Napadi na privatnost

Prirodoslovno-matematički fakultet u Splitu (PMFST)

Jere Papić
Informatika, Uvod u računarstvo
22. listopada 2023
Sadržaj
Uvod............................................................................................................................................................2
Predgovor................................................................................................................................................2
Povijest napada na privatnost..................................................................................................................3
Vrste napada na privatnost..........................................................................................................................4
Socijalni inžinjering..................................................................................................................................4
Unutrašnje prijetnje.................................................................................................................................4
Hakerski napadi.......................................................................................................................................5
SQL injection........................................................................................................................................5
Cross-site scripting...............................................................................................................................5
Dijeljenje malwarea.............................................................................................................................5
Man-in-the-Middle napad...................................................................................................................6
Nepoželjni video nadzor..........................................................................................................................6
Praćenje na internetu..............................................................................................................................7
Načini zaštite od napada na privatnost........................................................................................................8
Zaključak......................................................................................................................................................9
Literatura...................................................................................................................................................10

1
Uvod
Predgovor
Napadi na privatnost predstavljaju ozbiljnu prijetnju koja je razlog za zabrinutost u današnjem digitalnom
dobu. Sa sve većim napretkom tehnologije, mnogi aspekti našeg života su postali digitalizirani, čime su se
stvorile nove prilike koje mogu poboljšati naš život, ali i novi rizici za našu privatnost. U ovom seminaru,
istražit ćemo primjere ovih napada, njihove različite oblike i posljedice, kao i načine na koje se možemo
zaštititi od potencijalnih pretnji, odnosno metode koje možemo koristiti kako bi se zaštitila privatnost i
integritet podataka.

Napadi na privatnost predstavljaju različite načine i strategije koji se koriste kako bi se narušila privatnost
pojedinaca ili organizacija u digitalnom okruženju. Ovi napadi obuhvataju različite tehnike i metode koje
se koriste za neovlašćeno prikupljanje, pristup, zloupotrebu ili otkrivanje ličnih ili poverljivih informacija.
Napadi na privatnost najčešće spadaju pod kibernetički kriminal (engl. Cyber Crime), te su vrlo usko
vezani pojmovi u današnjem dobu. Napadi na privatnost mogu doći u mnogim oblicima kao na primjer,
prikupljanje, dijeljenje i zloupotrebljavanje osobnih podataka, praćenje na internetu, nepoželjni video
nadzor, hakerski napadi i socijalni inžinjering.

Kibernetički kriminal svake godine sve više raste. Prema istraživanju AAG IT Services & Cyber Security
(2023) 2020. je svjedočila rast malware napada za 358% u usporedbi sa prethodnom godinom. Također,
u prvoj polovici 2022. 53.35 milijuna Amerikanaca je bilo pogođeno nekom vrstom kibernetičkog
kriminala, a 39% tvrtki bazirano u Ujedinjenom Kraljevstvo je prijavilo kibernetički napad kroz godinu.
Ovakva vrsta napada na tvrtke je osobito ozbiljna, te iste godine prosječni data breach je koštao tvrtku
4.35 milijuna američkih dolara. Ovaj oblik kriminala najčešće napada upravo našu privatnost odnosno
naše osobne podatke.

2
Povijest napada na privatnost
Napadi na privatnost nisu nov pojam, te su se pojavljivali kroz povijest u obliku krađe dokumenata i
spisaka, prisluškivanje razgovora I špijuniranje. U današnjem dobu su najčešće vezani uz kibernetički
kriminal.

Prema članku A Brief History of Data Breaches autora Cory Warren, prva povreda podataka (engl. Data
breach) koja je ugrozila više od milijun zapisa se dogodila 2005. Kada su hakeri dobili pristup bazi
podataka američke firme DSW Shoe Warehouse koja se bavila prodajom obuće, te su uspijeli dobiti
podatke o 1.4 milijuna kreditinih kartica njenih korisnika.

Također, u siječnju te iste godine se dogodila povreda podataka fakulteta kada su hakeri dobili pristup
slikama, imenima i brojeve socijalnog osiguranja (engl. Social Security Number) od oko 32 000 studenata
i osoblja.

