Imagjinoni sikur jeni një peshk dhe dikush mundohet t’ju kapë me grep – pikërisht kjo është origjina e termit “sulm fishing”, shpjegon kështu inxhinieri i sigurisë kompjuterike Bozhidar Spirovski në një bisedë me Meta.mk për sulmet fishing. Roli kryesor i sulmuesit është t’ju “kapë” në grepin metaforik që ai e hedh. Sulmi fishing është vetëm hapi i parë drejt një qëllimi të cilin dëshiron ta arrijë sulmuesi.
Çfarë është një sulm fishing?
Në definicionin të cilin e ka publikuar Fondacioni “Metamorfozis” në një nga publikimet e veta thuhet se “Fishing” është një formë mashtrimi që përfshin një sërë aktivitetesh të përdoruesve të paautorizuar përmes përdorimit të mesazheve të rreme nga e-maili dhe ueb-faqeve të rreme të një pjese më të madhe të organizatave financiare, duke tentuar të marrin informacione personale konfidenciale nga përdoruesit si numri i vetëm amë i qytetarit – NVAQ, emri i përdoruesit, numrat e PIN-it dhe të dhëna të ngjashme.
Bozhidar Spirovski shpjegon se e-mail-i është mënyra më e vjetër dhe më e thjeshtë për të përcjellë një mesazh të caktuar deri tek personat e targetuar, por edhe se sot sulmuesit i parapëlqejnë kanalet e komunikimit të drejtpërdrejtë, pra dërgimin e mesazheve SMS, si dhe mesazhet në WhatsApp ose Viber, sepse pikërisht në këtë mënyrë mbrojtja e drejtpërdrejtë e qytetarëve është më e vogël.
“Kur dy ose më shumë përdorues e shënojnë atë si spam, si fishing, sistemet e serverëve fillojnë të mësojnë dhe i fshijnë mesazhet e tjera. Papritmas, sistemi fillon ta mbrojë përdoruesin. Ngjashëm ndodh edhe në rrjetet sociale, nëse dhjetë persona e raportojnë apo e bllokojnë si sulmues”, shpjegon Bozhidar Spirovski për mundësinë e mbrojtjes nga sulmet fishing në e-mail apo në rrjetet sociale.
“Tek mesazhet SMS, Viber dhe WhatsApp nuk keni mundësi të tilla, biseda është direkte dhe çdo mesazh është individual. Edhe sikur një person të reagojë individualisht, kjo nuk do ta bëjë sistemin më të mençur që t’ju mbrojë. Prandaj sulmuesit i duan më shumë këto mesazhe”, shton Bozhidari lidhur me rrezikun për t’u bërë target i një sulmi fishing përmes kanaleve të komunikimit të drejtpërdrejtë.
Sipas publikimit të publikuar nga Fondacioni “Metamorfozis” format më të shpeshta të sulmeve fishing janë alarmet e rreme nga ndonjë bankë ose ndonjë organizatë tjetër financiare që kërkon nga përdoruesi që të japë të dhëna personale për ta parandaluar mbylljen e llogarisë, ueb faqe mashtruese që e bindin përdoruesin të paguajë një shumë të caktuar parash për të blerë një produkt me ç’rast ai bën një pagesë në një llogari të rreme, mesazhet e rreme nga një administrator që kërkon të dhëna nga përdoruesi, si për shembull një fjalëkalim, ose njoftime të ndryshme në të cilat mashtruesit përpiqen të zhvatin para për një bamirësi të rreme.
Mesazhet e dyshimta për mbretër nigerianë që ju ofrojnë një milion dollarë, ose individë të pashëm që duan të njoftohen me ju nëse klikoni në një lidhje dhe një sërë mesazhesh të ngjashme fishing janë vetëm disa nga mundësitë e shumta që ne të kapemi nga grepi i sulmuesit.
