Ovih dana sve su češće prijave phishing napada, a konkretno se to odnosi na lažne e-mailove poslane s adrese banke, u kojem traže žurnu dostavu informacija radi dubinske analize klijenata koja se provodi u svrhu sprječavanja pranja novca.

- Ukoliko ste dobili takav ili sličan e-mail savjetujemo da prvo provjerite njegovu valjanost prije otvaranja privitka te ukoliko posumnjate da se radi o lažnom e-mailu da isti bez odgađanja izbrišete.

Imajmo na umu, da u slučaju phishinga upravo klikom na privitak koji je u .zip fajlu može početi hakerski napad na organizaciju instalacijom zlonamjernog koda koji će mjesecima pratiti sve aktivnosti na računalu ili mobilnom uređaju uključujući korištenje lozinki, tokena, servera na koje se spajamo i drugo, navode Ines i Marko Krečak iz Feralisa.

Phishing je vrsta cyber-napada, odnosno prijevare pomoću koje napadači žele doći do povjerljivih podataka, uključujući i osobne podatke ili vas navesti da učinite nešto čime ćete biti oštećeni (gubitak podataka, financijska šteta, reputacijska šteta). Najčešća upotreba phishinga radi se uz pomoć e-maila, a postoje i drugi kanali za takve prijevare – telefon ili vishing, SMS poruke ili smishing.

Najčešće u ovakvim slučajevima stiže vam e-mail u kojem netko, odnosno pošiljatelj, traži da kliknete na poveznicu u e-mailu (link) ili da preuzmete privitak, usput navedeni pošiljatelj izgleda potpuno uvjerljivo i vjerodostojno.

Često korišteni opisi ovakvih phishing mailova su: "e-mail sandučić vam je pretrpan te uskoro više nećete moći primati poruke", "poziv na hitno plaćanje", "poruka banke o nepodmirenom dugovanju", "dospijeće paketa na vašu adresu" i slično.

Tri su glavne značajke koje možemo nazvati razlozima za uzbunu:

• NASLOV: Naslov e-poruke će često sadržavati nešto što će izazvati vašu neprimjerenu i ishitrenu reakciju. Na primjer, hitno plaćanje računa ili da morate hitno potvrditi korisnički račun unosom svojih osobnih podataka, poput primjerice korištenja nekog servisa ili aplikacije. Napadači često koriste ovakav pristup čime žele požuriti primatelje (čitajte: vas!) da učine nešto prije nego što su uopće (detaljnije) pregledali sadržaj e-poruke.
• POŠILJATELJ: Ako vam pošiljatelj izgleda nepoznato, ili ako se e-mail adresa pošiljatelja ne podudara s kontekstom sadržaja e-poruke, odmah obratite pozornost i ne klikajte prije provjere.
• SADRŽAJ s POVEZNICOM (link). U našem primjeru imamo poveznicu (link) koju ako "prijeđete" mišem preko nje (BEZ KLIKA!), vidjet ćete da se web mjesto na koje vas želi odvesti uopće ne podudara s domenom pošiljatelja (domena je onaj dio adrese iza znaka "at" (pri, monkey ili @) ili pak s ostalim sadržajem e-poruke.

Savjeti kako ne biste postali žrtvom phishinga:

