SiolNET. Digisvet Nasveti
8,10

termometer

  • Messenger
  • Messenger

Če kdaj prejmete eno od teh sporočil, ga takoj izbrišite

8,10

termometer

Phishing, ribarjenje
Po ocenah strokovnjakov za informacijsko varnost pri Googlu po spletu vsak dan zaokrožijo približno tri milijarde e-poštnih sporočil, ki poskušajo ukrasti osebne podatke uporabnikov. Nekateri spletni brskalniki, kot je Google Chrome (na fotografiji), znajo uporabnike sicer že obvestiti, da bodo z obiskom spletne strani prek povezave, ki so jo prejeli prek e-pošte, morda postali žrtev prevare. Foto: Christiaan Colen (Flickr) / CC BY-SA 2.0

Google je izdal kviz, s katerim lahko uporabniki preizkusijo svoje znanje pri prepoznavanju ene najpogostejših in najnevarnejših spletnih prevar, lažnega predstavljanja oziroma tako imenovanega phishinga. Preberite, na kaj vse moramo biti pozorni, da uspešno razkrinkamo lažno predstavljanje, in kako so videti različni poskusi tovrstnih prevar. 

Kaj je lažno predstavljanje oziroma phishing?

Pogost neposreden prevod angleškega izraza za lažno predstavljanje "phishing" je (spletno) ribarjenje, saj res spominja nanj. Goljufi navidezni trnek namreč mečejo z pošiljanjem ogromnega števila lažnih e-poštnih sporočil naključnim uporabnikom in nato čakajo tiste, ki se na trnek ujamejo s tem, da jim nevede pošljejo vse svoje osebne podatke. Pogost neposreden prevod angleškega izraza za lažno predstavljanje "phishing" je (spletno) ribarjenje, saj res spominja nanj. Goljufi navidezni trnek namreč mečejo z pošiljanjem ogromnega števila lažnih e-poštnih sporočil naključnim uporabnikom in nato čakajo tiste, ki se na trnek ujamejo s tem, da jim nevede pošljejo vse svoje osebne podatke. Foto: Thinkstock
Lažno predstavljanje največkrat poteka tako, da goljuf uporabniku v imenu nekoga drugega - denimo zaupanja vrednega ponudnika internetnih storitev ali banke - pošlje e-poštno sporočilo z obvestilom, da je prejel novo datoteko, ali pa grožnjo, da je nekdo poskusil vdreti v njegov uporabniški račun.

Priložena je povezava na spletno stran pošiljatelja, na kateri se mora uporabnik, če želi dostopati do datoteke ali rešiti težavo z domnevnim vdorom, znova prijaviti v svoj uporabniški račun.

Primer goljufive e-pošte, ki je uporabnika pozivala k nadgradnji programske opreme in ki so jo leta 2017 množično prejemali tudi Slovenci. Primer goljufive e-pošte, ki je uporabnika pozivala k nadgradnji programske opreme in ki so jo leta 2017 množično prejemali tudi Slovenci. Foto: Matic Tomšič / Posnetek zaslona
Spletna stran, ki jo obišče prek povezave v e-pošti, je videti kot resnično spletišče ponudnika storitev ali banke, a gre v resnici zgolj za lažen obrazec, s katerim goljuf uporabniku ukrade njegove osebne podatke, kot sta geslo ali številka kreditne kartice.

Ko bo uporabnik v lažno spletno stran vnesel svoje podatke in potrdil prijavo, bo pogosto dobil zgolj obvestilo, da je prišlo do napake, nato pa bo preusmerjen na resnično spletno stran. Goljuf bo medtem v preprosti besedilni obliki prejel uporabnikove osebne podatke.

Lažni obrazci za prijavo v uporabniški račun so resničnim pogosto podobni dovolj, da manj previdni uporabniki ne bodo opazili razlike oziroma zaslutili, da je nekaj narobe. Lažni obrazci za prijavo v uporabniški račun so resničnim pogosto podobni dovolj, da manj previdni uporabniki ne bodo opazili razlike oziroma zaslutili, da je nekaj narobe. Foto: Matic Tomšič / Posnetek zaslona
Če je goljufu uporabnika uspelo pretentati, da mu je z izdanim geslom omogočil dostop do njegovega e-poštnega nabiralnika, ga lahko zlorabi za krajo njegovih še bolj intimnih osebnih podatkov, kot je pridobitev dostopa do drugih računov, na primer Facebooka ali celo storitev e-bančništva. 