“Vetë mesazhi është konstruktuar që të shkaktojë një lloj emocioni tek ju – diçka që është shumë e mirë, diçka shumë urgjente, diçka që është shumë e keqe, diçka shumë e rëndësishme”, shpjegon Bozhidar Spirovski, duke shtuar se sulmuesit kanë për qëllim që mesazhi të shkaktojë një reagim impulsiv që të bëjmë diçka shpejt dhe pa u menduar.
“Një mesazh që tek ju shkakton një reagim impulsiv në të shumtën e rasteve është një mesazh fishing. Ndaloni, mendoni pak, pini pak ujë ose kafe, lexojeni atë edhe një herë dhe mendoni nëse doni të përgjigjeni”, rekomandon Bozhidar Spirovski, që të mos na “mbërthejnë” sulmuesit.
Sa i përket të rinjve në vendin tonë Federata Ndërkombëtare për Sistemet Zgjedhore (IFES) publikoi një hulumtim me temë “Të rinjtë dhe privatësia digjitale në Maqedoninë e Veriut”, i cili u realizua këtë pranverë përmes një anketimi të një kampioni përfaqësues kombëtar dhe fokus grupeve me të rinj në moshë nga14 deri në 24 vjeç.
Interesante është përgjigja e të rinjve në pyetjen “A keni qenë ndonjëherë shënjestër e një mashtrimi të caktuar, sulmi haker, dhe a janë ndarë/përdorur të dhënat tuaja pa pëlqimin apo dijeninë tuaj, apo keni përjetuar ndonjë sulm tjetër online?” Kështu, 90 përqind e të rinjve të anketuar janë përgjigjur se nuk kanë qenë kurrë viktimë e ndonjë mashtrimi online, 7 përqind se kanë qenë viktimë një herë, ndërsa 3 përqind kanë thënë se kanë qenë subjekt i një mashtrimi të tillë disa herë.
Pastaj, 87 përqind e të rinjve janë përgjigjur se nuk kanë qenë kurrë viktimë e një sulmi të hakerëve, ndërsa 89 përqind e tyre kanë thënë se të dhënat e tyre personale nuk janë shpërndarë asnjëherë pa pëlqimin e tyre. Në të njëjtën kohë, rreth 94 përqind e të rinjve janë përgjigjur negativisht në pyetjen nëse kanë ndjekur ndonjëherë trajnime për ndonjë temë për mbrojtjen e të dhënave personale, përfshirë këtu edhe trajnime për siguri kibernetike.
Eksperti Bozhidar Spirovski u bën thirrje të gjitha kategorive të qytetarëve pa dallim të moshës që të jenë të vetëdijshëm se secili nga ne mund të bëhet viktimë e një sulmi fishing, pa dallim se çfarë shkathtësish teknike apo personale zotëron, sepse sa më shumë vetëbesim të kemi, aq më lehtë do të bëhemi cak i sulmuesve.
“Jini edhe pak mosbesues ndaj aftësive tuaja, kjo ju ngjall një nivel të shëndoshë paranoje ndaj mesazheve të tilla”, këshillon Spirovski.
Sipas tij ajo që është më e rëndësishme janë tre rregullat të cilave duhet t’u kushtojmë vëmendje për të dalluar një mesazh fishing.
Rregulli i parë, kur pranojmë një mesazh të caktuar në e-mail, WhatsApp, Viber ose me SMS, duhet ta pyesim veten “A duhet ta pranoj unë këtë mesazh?”.
“Të gjitha sulmet fishing janë mesazhe të papritura. Ju nuk prisni asnjë nga ato,” shpjegon Spirovski, dhe shton se përjashtim është “spear fishing” ose fishing-u i targetuar ku sulmuesi targeton një person të caktuar për të cilin paraprakisht ka mbledhur të dhëna, pas çka ai ndërton një mesazh fishing në një kontekst të cilin ne do ta njohim personalisht dhe kështu rrit mundësinë që ne ta klikojmë atë.”
