»Glede na inteligentni sistem video nadzora ste kršili ustrezne določbe Zakona o varnosti cestnega prometa. Vaše vozilo je bilo posneto pri kršitvi prometnih predpisov na določenem območju. Prosimo, da se prijavite na uradno spletno stran, da plačate kazen, pred 23.59 dne 16. maja!« Tako se je glasil del sporočila, ki ga je maja letos na svoj mobilnik prejelo več Slovenk in Slovencev. Na koncu sporočila so sledili še napotki do lažne spletne strani in kako odgovoriti na sporočilo.
Slovenska policija je tedaj sporočila, da kršiteljev cestnoprometnih predpisov nikoli ne obvešča prek SMS-sporočil. Vsi skupaj pa smo bili zopet deležni standardnih nasvetov, naj bomo previdni, naj ne nasedamo lažnim sporočilom in ne odpiramo sumljivih povezav.
Vsekakor koristni nasveti, čeprav jim je vse težje slediti. Prevaranti so postali presneto spretni. V zadnjih letih pa je zaradi umetne inteligence klecnila tudi tradicionalna slovenska naravna obramba v obliki zapletene in malo poznane slovenščine. Vse bolj se zato človek sprašuje, ali smo v tem res sami. Ali je vse izključno na nas? Ali ne obstaja še kdo, ki bi lahko ukrepal in nam pomagal zaščititi se pred očitnimi prevarami? Vsaj v primeru SMS-sporočil se zdi, da obstaja nekdo, ki bi nam lahko pomagal – ponudnik mobilnih storitev.
Ne berejo vsebine sporočil
Pri Telekomu Slovenije so nam povedali, da je odkrivanje sumljivih pošiljateljev sporočil ena najzahtevnejših nalog v telekomunikacijah. Zlasti zato, ker nihče noče, da mu operater hkrati blokira sporočila, ki jih želi prejeti. Prav tako nihče ne bi bil navdušen, če bi mu operater bral vsebino sporočil. Ta namreč ostaja strogo zasebna, zagotavljajo pri Telekomu. Zato se morajo pri lovu na prevarante in filtriranju spornih sporočil varnostni sistemi zanašati na druge kazalnike, ki obsegajo tehnične vzorce in metapodatke. Med drugim ugled in verodostojnost identitete pošiljatelja. To preučujejo na podlagi zgodovine in preteklih prijav zlorab ter tega, ali je sporočilo poslano neposredno ali prek posrednikov.
Preučujejo tudi vzorce prometa. Pozorni so na nenavadne skoke v količini sporočil ali na neobičajen čas pošiljanja le-teh. Če gre za elektronsko pošto, so pozorni še na lastnosti domene pošiljatelja sporočila. Med drugim, ali je zapis domene nenavaden, kako stara je domena, pozorni pa so še na omrežne indikatorje.
»Težava nastane, ko je na primer nujno obvestilo bolnišnice po teh parametrih videti podobno kot lažno sporočilo,« so pojasnili pri Telekomu. »Sistemi, ki temeljijo na umetni inteligenci, so v laboratorijskih okoljih izjemno natančni, a pri milijardah sporočil v realnem svetu lahko še vedno pride do napačnih blokad. Zato se v Telekomu Slovenije ne zanašamo le na avtomatiko, temveč dogajanje aktivno in proaktivno spremljamo s pomočjo naprednih orodij za zbiranje podatkov o kibernetskih grožnjah (CTI – cyber threat intelligence).«
Avtomatske sisteme tudi redno prilagajajo s strokovnim nadzorom, za kar imajo zaposleno posebno ekipo, ter informacijami, ki jih prejmejo od uporabnikov. Prav sporočila uporabnikov jim pogosto pomagajo pri identifikaciji zlonamernih pošiljateljev.
»Pri težavah z dostavo legitimnih sporočil tudi sami pošiljatelji sporočil pogosto uporabljajo rešitve, ki pošiljajo sporočila po nepreverjenih ali neustreznih povezavah, iz tujine ali celo prek sumljivih ponudnikov, ki so pogosto uporabljeni za pošiljanje zlonamernih sporočil,« še pojasnjujejo.
Natančnih javnih podatkov o številu blokiranih sporočil na nacionalni ravni ni, posredni podatki pa jasno kažejo, da gre za zelo razsežen problem.
Dela je izjemno veliko
Če sporočila ni mogoče vnaprej blokirati, pa bi lahko vsaj blokirali dostop do zlonamerne spletne strani. Takšno je vsaj običajno prepričanje. A na tej točki operaterji naletijo na novo prepreko – načelo nevtralnosti interneta. To zahteva, da morajo ponudniki internetnih storitev vse podatke na spletu obravnavati povsem enako. To pomeni, da ne smejo blokirati ali upočasnjevati določenih spletnih strani in aplikacij, prav tako pa ne smejo zaračunavati več za hitrejši dostop do izbranih vsebin ali dajati popustov za dostop do drugih. Načelo je ključnega pomena za delovanje prostega in odprtega interneta, kjer imajo vsi uporabniki in ustvarjalci enake pogoje, ne glede na svojo velikost ali finančno moč. Nepridipravi pa to načelo izkoriščajo v svoj prid.