Kako je tehnologija napredovala i svijet se postepeno digitalizirao, kibernetički napadi na privatnost su

postali sve češći I opasniji, kao što se može vidjeti u sljedećoj tablici:

Značajne povrede podataka (2005 - 2017)

Izvor: https://lifelock.norton.com/learn/data-breaches/history-of-data-breaches

Žrtva Godina Broj pogođenih Opis

TJX Companies Inc. 2005 94 milijuna Otkrivene informacije kreditinih kartica
Heartland Payment 2009 130 milijuna Otkrivene informacije kreditinih kartica,
Systems uzrokovalo desetke milijuna nelegalnih tranzakcija
Yahoo 2013 3 milijarde Najveći breach do sada. Otkrivene informacije iz
emailova (zdravstveni dokumenti, financijska
izvješća…)
Target 2013 110 milijuna Otkrivene informacije kreditnih kartica i
informacije za kontakt
JP Morgan Chase 2014 83 milijuna Otkrivene informacije kreditnih kartica
eBay 2014 Nepoznato Otkrivena imena, adrese, brojevi mobitela, email
adrese I kriptirane lozinke
Anthem 2015 78.8 milijuna Otkrivena imena, brojevi socijalnog osiguranja,
adrese, informacije o zaposlenosti
Američki ured za 2015 21.5 milijuna Otkriveni osobni podatci službenika (brojevi
upravljanje osobljem socijalnog osiguranja, otisci prstiju…)
FriendFiender Networks 2016 412 milijuna Otkrivene email adrese i lozinke
Myspace 2016 360 milijuna Detalji prijave
Equifax 2017 145.5 milijuna Otkrivena imena, brojevi socijalnog osiguranja,
adrese, podatci o vozačkim dozvolama i drugi
osobni podatci

3
Vrste napada na privatnost
Socijalni inžinjering
Socijalni inžinjering označava skupinu tehnika kojima osoba iskorištava ljudske pogreške i slabosti kako bi
došla do određenih informacija.

Pojam socijalnog inženjering je popularizirao američki haker (kasnije konzultant za računalnu sigurnost)
Kevin Mitnick. (CERT, O socijalnom inžinjeringu)

Socijalni inžinjering najčešće možemo susresti u 3 oblika: phishing, vishing i impersonation.

Phishing napadi su vrsta napada koja koristi zlonamjerne emailove, poruke ili internetske stranice kako
prevarili korisnike da preuzmu malware ili odaju osjetljive ili osobne podatke.

Vishing, odnosno voice phishing je vrsta napada srodna phishingu, ali za razliku od phishinga umjesto
tekstualnih zapisa I poruka koristi telefonske pozive ili VoIP (Voice over Internet Protocol) kako bi osoba
otkrila svoje podatke.

Impersonation, odnosno lažno predstavljanje je metoda gdje se osoba lažno predstavlja kako bi došla do
osjetljivih podataka. Na primjer, osoba se predstavlja kao serviser računala, te tim putem dobiva pristup
našem računalu i na njemu pokreće spyware i ransomware programe.

Unutrašnje prijetnje
Unutrašnje prijetnje označavaju prijetnju koju zlonamjerni zaposlenik, poslovni partner firme ili izvođač
radova može izazvati zloupotrebljavajući svoje ovlasti. Nadalje, unutrašnje prijetnje možemo podijeliti na
3 pod skupa prijetnji: malicious insiders, negligent insiders i compromised insiders. (IBM, What are
insider threats?)

Malicious insideri su trenutni ili bivši zaposlenici tvrtke koji zloupotebljavaju svoje ovlasti za financijsku
dobit ili osvetu. Primjer ovakvog insidera je slučaj bivšeg zaposlenika Twittera Ahmad Abouammo koji je
dijelio private informacije službenika i kraljevske obitelji Saudijske Arabije za financijsku dobit.
(justice.gov, Former Twitter Employee Found Guilty of Acting as an Agent of a Foreign Government and
Unlawfully Sharing Twitter User Information)

Negligent insideri odnosno nemarni insideri nemaju zlonamjerne namjere, ali svojim nemarom stvaraju
prijetnje sigurnosti. Na primjer, tako što su žrtva phishing napada, zaobilazeći sigurnosne kontrole ili
dijeljenjem krivih podataka. 2022. ovo je bila najzastupljenija unutrašnja prijetnja i predstavlja čak 56%
ukupnih unutrašnjih prijetnji (Ponemon, 2022 Cost of Insider Threats Global Report)

Compromised insider odnosno kompromizirani insider su često rezultat nemara, odnosno korisnici čiji su
podatci ukradeni, te zlonamjerno iskorišteni od treće strane.