Rregulli i dytë është konteksti dhe gjuha e mesazhit fishing. Spirovski paralajmëron se ky rregull në të kaluarën ka mundësuar mbrojtje, por se sot me inteligjencën artificiale është e lehtë të ndërtohen konstruksione gjuhësore dhe gramatikore të sakta të fjalive për mesazhe fishing në cilën do gjuhë.
“Megjithatë ka mundësi të identifikohen disa nga këto mesazhe, thjesht sepse dikush ka qenë aq dembel sa ka ricikluar ndonjë mesazh të tyre të vjetër, i cili nuk ka cilësi të mjaftueshme të gjuhës të cilën e flet pranuesi”, shpjegon Bozhidar Spirovski.
Rregulli i tretë për njohjen e një mesazhi fishing është përgjithësia e mesazhit të dërguar. Bozhidari shpjegon se sulmet fishing shumë rrallë bëhen përmes mesazheve që janë të drejtpërdrejta, pra që përfaqësojnë një adresim personal dhe individual drejt viktimës, me përjashtim të “Spear Fishing”.
Mesazhet fishing në të shumtën e rasteve kanë një lloj adresimi i përgjithshëm dhe fillojnë me fjalët “I dashur”, “I nderuar” ose çfarëdo përshëndetje tjetër, në të cilën nuk përmendet një emër konkret ose konteksti përgjithësohet në mesazh.
Eksperti i sigurisë kompjuterike shton se brenda një viti në mbarë botën dërgohen dhjetëra miliona mesazhe fishing, ndërsa edhe sikur vetëm 5 përqind e tyre jenë të suksesshme, gjegjësisht viktima të bie në kurth duke e klikuar mesazhin e dërguar, kjo gjë do të ishte jashtëzakonisht fitimprurëse për sulmuesit. Mjafton që një individ që punon në një organizatë që menaxhon një sasi të madhe të dhënash të jetë viktimë e një sulmi fishing që hakeri të mund të vjedhë një fjalëkalim të rëndësishëm të organizatës, të instalojë një virus ose të vjedhë të dhënat personale të një numri të madh të përdoruesve.
“Pastaj papritur me vetëm një sulm fishing ekspozohen miliona përdorues. Numri i viktimave rritet në mënyrë eksponenciale në raport me numrin e sulmeve”, paralajmëron Bozhidar Spirovski.
Nëpërmjet platformës online Beyond Machines ai për çdo javë publikon të dhëna për sulme kibenetike ndaj institucioneve, përfshirë këtu edhe sulmet fishing.
“Zakonisht ka tre industri të mëdha që preken në mënyrë disproporcionale nga këto lloj sulmesh dhe në përgjithësi nga të gjitha sulmet kibernetike që prekin numër shumë të madh të përdoruesve. Ato janë: shëndetësia, arsimi dhe institucionet shtetërore”, shton Spirovski, dhe sqaron se përmes sulmeve fishing nga këto organizata mund të nxirren sete të mëdha të të dhënave personale të qytetarëve.
Në këtë mënyrë viktima të sulmit fishing mund të jenë qytetarë të të gjitha kategorive dhe moshave dhe atë në mënyrë indirekte përmes rrjedhjes së të dhënave nga subjektet shëndetësore, nga institucionet arsimore apo nga institucionet shtetërore.
“Disa nga ne do të thonë: “E pse do të më sulmonin mua? “Unë nuk jam i rëndësishëm, nuk do të bëjnë shumë para nga unë.” Kjo është absolutisht e saktë. Por nga ana tjetër, kur dikush vjedh një kamion me vezë, asnjë vezë individuale nuk ka shumë rëndësi, por kamioni me vezë ia vlen të vidhet dhe të shitet. Dikush vjedh një kamion me të dhëna dhe e shet atë, ndërsa ne jemi vetëm një pjesë e vogël në atë kamion me të dhëna. Dikujt i vlejmë disa cent apo disa dollarë, por kur e shumëzojmë këtë me dhjetëra milionë të dhëna të tilla të vjedhura, atëherë kemi një fitim të majmë”, thekson Bozhidar Spirovski.
