Med spletnimi grožnjami se je v zadnjem letu še bolj kot prej razpaslo lažno predstavljanje oz. phishing. Nekaj časa so napadalci najpogosteje prežali na neprevidne uporabnike z izsiljevalskimi virusi in »trojanci«, ki se vsidrajo na računalnik in kradejo podatke. Zdaj pa je daleč največ lažnih sporočil, ponarejenih spletnih strani in podobnih poskusov, da bi ljudje vpisali svoje finančne podatke in morda še potrdili goljufive transakcije. Poglejmo nekaj najbolj pogostih oblik tovrstnih prevar in zapovedi za ravnanje, da jim ne nasedemo.
Kaj je phishing?
Ribarjenje, po angleško phishing, ali lažno predstavljanje je ena najbolj pogostih taktik, kako od ljudi pridobiti bančne podatke in jim izprazniti (digitalne) denarnice. Dandanes vas poskušajo prevarati povsod, na vseh komunikacijskih kanalih, zato je treba biti bolj previden kot kadarkoli doslej.
Poleg tega poskusi tovrstnega t. i. socialnega inženiringa postajajo vse bolj napredni in jih je tudi vedno težje prepoznati kot goljufije. K uspešnosti ne pomagajo zgolj zdaj že dolgoletne izkušnje in dodatna sofisticiranost ter pretkanost kriminalnih združb, temveč še umetna inteligenca, saj je z njeno pomočjo mogoče ustvariti zelo prepričljive povsem izmišljene, lažne osebe. Ljudje pa najlažje nasedejo, se pustijo prepričati, če so v neposrednem stiku s »človekom«, pomaga pa še določena mera ustvarjanja časovnega pritiska (»češ, urediti je treba hitro«).
Tudi če bi res morali kaj plačati, se nikoli ne mudi tako zelo, kot poskušajo ustvariti vtis prevaranti. Ustvarjanje panike, »če ne bom plačal takoj, bo prepozno,« je zgolj del taktike spletnih prevarantov, da vas zavedejo.
Pri tej obliki prevar gre za poskuse vplivanja na človekovo psiho, ne za zlonamerno kodo, izsiljevalski virus, »trojanca« ali sploh karkoli tehnološkega, kar se bo samo zagnalo in povzročilo škodo.
Elektronska pošta, lažne spletne strani, SMS-i, klepetalne aplikacije ali družabna omrežja so zgolj komunikacijski kanali, po katerih prevaranti pridejo do vas, poskušajo pridobiti pozornost, povzročiti nelagodje, tudi strah, in vas na osnovi tega pripraviti do vpisovanja podatkov, ki jih v nobenem primeru ne bi smeli razkrivati, še manj posredovati komur koli.
Banke, dostavne službe, spletne trgovine in kdor koli drug vas ne bo nikoli prosil, da mu pošljite ali nekam vpišite številko plačilne kartice, morda še kakšne druge podatke, ki lahko nekomu odprejo dostop do vaše spletne ali mobilne banke.
Kako prepoznati phishing prevaro?
Obrat pri najbolj pogostih načinih prevar in napadov je skoraj zagotovo povezan s tem, da manj uporabljamo osebne računalnike, na katerih je mogoče poganjati zlonamerne programe (ne da bi uporabniki to opazili, dokler ni že prepozno), temveč pretežno mobilne naprave, ki so glede tega manj podprte. Zato morajo goljufi uporabnike prepričati, da jim sami posredujejo podatke.
T. i. socialni inženiring se običajno začne s sporočilom, ki deluje bolj ali manj avtentično, kot bi ga dejansko lahko poslala banka, dostavna služba, pošta, resnični kupec rabljenega izdelka, ki ga prodajamo, poslovni partner in podobno. Nadaljuje pa se lahko s telefonskim ali celo videokonferenčnim klicem. Vse z namenom, da bi posameznika prepričali, naj jim posreduje informacije, ki jih želijo, da lahko izpraznijo njegov bančni račun ali limit na bančni kartici.
Tovrstna sporočila so nekoč prihajala pretežno po elektronski pošti, morda še po SMS-ih, zdaj pa so vse bolj pogosta v klepetalnih storitvah, kot je Whatsapp in še nekaterih sodobnih komunikacijskih kanalih.
Vedno je treba natančno pogledati in preveriti, kdo je pošiljatelj. Pri e-poštnih sporočilih se običajno da dokaj hitro razbrati, ali prihajajo s pravega naslova ali s kakšnega sumljivega. To je se sicer mogoče nekoliko prikriti oz. ponarediti, vendar skoraj vedno kakšen detajl izda neavtentičnost. Pri »bančnih« in tudi drugi sporočilih je lahko dober pokazatelj že to, na katerega od vaših naslovov pridejo. Če ga dobite v nabiralnik e-pošte, s katero niste prijavljeni pri določeni storitvi oz. je banka ne pozna, potem takoj veste, da gre za poskus prevare.
Ne klikajte na povezave v sporočilih, za katere niste povsem prepričani, da so avtentična. Prav tako nikamor ne vpisujte številk bančnih kartic in drugih občutljivih podatkov, razen ko kaj kupujete v preverjenih spletnih trgovinah ali sklepate digitalne naročnine.
Različne vrste phishing prevar
Lažna bančna sporočila
Bančna in podobna sporočila, denimo od domnevnega ponudnika, kjer zelo verjetno res imate shranjene podatke o bančni kartici, so prisotna že zelo dolgo, in očitno jim še vedno naseda dovolj ljudi, da se njihovo razpošiljanje še naprej obrestuje. Vedno so lažna.
Nihče vas ne bo nikoli »preventivno« prosil, da pregledate in popravite podatke o karticah.