• Provjerite adresu pošiljatelja. Primjer: Pošiljatelj tvrdi za je iz eBaya, a adresa je [email protected] umjesto "@ebay.com".
• Pregledajte naslov e-poruke. Primjer: "HITNO", "VAŽNO", "UPOZORENJE" i slično. Tko vam zapravo šalje e-mailove s ovakvim naslovima, osim eventualno poznatih osoba poput kolega i šefa.
• Provjerite poveznice. U slučaju da e-poruka sadrži poveznicu, uvjerite se odgovara li domeni pošiljatelja prelaskom miša preko sporne poveznice (hover).
• Povjerite kontekst e-poruke. Primjer: Neki servis traži da izradite novu lozinku (password reset), a vi to niste zatražili.
• Ne otvarajte privitke bez prethodnog provjeravanja svih preduvjeta za sigurno pokretanje datoteke.
• Ne odgovarajte i ne šaljite osobne podatke. Čak i ako ste kliknuli na poveznicu i došli ste do koraka gdje trebate unijeti osobne podatke – stanite! Servisi poput e-Baya, PayPal-a, banke i slično vas neće tražiti da unosite osobne podatke putem linka iz e-maila te uvijek, posebno kada niste sigurni je li poruka legitimna, posjetite stranicu servisa upisom web adrese u tražilicu ili URL te unesite podatke za prijavu i provjerite postoje li poruke takve vrste u vašem sandučiću. Ukoliko ne postoje, ono što je stiglo u vaš e-mail sandučić je gotovo sigurno bio pokušaj phishinga.
• Potražite gramatičke pogrješke. Često e-poruke koje vam stignu od pouzdanih pošiljatelja neće sadržavati gramatičke greške, pogotovo ako ih ima više kroz cijelu poruku. S tim da se na ovo ne možete osloniti, posebno jer su u zadnje vrijeme phishing napadi sve bolji i gramatički ispravni, tako da ako sadržaj e-maila i je gramatički ispravan, ne znači da je e-mail legitiman.
• Ne dajte se prestrašiti! Cyber-kriminalci i razni napadači koriste strah kao oružje da učinite nešto što nije u vašem interesu. Ako vam napadač u e-mailu govori da učinite nešto inače ćete imati negativne posljedice, razmislite je li to zaista tako i provjerite na svaki mogući način radi li se o legitimnoj e-poruci.
• Ako uz sve provjere još uvijek niste sigurni je li pošiljatelj legitiman, a poznajete ga, preporučujemo da dodatno provjerite (možda) pomoću telefonskog poziva i uvjerite se je li sve istinito.

Zaposlenik – najvažnija karika u kibernetičkoj sigurnosti

Neosporna je činjenica da su upravo razina svijesti i znanja o zlonamjernim pokušajima, kao i sposobnost njihovog prepoznavanja te ponašanja kod takvih situacija ključni u sprječavanju od mogućih i najčešće financijskih gubitaka pojedinaca, ali i poslovanja čitave tvrtke. Zbog raznovrsnosti i učestalosti gotovo je nemoguće nabrojati i analizirati svaki konkretni pokušaj prevare, ali postoje oblici koji pokazuju određene zajedničke sličnosti, zbog čega ih je dobro upoznati i znati kako reagirati.

Premda je svaki hakerski pokušaj zlonamjeran, nije dobro iz straha i neznanja razvijati uvjerenje da je najbolje da nam se takav pokušaj nikad ne dogodi. Naprotiv, zaposlenici koji su imali prilike biti u situacijama zlonamjernih e-mailova i poziva su razvili veću razinu opreza i sumnje na sve buduće takve pokušaje.

Bez obzira da li se iza hakerskih pokušaja krije krađa podataka, novca ili aktiviranje zlonamjernog softvera u informatički sustav tvrtke, najbolja zaštita tvrtkama je poduzeti primjerene mjere koje uključuju interne procedure u komuniciranju, kod plaćanja i u edukaciji svih zaposlenika tvrtke.

Što sa zaštitom osobnih podataka?

Kada govorimo o GDPR-u, tvrtke i organizacije su dužne poduzeti odgovarajuće tehničke i organizacijske mjere zaštite (članci 24., 25. i 35), kako bi primjereno zaštitili osobne podatke i smanjili rizik od zloupotrebe i povrede osobnih podataka na najmanju moguću mjeru. Ukoliko dođe do povrede osobnih podataka koje mogu predstavljati rizik za temeljna prava i slobode pojedinaca, tvrtka je dužna takve povrede prijaviti nadzornom tijelu. Primjer takve povrede može biti i odgovaranja na zlonamjerni mail putem kojeg zaposlenik može primjerice, otkriti brojeve računa zaposlenika tvrtke i druge osobne podatke misleći da te podatke traži banka.

Umjesto zaključka dobro je naglasiti da je, pored sofisticiranih tehnoloških sustava zaštite, jedna od najvažnijih karika u zaštiti tvrtki i poslovanja od online pokušaja napada je primjereno educiran i treniran zaposlenik.

I u pravo zato redovna i kvalitetna edukacija zaposlenika predstavlja jednu od važnih mjera zaštite osobnih podataka.

www.feralis.hr

Tko je Centar Feralis?

Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.

Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om