U prosjeku, unutrašnje prijetnje izazovu štetu od 4.90 milijuna dolara, odnosno 9.5% više nego prosječni
napad povrede podataka. (IBM, What are insider threats?)

4
Hakerski napadi
Hakerski napad je pokušaj neovlaštenog pristupa računalnim sustavima, mrežama ili podacima s ciljem
krađe, oštećenja, manipulacije ili uništavanja informacija od strane pojedinca ili organizacije.

Hakeri koriste različite tehnike i metode kao što su SQL injection, Cross-site scripting, dijeljenje malwarea
ili Man-in-the-Middle napadi.

SQL injection
Napad koristeći SQL injekciju cilja baze podataka neke stranice, te je prijetnja njenim korisnicima. Napad
SQL injekcijom funkcionira iskorištavanjem ranjivosti SQL programskog jezika koji omogućuje pokretanje
zlonamjernog koda koji otkriva podatke.

Cross-site scripting
Cross-site scripting ili XSS napadi također kao i kod SQL injekcije uključuju ubacivanje zlonamjernog koda
u web stranicu, ali u ovom slučaju sama web stranica nije napadnuta. Umjesto toga, zlonamjerni kod se
pokreće samo u korisnikovom pregledniku kada posjeti napadnutu web stranicu, gdje izravno cilja na
posjetitelja. Jedan od najčešćih načina na koji napadač može implementirati XSS napad je ubacivanje
zlonamjernog koda u komentar ili skriptu koja bi se mogla automatski pokrenuti JavaScript program koji
čita cookiese sa preglednika, te tim putem dobiva pristup žrtvinim podatcima.
Dijeljenje malwarea
Malware odnosno malicious software označava svih vrsta zlonamjernog softwarea, odnosno računalnih
programa ili skripti koji su napravljeni da nanose štetu računalima, mrežama, korisnicima ili njihovim
podacima. Neki tipovi malwarea koji su posebno opasni za našu privatnost su keyloggeri, ransomware i
spyware.

Keyloggeri su alati koji bilježe što osoba tipka na uređaju. U napadu keyloggerom, software keyloggera
bilježi svaki pritisak tipke na žrtvinom uređaju i šalje ga napadaču.

Primjer keylogger napada je slučaj softwarea pod nazivom DarkHotel. Napad ovim softwareom se izvodio
na sljedeći način. Hakeri ciljaju nezaštićeni Wi-Fi u hotelima i pozivaju korisnike da preuzmu software.
Nakon preuzimanja, DarkHotel funkcionira kao keylogger i šalje hakerima pritiske tipki, te im tim putem
šalje potencijalne lozinke I informacije o kreditnim karticama. Nakon određenog broja snimljenih
pritisaka tipki, DarkHotel se briše s uređaja, kako bi ga se što teže otkrilo. (crowdstrike.com, Keyloggers:
How They Work And How To Detect Them)

Ransomware je zlonamjerni software dizajniran da uskrati korisniku pristup datotekama na njihovom

računalu. Kriptiranjem ovih datoteka i traženjem plaćanja otkupnine (engl. ransom) za ključ za
dekriptiranje. Neke su varijante ransomwarea imaju dodatne funkcije poput krađe podataka kako bi
pružile dodatni poticaj žrtvama ransomwarea da plate otkupninu.

Prvi ransomware program koji je kombinirao enkripciju datoteka i krađu podataka se zove Maze. Kad su
žrtve počele odbijati platiti otkupninu, Maze bi počeo prikupljati njihove osjetljive podatke prije nego što
ih je šifrirao. Ako zahtjevi za otkupninu nebi bili zadovoljeni podaci bili javno izloženi ili prodani.
(checkpoint.com, Ransomware Attack – What is it and How Does it Work?)

