Zaštitita od phishing napada

Tehnologija napreduje toliko brzo da je i sveznalicama nemoguće pratiti taj tempo

Foto: iStock

Foto: iStock



Dragan Petric, po obrazovanju diplomirani inženjer matematike i informatike, domaćoj, ali i svjetskoj stručnoj javnosti poznat je kao vrhunski predavač o novim tehnološkim trendovima. Osim kao predavač često je i angažiran kao član žirija na tehnološkim skupovima na vodećim svjetskim ICT kongresima poput CES u Las Vegasu i IFA-e u Berlinu, gdje se odlučuje o prestižnim ICT nagradama – tehnološkim Oskarima. Njegova funkcija experta Group managera Mobile Devices u svjetskoj organizaciji EISA, uz redovite poslove urednika i organizatora stručnih skupova u Hrvatskoj povezana je s brojnim putovanjima i gostovanjima. Nedavno je gostovao kao predavač na Adria Summitu, čija je tema bila ‘Future of Digital Commerce’. Pitamo ga o najnovijim trendovima digitalne ekonomije i o opsnostima koje nam donosi Internet.


Dragan Petric


-Stručnjaci su pokušali odgovoriti na brojna pitanja, ali i raspraviti o najnovijim temama koje se događaju u sferi digitalne tehnologije pa tako i digitalnoj sigurnosti. Kada je riječ o budućnosti digitalne ekonomije pričalo se o trendovima u upravljanju kompanijama, o promjenama koje diktiraju digitalni civilizacijski dosezi, o novim sferama širenja biznisa u digitalnoj eri i o izazovima koje donosi novo, tehnološko doba u rastu i pozicioniranju najuspješnijih kompanija, kaže Petric.


Na pitanje da li je bilo riječi o porasti tzv. phishing napada Petric odgovara potvrdno.




– Dakako, to je jedan od onih izazova koji prijete. Računalna sigurnost svakako je nešto na što je nužno obraćati sve više i više pažnje, čak i na „C-Levelu“ unutar tvrtke, a ne samo među IT-jevcima, a phishing je tip izazova koji – rekao bih – iskorjenjivanju odolijeva ponajbolje, već godinama. Trikovi nadvladavanja tehnoloških rješenja, ali i sociologije koja stoji iza takve vrste ugrožavanja računalnih sustava sve su kompleksniji i bilo je zanimljivo od najrelevantnijih predavača čuti kako biti brži od onih koji ih primjenjuju.


Na pitanje kako se obični korisnici mogu zaštititi od phishing napada Petric kaže:


– Stručnjaci smatraju dva oružja su najučinkovitija – edukacija i implementacija najsuvremenijih sigurnosnih rješenja na računalnom sustavu. Bez konstantne edukacije i upoznavanja s izazovima koji nam prijete pri svakodnevnom korištenju digitalne tehnologije, bojim se da će nas problemi koji s njom dolaze sustići prije ili kasnije. Isto tako i bez ponajboljih alata i stručnjaka koji mogu prevenirati što je moguće više problematičnih situacija – za očekivati je da se neka takva situacija dogodi. Kombinacija edukacije i stručnog rješenja takve stvari učinkovito rješava.


Valja uvijek biti na oprezu, educirati se neumorno i neprestano te koristiti najsuvremenija rješenja za zaštitu računalnih sustava


Dragan Petric


Savjet za obične korisnike, početnike, u digitalnom poslovanju:


-Budite s ljudima, izađite iz ureda. Neka vam vrata budu češće korišten rekvizit od monitora. Što smo više s ljudima, to ćemo stvoriti bolje i čvršće konekcije i okružiti se s onima koji stvaraju prilike i koji nude rješenja. Preporučio bih posjete konferencijama, neformalna druženja s kolegama – kroz piće ili ručak ili večeru – čak i spontani susrete u hodniku nerijetko završe prijateljstvom ili spontanom idejom koja se može pretvoriti u fenomenalan projekt. Nije dobro živjeti u uvjerenju da sve znaš. Digitalna tehnologija napreduje toliko rapidno da je i najpametnijim sveznalicama nemoguće pratiti taj tempo, a sa sobom taj rapidni napredak nosi i pozitivne i negativne posljedice. Kad-tad svatko može postati žrtvom i snositi negativne posljedice, ma koliko bio napredan i upućen. Valja uvijek biti na oprezu, educirati se neumorno i neprestano te koristiti najsuvremenija rješenja za zaštitu računalnih sustava, savjetuje Petric.


