Više od 3,4 milijarde phishing e-mailova svakog se dana pošalje diljem svijeta, AI-driven phishing napadi porasli su za čak 4000 posto od 2022. godine, a u Hrvatskoj phishing čini 58 posto svih incidenata.
Godišnje se u Hrvatskoj prijavi više od 2000 internetskih prijevara, a broj prevarenih povećava se godišnje za 10 do 20 posto. Također, ove je godine zabilježen novi val sofisticiranih phishing prijevara u kojima se napadači lažno predstavljaju kao poznate institucije poput HEP-a i HRT-a.
Kad govorimo o phishingu, najčešće je riječ o elektroničkoj pošti koja se šalje s krivotvorene adrese, a kroz sadržaj poruke pokušava se manipulirati korisnicima i navesti ih na dostavljanje osobnih podataka, poput korisničkog imena, lozinke, pina, podataka vezanih uz kreditne kartice te ostalih osobnih i povjerljivih podataka.
Što je phishing?
Prikupljanjem osobnih podataka prevaranti imaju mogućnost ostvarivanja materijalne koristi, što korisnicima čiji su podaci kompromitirani može zadati mnoge poteškoće, kao što su financijski gubici zbog neovlaštenih transakcija na bankovnim računima ili karticama, gubitak pristupa vlastitim internetskim računima, ali i psihološki stres i osjećaj nesigurnosti zbog povrede privatnosti.
Osim putem e-pošte, phishing napadi mogu se provoditi i putem drugih kanala komunikacije, primjerice putem instant poruka i društvenih mreža.
Hrvatski Telekom veliku pažnju poklanja sigurnosti svojih korisnika te im nudi različite oblike internetske zaštite, poput firewalla, antivirusne te antispam zaštite. No, neovisno o primijenjenoj tehnologiji zaštite, upotreba internetskih usluga prvenstveno nalaže dodatan oprez i pozornost korisnika. Stoga je primarno postići sigurnost u korištenju internetskih usluga, u skladu s trendovima njihovog razvoja, kroz edukacije i podizanje razine svijesti javnosti.
U slučaju dobivanja sumnjive elektroničke pošte, savjet korisnicima je da ni u kojem slučaju ne dostavljaju svoje osobne podatke, ne slijede poveznice i ne otvaraju priloge koji se nalaze u elektroničkoj poruci, osim ako nisu u potpunosti sigurni u vjerodostojnost pošiljatelja.
Kako prepoznati phishing? Gramatika nije jača strana, a sve izgleda ‘čudno’
Iako postaje sve teže prepoznati phishing e-mail poruke, postoji pet asova u rukavu koji mogu pomoći u detektiranju prevarantskih mailova.
Phishing poruke često sadrže gramatičke greške jer oni koji ih šalju ne troše mnogo vremena na ispravljanje grešaka, kao što to rade legitimne tvrtke, a često se koriste i automatiziranim alatima za prevođenje teksta kao što je Google prevoditelj, stoga se phishing poruke općenito doimaju jako neprofesionalnima, osobito ako su na hrvatskom jeziku.
Poveznice u phishing porukama često su izrađene na način da se tekst poveznice i URL ne poklapaju. Nikad ne slijedite poveznice u sumnjivim porukama, umjesto toga, postavite pokazivač miša iznad poveznice bez klikanja. Kod većine modernih e-mail programa, u dnu prozora ili iznad pokazivača miša prikazat će se stvarna adresa na koju poveznica pokazuje.
Oponašaju institucije, zastrašuju kaznama i mame nagradama
Kako bi motivirali korisnika da što prije učini ono na što ga se navodi u poruci, kriminalci se često služe prijetnjama ili nagradama. Primjeri prijetnji su zaključavanje korisničkog računa, ukidanje prava na uslugu ili čak zakonske posljedice. Nagrade najčešće uključuju novac – nagrade na lutriji, pokloni, povrati poreza i slično.
Također, phishing poruke često izgledaju kao da su poslane od strane poznatih tvrtki, internetskih servisa ili državnih i međunarodnih tijela. Krivotvorena adresa pošiljatelja i vizualni identitet poput logotipa, fonta i slično samo su neke od tehnika za zavaravanje korisnika. Budući da renomirane tvrtke i institucije nikada od korisnika ne traže osobne podatke na ovaj način, lako je prepoznati da je riječ o prijevari.
Moderni e-mail programi i web preglednici imaju ugrađene mehanizme za prepoznavanje prevarantskih sadržaja. Prilikom otvaranja poruke ili posjeta web stranici, program može korisniku ispisati sigurnosno upozorenje ako postoji mogućnost da se radi o phishingu ili drugoj vrsti opasnosti. Iako vrlo korisni, ovakvi mehanizmi nisu savršeni i nije uputno u potpunosti se na njih osloniti.
Prijevara koja ne traži grešku sustava, nego čovjeka
Phishing se u velikoj mjeri oslanja na ljudsku pogrešku. Riječ je o vrsti kibernetičke prijevare u kojoj napadači pokušavaju navesti ljude da otkriju osjetljive informacije, kliknu na zlonamjerne poveznice ili preuzmu zaražene privitke.
Ljudski faktor zapravo je najčešće najslabija karika u sigurnosnom sustavu poduzeća. Ova vrsta napada uspijeva zato što ljudi često ne prepoznaju lažne poruke koje oponašaju banke, dostavne službe ili poznate tvrtke. Također, ovakvi cyber napadi djeluju impulzivno zbog osjećaja hitnosti koji poruke stvaraju, primjerice “Vaš račun bit će blokiran” ili “Imate paket na čekanju”.
Osim toga, ljudi obično imaju povjerenje u poznate brendove ili kolege čije identitete napadači često krivotvore. Zato se u borbi protiv phishinga posebno naglašava važnost edukacije korisnika i razvoja digitalne pismenosti, uz tehnička rješenja poput filtarskih sustava i autentifikacije u više koraka.
Kako testirati bi li zaposlenici ‘nasjeli’?
Hrvatski Telekom za poslovne korisnike nudi uslugu izrade phishing kampanje koja je zapravo ništa drugo do simuliranog phishing napada. Funkcionira tako da korisnik usluge odabire phishing napad iz niza realističnih primjera koji oponašaju uobičajene taktike napadača poput lažnih stranica za prijavu, hitnih zahtjeva ili primamljivih ponuda.
Zatim se prati kako zaposlenici reagiraju na simulirani scenarij, a klikom na poveznicu ili unosom osobnih/pristupnih podataka detektirat će se i zabilježiti takve radnje zaposlenika.
Slijedi izvještavanje – izvještaji pružaju uvid u ponašanje zaposlenika i prikazuju uspješnost kampanje.
Zašto su važne simulacije phishing kampanja?
Osim što simulacije pomažu zaposlenicima da prepoznaju znakove phishing napada čime se smanjuje rizik od uspješnih napada na organizaciju, kroz analizu rezultata simulacija organizacije mogu identificirati specifične slabosti u sigurnosnim praksama svojih zaposlenika i poduzeti mjere za njihovo poboljšanje.
Redovite simulacije omogućuju organizacijama da prate napredak u svijesti o sigurnosti i prilagode svoje edukativne programe prema potrebama.
Također, ulaganjem u simulacije phishing kampanja, organizacije mogu smanjiti rizik od financijskih gubitaka uzrokovanih sigurnosnim incidentima, što može imati dugoročne posljedice na poslovanje, posebice malih i srednjih poduzetnika.