»SI-CERT je leta 2025 obravnaval skoraj 2000 primerov lažnega predstavljanja (phishinga) in na seznam zlonamernih domen uvrstil več kot 1100 zlonamernih domen,« pojasnjujejo pri Telekomu. »V intenzivnih obdobjih, kot je bila majska kampanja, so napadalci dnevno registrirali in uporabili na desetine novih spletnih naslovov. To kaže na izjemno hitrost prilagajanja napadalcev.«
Zakon medtem dopušča le ozko omejene izjeme (npr. na podlagi odločbe sodišča), med katere pa to, da je operater ali SI-CERT domeno prepoznal kot zlonamerno, ne spada, so še pojasnili pri Telekomu. Telekom Slovenije zato uporabnikom dostopa do domen ne blokira, ker jih na lastno pest ne sme. Smejo pa posameznikom kot tudi poslovnim strankam ponujati varnostne rešitve, npr. Varen splet, ki vključujejo tudi blokade zlonamernih domen, če se za takšno rešitev odloči uporabnik sam.
Nepridipravi hitro menjavajo domene
Ko je blokada možna, običajno steče zelo hitro po odkritju oziroma prijavi. Glavni izziv pa ni samo hitrost odziva, temveč ogromen obseg zlonamernih domen. »Med večjimi napadi se nove domene generirajo neprekinjeno ves dan,« opozarjajo.
Pri nas se sicer večinoma srečujemo z dobro organiziranimi mednarodnimi kriminalnimi združbami, ki delujejo po modelu »kibernetski kriminal kot storitev«. To pomeni, da sami niti niso strokovnjaki za vdiranje, temveč te zmogljivosti najamejo na črnem trgu oziroma temnem spletu. »Slovenija običajno ni specifična tarča, ampak le ena izmed mnogih držav v obsežnih, avtomatiziranih kampanjah,« pojasnjujejo pri Telekomu. »Med majsko kampanjo je bila denimo koordinirano napadena vrsta držav hkrati. Napadalci uporabljajo platforme, ki samodejno generirajo sporočila v desetinah jezikov, glede na lokacijo tarče in omrežno predpono številke.«
Seveda pa obstajajo tudi izjeme v obliki naprednejših, ciljanih napadov na podjetja z uporabo lokalnih posrednikov ali klicev v tekoči slovenščini. Vendar so ti primeri redkejši.
Do številk uporabnikov pridejo na več načinov. Najdejo jih lahko v bazah strank, ukradenih ob vdorih v spletne trgovine ali podjetja. Te baze se prodajajo na temnem spletu. Številke najdejo tudi na družbenih omrežjih ali v spletnih oglasih. Lahko gre tudi za pomoč avtomatskega preizkušanja kombinacij glede na znane slovenske omrežne predpone. »Sistemi preverjajo, katere številke so aktivne. Zato se uporabnikom svetuje previdnost pri odgovarjanju na neznane klice iz tujine, saj s tem napadalcem potrdijo, da je številka v uporabi,« so opozorili pri Telekomu. Če zlonamerna aplikacija okuži telefon, pa pogosto napadalcem tudi izvozi celoten imenik stikov, ti pa postanejo nove tarče. Pri množičnih napadih se uporablja kombinacija teh metod.
Selitev na platforme
Varnostni strokovnjaki medtem opažajo tudi trend selitve napadov na spletne platforme za neposredno sporočanje.
»Razlogov je več: pošiljatelji legitimnih sporočil čedalje pogosteje uporabljajo aplikacije za hipno sporočanje, mehanizmi za prepoznavo in omejevanje zlorab pri klasičnih SMS-sporočilih se stalno izboljšujejo. Na drugi strani pa storitve, ki uporabljajo šifriranje, operaterjem onemogočajo vpogled v promet,« pojasnjujejo. »Napadalci to dejstvo s pridom izkoriščajo. Sporočila v modernih aplikacijah vizualno pogosto delujejo zelo legitimno in vzbujajo lažni občutek varnosti, saj ne vsebujejo tipičnih opozoril. V Telekomu Slovenije spremljamo te globalne trende in opažamo znatno povečanje tovrstnih napadov. Situacijo dodatno poslabšuje še uporaba umetne inteligence pri napadalcih, ki sporočila še bolj natančno personalizira in briše mejo med legitimno in zlonamerno komunikacijo.«