Što je Phishing


Varijanta engleske riječi za pecanje, fishing –  je vrsta kriminalne aktivnosti u kojoj koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. Nakon virusa, crva, neželjene elektroničke pošte (SPAM-a), hoax poruka i različitih kombinacija ovih prijetnji, u posljednje vrijeme je na internetu primijećen izniman porast tzv. phishing napada. Pojam phishing napada podrazumijeva aktivnosti kojima neovlašteni korisnici korištenjem lažiranih poruka elektroničke pošte i lažiranih web-stranica financijskih organizacija pokušavaju korisnika navesti na otkrivanje povjerljivih osobnih podataka kao što su korisnička imena i zaporke, PIN brojevi, brojevi kreditnih kartica i sl. U doba kada popularnost internet bankarstva i obavljanja transakcija putem interneta raste iz dana u dan, ovakvi napadi su posebno opasni i posebnu je pažnju potrebno posvetiti metodama njihovog sprječavanja.


Deceptive phishing je najčešći oblik phishing napada kod kojeg se napadači predstavljaju kao legitimna tvrtka te traže od žrtava da predaju svoje osobne podatke.


Spear phishing je oblik napada kod kojeg se poruke kroje posebno za svaku žrtvu na temelju prethodno prikupljenih podataka o žrtvi.


Whailing je phishing napad kojim se ciljaju ljudi na vodećim pozicijama unutar tvrtke kako bi se putem njihovih podataka ostvario pristup većoj količini povjerljivih podataka.


Vishing je Phishing napad kod kojeg se koristi Voice over IP (VoIP) tehnologija. Vishing (kombinacija riječi Voice i Phishing) je telefonska prijevara u kojoj prevaranti pokušavaju navesti žrtvu da otkrije svoje osobne, financijske ili sigurnosne podatke ili da im uplate novčana sredstva.


SMSiSHing je vrsta napada kod kojeg se koriste SMS poruke kako bi se došlo do osjetljivih podataka. Smishing – krađa identiteta SMS-om. Pokušaj je prevaranata da dođu do osobnih, financijskih ili sigurnosnih podataka putem tekstualne poruke.


Foto: IStock


W2 Phishing je zasebna vrsta phishing napada kod kojeg se napadač predstavlja kao porezna uprava te traži od žrtve da ispuni specifične obrasce.


Pharming je vrsta napada kod kojeg napadač izvođenjem “DNS cache poisoning” napada žrtvu preusmjerava na lažnu stranicu putem koje ostvaruje pristup računalu i osobnim podacima.


Ransomware Phishing napadi su oni kod kojih se koristi zlonamjerni ransomware sadržaj.


Dropbox Phishing je vrsta napada kod kojeg napadači putem lažne adrese od žrtve traže da se prijavi u svoj Dropbox  pretinac.


Google Docs Phishing je vrsta napada kod kojeg napadači putem lažne adrese od žrtve traže da se prijavi u svoj Google Drive pretinac.


 


MALI RJEČNIK OPASNOSTI NA INTERNETU


Adware – vrsta štetnog programa koji na temelju profila napravljenog preko spyware-a , bez pitanja prikazuje oglase na vašem računalu.


Antivirus – program koji se koristi za zašititu, identifikaciju i uklanjanje računalnih virusa i ostalih malver programa.


