Phishing napadi evoluiraju – evo kako da se odbranite
Tehnološki napredak omogućio je da se deepfake sadržaji — lažni audio, video i slike — lakše nego ikada kreiraju. Kao rezultat toga, 2024. godina je zabeležila porast phishing napada za gotovo 60%. Ovi napadi manipulišu našim percepcijama i sposobnošću da razlikujemo stvarnost od fikcije. Efikasni su zato što koriste načine na koje smo prirodno ranjivi. Da biste se zaštitili, potrebno je da naučite kako da preusmerite trenutne reakcije i misaone procese. To uključuje: 1) preusmeravanje pažnje kako biste se oduprli taktikama hitnosti, 2) regulisanje emocionalnih okidača usmerenih na saosećanje i 3) otpor automatskom poštovanju autoriteta.
Ranije ove godine, studentkinji jednog korejskog univerziteta svet se srušio kada je na njen telefon stigla poruka — seksualno eksplicitna slika nje same koju nikada nije snimila. Na slici je njeno lice bilo digitalno spojeno sa telom druge osobe.
Slike su bile deepfake — AI tehnologija trenirana na stvarnim fotografijama, video zapisima ili audio materijalima, osmišljena da obmanjuje i ponižava. Ali studentkinja nije sama u ovome. Danas se kriza deepfake sadržaja razvija u školama, na radnim mestima i u našim ličnim životima. Ova godina je zabeležila porast phishing napada za skoro 60%, delimično zbog AI deepfake-a. Još zabrinjavajuće je to što ovi napadi manipulišu našim percepcijama i sposobnošću da razlikujemo stvarnost od fikcije.
Ovaj porast deepfake i audio phishing napada može se povezati sa sve većom dostupnošću alata poput D-ID i ElevenLabs, koji olakšavaju kloniranje identiteta. U samo osam minuta, svako može kreirati uverljiv deepfake video. Kada je manipulacija postala tako jednostavna, ključni izazov leži u proveri autentičnosti. Da bismo razumeli zašto ove prevare obmanjuju sve — od rukovodilaca na najvišem nivou do zaposlenih na prvoj liniji — treba da se osvrnemo na principe ubeđivanja psihologa Roberta Cialdinija. Principi poput autoriteta, društvenog dokaza i hitnosti često se koriste u ovim prevarama, podstičući automatsko razmišljanje čak i kod najopreznijih među nama. Nije ni čudo što ljudska greška pokreće većinu sajber incidenata. Ove taktike iskorišćavaju naše kognitivne pristrasnosti, oslanjajući se na slepe tačke koje se javljaju zbog brzih, emocionalno vođenih odluka.
Kako provera digitalnog sadržaja postaje sve složenija, instinktivno se oslanjamo na tehnologiju za pomoć. Brojni „AI detektori” daju smela obećanja, ali s alatima koji mogu ukloniti AI vodene žigove sa slika i srednjoškolskim nastavnicima koji se bore da otkriju domaće zadatke generisane veštačkom inteligencijom, efektivna rešenja su retka. Automatska detekcija ostaje nedosledna i nepristupačna. Nije iznenađujuće da prevaranti koriste ovu prazninu.
Dok zaštitna tehnologija ne sustigne izazove, pojedinci su prepušteni sami sebi da donose odluke u realnom vremenu pod pritiskom, bez pouzdanih sigurnosnih mreža. Međutim, svest o našim kognitivnim pristrasnostima može značajno poboljšati tačnost donošenja odluka, posebno pod stresom. Razumevanjem i predviđanjem naših kognitivnih ranjivosti, možemo se opremiti za prepoznavanje i reagovanje na taktike manipulacije.
Kako zaobići manipulacije mozga
Nije stvar u ljudskoj grešci; naši umovi, programirani za efikasnost, bivaju manipulirani na načine na koje smo prirodno ranjivi. Počnimo sa tri kognitivne pristrasnosti koje utiču na sve nas — bilo u svakodnevnim ličnim izborima ili u donošenju važnih poslovnih odluka.
Razmotrite slučaj čoveka iz Čikaga koji je izgubio 50.000 dolara nakon što je pao na lažni email upozorenje koje se činilo kao da dolazi od PayPal-a, a u kojem je stajalo da će njegov račun biti kompromitovan zbog sumnjivih transakcija. U žurbi, bio je pozvan da klikne na priloženi link i ponovo unese podatke o bankovnom računu. U tom trenutku, postao je žrtva kognitivnog tunela: fokusiran samo na hitan zadatak, bio je zaslepljen nekim drugim pokazateljima prevare poput sumnjivog URL-a i email adrese pošiljaoca.
Ili, zamislite 72-godišnjeg muškarca iz Kerale, Indija, koji je primio video poziv od starog kolege, tražeći finansijsku pomoć za hitnu medicinsku pomoć. Obuzet brigom, prebacio je novac ne shvatajući da su emotivni vapaji zapravo delo prevaranta. Incident ilustruje još jednu čestu pristrasnost: afektivne heuristike, gde naše emocije nadjačavaju naše prosuđivanje.
Na kraju, uzmite primer radnika u finansijama koji je prisustvovao video pozivu s više viših rukovodilaca multinacionalne kompanije. Od njega je zatraženo da odmah prenese 25 miliona dolara. Njegovo poverenje u percipirane autoritete navelo ga je da pošalje novac — zanemarujući nedoslednosti koje je primetio. Ovo je jasan primer pristrasnosti prema autoritetu, gde instinktivno verujemo i pridajemo preteranu težinu rečima onih na pozicijama moći.
