You are here

Općenito

Phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog inženjeringa koja se odnosi na prijevare u kojima napadač lažnim predstavljanjem i naizgled legitimnim zahtjevom pokušava potencijalnu žrtvu natjerati da učini nešto u njihovu korist. Riječ je o kriminalnoj aktivnosti. Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. U pravilu, phishing poruke prenose se putem elektroničke pošte koja navodi korisnika da klikne poveznicu koja ga vodi na stranice zlonamejrnog Web poslužitelja. Zlonamjerne Web stranice obično se lažno predstavljaju kao Web stranice banaka, servisa za elektroničko plaćanje (npr. PayPal i dr.) i sl. krivotvoreći, odnosno imitirajući njihov izgled. U svrhu phishing-a, osim elektroničke pošte, mogu poslužiti i drugi servisi poput foruma, servisa za izravnu komunikaciju (WhatsApp, Messenger, Viber i dr.) te društvene mreže (Facebook, Instagram, TikTok i dr.). Društvene mreže posebno su opasne jer sadrže podatke koji mogu poslužiti za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja, kojima su kompromitirani (oteti) računi, imaju određeni kredibilitet.

Oblici phishinga

Najkorištenije metode phishinga:

  • jednostavni zahtjev prema korisniku da (u odgovoru) pošalje svoje osjetljive podatke elektroničkom poštom, pošiljatelj se lažno predstavlja kao npr. administrator nekog Web servisa kojem su ti podaci potrebni radi provjere podataka, nadogradnje sustava i sl.
  • zlonamjerne poveznice, često dobivene u poruci elektroničke pošte, koje vode korisnika na zlonamjernu Web stranicu. Zlonamjerna poveznica se od legitimne može razlikovati u samo jednom slovu. (npr. cert[.]hr ≠ certt[.]hr)
  • zlonamjerna web stranica – može izgledati kao legitimna stranica (npr. banke ili internetske trgovine), a služi za prikupljanje osobnih podataka, ostvarivanje financijske koristi ili neku drugu zlonamjernu radnju
  • zlonamjerni skočni (engl. popup) prozor na legitimnim Web stranicama (“iskakanje” zlonamjernog skočnog prozora s poljima za unos povjerljivih podataka.
  • tabnabbing – jedna od novijih metoda koja koristi činjenicu da korisnici Web preglednika obično imaju otvoreno nekoliko tabova istovremeno te se jedan od neaktivnih tabova osvježi, ali sa zloćudnim sadržajem koji imitira legitimnu Web stranicu (računa se na nepažnju korisnika, odnosno da ne primijeti novu adresu)

Kako izbjeći phishing

  • ne odgovarajte na elektroničke poruke koje traže osobne podatke – financijske institucije imaju vaše podatke, a i mala je vjerojatnost da bi vas bilo koja renomirana tvrtka zatražila osobne podatke putem maila
  • nikad ne slijedite poveznice koje se nalaze unutar sumnjivih i neočekivanih poruka
  • nikad ne slijedite poveznice, ako niste sigurni tko je pošiljatelj – za ovu svrhu dobro je koristiti digitalne potpise
  • uvijek provjerite je li adresa stranice (URL) na kojoj unosite povjerljive podatke legitimna (adresa zlonamjerne Web stranice može se razlikovati u jednom slovu od legitimne)
  • koristite dobre lozinke – dobre lozinke sastoje se od barem 16 znakova, kombinacije velikih i malih slova, brojeva i simbola što ih čini vrlo teškim za probijanje
  • koristite softver za filtriranje spama – ovi programi će smanjiti broj neželjenih poruka koje većina korisnika svakodnevno prima
  • koristite antivirusni softver – ova vrsta programa prepoznaje zlonamjerni softver koji se također može koristiti za prikupljanje osobnih podataka
  • redovito ažurirajte sustave koje koristite
  • pratite stanje vaših računa za obavljanje novčanih transakcija (uključite obavijesti za isplate)
  • redovito pratite informacije o phishingu – sigurnosna edukacija je najefikasnija obrana od pokušaja phishinga

Top