Kako se izogniti trnkom spletnega ribarjenja

SI-CERT, nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij, je v zadnjem tednu zbral več prijav o goljufivih e-sporočilih, ki želijo uporabnike elektronskih storitev slovenskih bank prepričati, naj izdajo svoje osebne podatke. Med tarčami so se znašli številni komitenti Nove ljubljanske banke (NLB), SKB banke, Nove kreditne banke Maribor (NKBM), Probanke, Abanke in Unicredit banke. Gorazd Božič iz centra SI-CERT je pojasnil, da je šlo za največji kibernetski napad na komitente slovenskih bank do zdaj. Spletni goljufi so občutljive podatke uporabnikov, kot so številke kreditnih kartic, poskusili pridobiti s tako imenovanim spletnim ribarjenjem oziroma phishingom. Gre za prastar internetni trik, ki obstaja že skoraj tako dolgo kot komercialno medmrežje in elektronska pošta. Spletno ribarjenje ali phishing – tako preprosto, pa vendar tako zelo učinkovito Phishing je ena od najbolj priljubljenih metod za krajo osebnih podatkov naivnih uporabnikov spleta. Goljufi in hekerji prek e-pošte (redkeje prek sporočilnikov na družbenih omrežjih) uporabniku posredujejo povezavo do spletnega mesta, ki je na las podobno tistemu, ki ga pogosto obiskuje (Gmail, Paypal, Facebook). Skripta v ozadju podatke, ki jih je nič hudega sluteči uporabnik vnesel v prijavni polji, nato posreduje lastniku lažne spletne strani, uporabnika pa praviloma preusmeri na pravo spletišče, kjer se mora prijaviti še enkrat. Večina jih pogosto ne posumi, da se dogaja nekaj sumljivega, temveč proces, ki traja dlje kot po navadi, dojemajo kot anomalijo.

Ribarjenje je prvovrsten primer družbenega inženiringa. Kiberkriminalci, ki se ga lotijo, praviloma stavijo na izvabljanje osebnih podatkov z nagradnimi igrami ("Zadeli ste iPad, prijavite se tu, da potrdite dobitek"), radovednost ("Želiš vedeti, kdo gleda tvoj profil? Vpiši se tukaj!") ali, kot v primeru slovenskih bank, zastraševanje ("Vaš račun je trenutno prekinjen. Prejeli ste novo varnostno opozorilo. Zahtevano dodatno preverjanje.").

Izkoristek phishinga je neverjeten. Po podatkih Googla napadom v povprečju nasede 14 odstotkov vseh uporabnikov spleta. Nekatere prevare dosegajo do 45-odstotno učinkovitost, tudi najbolj očitno ponarejene spletne strani so v izdajanje podatkov lani v povprečju prepričale tri odstotke uporabnikov, so decembra v analizi spletnega prometa zapisali pri Googlu.

Kako lahko prepoznam povezavo do lažne spletne strani? Elektronska sporočila, ki vsebujejo poziv k ponovni prijavi v določeno spletno mesto, znano uporabniku, je mogoče prepoznati po več znakih, ki izdajajo slabo namero. Nekaj najpogostejših znakov, da nekaj ni prav:

- Naslov pošiljatelja: večina sporočil s povezavami do lažnih spletnih strani je poslana z javnih storitev e-pošte (Gmail, Outlook, Yahoo – primer: banka_nlb@gmail.com) oziroma z neveljavnim naslovom pošiljatelja v domeni, ki ne obstaja. - Zadeva sporočila: ko se vsebina sporočila zdi predobra, da bi bila resnična ("Zadeli ste na loteriji") ali zelo nujna ("Da bi preprečili zaprtje računa, se takoj vpišite"), najverjetneje tudi je oziroma (v drugem primeru) ni. Če je priložena tudi neposredna povezava za domnevnega prijavnega obrazca, gre skoraj zagotovo za poskus kraje podatkov.

- Besedilo: ker obstaja velika verjetnost, da sporočilo s povezavo do lažne spletne strani ne izvira iz Slovenije, besedilo vedno podrobno preberite. Če je zelo generično ("Spoštovani komitent" brez imena), vsebuje slovnične napake in je nekoherentno, je bilo najbrž prevedeno s prevajalnikom, kot je Google Translate. Dober način za preverjanje izvora sporočila je kopiranje dela besedila v spletni iskalnik. S tem lahko ugotovite, ali ga je pred vami prejel in uporabnike spleta o njem obvestil kdo drug.

- Povezava: kam vodi povezava, ki ste jo prejeli v sumljivem e-sporočilu, lahko preverite tako, da se nanjo brez klikanja postavite s kazalcem miške. V plavajočem oknu na dnu spletnega brskalnika se bo pojavil pravi naslov URL (slika zgoraj). Če ga ne poznate, sporočilo izbrišite.

- Sumljive priponke: večina legitimnih spletnih storitev uporabnikom ne pošilja priponk. Če je sporočilu priložena datoteka s končnico .exe, .scr, .zip, .com ali .bat, gre najverjetneje za virus ali trojanskega konja.

Če prepoznate tovrstno sporočilo, nanj nikakor ne odgovarjajte, temveč ga preprosto izbrišite. V primeru, da vam ga posreduje znan stik na družbenem omrežju, kot sta Facebook ali Twitter, najprej preverite, ali je bilo poslano s pravega ali lažnega profila. Združenje bank Slovenije – od komitentov nikoli ne zahtevamo zaupnih podatkov Članice Združenja bank Slovenije – banke in hranilnice – so po poročanju slovenske tiskovne agencije STA medtem sporočile, da od svojih komitentov nikoli ne zahtevajo posredovanja zaupnih osebnih podatkov prek elektronske pošte.

Za komunikacijo s komitenti in pogovore o uporabniških imenih, geslih, bančnih računih, številkah kreditnih kartic, kodah PIN in drugih občutljivih informacijah uporabljajo izključno varne protokole v okviru svojih aplikacij elektronskega bančništva, so še sporočili iz Združenja bank Slovenije.