Kad klik postane opasan: Stručnjak objašnjava kako izbjeći internetske prijevare

Phishing napadi

- Živimo u dobu gdje iz dana u dan imamo sve više digitalnih usluga - komuniciramo s državom, obavljamo platni promet..., većina naših aktivnosti odvija se u digitalnom svijetu i povećanjem količine tih različitih usluga kriminalci su prepoznali da je to novi prostor u kojem mogu ostvariti neku korist, rekao je Morić.

Jedan od najčešćih oblika internetske prijevare i dalje su tzv. phishing napadi, u kojima prevaranti putem e-maila ili poruka pokušavaju navesti žrtvu da otkrije svoje podatke ili klikne na zlonamjerni link.

- Ako vam dođe poruka o nečemu što vas uopće ne zanima, vi ćete to ignorirati. S vremenom su ti napadi evoluirali na način da se više ne napada sve, nego određena skupina ljudi. Tu skupinu definiraju na osnovi informacija koje ljudi ostavljaju na internetu, grupiraju ih i onda prilagode poruku tako da je veća vjerojatnost da će osoba kliknuti na nešto, ističe Morić.

Dodaje kako se posljednjih nekoliko godina pojavio se i novi trend – napadi usmjereni na pojedinca.

- Ono što je trend zadnjih pet do šest godina je evolucija tzv. spear phishinga, gdje se ne cilja samo grupa nego pojedinac. Kriminalci prikupe veliku količinu podataka o nekoj osobi i onda prilagode poruku. Primjerice, ako osoba prati sport, u phishing poruci bit će sadržaj vezan upravo uz sport, pojašnjava.

Napadi na kompanije

Na pitanje koliko su česti napadi na kompanije i institucije u odnosu na građane te kako kriminalci dolaze do velikih iznosa novca, Morić kaže da postoji više načina na koje se takvi napadi provode.

- Kriminalci mogu doći do novca na više načina, a ono što je jako bitno jest da taktike, tehnike i procedure koje koriste evoluiraju iz dana u dan. Oni su kao i bilo koja druga kompanija – kada izbaciš neki proizvod na tržište gledaš kako ljudi reagiraju. Ako nije prihvaćen, unapređuješ ga. Kriminalci rade isto: pronađu jedan način napada, a ako vide da nema odaziva, mijenjaju ga i prilagođavaju, rekao je.

Prema globalnim statistikama, velik broj kibernetičkih napada započinje upravo jednostavnom prijevarom putem elektroničke pošte.

- Ako gledamo globalne statistike, u više od 70 posto napada jedna od početnih faza bio je phishing. Napadači su iskoristili e-mail poruku kako bi prevarili zaposlenika unutar kompanije da klikne na neki link ili ostavi svoje podatke, objašnjava.

Takve informacije napadačima često služe kao prvi korak za ulazak u sustav organizacije.

- Dobit mogu ostvariti na više načina i tu također vidimo evoluciju koja se dogodila. Prije desetak godina, kad bi kompromitirali neku organizaciju, šifrirali bi sve podatke unutar nje i tražili otkupninu za ključ koji omogućuje vraćanje tih podataka, rekao je, te dodao da su s vremenom shvatili da takav model nije uvijek uspješan.

- Odaziv na takve kampanje bio je jako nizak. Velik broj organizacija jednostavno nije platio, nego su rekli: imamo sigurnosne kopije i vratit ćemo podatke iz njih, uz eventualno manji gubitak.

Zbog toga su kriminalci promijenili strategiju.

- Danas, uz šifriranje podataka, te podatke i ukradu. Ako žrtva ne želi platiti, prijete da će ih javno objaviti. Ovisno o kakvim je podacima riječ, kompanije razmišljaju da bi, ako se ti podaci objave, mogle dobiti velike kazne ili pretrpjeti ozbiljnu reputacijsku štetu. Ako je iznos koji kriminalci traže manji od potencijalne kazne ili štete, neke kompanije odluče radije platiti, objašnjava Morić.

