Kako zaštititi novac i lične podatke na internetu

2024 Autor: Malcolm Clapton | [email protected]. Zadnja izmjena: 2023-12-17 03:49

Što ste bolje informisani, teže vas je prevariti. Evo svega što trebate znati o phishing-u kod Microsofta.

Pronađite još savjeta kako da se zaštitite od digitalnih prijetnji.

Šta je phishing i koliko je opasan

Phishing je uobičajena vrsta sajber prijevare, čija je svrha kompromitiranje i otmica računa, krađa podataka o kreditnoj kartici ili bilo koje druge povjerljive informacije.

Sajber-kriminalci najčešće koriste e-poštu: na primjer, šalju pisma u ime poznate kompanije, mame korisnike na njenu lažnu web stranicu pod izgovorom profitabilne promocije. Žrtva ne prepoznaje lažnjak, upisuje login i lozinku sa svog naloga, a sam korisnik tako prenosi podatke prevarantima.

Svako može da pati. Automatski phishing emailovi su najčešće ciljani na široku publiku (stotine hiljada ili čak milione adresa), ali postoje i napadi usmjereni na određenu metu. Najčešće su ti ciljevi top menadžeri ili drugi zaposlenici koji imaju privilegiran pristup korporativnim podacima. Ova personalizirana phishing strategija naziva se kitolov, što se prevodi kao "hvatanje kitova".

Posljedice phishing napada mogu biti razorne. Prevaranti mogu čitati vašu ličnu prepisku, slati phishing poruke vašem krugu kontakata, podizati novac sa bankovnih računa i općenito djelovati u vaše ime u širem smislu. Ako vodite posao, rizik je još veći. Phishers su u stanju da ukradu korporativne tajne, unište osjetljive datoteke ili procure podatke vaših klijenata, narušavajući reputaciju kompanije.

Prema Izvještaju o trendovima aktivnosti phishinga Radne grupe za borbu protiv phishinga, samo u posljednjem kvartalu 2019. stručnjaci za sajber sigurnost otkrili su više od 162.000 lažnih web stranica i 132.000 email kampanja. Za to vrijeme, oko hiljadu kompanija iz cijelog svijeta postalo je žrtve phishinga. Ostaje da se vidi koliko napada nije otkriveno.

Evolucija i vrste phishinga

Izraz "phishing" dolazi od engleske riječi "fishing". Ova vrsta prevare zaista podsjeća na ribolov: napadač baca mamac u obliku lažne poruke ili linka i čeka da korisnici zagrizu.

Ali na engleskom phishing se piše malo drugačije: phishing. Umjesto slova f koristi se digraf ph. Prema jednoj verziji, ovo je referenca na riječ lažni ("prevarant", "prevarant"). S druge strane - u subkulturu ranih hakera, koji su se zvali phreakers ("phreakers").

Vjeruje se da je izraz phishing prvi put javno korišten sredinom 1990-ih na Usenet news grupama. U to vrijeme, prevaranti su pokrenuli prve phishing napade usmjerene na korisnike američkog internet provajdera AOL. Napadači su slali poruke u kojima traže da potvrde svoje akreditive, predstavljajući se kao zaposleni u kompaniji.

Razvojem interneta pojavile su se nove vrste phishing napada. Prevaranti su počeli lažirati čitave web stranice i ovladali različitim kanalima i komunikacijskim uslugama. Danas se takve vrste krađe identiteta mogu razlikovati.

