Prevaranti postaju sve sofisticiraniji u phishing napadima i šire ih brojnim kanalima s ciljem manipulacije ljudi kako bi došli do njihovih povjerljivih podataka.
Phishing je jedna od metoda socijalnog inženjeringa odnosno napada na sigurnost informacijskih sustava koji su usmjereni na čovjeka, a ne na tehniku.
O vrstama phishinga možete više pročitati u CERT.hr publikaciji #SurfajSigurnije
Smishing i vishing su vrste phishing napada kojima napadač pokušava namamiti žrtve putem SMS poruka i glasovnih poziva. Oslanjaju se na iste emocionalne privlačnosti korištene u tradicionalnim phishing prijevarama i osmišljeni su da vas potaknu na hitnu akciju. Razlika je samo u načinu isporuke.
“Kibernetički kriminalci mogu primijeniti tehnike manipulacije koristeći razne oblike komunikacije dok temeljni princip ostaje isti”, pojašnjava voditelj programa podizanja svijesti o sigurnosti Stu Sjouwerman, izvršni direktor KnowBe4. “Namamiti žrtve mamcem, a zatim ih uhvatiti kukama.”
Što je smishing?
Definicija: Smishing (SMS phishing) je vrsta phishing napada koja se provodi pomoću SMS-a (Short Message Services).
Kao i phishing putem e-pošte, smishing poruke obično uključuju prijetnju ili poziv za klikanje na vezu ili pozivanje broja te otkrivanje osjetljivih podataka. Ponekad predlažu instalaciju nekog sigurnosnog softvera, koji je ustvari zlonamjerni softver.
Primjer: Tipična smishing tekstualna poruka mogla bi sadržavati nešto poput: “Vaš ABC bankovni račun je zaključan. Kako biste otključali račun, kliknite ovdje: https://bit.ly/2LPLdaU” i pružna poveznici se nalazi zlonamjerni softver koji se ubacuje u uređaj. Prevaranti su također prilagodljivi prema mediju koji koriste, pa bi se mogla javiti tekstualna poruka koja kaže: “Je li ovo zaista vaša slika? https://bit.ly/2LPLdaU” i ako kliknete na tu poveznicu kako biste to saznali, ponovno preuzimate zlonamjerni softver.
Što je vishing?
Definicija: Vishing (voice phishing) je vrsta phishing napada koja se izvodi telefonom i često cilja korisnike usluga Voice over IP (VoIP) kao što je Skype.
Prevarantima je jednostavno lažirati ID pozivatelja, pa se čini da oni zovu s nekog lokalnog koda ili čak iz organizacije koju poznajete. Ako se ne javite, ostavit će poruku govorne pošte sa zahtjevom da ih nazovete. Ponekad će takve prijevare upotrijebiti službu za odgovaranje ili čak telefonski centar koji nije svjestan počinjenog zločina.
Cilj je isti – dobiti podatke o kreditnoj kartici, rođendanima, prijavama na korisničke račune, a ponekad samo prikupljanje brojeva telefona iz vaših kontakata. Ako se javite ili nazovete, može se javiti automatizirana poruka koja će vas natjerati da predate podatke i većina to neće dovoditi u pitanje, jer automatski prihvaća telefonske sustave kao dio svakodnevice.
Kako spriječiti smishing i vishing?
Danas smo malo oprezniji s e-poštom, jer smo navikli primati neželjenu poštu i prijevare, no tekstualne poruke i pozive mnogi još uvijek smatraju legitimnijima. Kako sve više obavljamo kupovinu, bankarstvo i druge aktivnosti na internetu putem naših telefona širi se i mogućnost prijevara. Kako ne biste postali žrtva, morate se zaustaviti i razmisliti.
“Zdrav razum je najbolja praksa i trebao bi biti prva linija obrane od online ili telefonske prijevare”, kaže Sjouwerman.
Iako su savjeti o tome kako izbjeći phishing prijevare napisani najčešće u slučajevima prijevara putem e-pošte oni se odnose i na ove nove oblike phishinga. U osnovi je preispitivanje povjerenja kao dobar početak. Nikada ne dodirujte ili klikajte na poveznice u porukama, provjerite brojeve ili adrese web sjedišta te ih sami unesite. Nemojte davati nikakve podatke pozivatelju, osim ako niste sigurni da su legitimni – uvijek ih možete povratno nazvati.
Bolje je biti siguran nego zažaliti, zato uvijek griješite s ciljem opreza. Nijedna organizacija vam neće zamjeriti jer ste prekinuli poziv, a zatim ih izravno nazvali (nakon što ste i sami provjerili broj s kojeg vas zovu) kako biste bili sigurni da su zaista oni koji kažu da jesu.
Stalno osvježavajte svoju svijest o sigurnosti
Iako je savjet “Budite stalno na oprezu” dovoljan za pojedinca u svakodnevnom životu, realnost je da su ljudi na radnom mjestu često neoprezni. Oni mogu biti ometani, pod pritiskom i željni da se prime svog posla, a prijevare mogu biti prilično pametne. Što ako SMS izgleda kao da dolazi od predsjednika uprave, ili se čini da je poziv došao od nekoga iz ljudskih resursa? Možete ojačati svoje zaposlenike i pojačati obranu pravom obukom i jasnim politikama.
Svaka bi tvrtka trebala imati neku vrstu obaveznog, redovitog programa obuke o sigurnosti. To može uključivati najbolje prakse za opću sigurnost, ali također definirati politike, poput one s kim kontaktirati u slučaju nečeg sumnjivog ili pravila o načinu na koji će se postupati s određenim osjetljivim komunikacijama, što omogućava da se pokušaji prijevare znatno lakše uoče.
Ako pretrpite bilo koji oblik phishinga, unesite promjene da se više ne ponovi – također biste trebali unaprijediti svoju sigurnosnu obuku.
Većina smishing i vishing napada ostaje neprijavljena što olakšava posao kibernetičkim kriminalcima. Dok ste vi možda dovoljno pametni da zanemarite posljednji sumnjivi SMS ili poziv, možda će Ivana iz Računovodstva ili Josip iz Ljudskih resursa postati žrtva. Ako imate sustav za prijavu ovih pokušaja napada, a možda čak i malu nagradu za to, onda postoji i način da upozorite druge.
Kako se phishing nastavlja razvijati i pronalaziti nove vektore napada, moramo biti budni i neprestano ažurirati naše strategije za borbu protiv toga.