Sigurna riječ

Stručnjak za kibernetičku sigurnost Zlatan Morić upozorava da napadači koriste sve oblike komunikacije – SMS, WhatsApp, telefonske i čak video pozive.

Ističe kako u zadnje vrijeme dosta popularni postaju i video pozivi, koje je često vrlo teško detektirati.

- Već imamo slučajeve gdje je iskorištena umjetna inteligencija – s pet minuta audio zapisa moguće je napraviti model koji simulira glas određene osobe. Danas, kad zaposlenik dobije e-mail u kojem ga se traži da napravi nešto što nije po proceduri, vjerojatno će posumnjati da je riječ o phishingu. Ali ako ista osoba dobije telefonski poziv, vidi na telefonu da ga zove njegov šef i čuje glas šefa koji traži nešto, kako to prepoznati? Jako teško, upozorava Morić.

Jedini način da se zaštite od ovakvih napada, prema njemu, jest uvođenje sigurnih riječi.

- Ako netko traži novac ili neki hitan zadatak preko telefona, a radi se o članu obitelji ili nadređenom, unaprijed treba definirati sigurnu riječ – nešto što samo vi i ta osoba znate. Tehnike umjetne inteligencije neće moći znati tu sigurnu riječ, ističe.

Internetska kupovina

Kad je riječ o online kupovini, Morić kaže kako je jedan od prvih alarma da nešto nije u redu - nerealno niske cijene, kratkotrajne ponude ili ekstremne popuste.

- To ne znači uvijek da je riječ o prevari, ali svakako zahtijeva dodatnu provjeru, kaže.

Dodaje da ako imate sumnju, postoje načini da se dodatno uvjerite:

Provjerite koliko dugo web trgovina postoji na internetu.

- Ako web stranica ima milijune proizvoda, a domena je registrirana prije samo nekoliko dana, velika je vjerojatnost da je riječ o lažnoj trgovini, objašnjava.

Koristite službene provjere, poput servisa Certify, kojeg vodi Nacionalni CERT u suradnji s CARNet, Ministarstvom unutarnjih poslova i Ministarstvom gospodarstva.

- Na toj stranici možete upisati naziv webshopa ili domene i dobit ćete povratnu informaciju je li po njihovim saznanjima riječ o legitimnoj trgovini ili lažnoj stranici, kaže Morić.

- Postoje alati i metode kojima se može smanjiti rizik. Samim time, važno je uvijek biti oprezan i provjeravati sumnjive ponude prije nego što unesete svoje podatke ili izvršite uplatu, zaključuje.

Što učiniti ako postanete žrtva internetske prijevare

A ako postanete žrtva internetske prijevare, brza reakcija je ključna.

- Što prije reagirate, to bolje. Ako je prijevara vezana uz financije, važno je odmah obavijestiti banku ili financijsku instituciju preko koje se odvija transakcija. Najvažnije je što prije obavijestiti policiju. Ako prijavite prijevaru dovoljno brzo, u suradnji s drugim policijama moguće je ponekad i zaustaviti transakcije prije nego što novac nestane, objašnjava.

Ipak, postoji izazov u radu policije kada je riječ o kibernetičkim napadima i prevarama.

- Kriminalci koriste razne infrastrukture, a ne postoji globalni zakon koji bi jasno definirao kaznenu odgovornost na internetu. To policiji otežava posao. Često kriminalci ciljaju male iznose – recimo 50 dolara – jer znaju da će policija teško reagirati, ali kada se ti mali iznosi zbroje, ukupna zarada može biti ogromna, ističe.

Primjerice, "danas imamo jako velik broj prijevara vezanih uz kartično poslovanje, gdje netko ukrade podatke s kreditne kartice i napravi trošak od nekoliko stotina eura. Kada se takvi napadi ponove tisuće ili milijune puta, zarada je značajna. Pojedinačno, kada to prijavite policiji, oni to evidentiraju, ali često zakonski ne mogu odmah djelovati zbog malog iznosa", dodaje.