
“Osim toga, tu je i živi sraz između kartičarskih kuća i institucija koje izdaju kartice. Recimo, sustav je postavljen tako da kartičari žele sve više transakcija pa guraju jednostavniji, neposredniji pristup korisniku bez dodatnih autentifikacija, a s druge strane banke i druge financijske institucije koje su izdale kartice i koje svaku transakciju žele osigurati jer im nije u interesu plaćati kazne za potencijalne prijevare jer je korisnik neobazriv i slučajno nešto kliknuo”, kaže.
Smatra da bez multifaktorske autentifikacije (MFA) ‘ne treba ići nigdje’. “Nedavno sam u slučaju jednog telekoma čuo da studenti koji ondje rade u pozivnim centrima ne žele na svoje mobitele instalirati MFA jer kažu, ne žele da ih telekom prati. Moramo svakako poraditi na svijesti o rizicima koji vrebaju jer se nalazimo u totalnom disbalansu, u spiljskom svijetu kada je riječ o našim sigurnosnim sposobnostima, a nasuprot nas stoji AI koji napadači koriste za napredne metode prevare”, istaknuo je Preskar. Smatra da je znanja o kibernetičkoj sigurnosti potrebno snažnije i ozbiljnije integrirati u školstvo.
Teško je pomiriti interes vlasnika biznisa, koji teže što većoj prodaji, s institucijama koje djeluju u segmentu upravljanja rizicima, rekla je Zubalj. “Puno pričamo o tehnologiji, no na kraju dana ne smijemo zaboraviti na građane. Trebamo poraditi na podizanju znanja o digitalnoj pismenosti. Prije nekoliko godina, nacionalni CERT izradio je kampanju Hrvatski naivci, a čija je svrha bila osvijestiti javnost o važnosti kibernetičke sigurnosti. Mi smo prije dvije godine pokrenuli program RBA Shield.
Razina svijesti naših klijenata otad je značajno porasla pa kad se pojavi obmanjujuća kampanja u kojoj napadači imitiraju vizual ili identitet banke, prijave klijenata o takvom SMS-u, e-mailu ili lažnoj stranici zaista dobijemo u prvih deset minuta otkad detektiraju prijetnju, a što nam olakšava jer onda možemo brzo pokrenuti postupak skidanja lažnog sadržaja i daljnjeg prijavljivanja prema nacionalnom CERT-u”, istaknula je Zubalj.