• Email phishing. Prevaranti registruju poštansku adresu sličnu adresi poznate kompanije ili poznanika odabrane žrtve i sa nje šalju pisma. Istovremeno, po imenu pošiljaoca, dizajnu i sadržaju, lažno pismo može biti gotovo identično originalu. Samo unutra postoji link na lažnu stranicu, zaražene priloge ili direktan zahtjev za slanje povjerljivih podataka.
• SMS phishing (smishing). Ova šema je slična prethodnoj, ali se umjesto e-pošte koristi SMS. Pretplatnik prima poruku s nepoznatog (obično kratkog) broja sa zahtjevom za povjerljivim podacima ili sa linkom na lažnu stranicu. Na primjer, napadač se može predstaviti kao banka i zatražiti verifikacioni kod koji ste ranije dobili. Zapravo, prevarantima je potreban kod da bi upali u vaš bankovni račun.
• phishing na društvenim mrežama. Sa proliferacijom instant messengera i društvenih medija, phishing napadi su preplavili i ove kanale. Napadači vas mogu kontaktirati putem lažnih ili kompromitovanih naloga poznatih organizacija ili vaših prijatelja. Inače, princip napada se ne razlikuje od prethodnih.
• Telefonska krađa (phishing). Prevaranti nisu ograničeni na tekstualne poruke i mogu vas nazvati. Najčešće se u tu svrhu koristi Internet telefonija (VoIP). Pozivalac se može lažno predstavljati, na primjer, kao zaposlenik službe podrške vašeg platnog sistema i zatražiti podatke za pristup novčaniku - navodno radi provjere.
• Search phishing. Možete naići na phishing direktno u rezultatima pretrage. Dovoljno je kliknuti na link koji vodi na lažnu stranicu i ostaviti lične podatke na njoj.
• Pop-up phishing. Napadači često koriste iskačuće prozore. Posjetivši sumnjivi resurs, možete vidjeti baner koji obećava neku korist - na primjer, popuste ili besplatne proizvode - u ime poznate kompanije. Klikom na ovaj link bit ćete preusmjereni na stranicu koju kontroliraju cyber kriminalci.
• Poljoprivreda. Nije direktno povezano s phishingom, ali farma je također vrlo čest napad. U ovom slučaju, napadač lažira DNS podatke tako što automatski preusmjerava korisnika umjesto originalnih stranica na lažne. Žrtva ne vidi nikakve sumnjive poruke i transparente, što povećava efikasnost napada.

Phishing nastavlja da se razvija. Microsoft je govorio o novim tehnikama koje je njegova usluga protiv krađe identiteta Microsoft 365 Advanced Threat Protection otkrila 2019. Na primjer, prevaranti su naučili bolje prikriti zlonamjerne materijale u rezultatima pretraživanja: legitimne veze se prikazuju na vrhu, koje vode korisnika na phishing stranice putem višestrukih preusmjeravanja.

Osim toga, sajber kriminalci su počeli automatski generirati phishing linkove i tačne kopije e-mailova na kvalitativno novom nivou, što im omogućava da efikasnije obmanjuju korisnike i zaobiđu sigurnosne mjere.

Zauzvrat, Microsoft je naučio identificirati i blokirati nove prijetnje. Kompanija je iskoristila svo svoje znanje o sajber sigurnosti za kreiranje paketa Microsoft 365. On pruža rješenja koja su vam potrebna za vaše poslovanje, istovremeno osiguravajući da su vaše informacije djelotvorno zaštićene, uključujući i phishing. Microsoft 365 Advanced Threat Protection blokira zlonamjerne priloge i potencijalno štetne veze u e-porukama, otkriva ransomware i druge prijetnje.

Kako se zaštititi od phishinga

Poboljšajte svoju tehničku pismenost. Kako se kaže, onaj ko je upozoren je naoružan. Proučite samostalno sigurnost informacija ili se obratite stručnjacima za savjet. Čak i samo dobro poznavanje osnova digitalne higijene može vam uštedjeti mnogo problema.

Budi pazljiv. Nemojte pratiti linkove ili otvarati priloge u pismima nepoznatih sagovornika. Molimo pažljivo provjerite kontakt podatke pošiljatelja i adrese stranica koje posjećujete. Ne odgovarajte na zahtjeve za ličnim podacima, čak ni kada poruka izgleda uvjerljivo. Ukoliko predstavnik kompanije traži od vas informacije, bolje je da pozovete njihov call centar i prijavite situaciju. Ne klikajte na iskačuće prozore.

Koristite lozinke mudro. Koristite jedinstvenu i jaku lozinku za svaki nalog. Pretplatite se na servise koji upozoravaju korisnike ako se lozinke za njihove naloge pojave na webu i odmah promijenite pristupni kod ako se pokaže da je kompromitovan.

