Informaciona bezbjednost Internet cyber security

phishing-scams

Phishingom nazivamo sve pokušaje krađe identiteta putem lažnih poruka elektronske pošte, instant messengera i web sajtova. Uglavnom se otimaju korisnički nalozi na instant messenger servisima i e-mail nalozi radi (najčešće bezopasnog) oglašavanja i daljnjeg viralnog širenja lažnih poruka, ali phishing vam može napraviti i ogromnu materijalnu štetu ako ste povjerili svoje PIN-ove, brojeve kreditnih kartica i slične važne lične podatke. Iako ne postoji način da se predvide sve metode na koje neko može pokušati ukrasti podatke, ovim tekstom pokušaćemo vam raskrinkati one najčešće te opisati načine kako ih je lako identifikovati i izbjeći.

Glavni savjet koji vam možemo dati, ma koliko paranoično izgledao, jeste: sumnjajte u sve!

Instant messengeri i e-mail

Phishing se instant messengerima širi prilično brzo jer igra na ljudsku najveću slabost – znatiželju. Phishing e-mailom malo je rjeđi jer većina e-mail servisa automatski filtrira većinu takvih poruka. Najučestaliji pokušaj phishinga putem e-maila je poruka u kojoj se od vas zahtijevaju pristupni podaci jer će vam nalozi u protivnom biti isključen ili obrisan. Naravno, autori poruke predstaviće se kao administratori, direktori i tome slično. Ovu prevaru možete lako prepoznati – nikad vas ni jedan servis neće tražiti vaše lične podatke. To ste već ionako mogli provjeriti pri registraciji, pa se smatrajte upozorenim.

IM phishing poruke najčešće se sastoje od hiperlinka do neke stranice koja će, kako bi vas uvjerila u vjerodostojnost, sadržavati e-mail ili ime osobe sa čijeg ste naloga dobili poruku, uz tekst koji će vas pokušati nagovoriti da stranicu i otvorite. Poruke su tipa “Pogledaj, na ovoj stranici neko objavljuje tvoje slike” i u 99 odsto slučajeva na engleskom su jeziku, što vam odmah može biti sumljivo ako se radi o nekome s kime inače ne komunicirate na stranim jezicima. Nadalje, te su poruke rijetko ispravno napisane, pa obratite pažnju na spelling i gramatiku.

Bitno je spomenuti da sam klik na hiperlink nije opasan. Klasična phishing stranica je zapravo dosljedna kopija neke prave stranice za prijavu. MSN phishing odvesće vas na stranicu koja je kopija službenih MSN stranica, ili će izgledati poput Live Messengera, a sve su češće i lažne Gmail stranice za prijavu. Tamo ćete biti obaviješteni da, ako želite vidjeti obećane slike, morate unijeti svoj e-mail i lozinku. Ako ih unesete, nećete dobiti svoje slike, već će vam stranica javiti neku grešku (npr. da ste krivo upisali svoje podatke), a ti će podaci biti poslani zlonamjernom programeru stranice koji s njima može raditi šta god želi. Ako slučajno nasjednete na ovaj način phishinga, najbolje što možete napraviti jest da promijenite lozinku čim shvatite da je u pitanju prevara jer će tako podaci koje ste dali biti netačni i beskorisni. Naravno, pristupne lozinke uvijek treba redovno mijenjati, barem za stranice koje su važnije i sadrže neke lične podatke. Takođe, kada vam od nekoga stigne phishing poruka, što prije obavijestite tu osobu da je žrtva phishinga i savjetujte joj da odmah promijeni svoju pristupnu lozinku za taj servis.

Phishing na Webu

Šansa da će vas phishing web stranica zavarati mnogo je veća ako na nju naiđete sami, bez da vas je iko “pozvao”. Provjera adrese (u polju address vašeg omiljenog web pretraživača) najlakši je i najbezbjedniji način provjere jeste li zaista na stranici na kojoj mislite da jeste. Bilo bi dobro da se upoznate s adresama stranica (npr. vaše banke) koje zahtijevaju prijavu i prije samog prijavljivanja bacite pogled na address bar, kao i na ostatak stranice. Jedna je lažna Gmail stranica, na primjer, u naslovu imala krivi spelling – “Gmial”.

Naravno da se Googleu to ne bi dogodilo. Neki provideri dosjetili su se dodatnih mjera zaštite, pa je tako na Yahoo! Mailu moguće napraviti tzv. “seal” ili “pečat”. Pečat nije vezan uz vaš nalog, već uz računar, a biće vam prikazan na stranici za prijavu. Ako ga nema, provjerite je li stranica uistinu Yahoo! Mail ili je riječ o phishingu. Izrada Yahoo-ovog pečata jednostavna je i neće vam oduzeti više od nekoliko minuta, a dodatna zaštita koju vam nudi nije za odbaciti.

Ko drugom jamu kopa…

Dok se gore navedeni primjeri phishinga zasnivaju na znatiželji i brzopletosti korisnika, postoji još jedna ciljna grupa phishinga – ljudi koji i sami žele raditi štetu. Neprebrojiva je količina web sajtova koje će vas uvjeravati da se baš uz njihovu pomoć možete probiti do naloga vašeg prijatelja na Facebooku, MySpaceu, Twitteru i slično. Za izradu phishing stranice ne treba skoro nikakvo predznanje – uz malo proučavanja JavaScripta i PHP-a vjerovatno je u jednom danu moguće sačiniti uvjerljivu stranicu, a uz dobru priču nekome je i “prodati”.

Zato budite oprezni i ne vjerujte tim stranicama jer stvari nisu tako jednostavne. Sve te stranice imaju zajedničko obilježje – tražiće vaš e-mail i lozinku te, kako bi vas uvjerili da će stvarno pokušati probiti lozinku vašeg prijatelja, njegov e-mail ili korisničko ime. Vaš prijatelj možda bi mogao dobiti e-mail koji će i njega probati navući na odavanje svojih podataka, ali ono što je sigurno jeste da ste vi svoje podatke već nekome odali. Zato, dobro promislite isplati li se drugima raditi štetu – neke se narodne poslovice savršeno preslikavaju na cyber prostor.

NAPOMENA: Ako želite da promovišete link u ovom članku, javite mi.

Ako vam se ovaj članak dopao, lajkujte FB stranicu DM Spot, Twitter ili LinkedIn i budite obavješteni kad novi članak bude objavljen.