Smart InfoTrend 214

70 smart InfoTrend 214/2020/Q4 Razmislite prije klika S cenarij za krimić: Četvrtak je, uobi- čajeni radni dan u vašoj tvrtki. Kad, malo poslije 14 sati stiže u odjel nabave zanimljiva e-pošta s naslovom Poziv na plaćanje . Zaposlenik je odmah prosljeđuje ra- čunovodstvu da ispitaju o čemu je riječ. Računovođa prima e-poštu, otvara je i klikne na privitak koji kompletno kripti- ra lokalno računalo. Analizirajući takav događaj možemo odmah zaključiti da je sporna e-poruka vrlo lako prošla ljudski firewall jer ju je zaposlenik u računovodstvu primio od kolege iz drugog odjela. Time je zane- marena bilo kakva provjera sporne e-po- šte - primjerice tko je to poslao sumnji- ve poveznice i privitak. Takva situacija je stvarni događaj jednog mog klijenta. Sreća u nesreći bila je što sporni privitak nije počeo putovati po cijeloj poslovnoj mreži i činiti još veću štetu. Tako mo- že započeti bilo koji radni dan jer su svi meta. U ovom primjeru opisana je tehni- Kako se obraniti od phishing napada e-poštom, SMS- om ili telefonom. PIŠE: TINO ŠOKIĆ Nitko ne želi postati žrtva phishing napada, ali svaki se tjedan susretnem s nekim incidentom koji ima neželjene posljedice nakon nekog napada phishing tehnikom. Stoga evo nekoliko ključnih savjeta kako se obraniti od takvih napada. Razmislite prije klika. Treba biti svjestan da su napadi postali izuzetno sofisticirani, prošli su dani kada ste jednostavno mogli uočiti čudnu e-poruku. E-poštom više ne stižu brojna pisma poput onoga afričkog princa koji traži financijsku pomoć. Danas se phishing e-poruke šalju ciljano određenoj osobi i možda imaju poveznicu na lažnu www-stranicu gdje će tražiti da unesete podatke za prijavu čime ih predajete u ruke napadačima. Obratite pozornost na e-adresu pošiljatelja. Ako e-poruka sadrži poveznicu obvezno provjerite kuda vodi, ali bez klikanja. Prijeđite preko nje samo da se prikaže adresa stranice. Ne otvarajte privitke e-pošte ako ih ne očekujete. Obratite pozornost na gramatičke pogreške i na način komunikacije što važi i za smishing i vishing poruke i pozive SMS-om i telefonom. Obećanja i strah. Vrlo popularne prisile da učinite nešto što vam nije u interesu su ucjene i obavijesti o milijunskim nagradama. Osjećate li da nešto nije u redu – provjerite. Ako je riječ o ucjeni najbolje je to odmah prijaviti. Moj najvažniji savjet je – učite i saznajte što više o cyber - sigurnosti kako biste postali što teža meta. › DEMISTIFIKACIJA ‹ Ilustracija: Larisa Orešković ka phishinga kao platforma za lansiranje napada zvanog ransomware - kad hakeri nakon što su uspjeli kriptirati ili šifrirati sve vaše podatke potražuju ucjenom no- vac za njihov povrat. Termin phishing sročen je od engleske riječi fishing - pecanje. Phishing je kri- minalna radnja kojom se slanjem e-pošte uz prikrivanje vlastitog identiteta poku- šava doći do osjetljivih osobnih podata- ka napadnute osobe ili tvrtke. To mogu biti pristupne generalije kao što je ko- risničko ime ( username ) i lozinka ( pa- ssword ) za određeni servis ili uslugu, brojevi kreditnih kartica, osobni identi- fikacijski broj i drugi osobni podaci. Cilj napada može biti da žrtva učini nešto - npr. otvori privitak čime se napadaču omogućuje raspolaganje žrtvinim poda- cima. Kako se zaštititi i što treba učiniti kad se suočimo s takvim problemom? Kad dođe do računalnog incidenta če- sto me ljudi u tvrtkama pitaju kako je došlo do toga, kad imaju odličan sustav za e-poštu ili napredni vatrozid. Odgo- vor je vrlo jednostavan - zbog čovjeka. Svakako treba imati antivirusno rješe- nje na računalima, poslužiteljima i mo- bilnim uređajima, možda vatrozid uređaj ili proxy za kontrolu web-prometa, ali na kraju - sporna e-poruka stiže čovjeku, on je otvara i pročita. S obzirom na to da je phishing tehni- ka skrojena za čovjeka, krovna odgovor- nost za bilo kakvu izradu ciljanih e-po- ruka ili bilo kojeg drugog medija koji može koristiti phishing (npr. telefon - vhishing ) pripada društvenom inženje- ringu. Ukratko, social engineering je niz tehnika pomoću kojih jedan pojedinac, iskorištavanjem ljudskih pogrešaka i sla- bosti utječe na drugoga kako bi ga naveo da učini nešto što možda nije u njego- vom najboljem interesu. Slična definici- ja se odnosi na phishing tehniku pomoću koje se želi doći do tuđih osobnih poda- taka, kao što su korisnička imena, lozin- ke, brojevi kreditnih kartica itd. Ako ste odmah pomislili na manipulaciju bili bi- ste u pravu, iako je sam čin manipulacije svaka interakcija s drugim pojedincem i to ne mora nužno biti loše, ali možemo reći da je društveni inženjering u kom- binaciji s manipulacijom jedan oblik ha- kiranja. Postoji nekoliko vrsti prevara koje se ostvaruju kroz phishing tehniku: Phishing e-poštom – e-mail phishing E-pošta je za kriminalce najpopularni- ji medij da phishing tehnikom dođu do željenih podataka. Vrlo vjerojatno stići će vam e-poruka s lažne domene - npr. umjesto dobavljac.hr pisat će d0bavljac. hr. Lažne domene često iskorištavaju ljudsku manu da mozak po sjećanju čita cijele riječi, a ne pojedinačna slova: Zamislite kako je moguće da to proči- tate točno? U ovom slučaju nije potrebno da slova u sredini riječi budu prikazana ispravno, vi ćete to ipak točno pročitati. Takva po- greška u adresi e-pošte jedno je od glav- nih upozorenja da vam je stigla sporna e-poruka. Druga je mogućnost da napadač jed- nostavno iskoristi naziv organizacije ili tvrtke koju želi lažirati u nazivu e-pošte - umjesto contact@paypal.com napisat će paypal@contact.com .

RkJQdWJsaXNoZXIy NDU3Mzg=