»Če želite še naprej uporabljati aplikacijo banke, posodobite telefonsko številko.« To je eden od primerov SMS-sporočil, s katerimi se skušajo napadalci z zavajanjem dokopati do občutljivih podatkov prejemnika, predvsem gesel, in kreditnih kartic. Dolgo je veljalo, da so pošiljali elektronsko pošto, zadnja leta pa morajo biti spletni uporabniki pozorni še na zasebna sporočila, opozarja Jasmina Mešić iz Nacionalnega odzivnega centra za kibernetsko varnost (SI-CERT).

Katere vrste prevar na spletu so trenutno najpogostejše in najbolj v porastu?

»Lani smo v SI-CERT evidentirali 1665 različnih oblik spletnih goljufij in 1657 napadov z lažnimi sporočili, s katerimi spletni napadalci zavedejo žrtev, da jim sporoči različne občutljive podatke (ribarjenje ali phishing napadi). Letos smo do polletja obravnavali 889 spletnih goljufij in 1858 phishing napadov. Phishing napadi so brez dvoma globalni varnostni izziv številka ena, tudi mi vidimo največji skok ravno v tej kategoriji. Zadnja leta napadalci ne pošiljajo samo elektronske pošte, ampak vse pogosteje pošiljajo SMS-sporočila in druga zasebna sporočila, s katerimi ciljajo predvsem na podatke z naših kreditnih kartic. Takšne prevare imenujemo smishing in so za uporabnike lahko še bolj nevarne, saj je nemogoče preveriti pošiljatelja SMS-sporočila, zelo enostavno pa je potvoriti telefonske številke, da so videti slovenske. Lani smo obravnavali 216 takšnih primerov prevar, kar je petkrat več kot leto prej. Po višini finančnega oškodovanja pa brez dvoma izstopajo kriptoinvesticijske prevare. Izpostavili bi še prevare s skrito naročnino, ki se širijo na družbenih omrežjih. Veliko skrbi med uporabniki povzroči tudi lažno policijsko izsiljevanje, ko dobijo najprej sporočilo, da so v sodnem pregonu, nato pa jim lažni policisti ponudijo rešitev: vse postopke bodo ustavili, če plačajo globo.«

Kaj ljudje najpogosteje spregledamo, da postanemo lahke tarče?

»Glavna mehanizma vplivanja, ki ju uporabljajo spletni napadalci, sta strah in panika, saj je njihov cilj, da nas zmedejo, prestrašijo in nas tako silijo v hipno odločanje. Tako denimo kliknemo na povezavo, ki nam jo pošljejo, in vnesemo številko kreditne kartice, ker nas skrbi, da naš paket ne bo dostavljen. Spletni napadalci še dodatno izkoriščajo informacijsko prezasičenost, saj danes v poplavi različnih sporočil hitro kliknemo na napačno povezavo ali odpremo zlonamerno priponko, kar lahko posledično vodi v zlorabo podatkov.«

3,5 milijona evrov škode v elektronskem bančništvu samo zaradi zlorab elektronskih in zasebnih sporočil je lani obravnavala slovenska policija.

Kako lahko povprečen uporabnik interneta prepozna sumljive povezave, elektronsko pošto ali spletne strani?

»Najbolje se je držati pravila: če ne vemo, zakaj smo prejeli neko elektronsko sporočilo, ne klikamo na povezave v njem in ne odpiramo prilog, pa tudi če je na prvi pogled videti, da je sporočilo poslala znana oseba. Drugi znaki, ki so lahko v pomoč pri prepoznavanju phishing napadov, so neznan ali neobičajen elektronski naslov pošiljatelja sporočila, vsebina sporočila zahteva vaš takojšnji odziv, čudna slovenščina, neobičajni znaki v besedilu sporočila (denimo znak alfa namesto a), povezava vodi na neznan spletni naslov, po vpisu gesla je treba vpisati tudi druge osebne podatke, ki jih sicer ni treba vpisovati. Za lastno varnost na spletu vsaj do neke mere poskrbimo tako, da uporabljamo unikatna in kompleksna gesla, vključimo dvofaktorsko preverjanje, kjer je to mogoče, in poleg gesla vključimo še dodatno enkratno kodo ali prstni odtis. Prav tako ne vnašamo podatkov v obrazce na straneh, kamor nas pripelje neznana spletna povezava v sporočilu. Pred nakupom vedno preverimo spletno trgovino ter ne verjamemo naivno obljubam o hitrem zaslužku in izjemno ugodnih ponudbah prek spleta. Vedno preberemo drobni tisk, preden vpišemo svojo telefonsko številko ali druge osebne podatke, in tako preverimo, komu bodo ti pravzaprav posredovani. Banke, pošta in podobne institucije od vas nikoli ne bodo zahtevale vpisa podatkov o kreditni kartici prek povezave v sporočilu.«

So starejši lažje tarče za spletne prevare?

