Socijalni inženjering je uobičajena metoda koju kibernetički kriminalci koriste za ciljanje ljudi. Nema ništa novo u ovom obliku manipulacije – ali pojava generativne umjetne inteligencije značajno je pogoršala situaciju.
Samo savjetovanje ljudima da paze na lošu gramatiku i loše logotipe malo pomaže u zaštiti od phishing. Danas napadači mogu uvjerljivo oponašati komunikacijski stil, glasove i lica pojedinaca iz osobnog ili profesionalnog kruga mete, uz minimalan napor.
Organizacije moraju hitno preispitati svoje obrambene strategije – odmaknuti se od tradicionalne obuke o sigurnosnoj svijesti i usmjeriti se na jačanje sposobnosti zaposlenika da prepoznaju i odupru se manipulaciji.
Nagađanje: što je stvarno, a što nije?
Uspon generativne umjetne inteligencije učinio je ciljane napade društvenog inženjeringa preciznijima, automatiziranijima i znatno težima za otkrivanje. Dobrodošli u eru duboke sumnje (kako je WIRED to napisao u naslovu) u kojoj je sve teže razlikovati što je stvarno od što je lažno.
Kibernetički kriminalci sada koriste DeepFake i glasove generirane umjetnom inteligencijom kako bi stvorili vrlo uvjerljive imitacije. Štoviše, generativna umjetna inteligencija može se koristiti za stvaranje lica koja se ne razlikuju od stvarnih – i, što je još gore, doživljavaju se kao uvjerljivija.
Zbog toga su uobičajene metode obmane mnogo učinkovitije i teže ih je otkriti: u Hong Kongu je zaposlenica prevarena da prebaci oko 20 milijuna funti prevarantima koji su se predstavljali kao viši dužnosnici njezine tvrtke putem lažnog video poziva.
Zašto tradicionalni trening zaposlenika nije dovoljan?
Konvencionalna obuka o podizanju svijesti obično se usredotočuje na poznate obrasce napada društvenim inženjeringom – posebno na tipične pokušaje krađe identiteta putem e-pošte. Od zaposlenika se često traži da slijede stroga pravila i da obraćaju veliku pozornost na detalje.
Čak i ako smo mi, kao zaposlenici, sposobni ispravno identificirati domenu URL-a, nemamo urođenu sposobnost ili fokus da uočimo svaku pojedinu tipografsku pogrešku – posebno kada je naš posao odgovoriti na 300 (vanjskih) poruka što je brže moguće svaki dan.
Istodobno, tradicionalni trening podizanja svijesti o kibernetičkoj sigurnosti temelji se na zastarjeloj pretpostavci da se ljudi uvijek mogu osloniti na svoje analitičke vještine i kritičko razmišljanje u odlučujućim trenucima.
Zapravo, mnoge odluke – posebno one brze koje vode do konkretnih svakodnevnih radnji – daleko su češće određene emocijama i intuitivnim razmišljanjem nego racionalnom analizom. Bihevioralna ekonomija, koju su oblikovali istraživači poput Daniela Kahnemana, Richarda Thalera i Cassa Sunsteina, istražuje upravo ovo područje napetosti između intuicije i intelekta. Do sada su pokušaji promjene ponašanja u kibernetičkoj sigurnosti uglavnom bili osmišljeni bez razmatranja ovog pristupa. U budućnosti bismo se trebali manje usredotočiti na podučavanje novih tehničkih metoda detekcije, a više na podizanje svijesti o – u biti netehničkoj – metodi napada u cjelini i kako se od nje možemo zaštititi.
Prepoznavanje tehnika napada i jačanje otpornosti na emocinalne okidače
Napadači namjerno iskorištavaju klasične principe uvjeravanja kako ih je opisao autor bestselera Robert Cialdini – poput autoriteta („Izvršni direktor želi da se ovo odmah plati!“), društvenog dokaza („Svi upravo sada ulažu u ovu kriptovalutu!“) i lajkanja („Svidjela mi se vaša prezentacija!“). Iako su ove tehnike uobičajene u marketingu i prodaji, one se također pojavljuju na forumima darkneta kao alati za usavršavanje taktika društvenog inženjeringa. Učenjem prepoznavanja ovih psiholoških strategija možemo postati svjesniji pokušaja manipulacije i bolje se zaštititi.
Učinkovita obrana igra ključnu ulogu. Jedna od ključnih strategija zaštite je osvještavanje vlastitih emocionalnih reakcija – posebno u situacijama visokog pritiska koje zahtijevaju brzu akciju. Trebali bismo biti posebno oprezni kada osjetimo da emocionalni pritisak raste. Korisne tehnike uključuju pauziranje, razmišljanje o situaciji („Kako se osjećam upravo sada? Je li ovo vjerodostojan zahtjev?“), traženje drugog mišljenja, traženje od nekoga da dvaput provjeri zahtjev i njegovu provjeru putem alternativnog komunikacijskog kanala.
U području kiberpsihologije, trenutna istraživanja istražuju koncept kibernetičke svjesnosti – sposobnost svjesnijeg usmjeravanja pažnje u digitalnim okruženjima. Ova praksa potiče promišljeno donošenje odluka umjesto impulzivnih reakcija i pomaže u izgradnji veće otpornosti na napade socijalnog inženjeringa.
Otpornost zaposlenika: što sad?
Razumijevanje manipulacije i obmane ne zahtijeva tehničku stručnost – ove taktike postoje otkad ljudi komuniciraju. Ali u doba generativne umjetne inteligencije, društveni inženjering postao je skalabilniji, uvjerljiviji i puno teži za otkrivanje. U organizacijama više nije dovoljno uočiti očite phishing e-poruke; moramo biti u stanju prepoznati i sofisticiranu manipulaciju u obliku realističnih glasova, lica ili poruka. Tradicionalna obuka o podizanju svijesti, koja se često usredotočuje na tehničke detalje i kruta pravila, više nije dovoljna. Umjesto toga, potrebno nam je dublje razumijevanje načina na koji napadi funkcioniraju – na psihološkoj ili ‘meta’ razini – i obuka u kibernetičkoj svjesnosti: učenje otkrivanja i prekidanja emocionalnih okidača prije nego što dovedu do impulzivnih radnji. Ovaj pristup već je u fokusu trenutnih istraživanja i obećava izgradnju otpornijeg ponašanja suočenog s modernim prijetnjama.