Tudi če je kakšna od njih pretekla, boste to urejali, ko bo čas za naslednje plačilo. Torej pri naslednjem nakupu v dotični spletni trgovini ali ko morda samodejno plačilo naročnine ne bo uspešno. Pri naročninah vsak mesec dobite e-pošto, da je bila plačana. Če bo en mesec prišlo obvestilo, da plačilo ni bilo uspešno, in bo na videz enako prejšnjim, ste lahko skoraj zagotovo prepričani, da je avtentično. Vendar v njem ne bo povezave na obrazec za vnos novih podatkov, temveč vas bo ponudnik pozval, da se na spletu prijavite v svoj uporabniški račun oz. odprite aplikacijo na telefonu, in tam zamenjajte podatke o kartici. Ko boste storili to, bo v mobilno denarnico na telefonu prišla še zahteva po odobritvi transakcije, kjer znova lahko preverite, da je zadeva legitimna in da je znesek pravi.
Banka vas ne bo nikoli po e-pošti pozivala k čemur koli. Če je treba kaj urediti v povezavi z osebnimi podatki, vas bodo poklicali, in dogovorili se boste za obisk pri svetovalcu, kjer boste uredili vse potrebno.
Lažna obvestila o dostavi
Prevare z obvestili o dostavi so izjemno pogoste. Sporočila običajno navajajo, da morate za dostavo paketa plačati nekaj evrov, in če slučajno verjamete ter vnesete podatke, s tem goljufom omogočite, da vam poberejo še veliko višji znesek od navedenega v obvestilu. Pri takih sporočilih obstaja zelo velika verjetnost, da v resnici ničesar niste naročili in ne pričakujete.
Če bi vam kdo kaj poslal brez vaše vednosti, potem ne bo zahteval plačila poštnine oz. dostave. Če pa ste res kaj naročili, ste verjetno dostavo že plačali v spletni trgovini, ali pa jo boste potem, ko vam blago pripeljejo.
Prevare pri nakupih v spletnih oglasnikih
Vse več je v zadnjem času poskusov prevar pri prodaji blaga v spletnih oglasnikih in še posebej v za to namenjenem oddelku najbolj priljubljenega družabnega omrežja (Facebook Marketplace). Goljufi se odzovejo na oglas s predlogom, da bodo oglaševan izdelek kupili in plačali »prek avtomata Pošte Slovenije,« ki tovrstnih plačilnih avtomatov sploh nima. Za to naj bi jim morali posredovati podatke o bančni kartici in potem še potrditi prejem nakazila v aplikaciji (mobilni denarnici). Vedite, da gredo nakazila zgolj na bančni račun, nikoli na kartico.
S telefonom potrdite zgolj in samo transakcije, ki ste jih sami sprožili. Za prejem denarja nikoli ni potrebna potrditev.
Tisti, ki urejate strani na platformi Facebook, in na njej sponzorirate objave za njihov večji doseg, ste skoraj zagotovo že dobili kakšno lažno opozorilo, da je z vašimi objavami ali uporabniškim računom nekaj narobe. Prezrite jih, kajti prihajajo iz čudnih naslovov (in morda tudi na napačne), in vas želijo zgolj zavesti, da bi znova komu zaupali finančne podatke, ali morda podatke za dostop do računov, s čimer bi vam ukradli identiteto ter morebiti pomemben poslovni kanal.
Direktorske prevare
Še ena zelo pogosta in tudi najbolj donosna oblika ribarjenja so t. i. direktorske prevare. Pri teh prevaranti »pritiskajo« na nekoga v podjetju, lahko je tajnica direktorja, finančnik ali kdo drug, naj hitro nakaže določeno vsoto denarja – pogoste gre za milijonske zneske – za plačilo tega ali onega blaga ali za kakšen drug fiktivni namen. Tu običajno uporabljajo taktike, da pošljejo sporočilo takrat, ko imajo ljudje običajno največ e-pošte, skozi katero se morajo prebiti, in so zaradi tega manj pozorni. Lahko tudi kličejo in pozivajo k plačilu, najnovejša oblika je celo videokonferenca z »direktorji«, ustvarjenimi popolnoma z umetno inteligenco.
Pri tovrstnih nakazilih je treba biti še posebej previden in počasen, kajti v vseh primerih tovrstnih goljufij velja, da potem, ko vam poberejo denar ali ga celo sami nakažete, s ciljnih računov takoj izgine, saj ga v trenutku prenakažejo naprej, t. i. mule pa ga, kolikor je le mogoče, dvignejo na bankomatih. Tudi če bi storilce prijeli, denarja za povrnitev oškodovancu zelo verjetno že zdavnaj ne bi bilo več. Tisti, ki nasedejo, tako žal veliko možnosti, da bi dobili škodo povrnjeno, nimajo.
Vsekakor je treba morebitni tovrsten primer takoj prijaviti policiji in tudi nacionalnemu odzivnemu centru za kibernetsko varnost SI-CERT, še prej pa klicati svojo banko, če morda še lahko ustavi nakazilo oz. ga zahteva nazaj od banke, kamor je šlo. Znotraj nekaj minut obstaja majhna verjetnost, da se odliv denarja še prepreči, kasneje pa je žal prepozno.
Članek izraža stališča avtorja in ne nujno tudi stališč Zavarovalnice Triglav, d.d.
Ob skrbi za varno obnašanje na spletu pa je priporočljivo, da naredite še en korak, ki vam bo v primeru kibernetskega incidenta pomagal povrniti računalnik oziroma informacijski sistem v prvotno stanje in omiliti finančno škodo. To je zavarovanje kibernetske zaščite. Sklenete ga lahko
pri zastopniku, z nekaj kliki pa tudi
preko spleta.
Spletna varnost, spletno nakupovanje, zavarovanje kibernetske zaščite, osebne finance, preventiva