Postavite višefaktorsku autentifikaciju. Ova funkcija dodatno štiti račun, na primjer, korištenjem jednokratnih lozinki. U tom slučaju, svaki put kada se prijavite na svoj račun s novog uređaja, pored lozinke, morat ćete unijeti i kod od četiri ili šest znakova koji vam je poslan putem SMS-a ili generiran u posebnoj aplikaciji. Možda se ne čini baš zgodnim, ali ovaj pristup će vas zaštititi od 99% uobičajenih napada. Uostalom, ako prevaranti ukradu lozinku, i dalje neće moći ući bez verifikacionog koda.

Koristite mogućnosti za prijavu bez lozinke. U tim uslugama, gdje je to moguće, trebali biste potpuno odustati od korištenja lozinki, zamijenivši ih hardverskim sigurnosnim ključevima ili autentifikacijom putem aplikacije na pametnom telefonu.

Koristite antivirusni softver. Ažurirani antivirusni program djelomično će pomoći u zaštiti vašeg računala od zlonamjernog softvera koji preusmjerava na phishing stranice ili krade prijave i lozinke. Ali zapamtite da je vaša glavna zaštita i dalje pridržavanje pravila digitalne higijene i pridržavanje preporuka za kibernetičku sigurnost.

Ako vodite posao

Sljedeći savjeti će također biti od pomoći vlasnicima poduzeća i rukovodiocima kompanija.

Obučite zaposlene. Objasnite podređenima koje poruke treba izbjegavati, a koje informacije ne treba slati putem e-pošte i drugih kanala komunikacije. Zabraniti zaposlenima da koriste korporativnu poštu u lične svrhe. Uputite ih kako da rade sa lozinkama. Također je vrijedno razmotriti politiku zadržavanja poruka: na primjer, iz sigurnosnih razloga, možete izbrisati poruke starije od određenog perioda.

Sprovedite trening phishing napade. Ako želite testirati reakciju vaših zaposlenika na phishing, pokušajte lažirati napad. Na primjer, registrirajte poštansku adresu sličnu vašoj i šaljite pisma sa nje podređenima tražeći od njih da vam dostave povjerljive podatke.

Odaberite pouzdanu poštansku uslugu. Besplatni provajderi e-pošte previše su osjetljivi na poslovnu komunikaciju. Kompanije bi trebalo da biraju samo sigurne korporativne usluge. Na primjer, korisnici usluge pošte Microsoft Exchange, koja je dio Microsoft 365 paketa, imaju sveobuhvatnu zaštitu od krađe identiteta i drugih prijetnji. Kako bi se suprotstavio prevarantima, Microsoft analizira stotine milijardi e-mailova svakog mjeseca.

Angažirajte stručnjaka za kibernetičku sigurnost. Ako vam budžet dozvoljava, pronađite kvalifikovanog stručnjaka koji će vam pružiti stalnu zaštitu od krađe identiteta i drugih sajber prijetnji.

Šta učiniti ako ste žrtva phishinga

Ako postoji razlog da vjerujete da su vaši podaci pali u pogrešne ruke, odmah postupite. Provjerite svoje uređaje na viruse i promijenite lozinke računa. Obavijestite osoblje banke da su vaši podaci o plaćanju možda ukradeni. Ako je potrebno, obavijestite kupce o potencijalnom curenju.

Kako biste spriječili ponavljanje ovakvih situacija, odaberite pouzdane i moderne usluge suradnje. Proizvodi s ugrađenim zaštitnim mehanizmima su najprikladniji: radit će što je moguće praktičnije i nećete morati riskirati digitalnu sigurnost.

Na primjer, Microsoft 365 uključuje niz pametnih sigurnosnih funkcija, uključujući zaštitu naloga i prijavljivanja od kompromitovanja uz ugrađeni model procjene rizika, autentifikaciju bez lozinke ili višefaktorsku autentifikaciju koja ne zahtijeva dodatne licence.

Osim toga, usluga pruža dinamičku kontrolu pristupa sa procjenom rizika i uzimajući u obzir širok spektar uslova. Takođe, Microsoft 365 sadrži ugrađenu automatizaciju i analitiku podataka, a takođe vam omogućava kontrolu uređaja i zaštitu informacija od curenja.