Što je phishing, zašto je opasan i kako se zaštititi?
Što je to phishing?
Phishing (modificirani oblik engleske riječi “fishing” = pecanje) je pokušaj prevare nekoga da pruži svoje osobne podatke (bilo da su to vjerodajnice računa, brojevi kreditnih kartica ili drugi osjetljivi podaci) predstavljajući se na prijetvoran način kao pouzdana institucija ili pojedinac kojima su podaci potrebni u legitimne svrhe.
Jednostavan primjer krađe identiteta funkcionirao bi ovako:
- Primite e-poštu s logotipom Vaše banke na vrhu e-pošte. U emailu piše da je Vaša lozinka onemogućena zbog više neuspjelih pokušaja prijave. Kaže da im je sigurnost računa vrlo važna i da sada morate vratiti pristup svojem računu klikom na umetnutu poveznicu (link).
- Kliknete na link te ste usmjereni na web stranicu koja izgleda potpuno isto kao stranica Vaše banke, pa nastavljate i upisujete svoje korisničko ime i lozinku. Nakon toga, primjećujete da Vas sustav ne prijavljuje. Umjesto toga, na ekranu možete uočiti neku vrstu pogreške, ali u tom trenutku to doista nije važno, jer…
- …ste ovime phisheru upravo dali pristupne podatke za svoj bankovni račun. On se odmah potom može prijaviti na Vaš bankovni račun, promijeniti lozinku da Vama spriječi daljnji pristup svojem korisničkom računu, te prenijeti Vašu ušteđevinu na drugi bankovni račun.
Ovo iznad je samo primjer. Ali, ukratko, tako funkcionira krađa podataka. Iako su ove prijevare s vremenom postajale sve složenije, uključujući pokušaje putem tekstualne poruke i telefona: „Zdravo, ovo je vaša banka. Moramo s vama razgovarati o važnom pitanju u vezi s vašim računom, ali prvo moramo potvrditi vaš identitet. Navedite svoje korisničko ime i lozinku… ”, općenita svrha i izvršavanje ovih prevara ostaje u osnovi ista.
Phishing – primjer iz prakse
Evo stvarne e-pošte s phishingom koju sam upravo zaprimio. Ovdje je kao pošiljatelj naveden Cpanel, sučelje za pojednostavljeno upravljanje websiteom i serverom:
Slika iznad: Pokušaj phishinga
Kako uočiti pokušaje krađe osobnih podataka
Svi znamo da na internetu postoje ljudi koji žele ukrasti naše osobne podatke iz bilo kojeg podlog razloga. Ponekad žele prijavu na naš bankovni račun, što ima smisla, ali drugi put žele nešto što možda ima manje smisla, poput prijave u facebook, LinkedIn ili Cpanel sučelje. Bez obzira na razloge koji motiviraju te ljude, svaki pokušaj da vas navedu na pružanje informacija koje traže naziva se krađom identiteta.
Phishing se pojavljuje u mnogim oblicima. Ovdje navodimo neka najpopularnija. Također ćemo vam pružiti znanje potrebno za prepoznavanje i zaštitu od tih pokušaja: kako Online, tako i u stvarnom životu.
Kako se zaštititi od krađe identiteta
Kao što vidite, phisheri vas mogu pokušati prevariti na više načina, ali imajte na umu nekoliko temeljnih stvari koje će vas zaštititi i spriječiti bilo koji phisher da to iskoristi.
- Uvijek uzmite u obzir izvor. Zaprimljena phishing e-pošta najčešće dolazi s nasumične email adrese. Međutim, katkad se događa da na prvi pogled i taj element izgled vrlo legitimno. Vratimo se na moj primjer iz prakse, email iz “Cpanela”:
Kao što vidimo iznad u žuto označenom polju, zaista se čini da poruka autentična.
- Nikada ne klikajte na veze koje se nalaze u e-porukama u koje niste 100% sigurni da dolaze iz provjerenog izvora. Ponekad takve poveznice mogu sadržavati izvršne datoteke koje mogu ugroziti bilo koji uređaj koji ste koristili kad ste kliknuli na njih.
- Koristite metodu zdravog razuma ili kvalitetne prosudbe. Ako išta u email poruci izgleda čudno ili neautentično, vjerojatno se radi o pokušaju krađe identiteta. To može uključivati pogrešno napisane riječi, lošu gramatiku ili neobične fraze sadržane u e-porukama “legitimnih” tvrtki. Također, metoda koju sam ja upotrijebio u potpunosti mi uklanja sumnju i sada sam 100% siguran da je ova “Cpanelova” poruka – u stvari pokušaj phishinga:
Detalj u email poruci koji razotkriva phishing
Strelicama sam na slici iznad označio razliku između teksta poveznice iz email poruke – koji mi daje naslutiti da će me klik na tu poveznicu odvesti na Cpanel-stranicu koja će me tražiti da upišem osobne podatke – i stvarnog URL-a na kojeg bi me usmjerio klik na tu poveznicu (insel-1.de/itd).
Usto, primijetio sam i gramatičku pogrešku u jednoj rečenici u zaprimljenom emailu:
As part of our on-going effort to maintain a high level of service and improve the security of our products, cPanel added a new email security features
U crveno označenom dijelu rečenice iznad, ili je član “a” viška, ili bi trebalo pisati “feature” umjesto “features“. Banalne pravopisne pogreške ove vrste vam također mogu pomoći u donošenju odluke o primljenoj e-pošti. Takve se stvari jednostavno ne događaju u autentičnim porukama velikih tvrtki.
Nemojte klikati na poveznice u emailovima nepoznatog porijekla
Radije odite kursorom povrh tog linka i pogledajte što piše u prozorčiću koji će se time pojaviti. U prozorčiću ćete vidjeti gdje ćete zaista biti usmjereni ako kliknete na taj link.
Evo benignog i banalnog primjera ispod. Ako ja napišem da ćete klikom na link ispod biti usmjereni na Indexovu stranicu, to ne znači da će vas klik na tu poveznicu tamo i odvesti. Isprobajte ovdje metodu “hovera” (kursora na) poveznicu ispod, čisto za trening. Na web stranicama se odredišna stranica vidi u donjem lijevom kutu ekrana, nakon što kursorom miša dođete na link.
Kužite princip?
Kada sumnjate, najbolje je obratiti se samo stvarnom navodnom pošiljatelju. Primjerice: nazovite svoju banku i pitajte jesu li vam poslali taj e-mail. Bolje je biti siguran nego kasnije žaliti.
Također, ako želite biti od pomoći tvrtki u čije ime prevarant šalje phishing email, proslijedite im zaprimljenu poruku na njihovu službenu adresu. Na taj način se tvrtke najkvalitetnije bore protiv phishinga što u konačnici štiti sve nas.
Samo za štrebere
A koliko je jednostavno phish-ati nekoga, pogledajte u YouTubeu videu ispod:
Ako imate bilo kakve povratne informacije ili komentare, javite nam. Ovdje smo da pomognemo na najbolji mogući način.
Izvor fotografija: vlastite fotke, Pixabay
