Fišing (eng. phishing) napadi spadaju u domen socijalnog inženjeringa, a da bi poziv za otkrivanje poverljivih ličnih podataka delovao što uverljivije, prevaranti najčešće zloupotrebljavaju velike brendove, banke, trgovinske lance i operatere mobilne telefonije.
Mi kao korisnici interneta uglavnom više ne nasedamo na obaveštenja da smo upravo postali naslednici bogatog princa iz Nigerije, ali smo zato na meti novih i sve inovativnijih metoda sajber prevaranata. Sve su češća upozorenja banaka da se nipošto ne odgovara na imejlove koji navodno stižu od njih, jer se radi o sofisticiranom pokušaju krađe novca i podataka. Jedan od realnijih scenarija na koji su se mnogi „upecali“ je obaveštenje o navodnom deviznom prilivu, koji će leći nakon što se klikne na link ili pošalje tražena dokumentacija.
Fišing je vrsta socijalnog inženjeringa koji podrazumeva krađu korisničkih podataka i poverljivih informacija upotrebom lažnih veb stranica, elektronske pošte i društvenih mreža. Ako se žrtva „upeca”, otkriće lične podatke kao što su brojevi kreditnih kartica ili lozinke za legitimne servise. Da bi prevara bila što uverljivija, prevaranti uglavnom zloupotrebljavaju velike brendove, banke, trgovinske lance i operatere mobilne telefonije.
Vladimir Mićić, direktor Službe upravljanja rizicima bezbednosti Erste Banke, otkriva koje su najčešće zamke i na koje stvari treba posebno obratiti pažnju kako ne bismo postali žrtve sajber prevaranata.
„Ozbiljne kompanije koje vode računa o svojim klijentima vam nikada neće tražiti broj računa, šifru i druge lične podatke putem SMS poruke ili elektronske pošte. Takođe, banka vam nikada neće poslati mejl u 4 sata ujutru sa adrese tipa sendsend@bank.rs, niti će pretiti blokiranjem računa ili ukidanjem neke usluge koju već koristite, ukoliko u roku od 24 sata ne pošaljete tražene podatke. Lampica za uzbunu treba da se upali ako je priloženi link drugačiji od onoga koji se pojavi kada mišem stanete iznad njega (razlika može biti i samo jedno slovo) ili ako u tekstu ima gramatičkih grešaka. Lične podatke čak ne bi trebalo da vam traži ni kolega, pa ako se to desi, proverite drugim kanalima komunikacije da li mu je možda hakovan nalog“, objašnjava Mićić i dodaje: „Budući da je teško provaliti u dobro zaštićen sistem velikih kompanija, hakeri nas navode da sami otkrijemo podatke ili da preuzimanjem sumnjivih priloga preuzmemo i virus. Pritom računaju na ljudske emotivne reakcije kao što su znatiželja, ili vezanost za određeni brend i zato fišing spada u metode socijalnog inženjeringa. Često igraju i na kartu straha, preteći ukidanjem usluga ukoliko se odmah ne reaguje. Zato budite posebno sumnjičavi prema zahtevima da neku radnju preduzmete u kratkom vremenskom roku“.
Dobro otvorite oči (i uši)
Više od 90% fišing napada ostvaruje se putem imejl adresa, sms-a (smishing) i čet kanala na društvenim mrežama. I glasovne poruke takođe mogu poslužiti ovoj svrsi, a ta vrsta fišinga poznata je kao vishing (voice phishing). Ako napadi ciljaju na određenu osobu ili organizaciju, u pitanju je spear phishing. Na ovaj način su hakovani mejlovi američke Demokratske stranke pred tamošnje izbore 2016. godine, jer je Gmail lozinka šefa kampanje promenjena na lažnom sajtu – preko linka u prevarnom mejlu. Dakle, svako može da nasedne. Kao jedan od najsofisticiranijih vidova prevare sve češće se koristi i dipfejk (deepfake) – video snimci ili fotografije modifikovani uz pomoć veštačke inteligencije na kojima su prikazani ljudi koji rade ili govore nešto što u realnosti nikada nisu uradili ili rekli.
Banke, kao i druge kompanije i ustanove, ulažu mnogo u sistem sajber zaštite i prate najnovije trendove. Veliki deo njihove sigurnosne mreže za korisnike je nevidljiv (bezbednosni alati, skeneri za otkrivanje malicioznih pošiljalaca, 24/7 alert monitoring, kontrola internet sadržaja i saobraćaja), dok su neke mere vrlo očigledne. Na primer, prilikom onlajn plaćanja potrebno je uneti kod poslat SMS porukom ili biometrijske podatke kao potvrdu da je transakciju inicirao korisnik, a ne neko ko je ukrao karticu ili podatke.
„Banke stalno rade i na edukaciji zaposlenih i klijenata. Svi slučajevi zloupotrebe prijavljuju se Udruženju banaka Srbije i Odeljenju za visoko-tehnološki kriminal MUP-a. Klijenti sa svoje strane moraju da urade ono što je do njih, a to uglavnom podrazumeva da otvore četvore oči. Jedino ako svako od nas dobro obavi svoj deo posla možemo da se zaštitimo od napadača, koji se trude da uvek idu jedan korak ispred“, navodi Vladimir Mićić.
Oprez sa nagradnim igrama
U poslednje dve godine u više navrata je kružila lažna nagradna igra poznatog brenda sportske opreme koji je povodom rođendana navodno poklanjao patike i majice, a uslov je bio da se klikne na link i ostave podaci. Prošle jeseni je jedno domaće javno preduzeće zloupotrebljeno kao navodni organizator kviza na kom su se delili najnoviji ajfoni. Trebalo je odgovoriti na pitanja, ostaviti lične podatke i uplatiti 250 dinara isključivo putem platne kartice.
„Kada su u pitanju nagradne igre, odvojite nekoliko trenutaka da tu informaciju proverite na zvaničnom sajtu organizatora. Na društvenim mrežama je lako praviti lažne profile. Pogledajte ko se na Fejsbuku hvali da je dobio skupe patike na poklon. Na primer, malo je čudno ako osobe koje se predstavljaju kao Hugo ili Marvin pišu ćirilicom“, objašnjava Vladimir Mićić.
Na kraju, ne zaboravite ni osnovna pravila za bezbedno korišćenje interneta. Upotrebljavajte različite lozinke za različite sajtove i menjajte ih često. Ne pristupajte važnim servisima iz javne wi-fi mreže i koristite moderne tehnologije kao što su čitač otiska prsta i prepoznavanje lica.