Phising

Datum: 01.10.2012

Avtor: Mojca Havliček

Kraj objave: Računalniške novice

Phishing je dejanje poskusa pridobiti podatke, kot so uporabniška imena, gesla, podatki o kreditni kartici in včasih, posredno, tudi denar. Dejanje je maskirano v elektronskih komunikacijah zaupanja vredno osebo in v večini primerov niti ne vemo, da smo žrtev.

Storilci praviloma najprej postavijo lažno spletno stran, ki je zelo podobna pravi, nato pa z lažnim elektronskim sporočilom poskušajo izvabiti bodisi obisk te strani ali kar takoj pridobiti podatke z odgovorom na to sporočilo. Običajno nas poskuša storilec z elektronskim sporočilom speljati na lažno stran banke ali spletne storitve, običajno kot izgovor, da se moramo zaradi preverjanja podatkov ali dodatnih ugodnosti prijaviti in preveriti podatke.

V osnovi je phising namenjen kraji podatkov za dostop do elektronskega bančništva, vendar imajo določeno vrednost tudi drugi podatki. Tak najbolj tipičen podatek je uporabniško ime in geslo za dostop do elektronskega predala. Večina spletnih storitev zahteva registracijo, kjer spletni uporabnik izbere uporabniško ime oz. vpiše svoj elektronski naslov in določi geslo. V primeru, da je geslo pozabljeno, spletno mesto na vpisani elektronski naslov pošlje novo geslo. Tisti, ki ima dostop do poštnega predala spletnega uporabnika, lahko v njegovem imenu dostopa tudi do storitev, za katere je pri registraciji navedel elektronski naslov predala.

KAKO PREPOZNATI PHISING ELEKTRONSKO POŠTO

Pri lažnih elektronskih sporočilih se običajno zdi, da prihajajo iz dobro znane organizacije, ki prosi za vaše osebne podatke, kot so npr. številka kreditne kartice, številka računa, geslo itd. Phising poskusi pogosto prihajajo s strani s spletnih strani, storitev in podjetij na katerih spletni uporabnik sploh nima ustvarjenega spletnega računa.

Da bi spletni kriminalci uspešno prišli do osebnih podatkov preko phisinga, mora spletni uporabnik priti na lažno spletno stran preko elektronske pošte. Phising elektronska sporočila skoraj vedno napotujejo na klik na povezavo, ki spletnega uporabnika popelje na spletno stran, kjer se zahtevajo osebni podatki. Legitimne organizacije nikoli ne zahtevajo informacij o spletnem uporabniku preko elektronske pošte.

Generični pozdrav. Lažna elektronska sporočila se pošiljajo v velikih serijah. Da bi spletni kriminalci prihranili čas, uporabljajo generična imena, kot npr. »Draga stranka«, tako da ni potrebno vnašati imen vseh prejemnikov in pošiljati elektronsko pošto eno po eno. Če v elektronski pošti ni imena spletnega uporabnika, je to sumljivo.

Lažna povezava. Četudi je nekje v povezavi ime, ki ga prepoznate, to še ne pomeni, da se povezuje z dejansko organizacijo. S pomikom miške na povezavo je videti ali se ujema s povezavo, ki je prikazana v elektronski pošti. Če se povezavi razlikujeta, potem nanjo ne kliknite. Spletne strani, kjer je varno vnesti osebne podatke, se začnejo s »https«, kjer »s« pomeni varni (secure).

Zahteva osebne podatke. Namen pošiljanja phising elektronske pošte je napeljevanje k posredovanju osebnih podatkov. Če prejmete elektronsko sporočilo, ki zahteva osebne podatke, gre verjetno za poskus phishinga.

Občutek nujnosti. Spletni kriminalci želijo, da se osebni podatki predložijo takoj. To počnejo tako, da dajejo spletnemu uporabniku občutek, da se je nekaj zgodilo in to zahteva hitro ukrepanje. Hitreje, ko dobijo podatke, hitreje se lahko posvetijo novi žrtvi.

KAJ STORITI KOT ŽRTEV PHISINGA

Če so bili izdani podatki o kreditni, debetni ali bančni kartici, je potrebno čim prej prijaviti krajo teh podatkov izdajatelju kartice. Večina izdajateljev ima brezplačno telefonsko številko in 24-urno storitev za ukrepanja v takšnih primerih. Potrebno je preklicati račun in odpreti novega. Uporabnik mora natančno preveriti izpiske bančnih računov in kreditnih kartic. O vsaki sumljivi transakciji je potrebno čim prej obvestiti izdajatelja kartice.

Če ste na lažni spletni strani dali svoje osebne identifikacijske podatke, kot so ime, priimek, davčna številka, EMŠO številka ali drugi podatke za ugotavljanje istovetnosti, obstaja sum kraje identitete. Kraja identitete je kaznivo dejanje, za katerega je zagrožena zaporna kazen od treh mesecev do treh let. Za pregon je potrebno vložiti pisno ali ustno ovadbo na pristojno državno tožilstvo ali policijo. Obvestiti je potrebno tudi izdajatelja kartic in postopati na že zgoraj opisan način. Potrebno je preveriti, če so bili odprti bančni računi brez soglasja siceršnjega imetnika bančnih računov. Ravno tako je potrebno obvestiti vse druge izdajatelje kartic in dovoljenj: izdajatelja zdravstvene kartice, osebne izkaznice, potnega lista, vozniške dovoljenja ipd.

KAKO SE IZOGNITI PREVARI

Potrebno se je naučiti prepoznavati elektronsko pošto, ki je namenjena prevari. Na elektronska sporočila, ki zahtevajo osebne in finančne podatke, nikoli ne odgovarjajte. Ne klikajte na povezave v  elektronski pošti, ki se zdijo kot prava povezava do vaše banke. Osebnih in finančnih podatkov ne pošiljajte preko elektronske pošte. Ob prijavi na spletne strani, ki imajo na kakršen koli način opraviti z denarjem, njihov spletni naslov vtipkajte direktno v naslovno vrstico. Potrebno je redno preverjati izpiske bančnih računov in kreditnih kartic. Lastnik kartice mora biti pozoren tako na transakcije, ki jih je izvršili prek spleta, vendar niso zavedene na izpisku, kot na tiste, ki jih ni izvedel, vendar so prikazane na izpisku. Redno nameščajte varnostne popravke operacijskega sistema, uporabljajte in redno posodabljajte protivirusne programe, ne nameščajte programov s sumljivih spletnih mest in ne odpirajte sporočil neznanih pošiljateljev.

 

Mojca Havliček

Svetovalka v podjetju Eudace d.o.o.

 

 Phising - Kako se izogniti prevari.pdf