"Često nismo niti svjesni na koje sve načine hakeri pokušavaju doći do naših podataka", rekao je tportalu konzultant za informacijsku sigurnost na području strateškog razvoja i upravljanja informacijskom sigurnošću te socijalnog inženjeringa u tvrtki Diverto Alen Delić. 

Neki od tih načina su dobro poznati. No, Delić smatra kako se prije svega treba pitati tko i kakav je napadač i koji su mu ciljevi. 

"Nije isto kad govorimo o kriminalnim skupinama s puno znanja i resursa koji rade masovne napade naspram ljubomornog pojedinca koji želi svojem partneru ili partnerici čitati poruke na Facebooku. 

S druge strane, potencijalna šteta od kompromitacije zasigurno nije ista kad biste objavili moje privatne mailove na tportalu ili, recimo, čelnika neke stranke na vlasti. Moji bi vjerojatno imali malu čitanost, a ovi drugi bi možda mogli dovesti do promjene Vlade", kaže Delić.

Do podataka na sve moguće načine

Treba imati na umu kako hakeri do privatnih podataka pokušavaju doći na sve raspoložive načine. Različiti napadači koriste različite metode, a mnogi su mehanizmi automatizirani. 

Tako često nastoje kompromitirati samo računalo umetanjem određenog zlonamjernog programa, koriste vaše lozinke koje znaju kako bi se ulogirali na druge servise, posežu za raznim oblicima socijalnog inženjeringa...

"Hakiranje internetskih servisa kao što su Gmail ili Facebook, koji su sami po sebi vrlo sigurni, obično odvija nekim trećim kanalom", ističe Leon Juranić iz tvrtke Defense Code. 

Recimo, korisnika se uz pomoć phishing napada "nagovori" da sam otkrije lozinku. Ili mu zaraze računalo pa ukradu korisničko ime i lozinku dok pristupa Gmailu ili Facebooku. 

Česti su i slučajevi da korisnik koristi istu lozinku na više različitih servisa. Kad hakeri uspiju upasti u jedan, zahvaljujući neopreznosti korisnika dobiju pristup i drugim servisima na kojima su često osjetljivi i povjerljivi podaci.

Što hakere zanima, što hakeri traže?

Hakerima su danas uglavnom zanimljivi financijski podaci, odnosno mogućnost ostvarivanja materijalne koristi. "Tražit će brojeve vaših kreditnih kartica, pristup bankovnim računima i slično jer ih mogu direktno zloupotrijebiti", kaže Juranić. 

Kriminalne skupine najčešće žele doći do masovnih količina podataka, ponajprije osobnih koje će tražiti u poslovnim sustavima. Veće količine takvih podataka postižu i bolju cijenu na crnom tržištu, koja se broji u milijunima.

Tražit će i podatke i strateške informacije vrijedne u poslovnom svijetu, podatke o pojedincu koji mogu poslužiti za daljnje prijetnje (recimo, zdravstveni podaci, ispisi telefonskih poziva, ljubavne afere i slično), korisničke podatke za određene osjetljive sustave (poput, primjerice, e-bankarstva), ali podatke koji sami po sebi nemaju vrijednost već ih koriste za daljnje napade i kompromitacije sustava. 

"Upravo su ti podaci lako dostupni. Korisnici ih ne dijele svjesno i mogu dovesti do većih šteta", upozorava Delić. 

Osjetljivi podaci koje dijelite, a da toga niste ni svjesni

Na primjer, informacije koje dijelite na društvenim mrežama - gdje se krećete, koje preferencije ima prema određenim osobama ili proizvodima, na koji način komunicirate i slično - mogu biti podloga za kreiranje scenarija za napad socijalnim inženjeringom. 

Takve je informacije, nastavlja Delić, moguće  iskoristiti za kreiranje kvalitetne elektroničke pošte koja će sadržavati zlonamjerne programe koje ćete, ako ste neoprezni, pokrenuti na svom računalu. 

Uspiju li ubaciti zlonamjerni softver u vaše računalo mogu ga preuzeti i koristiti za nove napade. "U privatnom svijetu, na primjer, za kreiranje bankarske transakcije u korist napadača, a u poslovnom za zaustavljanje industrijskog pogona", navodi Delić.

Preuzmu li vaša računala, mogu ih "udružiti" u tzv. botnetove za napade na druga računala i poslužitelje, koje opet mogu nekome "iznajmiti" za napade te tako steći materijalnu korist, naglašava Juranić dodajući kako će u nekim slučajevima iskoristiti vaše računalo kao procesorsku snagu za izradu kriptovaluta i tome slično.

Postoje i primjeri o kojima se nerado govori jer se šteta ne mjeri financijskim parametrima. Napadač možda ne traži niti vaše zdravstvene podatke ni bankarske račune, već samo želi kontinurano imati pristup fotografijama vašeg djeteta, a kad dijete malo odraste i podacima gdje se ono kreće, što voli i slično.

"Na žalost, ovo nisu primjeri iz serija i filmova, već iz okruženja u kojima se svi svakodnevno krećemo", naglašava Delić.

Koje podatke i informacije nikako ne smijete dijeliti?

Masovno dijeljenje osobnih podataka, podataka o kretanjima, kao što je to nesvjesno i nekontrolirano dijeljenje putem aplikacija na mobitelima, svakako nije dobro, smatra Delić.

Svoja korisnička imena i lozinke ne bi nikako smjeli dijeliti trećim stranama ili web stranicama sumnjivog porijekla, izgleda i domene. Čak i naizgled bezazleni podaci, poput e-mail adrese, mogu biti prodani spamerima na crnom tržištu.

Ponekad i podaci kao što su datum rođenja, najdraža boja, ime djeteta i slično mogu biti iskorišteni za hakiranje vašeg korisničkog računa na nekom servisu ako su to odgovori na pitanja u slučaju da ste zaboravili lozinku, dodaje Juranić.

Treba na najmanju moguću mjeru smanjiti dijeljenje osobnih podataka, uključujući podatke o bližoj okolini, brojeva telefona, informacija o bankarskim računima i karticama.

Nikad, ali nikad nemojte dijeliti osobne pristupne korisničke podatke i fotografije bankarskih kartica.

"Često ljudi razmišljaju kako nemaju novaca, pa im hakeri ne mogu ništa uzeti. Mogu, najdražu računalnu igru, fotografije s ljetovanja, identitet. Svatko od nas ima različite vrijednosti", zaključuje Delić.