Botneti – Botnet mreža ili kako se još naziva “zombi mreža” je mreža koju čine zaražena računala zvana botovi ili zombiji. Njima upravlja haker ili grupa hakera, a najčešće se koriste za DDoS napade, krađu osobnih podataka i za slanje velike količine spam poruka. Ovakve mreže nastaju isključivo da bi donijele ogromnu korist hakerima koji stoje iza nje. Botnet mreže nastaju tako što hakeri izrade virus, odnosno bota kojim će zaraziti ostala računala kako bi ih povezali u jednu botnet mrežu. Proces širenja virusa se najčešće odvija na društvenim mrežama, raznim forumima, stranicama za preuzimanje raznih aplikacija gdje hakeri virus ubacuju u slike, druge programe i sl.


Crimeware – podrazumijeva svaki oblik zlonamjernog programa koji pomaže u obavljanju kriminalnih radnji putem računala.


E-commerce – podrazumijeva brojne naplative usluge kao npr. e-trgovina, različite aukcije, prijevoz itd.


Hakirane stranice – web-stranice koje su hakirane zbog nedovoljne razine zaštite, njihov izgled se ne mijenja, ali koriste se u zlonamjerne svrhe. Svaka web stranica je ranjiva ako nije redovno ažurirana. CMS, predložak i sve dodatke na aktualnu verziju koja uključuje zakrpu za sve sigurnosne propuste iz prethodnih verzija, a hakeri u tom slučaju mogu jednostavno pronaći način kako zaobići i najmanji sigurnosni propust u bilo kojoj komponenti koja nije ažurirana.


Hoax – Poruka elektroničke pošte neistinitog sadržaja, poslana s ciljem zastrašivanja ili dezinformiranja primatelja.


Investicijske prijevare i prijevare u online kupovini – navede vas da mislite da ste na tragu pametnog ulaganja ili vam daju izvrsnu lažnu online ponudu.


Keylogger – program koji je namijenjen tajnom praćenju i snimanju svih pritisnutih tipki na računalu.


Krađa osobnih podataka – vaše osobne informacije prikupljaju se kroz kanale društvenih medija. Društveni inženjering nastavlja rasti kao pokretač mnogih kibernetičkih kaznenih djela među kojima je krađa identiteta najučestaliji oblik. Kriminalci koriste društveni inženjering kako bi postigli cijeli niz ciljeva, dobivanje vaših osobnih podataka, otimanje vaših računa, krađa vašeg identiteta, pokretanje nezakonitih plaćanja ili uvjeriti vas da nastavite bilo koju aktivnost protiv svog interesa, kao na primjer doznačiti novac ili dijeliti osobne podatke.


Krivotvorene mrežne stranice banaka – koristi se lažna e-pošta banke s poveznicom na krivotvorenu mrežnu stranicu. Jednom kada kliknete na poveznicu, koriste se razne metode prikupljanja vaših financijskih i osobnih informacija. Stranica izgleda kao i prava mrežna stranica uz nekoliko malih razlika.


Maliciozni program – različite vrste štetnih programa – malvera


Malver/Malware – to je zlonamjerni kod predstavlja prijetnju za računala i njihovu sigurnost koju ugrožavaju računalni špijuni (eng. spyware), virusi, računalni crvi, trojanci i botovi. To su veoma rasprostranjeni programi koji mogu evidentirati sve što ukucate na računalu, napraviti snimke ekrana, ukrasti dokumente i datoteke i otvoriti skrivena zadnja vrata do nečijeg. Ove informacije se zatim šalju osobi koja je instalirala neki od navedenih programa. Malware može instalirati svatko tko ima pristup računalu ili može biti skriven u “bezopasnom” prilogu poslanom e-mailom. Na primjer, za korisnike internet bankarstva, malware može evidentirati lozinku bankovnog računa i ta informacija može biti zloupotrebljena tako što će novac nestati s računa.


