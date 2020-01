S poslovnim partnerjem sodelujete že dolgo. Naročeno blago bi moralo biti v vašem skladišču že pred časom. Konec koncev ste fakturo plačali že dan po naročilu. Le da naslovnik nakazila nikoli ni prejel. Morda niste bili pozorni, ko vam je malo pred tem poslal nove podatke bančnega računa? Ali še huje, sploh niste opazili, da je številka bančnega računa, ki ste ga pri transakciji uporabili, drugačna od tiste na naročilnici. Zelo verjetno ste bili žrtev najnovejše spletne goljufije.

SAŠKA T. OCVIRK

Pravočasno opaziti goljufijo z nekaj zamenjanimi številkami v bančnem računu se zdi skoraj nemogoče. Po drugi strani smo v svoje elektronske poštne predale že vsi kdaj dobili pismo obupanega nigerijskega dediča, ki nas moleduje za številko bančnega računa, da bi nam nakazal milijon ali dva dolarjev. Zakaj včasih uspejo tudi najbolj prozorne goljufije, nam je pojasnil računalniški strokovnjak dr. David Modic.



Je ekonomski psiholog, raziskovalec na Fakulteti za računalništvo in informatiko Univerze v Ljubljani in član King’s Collegea iz Cambridgea, kjer je bil donedavna gostujoči akademik na Inštitutu za kriminologijo v Cambridgeu in posebni svetovalec tamkajšnjega odzivnega centra za kibernetsko varnost CamCERT. Ukvarja se z raziskovanjem računalniškega kriminala, psihologije prepričevanja, vedenjskih sprememb, informacijske varnosti in podobno.

So goljufi vedno bolj inovativni ali ljudje ostajamo enako nepremišljeni in tako najšibkejši člen v varnostni verigi?

Principi in sama tehnika prevar se ne spreminjajo bistveno že stoletja. V arhivih in na spletu lahko najdemo pisma iz 16. stoletja, kjer prevaranti prosijo za denar, češ da so v zaporu v Španiji. Vzvodi, ki so jih uporabljali v t.i. pismih španskih zapornikov in tisti, ki jih uporabljajo danes, so v principu isti. Odgovor na vaše malo nagajivo vprašanje o tem, ali so prevaranti vedno bolj pametni ali ljudje vedno bolj neumni, je torej niti eno niti drugo. Ljudje smo že stoletja približno enako dobri v prepoznavanju prevar, prevaranti pa so približno enako prebrisani.

Res pa je tudi, da so smo ljudje še vedno in kar naprej najšibkejši člen. O tem je bilo narejenih kar nekaj raziskav, in tudi statistično gledano vidimo, da je ponavadi človek najbolj priročna tarča napadov.

Zakaj ljudje še vedno nasedemo tudi zelo očitnim in prozornim goljufijam? V enem od intervjujev ste dejali, da inteligenca nima prav veliko s tem.

Res je. Poznamo več tipov inteligence, tista opredelitev, ki se v psihologiji največkrat uporablja, pa deli inteligenco na dinamično in kristalizirano. Dinamična je tista, ki jo uporabimo, kadar se znajdemo v novih situacijah in moramo poiskati rešitev, torej ji lahko rečemo tudi kreativnost ali iznajdljivost. Kristalizirana inteligenca pa je tista, kjer se spomnimo rešitve, ki smo jo že enkrat prej uporabili, torej modrost ali izkušenost. Po svoji naravi dinamična inteligenca strmo narašča pri otrocih, saj so na začetku vse situacije nove, kristalizirana pa se začne dvigati okoli konca pubertete, ko tudi dinamična pada. Takrat je vedno manj novih situacij, zato nismo tolikokrat izzvani. Po tej definiciji bi morali biti starejši in mlajši posamezniki bolj odporni na prevare, česar raziskave ne potrjujejo. Torej inteligenca nima prav veliko z nasedanjem na prevare.

Če govorimo o računalništvu kot najbolj osnovni platformi digitalnega sveta, se zdi, da smo na področju mehanskega. Kako pomembno je v tem svetu poznavanje psihologije?

Kaže, da vedno bolj. Pred kratkim smo se z družino vrnili iz Cambridgea, kjer sem bil pet let kot psiholog zaposlen v najstarejšem računalniškem laboratoriju na svetu. Dnevno sem sodeloval s psihologi, pravniki, politiki, kriminologi, kriptografi, sociologi, računalničarji, forenziki, ekonomisti … Razviti svet ve, da je presečišče teh poklicev pomembno za razumevanje digitalnega sveta. Slovenija počasi sledi tem spoznanjem, v zasebnem morda bolj kot v javnem sektorju.

Povprečen državljan ima občutek, da si na spletu s policijo ne more dosti pomagati. Je kakšna možnost, da uveljavimo reklamacijo za slab ali zavajajoč nakup, da dobimo povrnjen denar, če smo nasedli goljufiji, ali da bodo našli nadlegovalca, ki se je iz takih ali drugačnih razlogov spravil na nas?

Odvisno. Na splošno vam policija ne bo mogla kaj dosti pomagati. Tu je velik problem tudi jurisdikcija. Bolj bi morda lahko pomagal Europol. Reklamacije na splošno bolj delujejo takrat, ko jih uveljavljamo pri prodajalcih samih (PayPal, Amazon, eBay …). S tem načeloma običajno ni težav. Odsvetujem, da bi se sami lotevali odkrivanja zlikovcev. Prvič, ker je to lahko življenjsko nevarno, drugič pa zato, ker smo žrtve načeloma amaterji v primerjavi s prevaranti, ki od svojega početja živijo in imajo bistveno več izkušenj od nas. Toplo priporočam, da se žrtve in potencialne žrtve obrnejo na SI-CERT, ki bo z veseljem pomagal po svojih močeh.