V tehnološkem inkubatorju Jigsaw, ki ga je internetni velikan Google ustanovil leta 2010, deluje pa predvsem na področju informacijske varnosti, ocenjujejo, da phishing obsega en odstotek vseh poslanih e-poštnih sporočil.

Glede na to, da je na svetu vsak dan poslanih okoli 300 milijard sporočil, to pomeni, da se vsak dan zgodijo tri milijarde poskusov lažnega predstavljanja.

Prevara Facebook Digisvet Kaj je v ozadju zapisa, ki ga panično delijo številni Slovenci

Kako so videti nekateri najpogostejši poskusi lažnega predstavljanja

Spoznamo jih lahko v najnovejšem kvizu, ki ga je izdal Googlov tehnološki inkubator Jigsaw. Uporabnik, ki ga poskusi rešiti, mora najprej vnesti svoje ime in e-poštni naslov, oba sta lahko izmišljena, nato pa lahko s kliki na gumba Phishing ali Legitimate različne primere prejetih e-poštnih sporočil označi za prevarantske, torej poskus lažnega predstavljanja, ali verodostojne. 

Rešite kviz, ki je sicer na voljo samo v angleščini, nato pa spodaj preverite, kako pri vsakem od primerov prepoznamo, ali gre za lažno predstavljanje. 

Prejeta povezava do dokumenta - prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Pošiljatelj želi uporabnika prepričati, naj klikne na povezavo do Googlovega urejevalnika besedil Docs, kjer bo lahko videl dokument, ki mu ga je poslal. Če se z miško samo ustavimo na gumbu in ga še ne kliknemo, se bo na dnu spletnega brskalnika pokazal naslov, na katerega vodi povezava. Kot vidimo, bi nas pripeljala do napačne domene (drive--google.com). Prava bi bila docs.google.com ali drive.google.com. V tem primeru ta domena sicer ne obstaja, v resnici pa bi lahko uporabnik prišel na spletno stran, ki bi ga poskusila prepričati, naj se še enkrat prijavi v Google, v resnici pa bi prevarantu podaril svoj e-poštni naslov in geslo. 

Še en prejeti dokument - prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Sporočilu je priložena povezava, da je uporabnik prejel sporočilo prek storitve eFax. Naslov pošiljatelja izdaja, da gre za prevaranta, saj je bilo sporočilo poslano z domene efacks.com, in ne pravilne efax.com. Kot je razvidno na dnu zgornje slike, povezava v sporočilu tudi ne vodi do storitve eFax, temveč na lažen obrazec za prijavo v storitev, ki gostuje na domeni mailru832.co. 

Heker Digisvet Telekom Slovenije opozarja: Ne nasedajte goljufom!

Prejel si novo fotografijo - prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Povezava v sporočilu v resnici ne vodi do fotografije v oblaku Google Drive, temveč do lažnega obrazca za prijavo v uporabniški račun Google. Domena, na kateri gostuje "fotografija", je namreč syntez.net, kar lahko vidimo, če se na povezavo postavimo s kazalnikom miške. 

Nadgradite svoj uporabniški račun na plačljivo storitev - ni prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona Ponudnik shranjevanja podatkov v oblak Dropbox (in še nekateri drugi ponudniki spletnih storitev) uporabnikom občasno pošljejo sporočila, v katerih jih pozivajo k nadgradnji uporabniškega računa na plačljivega. V tem primeru se je to zgodilo, ker je uporabniku brezplačnega računa zmanjkalo prostora. Ta e-pošta je legitimna, ker povezava na gumbu Upgrade your Dropbox vodi do prave domene (dropbox.com). Čeprav je videti sumljiva, je resnična tudi domena e-pošte pošiljatelja (dropboxmail.com). Verodostojnost domen lahko pred odpiranjem povezav v prejetih sporočilih sicer vedno preverimo s spletnim iskalnikom.

Google Maps Digisvet Kaj skriva modra pika, ki jo ima na telefonu večina Slovencev

E-poštno sporočilo s priponko - prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Jigsaw opozarja, da se lahko poskusi lažnega predstavljanja zgodijo tudi prek priponk v e-poštnih sporočilih. Na splošno sicer velja, da priponk, ki smo jih prejeli od neznancev oziroma ki jih ne pričakujemo, nikoli ne prenašamo na svoje naprave, kaj šele, da bi jih odpirali, saj lahko vsebujejo zlonamerne programe, ki jim omogočajo tudi prevzem nadzora nad računalnikom. 