Peer-to-peer – P2P je popularna mrežna arhitektura za koju je karakteristična razmjena podataka izravno između njezinih članova, u pravilu bez posredovanja središnjih poslužitelja. Osim toga, svi članovi P2P mreže ravnopravno sudjeluju u pružanju resursa.


Romantične prijevare – varalice se pretvaraju da su zainteresirane za romantičnu vezu. One se obično događaju na mrežnim stranicama za upoznavanje, a varalice često koriste društvene medije ili e-poštu za uspostavljanje kontakta.


Rootkit – vrsta štetnog programa koji napadaču omogućuje udaljenu administrativnu kontrolu nad računalom.


Socijalni inženjering – manipulacija ljudima (prijevara) u svrhu otkrivanja njihovih povjerljivih informacija ili dobivanja pristupa nekim drugim resursima do kojih manipulator inače ne bi mogao doći.


Spam – svaki e-mail koja je poslan masovno, na mnogo email adresa, bez privole vlasnika e-mail adrese, koji sadrži propagandnu poruku je SPAM. Svako slanje poruka na e-mail adrese koje ste kupili od nekoga ili sami prikupili na nteretu, u novinama, od poznanika, je SPAM neželjena elektronička poruka poslana zbog namjere oglašavanja raznog propagandnog sadržaja.


Spyware – štetnog programa koji prati sve vaše aktivnosti i stvara vaš potrošački profil (eng. spy – špijun).


Trojan – trojanski konj – vrsta malvera


Vatrozid – računalu predstavlja granicu između vašeg računala i Interneta, vrši provjeru pristiglih podataka te po potrebi ih blokira (ukoliko pristigli podataka predstavlja prijetnju).


Worm – računalni crv


 


Primjer “romantične prijevare”

 


Brojni su primjeri prevara na internetu. Tako je u tijeku je kriminalističko istraživanje koje provode policija po prijavi 59-godišnje hrvatske državljanke za počinjenje kaznenog djela prijevare. Riječ je o internet prijevari kojom je spomenuta 59-godišnjakinja materijalno oštećena za više od 15.000 kuna. Naime, ona je tijekom prošlog mjeseca travnja putem jedne od društvenih mreža ostvarila virtualni kontakt s muškom osobom koja joj se predstavila kao vojnik u Siriji, a potom je na njegovu zamolbu/nagovor u dva navrata uplatila mu novac za preuzimanje navodnih paketa u Zagrebu u kojima je novac vrijednosti oko milijun dolara i koje će podijeliti kada on dođe u Hrvatsku!!! . Kada je „vojnik“ tražio i dodatne uplate puno veće vrijednosti, Riječanka je posumnjala u prijevaru i događaj prijavila policiji. Budući da se vrlo često javljaju policiji oštećene osobe tzv. romantičnom prijevarom policija upozorava građane, osobito žene, da budu oprezne pri komunikaciji na društvenim mrežama i stranicama za upoznavanje. Prevaranti tragaju za žrtvama kako bi ostvarili protupravnu imovinsku korist te se služe raznim načinima obmane, pružaju lažnu pažnju i sl. Počinitelji tzv. romantičnih prijevara kroz komunikaciju iskazuju snažne osjećaje prema žrtvi, a nakon što zadobiju njeno povjerenje traže novac, darove ili podatke o bankovnim karticama. Također mogu tražiti i da im žrtva pošalje osobne fotografije ili videozapise.


Policija podsjeća građane da ne prihvaćaju komunikaciju s osobama na društvenim mrežama za koje nisu u mogućnosti provjeriti njihov identitet i postojanje, a posebno da ne vjeruju ovakvim ili sličnim ponudama putem društvenih mreža. Ukoliko vas nepoznata osoba traži da joj uplatite novac iz bilo kojeg razloga, odustanite od takve komunikacije i ne uplaćujte novac. Ukoliko smatrate da se radi o prijevari ili nekom drugom protupravnom ponašanju, događaj odmah prijavite policiji na broj 192!

 


Sadržaj nastao u suradnji s partnerom  A1