Preusmeravanje misaonih procesa
Izvršni direktori i lideri oduvek su bili primarne mete phishing prevara, ali deepfake sadržaji dodatno pojačavaju ove pretnje. Uz digitalne medije koji čine slike i video zapise lako dostupnima, kreiranje uverljivih napada nikada nije bilo jednostavnije. Dok sistemske odbrane protiv phishinga — od više faktora autentifikacije i AI detekcije do gamifikovane obuke i sajber osiguranja — nude vrednu zaštitu, one nisu dovoljne. U nastavku, nudimo praktične korake za trenutnu, ličnu budnost i detekciju — esencijalne elemente za negovanje otpornosti na sajber pretnje.
Preusmerite pažnju da biste se oduprli taktikama hitnosti
Phishing prevare se oslanjaju na hitnost ili strah kako bi nas omeli u proceni situacije. Istraživanja pokazuju da namerno preusmeravanje fokusa ka neutralnim signalima pomaže u upravljanju pristrasnostima pažnje. Uzmite primer višeg menadžera u kompaniji za sajber bezbednost kojeg je prevarant targetirao predstavljajući se kao njegov izvršni direktor putem uverljive WhatsApp poruke i audio snimka, pritiskajući ga za hitnu akciju u vezi sa poslovnim dogovorom.
Umesto da padne na trik, fokusirao se na znake koji nisu imali smisla — razgovor o osetljivim informacijama na neformalnoj aplikaciji i odbijanje dodatnog poziva. Umesto da se povinuje, zastao je, konsultovao mentalnu kontrolnu listu i prijavio incident IT timu. Razvijanje navike da se zastane, čak i na devet sekundi (minut ili dva je još bolje), može napraviti značajnu razliku. Ova pauza omogućava vreme za konsultaciju sa pripremljenom listom neutralnih koraka za verifikaciju: proverite detalje pošiljaoca, pređite mišem preko priloženih linkova ili napravite pauzu za šetnju kako biste se smirili. Ova akcijski orijentisana pauza pomaže da se povrati fokus na činjenice i upravlja kognitivnim preopterećenjem.
Regulišite emocionalne okidače usmerene na saosećanje
Napadi socijalnog inženjeringa prvenstveno ciljaju naše emocije. Ali kada naš odgovor odgovara intenzitetu njihove manipulacije, naše razmišljanje postaje reaktivno i ukočeno. Efikasnija strategija je afektivno označavanje — svesno imenovanje svojih emocija kako bismo ih videli kao prolazne podatke. Ova praksa pomaže da se prepozna šta je na kocki dok omogućava racionalniji odgovor.
Uzmimo primer Alana i Alicije, koji su primili zastrašujući poziv tvrdeći da su Alanovi roditelji oteti. U početku panični, Alan je odvojio trenutak da prizna njihov strah. Shvatio je da panika neće spasiti njegove roditelje i odlučio se za logičnu strategiju. Koristio je drugi telefon da ih direktno pozove i potvrdio da su bezbedni. Pauza kako bi označio svoje emocije pomogla mu je da povrati emocionalnu kontrolu i razmotri dugoročne posledice, a ne kratkoročne koristi. Time prelazimo sa automatskih odgovora na promišljenije, svesne reakcije.
Oduprite se automatskom poštovanju autoriteta
U većini incidenata, polovina bitke se gubi zbog našeg inherentnog poverenja u autoritet. Dobra praksa je koristiti zajedničko znanje kao alat za verifikaciju. Kada je jedan izvršni direktor Ferrarija primio poziv od generalnog direktora Benedetta Vignaa sa nepoznatog broja, isprva nije posumnjao. Ali kako je razgovor postao poverljiv, postao je sumnjičav. Umesto da veruje autoritetu pozivaoca, postavio je lično pitanje na koje je samo pravi direktor mogao odgovoriti. Pozivalac je ućutao i prekinuo vezu.
Još jedna strategija je aktivno traženje informacija koje izazivaju naše pretpostavke. Uključivanje u kolektivno donošenje odluka može pomoći da se odloži slepa vera u autoritet. Posavetujte se s kredibilnim izvorima pre nego što postupite po hitnim zahtevima. Većina prevara podrazumeva neobične zahteve. Jednostavno pitanje: „Zašto ovo deluje drugačije?” može pokrenuti našu svest i podstaći nas da proverimo kod pouzdanih izvora. Ova taktika provere kredibiliteta — pozivanjem preko pouzdanih ili verifikovanih kanala — drži dezinformacije pod kontrolom, smanjuje anksioznost, dvosmislenost i omogućava dodatna pitanja.
Uspostavljanje transparentnih komunikacionih kanala unutar organizacije omogućava zaposlenima da dovedu u pitanje sumnjive instrukcije ili izraze zabrinutost bez straha od odmazde. Kultura na radnom mestu koja podstiče postavljanje pitanja, verifikaciju i zajedničko rešavanje problema gradi otpornost.
Kognitivne pristrasnosti su suštinske za naše svakodnevno donošenje odluka i ne mogu se eliminisati. Ali moguće je upravljati njima. Vremenom, kognitivna otpornost, podržana podsticajnim radnim mestom i tehnologijom, može ojačati organizacije od temelja.
Kako se bliži kraj godine, to je savršena prilika za organizacije da preispitaju i unaprede svoje strategije sajber bezbednosti kako bi bolje zaštitile sebe i svoje zaposlene. Ali nikada nije loš trenutak za ponovno pokretanje razgovora o ulozi koju svako od nas ima u obezbeđivanju svoje bezbednosti. Većina napada često koristi jednostavnu strategiju ljudske eksploatacije. Prava kultura sajber bezbednosti počinje zaštitom ljudskog uma, čak i pre nego što pređe na sisteme oko nas. Da bismo izgradili otpornu bezbednosnu svest, prvo moramo savladati način na koji smo programirani.
