Sigurnost i socijalni inženjering

1. PHISHING

2. 2
Općenito
Phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog
inženjeringa koja se odnosi na prijevare u kojima napadač lažnim
predstavljanjem i naizgled legitimnim zahtjevom pokušava potencijalnu žrtvu
natjerati da učini nešto u njihovu korist. Riječ je o kriminalnoj aktivnosti.
Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju
prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih
kartica i sl.) kako bi ostvarili financijsku korist.
U pravilu, phishing poruke prenose se putem elektronske pošte koja navodi
korisnika da klikne link koji ga vodi na stranice zlonamejrnog Web servera.
Zlonamjerne Web stranice obično se lažno predstavljaju kao Web stranice
banaka, servisa za elektronsko plaćanje (npr. PayPal i dr.) i sl. krivotvoreći,
odnosno imitirajući njihov izgled.
U svrhu phishing-a, osim elektronske pošte, mogu poslužiti i drugi servisi
poput foruma, servisa za izravnu komunikaciju (WhatsApp, Messenger,
Viber i dr.) te društvene mreže (Facebook, Instagram, TikTok i dr.).
Društvene mreže posebno su opasne jer sadrže podatke koji mogu poslužiti
za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja,
kojima su kompromitirani (oteti) računi, imaju određeni kredibilitet.

3. 3
•jednostavni zahtjev prema korisniku da (u odgovoru) pošalje svoje osjetljive
podatke elektroničkom poštom, pošiljatelj se lažno predstavlja kao npr.
administrator nekog Web servisa kojem su ti podaci potrebni radi provjere
podataka, nadogradnje sustava i sl.
•zlonamjerne poveznice, često dobivene u poruci elektroničke pošte, koje
vode korisnika na zlonamjernu Web stranicu. Zlonamjerna poveznica se od
legitimne može razlikovati u samo jednom slovu. (npr. cert[.]hr ≠ certt[.]hr)
•zlonamjerna web stranica – može izgledati kao legitimna stranica (npr.
banke ili internetske trgovine), a služi za prikupljanje osobnih podataka,
ostvarivanje financijske koristi ili neku drugu zlonamjernu radnju
•zlonamjerni skočni (engl. popup) prozor na legitimnim Web
stranicama (“iskakanje” zlonamjernog skočnog prozora s poljima za unos
povjerljivih podataka.
•„tabnabbing“ – jedna od novijih metoda koja koristi činjenicu da korisnici
Web preglednika obično imaju otvoreno nekoliko tabova istovremeno te se
jedan od neaktivnih tabova osvježi, ali sa zloćudnim sadržajem koji imitira
legitimnu Web stranicu (računa se na nepažnju korisnika, odnosno da ne
primijeti novu adresu)
Oblici phishinga

4. 4
•ne odgovarajte na elektroničke poruke koje traže osobne podatke – financijske
institucije imaju vaše podatke, a i mala je vjerojatnost da bi vas bilo koja
renomirana tvrtka zatražila osobne podatke putem maila
•nikad ne slijedite poveznice koje se nalaze unutar sumnjivih i neočekivanih poruka
•nikad ne slijedite poveznice, ako niste sigurni tko je pošiljatelj – za ovu svrhu
dobro je koristiti digitalne potpise
•uvijek provjerite je li adresa stranice (URL) na kojoj unosite povjerljive podatke
legitimna (adresa zlonamjerne Web stranice može se razlikovati u jednom slovu od
legitimne)
•koristite dobre lozinke – dobre lozinke sastoje se od barem 16 znakova,
kombinacije velikih i malih slova, brojeva i simbola što ih čini vrlo teškim za
probijanje
•koristite softver za filtriranje spama – ovi programi će smanjiti broj neželjenih
poruka koje većina korisnika svakodnevno prima
•koristite antivirusni softver – ova vrsta programa prepoznaje zlonamjerni softver
koji se također može koristiti za prikupljanje osobnih podataka
•redovito ažurirajte sustave koje koristite
•pratite stanje vaših računa za obavljanje novčanih transakcija (uključite obavijesti
za isplate)
•redovito pratite informacije o phishingu – sigurnosna edukacija je najefikasnija
obrana od pokušaja phishinga
Kako izbjeći phishing

9. 9
PITANJA?