Varnostno opozorilo o prijavi v račun Google - prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Prevarant je uporabnika z e-poštnega naslova, ki je videti legitimno, a v resnici ni v uporabi, opozoril, da mu je nekdo ukradel geslo in se prijavil v njegov račun Google. Sporočilo uporabnika poziva, naj nemudoma zamenja geslo, a gumb Change Password v resnici vodi do lažnega obrazca za zamenjavo gesla na domeni ml-security.org, in ne na Googlovo uradno spletišče. Tudi v tem primeru mora biti uporabnik pozoren na pravi naslov spletne strani, do katere pelje povezava, ki se prikaže na dnu spletnega brskalnika, če se s kazalnikom miške pomakne na povezavo.

V tem primeru gre za vrsto lažnega predstavljanja, ki so ji v zadnjih letih podlegli številni svetovni politiki, med drugim tudi Hillary Clinton

Idiot thumb Digisvet Kaj se zgodi, če v Google napišemo besedo idiot

Še en zvit poziv k zamenjavi gesla - prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Goljuf kopira e-pošto, s katero Google uporabnike res obvešča o morebitnih poskusih kibernetskih vdorov, povezava za domnevno zamenjavo gesla pa na videz tudi gostuje na domeni google.com. A če pogledamo natančneje, gumb za zamenjavo gesla Change Password v resnici vodi na povezavo, ki je bila skrajšana z orodjem TinyURL, ta pa do lažnega obrazca za zamenjavo gesla, prek katerega uporabnik svoje geslo v resnici pošlje goljufu.

Ponudnik storitev želi dostop do vaše elektronske pošte - ni prevara

Prevare Foto: Matic Tomšič / Posnetek zaslona

Določeni ponudniki spletnih storitev bodo za boljšo uporabniško izkušnjo prosili, da jim dovolimo dostop do elektronske pošte ali denimo določenih podatkov na Facebooku. To lahko storimo samo, če smo absolutno prepričani, da bomo dostop odobrili resničnemu ponudniku. Dovoljenje lahko sicer kadarkoli umaknemo. 

Treba je še poudariti, da takšnih prevarantskih sporočil, pri katerih gre za lažno predstavljanje, ne prejemajo samo uporabniki Googlove e-pošte, na kateri temeljijo zgornji primeri, temveč se pojavljajo tudi v elektronskih nabiralnikih uporabnikov Microsoftovega Outlooka, Yahoojeve e-pošte in pri drugih. 

Preberite tudi:

Orodje za izrezovanje Digisvet Deset res uporabnih programov, za katere ni treba plačati niti centa Naslovna slika članek Digisvet Kako z vami manipulirajo na spletu: poglejte teh osem zvitih taktik Lidl, Lidl Slovenija Digisvet Slovenski Lidl opozarja na goljufijo, v ozadju stari znanci iz Avstrije Možnosti za razvijalce, Android Digisvet Zelo uporabna skrivnost večine pametnih telefonov: kako do nje? #video Zemljevid OAlley Digisvet Kako daleč v eni uri pridemo iz vsakega kraja v Sloveniji? Carina, ponaredki Digisvet Naročil sem ponarejeno majico, carina jo je našla. Kaj bo zdaj? Članek YouTube Digisvet Kaj čaka Slovenca, ki bi na tak način kaznoval tatu in to posnel

 

 

Komentarji

1

Pridružite se razpravi!
Za komentar se prijavite tukaj. Strinjam se s pogoji uporabe.

  • slomevzha1 / 27.01.2019. ob 09:31 +1 - 1

    Na slovenski politični sceni je zelo razširjen politični phishing oziroma lažno predstavljanje volivcem. Ena stranka se predstavlja kot demokratična, čeprav demokracije nikoli ni videla, več strank se predstavlja kot levo orientirane, čeprav bi delavcem najrajši kožo odrli, eni se predstavljajo kot desno orientirani, čeprav so dejansko bolj fašistoidni. Ena edina stranka je tisto, za kar se predstavlja - Levica.

    +1 - 1
delitve: 27
Delite na: Facebook Twitter Viber Pinterest Messenger E-mail Linkedin