Spyware je vrsta malwarea koji se instalira na računalni uređaj bez znanja žrtve. Upada u uređaj, krade
osjetljive informacije i podatke o korištenju interneta i prosljeđuje ih oglašivačima, tvrtkama za obradu
podataka ili vanjskim korisnicima.

5
Man-in-the-Middle napad
Man-in-the-Middle ili čovjek u sredini je vrsta napada gdje se počinitelj pozicionira u razgovoru između
korisnika i aplikacije u svrhu prisluškivanja razovora ili razmjene podataka. Cilj napada je ukrasti osobne
podatke, kao što su podatci za prijavu, podaci o računu i brojevi kreditnih kartica. Ciljevi su obično
korisnici financijskih aplikacija i drugih web stranica na kojima je potrebna prijava. Informacije dobivene
uvim putem se mogu koristiti u mnoge zlonamjerne svrhe kao što su krađa identiteta, neodobreni
prijenos novca ili nedopuštena promjena lozinke.

Nepoželjni video nadzor

Zlouporaba video nadzora, odnosno nepoželjni video nadzor je korištenje metoda nadzora ili tehnologije
za praćenje aktivnosti pojedinca ili skupine na način kojim se krše društvene norme ili zakoni.

Nepoželjni video nadzor se odnosi na nezakonito praćenje osoba kao na primjer postavljanje kamera u
privatnim prostorima gdje osoba obitava kako bi zlonamjerna osoba prikupila informacije I slike žrtve
kako bi ih poslije mogla ucijenjivati ili iskoristiti.

Primjer ovoga bi bio Južno Korejski fenomen “Molka” (skraćeno od “mollae-kamera”) odnosno
postavljanje malih skrivenih kamera u javnim WC-ovima, hotelima i sobama za presvlaćenje uglavnom
ciljajući žene. Prema časopisu Time između 2013 i 2018 više od 30 000 slučaja nezakonitog snimanja
skrivenim kamerama je prijavljeno policiji. (Time, 'It Breaks My Heart.' Confronting the Traumatic Impact
of South Korea’s Spycam Problem on Women)

Slika 1 – Primjer Molke (Time časopis)

6
Praćenje na internetu
Praćenje na internetu ili Cyberstalking je pojam koji označava korištenje elektroničke komunikacije,
društvenih medija i drugu tehnologija za počinjavanje zločina. Definira se kao korištenje e-pošte, izravnih
poruka ili drugih elektroničkih sredstava za uznemiravanje, prestrašivanje ili prijetnju nekome fizičkim
nasiljem, može se manifestirati u različitim oblicima, kao što su maltretiranje, seksualno uznemiravanje ili
druga nepoželjna pozornost oko nečijeg života i aktivnosti.

Primjer ovakvog ponašanja možemo popratiti u slučaju Desmonda Babloo Singh koji je 2020. Uhodio, te
oponašao profil svoje žrtve na društvenim mrežama, gdje je prijetio drugim korisnicima nasiljem. Također
je uznemiravao svoju žrtvu slikama koje je uredio tako da prikazuju njenu obitelj obješenu. Nadalje,
dijelio je žrtvine podatke na internetu (engl. doxing) poput imena, datuma rođenja, broj mobitela I škole
koje je žrtva pohađala. (Justice.gov, Texas Man Pleads Guilty to Months’ Long Cyberstalking Campaign
Sparked by an Unrequited Love Interest)

7
Načini zaštite od napada na privatnost
Najlakši i najučinkovitij način za zaštitu od napada na privatnost je edukacija. Ako znamo moguće
opasnosti s kojima se možemo sresti možemo izbjeći velik broj mogućih prijetnji.

Kada koristimo internet uvijek je dobro provjeriti jesmo li na ispravnoj stranici ili pričamo li stvarno s
osobom kojom mislimo da pričamo kako nebi postali žrtva phishing napada.

Ako koristimo javne internetske mreže možemo koristiti VPN (Virtual Private Network) kako bi se zaštitili
od Man-in-the-Middle napada, bitno je naglasiti da nas VPN-ovi ne mogu u portpunosti zaštititi od
ovakvih napada, te da je idalje bitno koristiti zdrav razum kako nebi postali žrtva.

