You are here
Home > O phishingu

O phishingu

Općenito

Phishing (varijanta engleske riječi fishing – pecanje) je vrsta socijalnog inženjeringa koja se odnosi na prijevare, kojima se služe zlonamjerni korisnici šaljući lažne poruke koristeći pritom postojeće internet servise. Riječ je o kriminalnoj aktivnosti. Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive informacije (korisnička imena, lozinke, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. U pravilu, phishing poruke prenose se putem elektroničke pošte koja novodi korisnika da klikne na određenu poveznicu koja ga vodi na stranice zlonamjernog web poslužitelja. Takve zlonamjerne web stranice obično se lažno predstavljaju kao web stranice banaka, servisa za elektroničko plaćanje (npr. PayPal) i sl., krivotvoreći, odnosno imitirajući njihov izgled. U svrhu phishinga, osim elektroničke pošte, mogu poslužiti i drugi servisi poput foruma, servisa za izravnu komunikaciju (Facebook Messenger, WhatsAp, Viber, Skype, Google Talk i dr.) te društvene mreže (Facebook, Instagram, Tumblr, Twitter i dr.). Društvene mreže posebno su opasne jer podaci prikupljeni s njih mogu poslužiti za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja, kojima su kompromitirani računi, imaju određeni kredibilitet.

Oblici phishinga

Najkorištenije metode phishinga:

  • jednostavni zahtjev od korisnika da (u odgovoru) pošalje svoje osjetljive informacije elektroničkom poštom, pošiljatelj se lažno predstavlja kao npr. administrator nekog web servisa kojem su ti podaci potrebni radi provjere podataka, nadogradnje sustava i sl.
  • lažne poveznice u e-mail porukama (obično lažna, odnosno manipulirana poveznica u poruci korisnika vodi na zlonamjernu web stranicu gdje se traži da upiše svoje korisničko ime i lozinku ili druge osjetljive informacije)
  • lažna web sjedišta (korisnik može biti naveden kliknuti na poveznicu koja ga vodi na web poslužitelj koji korištenjem skripti izmijeni/prekrije stvarni URL svog web sjedišta i postavi legitimni, čime obmanjuju korisnika koji misli da je na legalnoj stranici i tako prikuplja podatke dok ih korisnik unosi)
  • lažni (“popup“) prozor na legitimnim web sjedištima banaka (“iskakanje” lažnog prozora s poljima za unos povjerljivih informacija. “Popup” prozor se pojavljuje pri posjetu legitimnom web sjedištu)
  • tabnabbing – jedna od novijih metoda koja koristi činjenicu da korisnici web preglednika obično imaju otvoreno nekoliko kartica istovremeno te se jedna od neaktivnih kartica osvježi, ali sa zlonamjernim sadržajem koji imitira neku legitimnu web stranicu (računa se na nepažnju korisnika, odnosno da ne primijeti novu adresu)

Kako izbjeći phishing

  • nikad ne odgovaratajte na elektroničke poruke koje traže osobne podatke – financijske institucije imaju vaše podatke, a i mala je vjerojatnost da bi vas bilo koja renomirana tvrtka zatražila osobne podatke putem maila
  • nikad ne slijedite poveznice koje se nalaze unutar sumnjivih i neočekivanih e-mail poruka
  • nikad ne slijedite poveznice ako niste sigurni tko je pošiljatelj – za ovu svrhu dobro je koristiti digitalne potpise
  • uvijek provjerite da li adresa (URL) na koji unosite povjerljive podatke odgovara legitimnoj (adresa krivotvorene web stranice može se razlikovati u jednom slovu od legitimne)
  • koristite dobre lozinke i često ih mijenjajte – dobre lozinke sastoje se od kombinacije velikih i malih slova, brojeva i simbola što ih čini težim za probijanje
  • provjerite koristi li web stranica preko koje unosite povjerljive podatke HTTPS protokol – web adresa financijskih institucija trebala bi počinjati s https:// umjesto sa http://
  • obavezno provjerite digitalni certifikat web poslužitelja prije unosa bilo kakvih podataka
  • koristite softver za filtriranje spama – ovi programi će smanjiti broj neželjenih poruka koje većina korisnika svakodnevno prima
  • koristite antivirusni softver – ova vrsta programa prepoznaje zlonamjerni softver koji se također može koristiti za prikupljanje osobnih podataka
  • koristite osobni firewall – da možete pratiti internet promet u oba smjera i uočiti moguće sumnjive aktivnosti
  • koristite antispyware softver
  • redovito ažurirajte softver koji koristite
  • pratiti stanje vaših računa za obavljanje novčanih transakcija
  • budite u toku, pratite informacije o phishingu na internetu – sigurnosna edukacija je najefikasnija obrana od pokušaja phishinga
Top