»Čisto vsi spletni uporabniki smo ranljivi in lahko postanemo žrtev spletne prevare, le pravo vabo mora nastaviti goljuf. Opažamo pa, da še posebno starejši uporabniki bolj zaupajo pošiljateljem, ki pod krinko bank, logističnih podjetij ali celo javnih institucij (na primer Furs, policija) zahtevajo vnos gesel in drugih podatkov. Izpostavljamo tudi druge spletne goljufije, denimo lažne kredite, ljubezenske prevare, kjer prav tako vidimo pogostejše zlorabe ravno med starejšo populacijo, ter zavajajoče oglaševanje nepreverjenih ponudnikov zdravil, prehranskih dopolnil in medicinskih pripomočkov. Na drugi strani so mlajši moški pogosteje žrtve izsiljevanja z intimnimi posnetki (tako imenovani sextortion) in žrtve kriptoprevar. Vse opisane prevare imajo skupno lastnost – manipulirajo s čustvi, proti čemur se ne moremo boriti s programskimi rešitvami, ampak moramo naučiti uporabnike, kako prepoznajo glavne pristope spletnih goljufov.«

Kaj naredimo, če smo v lažno priponko vpisali geslo za facebook ali že nakazali denar?

»Če ste vpisali geslo, ga nemudoma zamenjajte povsod, kjer ste ga uporabljali. Preverite tudi prijave v vaš račun, če so morda do njega že dostopali napadalci. Če ste izgubili dostop, sprožite postopek za ponastavitev gesla oziroma za povrnitev dostopa. Če ste na lažni strani vpisali podatke za dostop do bančnih storitev ali podatke kreditne kartice, takoj stopite v stik z banko; večina kontaktnih centrov deluje tudi ponoči. Ne odlašajte. Veliko phishing napadov se zgodi ob koncu tedna, če boste čakali do ponedeljka, boste lahko ostali brez vseh sredstev na računu.«

Kakšne so napovedi za prihodnost na področju spletnih prevar?

»Naše skoraj 30-letne izkušnje kažejo, da vsako novo tehnologijo, spletno storitev ali vsaj funkcionalnost prej ali slej izkoristijo napadalci, ki skrbno sledijo trendom in tehnološkemu razvoju, izkoriščajo trenutno pozornost uporabnikov in jo preusmerjajo v svoj posel. Zadnje leto na SI-CERT zaznavamo vedno več tako imenovanih deepfake videov, ki zlorabljajo identiteto znanih Slovencev za promocijo različnih kriptoinvesticijskih shem. V enem primeru je šlo celo za računalniško obdelano izjavo predsednice Nataše Pirc Musar, pri čemer goljufi združijo obstoječi videoposnetek s simuliranim, računalniško obdelanim zvokom oziroma govorom. V deepfake posnetku predsednica v zmanipulirani izjavi priča o neverjetni priložnosti za zaslužek, ki jo prinaša nova platforma za trgovanje. Vedno več bo videoposnetkov, ki bodo prepričljivo zlorabljali podobo in glas osebe. Takšne manipulacije so se v angleško govorečem svetu pojavile pred približno letom dni, zdaj pa smo dobili tudi 'lokalne' različice. Prva opozorila so šla v smeri, da bodo deepfake posnetki uporabljeni za ustvarjanje pornografske vsebine, uporabno vrednost pa so našli tudi spletni napadalci. Odpirajo se številne možnosti – zmanipulirani posnetki se lahko uporabijo za zvabljanje novih žrtev v kriptoprevare, izsiljevanje z intimnimi posnetki, direktorsko prevaro, kjer pokliče nadrejeni in zahteva prenakazilo denarja na drug račun …« 

Priporočamo