Ako sumljamo je netko postavio skrivenu kameru u prostoriji u kojoj se nalazimo možemo provjeriti na
nekoliko načina sumlju. Neke svijetleće kamere imaju ugrađena LED svijetla koja trepere u mraku, te
možemo provjeriti predmete koji se najčešće koriste kako bi se maskirale kamere (ogledala, punjači,
satovi, detektori dima…). Također možemo skenirati WiFi mrežu pomoću aplikacije kao što je Fing –
Network Tools kako bi provjerili koji su uređaji spojeni na mrežu.

Ako preuzimamo datoteke sa sumljivih stranica, uvijek bi trebali provjeravati datoteke sa anti-virusom,
kako bi izbjegli potencijalni malware. Neki od najpopularnijih anti-virus programa su Norton, McAfee,
Bitdefender, Avast i Kaspersky.

Uvijek je dobro korisiti različite lozinke za service koje koristimo, tako da i ako dođe do povrede podataka,
samo jedan naš profil je ugrožen.

8
Zaključak
U zaključku, privatnost je temeljno pravo svakog pojedinca koje treba zaštititi. Napadi na privatnost nisu
problem koji zahvaća pojedinca, već može ugroziti organizacije i firme. Neki od ključnih elemenata zaštite
privatnosti koje možemo primjeniti kako bi se zaštitili uključuju korištenje snažnih lozinki, korištenje anti-
virusnih programa, obrazovanje o sigurnosti i prijetnjama kao što su phishing, Man-in-the-Middle napadi
i poznavanje socijalnog inžinjerstva. Također, trebali bi ograničavati dijeljenje osobnih podataka na
internetu kako od nas nitko nebi mogao dobiti podatke koji im sami ne bi smo odali.

9
Literatura
AAG IT Services & Cyber Security (2023). The Latest 2023 Cyber Crime Statistics (updated October 2023).
Pristupano 18.10.2023. s https://aag-it.com/the-latest-cyber-crime-statistics/

Cory Warren (2018). A Brief History of Data Breaches.

Pristupano 18.10.2023. s https://lifelock.norton.com/learn/data-breaches/history-of-data-breaches

CERT.hr (n.d) O socijalnom inžinjeringu. Pristupano 18.10.2023. s

https://www.cert.hr/socijalni_inzenjering/

IBM (n.d) What are insider threats? Pristupano 18.10.2023. s https://www.ibm.com/topics/insider-

threats#:~:text=Insider%20threats%20are%20cybersecurity%20threats,their%20accounts%20hijacked
%20by%20cybercriminals.

Justice.gov (2022). Former Twitter Employee Found Guilty of Acting as an Agent of a Foreign Government
and Unlawfully Sharing Twitter User Information. Pristupano 19.10.2023. s
https://www.justice.gov/opa/pr/former-twitter-employee-found-guilty-acting-agent-foreign-
government-and-unlawfully-sharing

Ponemon (2022). 2022 Cost of Insider Threats Global Report. Pristupano 19.10.2023. s
https://protectera.com.au/wp-content/uploads/2022/03/The-Cost-of-Insider-Threats-2022-Global-
Report.pdf

Crowdstrike.com (2023). Keyloggers: How They Work And How To Detect Them. Pristupano 20.10.2023. s
https://www.crowdstrike.com/cybersecurity-101/attack-types/keylogger/

Checkpoint.com (n.d) Ransomware Attack – What is it and How Does it Work?. Pristupano 20.10.2023. s
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/

Time (2022) 'It Breaks My Heart.' Confronting the Traumatic Impact of South Korea’s Spycam Problem on
Women. Pristupano 21.10.2023. s https://time.com/6154837/open-shutters-south-korea-spycam-molka/

Justice.gov (2021) Texas Man Pleads Guilty to Months’ Long Cyberstalking Campaign Sparked by an
Unrequited Love Interest. Pristupano 21.10.2023. s https://www.justice.gov/usao-md/pr/texas-man-
pleads-guilty-months-long-cyberstalking-campaign-sparked-unrequited-love

10