Krađa identiteta i on-line prevare postaju jedan od najbrže rastućih krimanala u svijetu, a i u Bosni i Hercegovini.
U Privrednoj banci Sarajevo d.d. Sarajevo mi vrlo ozbiljno pristupamo zaštiti vaših podataka. Smatramo da je zaštita vaših ličnih podataka obaveza svakog našeg zaposlenika, te Banka u skladu sa svojim godišnjim planom vrši obuku i treninge svih svojih zaposlenika, te ulaže značajne finansijske, tehničke i ljudske resurse u implementaciju najsavremenijih rješenja kojima postižemo adekvatnu zaštitu podataka naših cijenjenih klijenata. S obzirom da broj prijavljenih prevara i napada raste iz dana u dan, podstičemo i naše klijente da poduzmu potrebne korake kako bi zaštitili sebe i svoje podatke.
U nastavku vam dajemo par kratkih informacija i načina kako da se zaštitte.
Phishing ili mrežna krađa identiteta (phishing od engleske riječi fishing, što znači pecanje) je vrsta prevare u kojoj napadači lažnim predstavljanjem i različitim „mamcima“ pokušavaju „upecati“ žrtvu. Phishing se može iskoristiti tako da se osobi ukrade novac ili nanese neka druga šteta (provala u žrtvin e-mail račun, krađa identiteta i slično). Pošiljatelj navodi žrtvu da otkrije osobne informacije (obično finansijske) upisivanjem istih na internetskoj adresi navedenoj u elektronskoj poruci. Navedena adresa (link) je vrlo sličnog imena kao i stvarna adresa. Tehnike koje neovlašteni korisnici koriste u ovu svrhu vrlo su složene što uzrokuje značajan broj žrtava phishing napada. Broj phishing napada i njihova sofisticiranost raste svakim danom, a količina poruka koja se šalje broji se u milionima.
Kako izgleda phishing poruka?
• Poruka može izgledati kao obavijest iz banke, internetske trgovine i sl., no žrtvu se navodi kliknuti na link koji je “udica” na kojoj počinitelj internetskog zločina izvlači tražene podatke od žrtava.
• Žrtve potom na njoj upišu lične informacije (u poruci se često navodi da korisnik treba potvrditi ili promijeniti podatke)
• Kad korisnik upiše podatke na lažnoj stranici, informacije dolaze do vlasnika lažne stranice
• Lažna internetska stranica izgleda (skoro) identična pravoj, ali URL u adresnoj traci joj je drugačiji
Socijalni inžinjering je vrsta napada s ciljem nagovaranja korisnika da ispune zahtjeve napadača. Tu se prvenstveno radi o načinu skupljanja podataka do kojih napadač ne bi mogao doći legalnim putem. Pri tome se napad usmjerava na najslabiju kariku cjelokupnog lanca – ljudski faktor.
Najčešće metode prijevare su:
• Lažno predstavljanje – najčešća metoda napada, postupak u kojem se napadač predstavlja kao neka druga osoba;
• Uvjeravanje/nagovaranje – nagovaranje ili uvjeravanje je postupak pri kojem napadač nagovora i uvjerava žrtvu da obavi postupke koje mu nalaže napadač.
• Stvaranje odgovarajuće situacije – napadač stvara “plodno tlo” za izvršenje napada na način da iskoristi žrtvine slabosti, zbližavanje sa žrtvom kako bi došao do informacija, iskorištavanje nespremnosti ili nepažnju žrtve kako bi učinila pogrešan potez i slično.
• Moralna odgovoronost – žrtva pokuša pomoći napadaču jer se osjeća da je to njena moralna obaveza, žrtve nisu ni svjesne da na taj način odaju korisne informacije napadaču.
• Želja za pomaganjem – iskorištavanje želje žrtve da pomogne drugima. Čest je slučaj da napadač uvjeri žrtvu da će on postupiti isto u situaciji kada žrtvi bude potrebna pomoć.
• Iskorištavanje starih veza i korupcije – napadač stvara odnos koji je dovoljan za sticanje povjerenja ili potkupljuje korisnika, koji mu odaje željene informacije.
Način izvršenja napada:
• Telefonski inžinjering – jedan od najčešćih i najlakših načina izvršavanja socijalnog inžinjeringa; napadač naziva jednog od zaposlenika te svojim komunikacijskim vještinama lako stiče njegovo povjerenje;
• Pretraživanje otpada – jedan od načina sakupljanja informacija je pretraživanje otpada pri čemu se saznaje mnogo korisnih informacjia za izvođenje napada;
• Korištenjem interneta – brojni su načini prikupljanja informacija putem internet, a najčešći je slanjem lažnih poruka, kojima potiče korisnika na odavanje vrlo važnih i tajnih informacija.
• Zavirivanje – tip socijalnog inžinjeringa pri kojem napadač pokušava očitati žrtvine pokrete kako bi dobili željene podatke (npr. posmatranje pokreta rukom pri upisivanju lozinke prilikom prijave na sistem).
