Pojava phishinga u Hrvatskoj – kako ga spriječiti i liječiti

Po prvi puta u hrvatskoj internet povijesti pojavio se primjer Phishinga - u ostatku svijeta vrlo raširenog načina krađe korisničkih podataka. Ovoga puta mamac je bila hrvatska stranica OTP banke. Ukratko objašnjavamo što je phirshing i kako se korisnici ali i organizacije mogu zaštiti od njega.

Internet prevare došle su i do Hrvatske. Zapravo one su uvijek bile tu zahvaljujući globalnosti i internacionalnom karakteru interneta, no ovo je prvi put da je jedna veća banka s internet stranicama na hrvatskom jeziku poslužila kao meta ili bolje reći kao mamac. U čemu je stvar? Mnogim korisnicima na spomen hakiranja u glavi se stvara slika kompjuterskih stručnjaka koji upisuju komplicirane kodove (u holivudskim filmovima to obično ide uz 3D animacije u kojima hakeri „putuju“ računalima) te kreiraju komplicirane i gotovo neprimjetne viruse koji preuzimaju kontrolu nad računalom bez ikakvog znanja korisnika, a novac s računa se prebacuje na anonimne račune na kanarskim otocima (obično uz klasični progres bar, opet u holivudskim filmovima). Ipak, ili možda srećom, većina Internet prevara nije tako komplicirana, a niti profesionalno izvedena. U slučaju OTP banke imali smo slučaj klasične krađe korisničkih podataka. Ime ove vrste prevare je „Phishing“, iz engleske riječi fishing – pecanje. Upravo ovo ime najbolje i opisuje proces kojim se vrše prevare, „pecanjem“ korisnika koji „zagrizu“ mamac te upišu svoje korisničke podatke nakon čega su njihovi korisnički računi ostavljeni na milost i nemilost prevaranta. U ovome slučaju za „mamac“ je poslužila hrvatska stranica OTP banke. Velikom broju osoba iz Hrvatske, među kojima su neke od njih vjerojatno bili i klijenti OTP banke, poslan je e-mail kojim se objašnjava da je njihov račun blokiran te da se potrebno poslati podatke ponovno. Za dodatnu uvjerljivost, prevaranti su uz e-mail postavili i link koji je vodio na lažnu stranicu banke koja je u svemu bila identična pravoj stranici banke osim imenom linka i naravno funkcijom. Upisom korisničkih podataka u za to predviđena polja za logiranje korisnikovi podaci su zabilježeni i dani na zlouporabu prevarantima. Vrlo detaljno razrađena prevara koja je srećom bila bezuspješna, jer prema službenoj izjavi „…banka nije zapremila zabilježila niti jedan slučaj oštećenog klijenta“. Ubrzo nakon što je otkriveno da internetom kruži e-mail s lažnim pozivom na upisivanje korisničkih podataka OTP banka je i s PR perspektive odlično reagirala. Sa svime je izašla u javnost te vijest detaljno prenijela u medije, korisnicima su poslani e-mailovi upozorenja, a uskoro je i ugašena lažna web stranica, čime je završena priča s prvim hrvatskim phishing slučajem. Nakon što smo se svi naučili da e-mailove nigerijskih kraljica u egzilu uredno izbrišemo, vrijeme je da kao korisnici naučimo i nove trikove kojima se koriste online prevaranti. Poslovni.hr je iznio nekoliko savjeta za korisnike kako izbjeći da postanu žrtve phishinga.

1. Ne vjerujete niti jednome e-mailu u kojemu se poziva da upišete svoje korisničke podatke iz bilo kojega razloga. Nikada niti jedna organizacija ili poduzeće ne traži da se zbog nekog problema s korisničkim podacima ponovo logirate na njihove stranice. Jedini slučaj kada online tvrtke ili organizacije od vas traže da odete na određeni link je aktivacija korisničkih računa u nekim slučajevima, kada se od korisnika traži da za dovršenje aktivacije kliknete na određeni link. Pravilo je da ovakvi e-mailovi slijede odmah nakon registracije te često ne traže logiranje već je dovoljno samo kliknuti na link.

2. Adrese stranica koje često koristite i na koje se logirate spremite u bookmarke kako biste uvijek pristupili pravim stranicama.