Z bančnimi številkami smo vsaj načeloma na spletu bolj previdni, z osebnimi podatki v resnici eno figo. Zakaj jih je nevarno nekritično razmetavati naokrog?

V večini primerov mi nismo končne tarče, ampak nas uporabijo kot stopničke – z našimi osebnimi podatki lahko nekdo prevzame našo identiteto in pod našo podobo dostopa do naslednje stopničke ali končnega cilja. Če želim priti do direktorja nekega večjega podjetja, lahko pogledam, kdo so njegovi podrejeni, zberem podatke o njih, opazim na primer, da je eden od njih poročen z lastnico trgovine za friziranje domačih živali. Vdrem v njen službeni računalnik, preko njega dostopim do njenega zasebnega računalnika. To je pot do računalnika njenega moža, zaposlenega v podjetju in sem že pri direktorju. Začel pa sem pri lastnici pasjega »frizeraja«. Opisujem vam resničen primer, kjer sem večino podatkov spremenil tako, da ne posegajo v zasebnost vpletenih posameznikov.

Ne glede na načelna stališča smo v resničnem življenju za lagodnost in majhne ugodnosti takoj pripravljeni prodati svoje osebne podatke. Kako se je potem sploh mogoče upreti poplavi lažnih novic in takih ali drugačnih manipulacij?

Raziskave kažejo, da je resnična vrednost zasebnosti ocenjena na približno deset dolarjev. Kljub temu, da se večina ljudi strinja, da je zasebnost »neprecenljiva«, smo jo pripravljeni prodati za 10-odstotni popust pri nakupu ali pa za brezplačno dostavo nekega izdelka. Obstajajo pa spletne strani, ki z dokaj visoko zanesljivostjo ocenjujejo, ali je neka novica lažna ali ne. Najbolj problematične so tako ali tako tiste novice, ki niso povsem lažne, ampak so samo interpretirane na način, ki služi nekemu drugemu namenu. Tako je morda bolje uporabljati storitve, ki nam povedo, ali je novica, ki jo beremo, obtežena v levo ali desno smer. Tudi take spletne strani obstajajo, ki merijo ta odklon.

Se je subtilnim, čustvenim manipulacijam sploh mogoče upreti?

Morda ne povsem, lahko pa postanemo bolj odporni. Obstajajo različni načini, kako to dosežemo, vendar morda nek poljuden članek ni najboljši prostor, da vam o tem poglobljeno modrujem. Na kratko mislim, da ni vse izgubljeno, da nismo prepuščeni na milost in nemilost silam, ki jih ne obvladujemo. Je pa gotovo res, da taka odpornost zahteva tudi naš vložek. Ne pravim, da bi se vsi morali ukvarjati samo še z novimi odkritji v varnostnih vedah. Pravim pa, da naj bo to zavestna računica – manj ko vlagam, bolj mi je udobno in večjo možnost imam, da neko blaginjo izgubim. Nič ni narobe s tem, če se kot zasebnik odločim, da mi je vseeno in bom pač pogoltnil izgubo, ko in če bo do nje prišlo. Nima pa smisla potem jadikovati. Pravne osebe morda nimajo toliko manevrskega prostora. Njihovo neaktivnost plačajo vsi zaposleni v takem podjetju.

Upravljanje različnih gesel je že prava znanost. Kakšen nasvet?

Kar nekaj jih je. Na splošno in zelo na kratko bi rekel: naj bodo daljša od 12 znakov, ni treba, da so vsa unikatna, takrat, ko ne gre za kritične sisteme (e-commerce, banka, administratorski dostopi itd). Ni jih treba menjati vsak mesec – če je bilo geslo močno prejšnji mesec, je močno tudi ta. O tej temi bi se lahko razpisal, vendar bi raje videl, da ljudje pridejo na kako predavanje, na primer na FRI Akademijo (https://akademijafri.si/), kjer tudi jaz učim ravno te prvine v vsaj enem od izobraževanj, ki jih vodim.

Ob zadnjih pozivih k ponovni uvedbi naborniškega sistema je nekdo predlagal, da bi nabornike raje usposabljali v IT-visokotehnoloških digitalnih sferah, ker da bo naslednja vojna vsekakor kibernetska in ne več blatna.

Vsekakor je res, da je del vojskovanja prenesen na medmrežje. Poglejte samo zadnjih nekaj konfliktov, napad na Ukrajino, Iran, Cambridge Analytico, ameriške predsedniške volitve in še in še. Pri nas in v svetu vojska ve, da je kibernetska vojna vojna prihodnosti. Seveda ne potrebujemo vseh vojakov ekspertov v kiber vojskovanju, potrebujemo pa enoto, ki skrbi za kibernetsko varnost. In če se ne motim, jo tudi imamo. O njeni kvaliteti pa ne bi rad javno sodil.

Četudi bi se odpovedali družbenim omrežjem, smo vsi obsojeni na življenje v digitalnem svetu. Je varneje ostati del neprepoznavne množice?

Ne, to ni pravilna rešitev. V množici niste varni, prej imate veliko več možnosti, da postanete kolateralna škoda. Seveda obstajajo načini za izboljšanje varnosti. Noben od njih ni popoln, večina jih vključuje kompromis med varnostjo in udobjem. A kot sem omenil, nič ni izgubljeno. No ja, razen morda naše zasebnosti. To smo mogoče že izgubili.

