Lov – ali ne na ribu, već na naše poverljive podatke.
Skoro svi smo bili svedoci skorašnje neprijatne situacije u vezi sa izvesnim lažnim imejlom (navodno od Instituta za javno zdravlje). Svuda se pričalo o fišingu – ali, koliko se, u stvari, zna o ovome? I još važnije: da li znamo kako možemo sprečiti da postanemo žrtve ovakve kampanje?
Iz tog razloga smo želeli da malo detaljnije opišemo ovaj problem, kao i načine za njegovo sprečavanje.
Ovo je samo jedna od opasnosti koje vrebaju sa interneta, a koje smo opisivali i u jednom od naših prethodnih tekstova.
Fišing kampanje nisu toliko bile zastupljene u Srbiji, međutim, u poslednje vreme postaju učestalije i zbog toga je potrebno edukovati se o njima. Skorašnji primer je samo jedan u moru imejlova u kojima se „zlikovci“ lažno predstavljaju kao vaša banka ili bilo koje drugo lice/firma, a sve u cilju prevare.
Fišing (phishing) je pokušaj prevare koji ima za cilj dobijanje osetljivih informacija kao što su korisnička imena, lozinke, podaci o kreditnoj kartici i sl.
Jedan od načina pridobijanja ovakvih informacija je pravljenje identične kopije ciljne stranice za prijavu. Nakon toga hostuju kopiju veb stranice na svom serveru i domenu, a zatim šalju imejl koji sadrži link do ove kopije. Kada korisnik klikne na link, učitava se poznati obrazac za prijavu zajedno sa izgledom verodostojnog veb-sajta. Korisnik zatim unosi svoje pristupne ili lične podatke ne proveravajući URL adresu. Na ovaj način se on ne prijavljuje na sajt, već te osetljive informacije dospevaju u posed trećih lica i služe u maliciozne svrhe. Putem ovakvog mejla mogu se poslati i razni maliciozni softveri prerušeni u određeni fajl ili sliku i na taj način mogu “zaraziti” vaš računar.
Primer fišing sajta
Obratite pažnju na informaciju iz adresne trake pretraživača: Da li je u pitanju legitimni URL? Da li se učitava putem https? Da li vaš pretraživač označava vezu kao bezbednu?
Ovo su neki od načina kako da prepoznate fišing mejl:
- Ne verujte uvek šta piše u polju Pošiljalac, jer se ono može lako lažirati – možete pročitati više o imejl zaglavljima u našem pomoćnom članku;
- Prave kompanije neće tražiti da im pošaljete svoje lične i osetljive informacije putem imejla (obično slanjem linka ili putem dokumenta u prilogu);
- Prave kompanije će vam se obratiti ličnim imenom a ne nekim opštim pozdravom (poštovani korisniče i sl.);
- U tekstu fišing mejlova primetićete gramatičke i sintaksičke greške;
- Mejlovi koji sadrže link se obično šalju nakon neke izvršene akcije (registracija na sajtu i sl.), te se prisetite da li ste skoro izvršili neku akciju tog tipa;
- Ukoliko se u mejlu spominje link, prevucite kursor preko njega (ali ne klikćite!) i proverite da li se prikazana URL adresa slaže sa sadržajem mejla. Proverite i u vašem mejl klijentu dodatne informacije o ovom linku;
- Ukoliko ste već kliknuli na link iz mejla, dobro proverite u adresnoj traci brauzera da li je u pitanju legitimna URL adresa sajta, da li fale neka slova ili je pogrešno napisana. Proverite i da li se učitava putem bezbedne https veze (da li se pojavljuje katanac 🔒 ili ne?). Nikada ne unosite pristupne podatke u sajt sa vezom označenom kao nesigurna;
- Ukoliko ste bez prethodne najave dobili mejl od kompanije sa priloženim fajlom, slobodno ih kontaktirajte putem telefona kako biste proverili legitimnost mejla.