3. Prevara kojom se traži davanje kartičnim podacima može doći i telefonom. Ako osoba koja se predstavlja da je iz banke ili kartične organizacije traži vaš broj kartice i pin, odmah poklopite telefon, zapišite broj (ako nije skriven) te obavijestite vašu banku.

4. Redovito pregledavajte stanje vaših računa u banci, te pazite na sve neregularnosti.

Ukratko o phishingu možete naučiti iz ovog jenostavnog filmića: [youtube]http://www.youtube.com/watch?v=sqRZGhiHGxg&feature=related[/youtube]

Bino je naglasiti da je i velika odgovornost organizacija i tvrtki koje posluju na internetu (a pogotovo onih koje se bave novčanim poslovanjem) da na vrijeme upozore svoje korisnike na moguće slučajeve zlouporabe. Ovdje ćemo izložiti nekoliko savjeta koje takve kompanije i organizacije moraju učiniti kako bi zaštitili svoje korisnike.

1. Dati detaljne instrukcije za uporabu te obavijestiti korisnike što se od njih traži za zaštitu svojih podataka. Pri tome bitno je održati prepoznatljiv i jedinstven korporativni image koji mora biti prepoznatljiv u svim elementima komunikacije, od memoranduma do e-mail predložaka.

2. Obavijestiti korisnike o mogućim poznatim načinima prevare – primjerice; na svojim stranicama postaviti koje najčešće tipove prevara mogu očekivati te koji su podaci koje apsolutno ne smiju otkriti nikome. Uz to, potrebno je postaviti i kontakte za prijavu mogućih prevara.

3. Nakon što se otkrije da internetom (ili čak putem telefona) kruži poruka koja poziva na otkrivanje korisničkih podataka potrebno se odmah obratiti javnosti, a uz to i izravno korisnicima te osigurati načine uklanjanja nanesene štete. Naravno način komunikacije ne smije stvarati paniku kod korisnika već je potrebno vrlo u detaljno ali i precizno objasniti u čemu se krije opasnost za korisnika.

4. Učini sve u svojoj mogućnosti kako bi se sigurnosna prijetnja uklonila. To često uključuje prijavu slučajeva organizacijama koje se bave sigurnosti na mreži.

5. Nakon samog slučaja potrebno je u medije iznijeti cijelu kronologiju slučaja, objasniti sve pojedinosti te upozoriti na sve buduće slučajeve. Pri tome je potrebno naglasiti da je učinjeno sve u mogućnosti organizacije kako bi se spriječila šteta.

Sigurnosne propuste kao i mnoge druge propuste tvrtke često ne žele iznijeti u javnost no upravo slučajevi e-mail i online pokušaja prevara koji nisu propust same organizacije daju priliku da se prema korisnica ostvari dodatno povjerenje pokazujući brigu prema njima. Dakako pri tome i sami korisnici, i svi sudionici novih tehnologija moraju ostati pažljivi te prije svega pri korištenju služiti se zdravim razumom i pažljivošću prilikom korištenja.

 

Autor: Mlađan Marušić

 

 

 

 

 

Ovo je nekoliko savjeta za korisnike kako izbjeći da postanu žrtve Phishinga.

  1. Ne vjerujete niti jednome e-mailu u kojemu se poziva da upišete svoje korisničke podatke iz bilo kojega razloga. Nikada niti jedna organizacija ili poduzeće ne traži da se zbog nekog problema s korisničkim podacima ponovo logirate na njihove stranice. Jedini slučaj kada online tvrtke ili organizacije od vas traže da odete na određeni link je aktivacija korisničkih računa u nekim slučajevima, kada se od korisnika traži da za dovršenje aktivacije kliknete na određeni link. Pravilo je da ovakvi e-mailovi slijede odmah nakon registracije te često ne traže logiranje već je dovoljno samo kliknuti na link.
  2. Adrese stranica koje često koristite i na koje se logirate spremite u bookmarke kako bi ste uvijek pristupili pravim stranicama.
  3. Prevara kojom se traži davanje kartičnim podacima može doći i telefonom. Ako osoba koja se predstavlja da je iz banke ili kartične organizacije traži vaš broj kartice i pin, odmah poklopite telefon, zapišite broj (ako nije skriven) te obavijestite vašu banku.
  4. Redovito pregledavajte stanje vaših računa u banci, te pazite na sve neregularnosti.
Oznake: , ,
Pročitajte i…
Kategorije
Pretraži blog po ključnim riječima
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 1 2 3