• Forenzička analiza – do korisnih informacija napadač može doći pregledom nepažljivo odbačenih medija za pohranjivanje podataka.
Spoofing u širem smislu znači da ste dobili poruku u elektronskom obliku od osobe koju poznajete i imate poverenja u nju. U stvari vi ste dobili poruku od osobe koja je na neki način ukrala virtuelni indetitet osobe koju poznajete. Tipičnim lažnim predstavljanjem zlonamjerni napadač pokušava da izvuče vaše povjerljive podatke.
Postoje tri tipa spoofinga na internetu:
Email spoofing – Relativno prostim mijenjanjem uzglavlja email poruke dobijate poruku koja liči ili je ista kao email koji stiže iz banke ili druge institucije. Tipičan primer za to su spam poruke. Više od 80 % elektrosnke pošte na internetu čini spam. Najčešće poruke koje dobijate u ovakvim email porukama su da vam je istekla lozinka ili zbog sigurnosti morate da promijenite lozinku na vašem računu u banci.
IP spoofing (internet protocol spoofing) – Sve što radite na internetu stiže ili se šalje u paketima, a svaki paket nosi adresu svog pošiljaoca. Ideja internet kriminalaca sastoji se u tome da se stvore paketi sa lažnom adresom izvora. Ovakav vid se koristi prilikom napada na mrežnu infrastrukturu, gde se pokušava da se zavara operativni sistem računara primaoca i njegovi sistemi za autentifikaciju kako bi napadači preuzeli kontrolu nad računarima i lokalnom mrežom.
URL spoofing – To je pokušaj da se Universal Resource Locator (URL) ili adresa lažne web stranice prikaže kao URL prave stranice. Za ovu metodu se najčešće koriste sigurnosni propusti u internet pretraživačima. Lažne web adrese dobijate najčešće u email porukama a na njih odlazite nesmotrenim klikanjem na linkove u elektronskoj poruci.
Poštovani klijenti,
U vrijeme kada je korištenje platnih kartica postalo potreba, a svakodnevno se dešavaju zloupotrebe istih, ovim putem želimo uputiti nekoliko korisnih savjeta za bezbrižno korištenje platnih kartica kako na bankomatima i POS uređajima, tako i za sigurno plaćanje putem interneta.
Svaki korisnik informacionog sistema posjeduje korisničko ime i lozinku za pristup računaru (operativnom sistemu), kao i korisničku šifu, ime i lozinku za pristup pojedinim aplikacijama. Osnovna pravila, koja garantuju veći stepen sigurnosti i smanjuju vjerovatnoću probijanja lozinke, obuhvataju sljedeće:
Kratku lozinku je najlakše probiti, pa je stoga minimalna dužina lozinke 10 karaktera, ali se preporučuje korištenje još dužih lozinki.
Lozinke ne smiju biti jednostavne i moraju sadržavati najmanje jedno veliko slovo, jedan specijalni znak (iz skupa karaktera !”#$%&()“*+,-/:;<=>?_) i jedan broj.
Također, ne treba koristiti imena bliskih osoba, ljubimaca i datume, jer se takve lozinke lako otkriju socijalnim inžinjeringom.
Primjer kompleksne lozinke je h0bo3n!Ca. Na privi pogled besmislena i teška za pamćenje, ova je lozinka izvedena iz riječi hobotnica. Polazište je pojam koji lako pamtimo, ali onda po nekom našem algoritmu vršimo zamjenu znakova.
Česta promjena lozinke smanjuje vjerovatnoću njezina otkrivanja, pa je potrebno u vašem informacionom sistemu postaviti sistemsko nametanje isteka lozinke nakon minimalno 60 dana.
Također, preporučuje se nametanje sistemske zabrane upotrebe minimalno 6 posljednjih lozinki i lozinke (stara i nova) se moraju razlikovati u najmanje tri karaktera.
Preporučuje se nametanje pravila zaključavanja lozinke nakon 5 neuspjelih pokušaja. Također, preporučuje se da je zaključavanje lozinke neograničeno, odnosno nema automatskog otključavanja (korisnici moraju kontaktirati administratora).
Korisnici su odgovorni za svoju lozinku i ni u kom je slučaju ne smiju otkriti, čak ni administratorima sistema ili službenicima Banke. Korisnici ne smiju otkrivati svoju lozinku trećim licima, jer će se u tom slučaju oni smatrati odgovornim za promjene i/ili greške koje nastanu u sistemu za vrijeme njihovog odsustva pod njihovom prijavom.
Lozinke se ne ostavljaju na papirićima koji su zaljepljeni na ekran ili ostavljeni na stolovima, u nezaključanim ladicama i slično. Korisnik je odgovoran za tajnost svoje lozinke i mora naći način da je sakrije.
Ukoliko korisnik zaboravi lozinku, administrator sistema će mu omogućiti da unese novu.
Zbog mnogobrojnih ranjivosti koje proizlaze iz neadekvatnog korištenja lozinki, pored gore navedenih preporučenih sistemski nametnutih pravila, svi korisnici se trebaju dodatno pridržavati sljedećih preporuka pri upravljanju lozinkama: