Vsi ki posedujejo ali pa so kadarkoli v preteklosti posedovali taščo, vedo kako in kaj je s tem. Je enostavno ni večje nadloge kot pa sitna tašča, ki se vtika v vse pore življenja in za vsako stvar najde boljšo rešitev, ampak – saj od tebe tako in tako kaj boljšega niti ni pričakovala. Ja, takšna tašča je z lahkoto primerljiva s COVID19 in sorodnimi dogodki. Pride, se aktivira in dela neprestano škodo, ki je ne moreš klasificirati samo kot finančno. Je vseobsežna.
Zalo podobno je tudi s področjem škodljive programske opreme – ko se enkrat namesti v sistem in se aktivira, potem je življenje dejansko spremenjeno v muko. Škodljiva programska oprema lahko (ravno tako kot tašča) naredi škodo in ima vpliv na različne ravni delovanja informacijskega sistema – lahko zašifrira podatke, lahko naš računalnik spremeni v oddaljeno točko pod njegovim nadzorom, ki bo kasneje uporabljena za kibernetski napad, lahko prične izvajati zbiranje podatkov z računalnika in še veliko drugega. Zelo nepredvidljivo in nenadzorovano. In povsod. Tašča.
In prav nobena skrivnost ni, da je zlonamerna programske oprema veliko grožnja varnosti sodobnih informacijskih sistemov. Obstajajo virusi, ki so dejansko celo prilagojeni ciljnim skupinam računalniške opreme, ki sestavlja informacijske sisteme. Ločeno za strežnike, delovne postaje, mobilne naprave, industrijske sisteme, IoT naprave – za vsakega nekaj.
Aktualna statistika
Vsak dan je odkritih preko 560.000 instanc pojavitve zlonamerne programske opreme.
Trenutno obstaja preko milijarda zlonamernih programov.
Trojanci predstavljajo 58% vse škodljive programske opreme.
Vsako minuto so 4 podjetja žrtve izsiljevalske programske opreme.
Skoraj vsak drugi računalnik na Kitajskem je okužen z neko obliko zlonamerne programske opreme.
Iran ima največjo stopnjo okužb z zlonamerno programsko opremo na mobilnih napravah in sicer 30,3%
Android mobilne naprave imajo 50-krat večjo verjetnost da bodo okužene kot naprave z iOS
V zadnjem desetletju se je število okužb z zlonamerno programsko opremo povečalo za 87%
Stroški kibernetskega kriminala naj bi v 2023 dosegali 8 milijard dolarjev.
Ranljivosti v programski kodi najdemo v 84% odprtokodnih bazah.
Statistika zlonamerne programske opreme 2023
Zlonamerna programska oprema je postala velika grožnja varnosti informacijskih sistemov, saj kibernetski kriminalci razvijajo bolj sofisticirane in raznolike oblike napadov. Pokrajina kibernetskih groženj se je v 2023 hitro razvijala in statistični podatki o zlonamerni programski opremi prikazujejo zelo mračno sliko te situacije.
Koliko zlonamerne programske opreme se odkrije vsak dan?
Vsak dan je odkritih 560.000 novih kosov zlonamerne programske opreme, kar je dodatek k več kot 1 milijardi zlonamernih programov, ki so že v obtoku. Zaradi velike količine zlonamerne programske opreme je organizacijam težko ohraniti varnost svojih sistemov in mnoge postanejo žrtve napadov izsiljevalske programske opreme.
Vsako minuto so 4 podjetja žrtve napadov izsiljevalske programske opreme
Pravzaprav so vsako minuto štiri podjetja žrtve napadov z izsiljevalsko programsko opremo, pri čemer trojanci predstavljajo 58 % vse računalniške zlonamerne programske opreme. Ti napadi lahko povzročijo izgubo občutljivih podatkov, finančno izgubo in okrnjen ugled organizacije, kjer se je okužba dogodila.
Google vsak teden odkrije 50 spletnih mest, ki vsebujejo zlonamerno programsko opremo
Celo na videz neškodljive dejavnosti, kot je brskanje po internetu, so lahko tvegane, saj Google vsak teden odkrije 50 spletnih mest, ki vsebujejo zlonamerno programsko opremo. Čeprav se to število morda zdi nizko, dejanska spletna mesta, ki vsebujejo zlonamerno programsko opremo, predstavljajo le 1,6 % tega števila, kar je še vedno enako približno 50 spletnim mestom na teden.
Največje število okuženih računalnikov ima Kitajska
Razširjenost zlonamerne programske opreme ni enaka po državah, pri čemer ima Kitajska največje število računalnikov, okuženih z zlonamerno programsko opremo. Skoraj vsak drugi računalnik na Kitajskem je okužen z neko obliko zlonamerne programske opreme, s 47-odstotno stopnjo okužbe z zlonamerno programsko opremo, ki je najvišja na svetu. Sledita Turčija in Tajvan z 42% oziroma 39%.
Android OS je 50 % bolj dovzeten za okužbe z zlonamerno programsko opremo
Mobilne naprave so tudi ranljive za napade z zlonamerno programsko opremo, pri čemer ima Iran najvišjo stopnjo okužb z zlonamerno programsko opremo za mobilne naprave, in sicer 30,3 %. Naprave Android so še posebej dovzetne, saj imajo 50-krat več okužb z zlonamerno programsko opremo kot naprave iOS.
Leta 2023 bo kibernetski kriminal stal 8 milijard dolarjev
Zaskrbljujoča porast okužb z zlonamerno programsko opremo v zadnjem desetletju je razlog za zaskrbljenost, poročajo o 87-odstotnem povečanju okužb z zlonamerno programsko opremo. Ta zaskrbljujoč trend naj bi se nadaljeval, pri čemer naj bi stroški kibernetske kriminalitete leta 2023 dosegli 8 milijard dolarjev.
Odprtokodne rešitve vsebujejo visoko stopnjo ranljivosti
Pri analizi odprtokodnih rešitev se je pokazalo, da kar 84% rešitev vsebuje ranljivosti in pomanjkljivosti na področju izvorne kode. Obstaja velika verjetnost, da je podobno tudi s programsko kodo, ki se razvija v organizacijah. Zato je dobro, da se zagotovi ustrezna varnost praks na področju razvoja programske kode.
Mala in srednje velika podjetja niso varna pred napadi zlonamerne programske opreme
Ranljiva so tudi mala in srednje velika podjetja. V Združenem kraljestvu, na primer, dnevno poskušajo vdreti v 65.000 sistemov organizacij. 4.500 poizkusov je žal uspešnih. Pričakuje se, da se bosta znatno povečala tudi obseg in vpliv napadov z izsiljevalsko programsko opremo, pri čemer Forbes napoveduje, da bo izsiljevalska programska oprema do leta 2031 svet stala do 265 milijard dolarjev.
Statistični podatki o zlonamerni programski opremi so jasen pokazatelj izzivov, s katerimi se soočajo organizacije in posamezniki pri varovanju svojih digitalnih sistemov. Tveganje napadov zlonamerne programske opreme je možno zmanjšati z izvajanjem robustnih varnostnih ukrepov, budnostjo in sprejemanjem najboljših praks.
GDPR in posledična lokalna zakonodaja je z nami od 2018. No, objavljen je bil 2016, potem pa je bilo 2 leti časa za implementacijo zahtev, ki jih določa in prinaša. Veliko prahu glede GDPR je nastalo predvsem zaradi velikih kazni, ki so grozile. V osnovi sta obstajali dve skupini kazni – prva 10 in druga 20 milijonov EUR. Tako za tiste, ki so brali površno. Tisti, ki so brali nekoliko bolj natančno, so pred ciframi prepoznali že besedo »do«, še bolj natančni pa so prepoznali tudi, da se višina lahko določa glede na višino prodaje, ki jo je organizacija dosegla in sicer do 2% pri 10 milijonskih prekrških oz. do 4% pri 20 milijonskih prekrških – valja znesek, ki je najprej dosežen.
Tale finančni model je bil zanimiv. Seveda nas je vse zanimalo kaj bo prinesla praksa. Zakonodaja s področja upravljanja z osebnimi podatki je spremenila svet. Dobesedno. Tudi okvirje za izrečene globe.
5 let od sprejetja GDPR je zanimivo pogledati kakšno je stanje glede glob, ki so bile izrečene v evropskem gospodarskem področju. Ja – dejansko obstajajo tudi organizacije in portali, ki spremljajo in deloma tudi objavljajo podatke o tem. Sem pogledal in vam povem, kaj vse tam piše. No – Slovenija seveda ni vključena v ta poročila, ker je z ZVOP-2 zelo kasnila in posledično ni izrekala glob, vseeno pa je zanimivo pogledati kaj se je dogajalo po drugih državah. Zanimiva sta podatka, ki govorita o številu izrečenih glob in pa o njihovi višini. Pa da ne bluzim preveč – meni se je zdelo vedno da je GDPR izjemno dobra poslovna podlaga na kateri se lahko gradijo poslovne zgodbe o uspehu. Pa če pogledamo samo finančni vpliv, ki ga lahko imajo tele zadeve na državni proračun je to poslovno zanimiva zadeva. Če pogledamo kaj vse se da prodati v duhu »s tem so vaše obdelave osebnih podatkov bolj varne in skladne« pa je to drugi vidik. Danes o globah.
Najbolj pridni
Največ glob so izdali v Španiji. Teh je bilo kar 754. Najvišje globe pa izdajajo na Irskem – najvišja kazen je znašala kar 1,2 milijardi EUR, skupno pa je Irska izrekla za 2,5 milijarde EUR kazni s področja obdelav osebnih podatkov, s čemer so absolutni zmagovalci, saj so izrekli dobrih 60% vseh glob s področja. Saj sem rekel, da je GDPR huda poslovna priložnost.
Zakaj Irska?
Ker se znajo it. Tam imajo sedeže nekatera največja podjetja s sveta IT in tam so se posledično izvajali tudi največji in najodmevnejši procesi s področja obdelav osebnih podatkov. In najvišje globe. In proračun je dobil največ denarja.
Pregled po državah
Se mi zdi, da je najbolj primerno, če vse skupaj enostavno zapišemo v tabelo, pa si vsak najde tisto kar njegovi radovednosti najbolj odgovarja. V tabeli imamo torej navedeno državo, višino najvišje globe, ki so jo izrekli, skupno število izdanih glob, skupno višino izdanih glob in delež skupne višine izdanih glob v primerjavi z vsemi globami, ki so bile izdane (*).
(*) podatki se nanašajo na obseg podatkov, ki so bili dostopni. Nekatere obravnave ne navajajo višine izdane globe. Vseeno pa razpoložljivi podatki ponazarjajo določeno sliko glede varstva na področju upravljanja z osebnimi podatki
Globe po državah
Najvišja globa
Število izdanih glob
Višina glob
Delež
Avstrija
9.500.000,00
20
24.775.150,00
0,61%
Belgija
600.000,00
40
1.802.000,00
0,04%
Bolgarija
2.600.000,00
24
3.972.770,00
0,10%
Hrvaška
5.470.000,00
26
8.607.935,00
0,21%
Ciper
925.000,00
39
1.442.000,00
0,04%
Češka
118.500,00
26
169.303,00
0,00%
Danska
1.300.000,00
25
2.411.400,00
0,06%
Estonija
100.000,00
6
300.604,00
0,01%
Finska
608.000,00
20
1.972.400,00
0,05%
Francija
90.000.000,00
38
340.219.300,00
8,37%
Nemčija
35.258.708,00
163
55.372.533,00
1,36%
Grčija
20.000.000,00
59
30.961.000,00
0,76%
Madžarska
634.000,00
68
2.518.861,00
0,06%
Islandija
257.000,00
15
655.200,00
0,02%
Irska
1.200.000.000,00
27
2.510.708.400,00
61,74%
Otok Man
202.000,00
3
218.750,00
0,01%
Italija
27.800.000,00
303
134.312.227,00
3,30%
Latvija
150.000,00
8
243.250,00
0,01%
Lihtenstein
1
–
0,00%
Litva
110.000,00
10
270.500,00
0,01%
Luxenburg
746.000.000,00
31
746.372.700,00
18,35%
Malta
250.000,00
14
433.500,00
0,01%
Norveška
6.300.000,00
50
10.379.350,00
0,26%
Polska
1.000.000,00
58
3.480.969,00
0,09%
Portugalska
4.300.000,00
7
6.154.000,00
0,15%
Romunija
130.000,00
155
896.350,00
0,02%
Slovaška
50.000,00
9
130.600,00
0,00%
Španija
10.000.000,00
754
61.831.390,00
1,52%
Švedska
5.000.000,00
35
26.345.900,00
0,65%
Nizozemska
3.700.000,00
21
14.744.500,00
0,36%
Velika Britanija
22.046.000,00
13
75.132.800,00
1,85%
Pregled izdanih glob po državah
Največji kršitelj
Seveda. To nas zanima. Kdo je prejemnik največje globe in kaj je naredili narobe. Največji kršitelj je Metka. Ne od Jankota, ampak od Marka Z. Nekoč je bila znana kot Facebook. Težava pri Meti se je pojavila na področju zagotavljanja infrastrukture in prenašanja osebnih podatkov iz EU v tretjo državo.
Podrobnosti primera kršitve GDPR s strani Meta Ireland
Komisija za varstvo podatkov (»DPC«) je danes objavila zaključek svoje preiskave družbe Meta Platforms Ireland Limited (»Meta Ireland«), v kateri preučuje osnovo, na kateri Meta Ireland prenaša osebne podatke iz EU/EGP v ZDA v povezavi z z dostavo svoje storitve Facebook.
Komisija za varstvo podatkov Irske (DPC) je svojo končno odločitev v tej preiskavi sprejela 12. maja 2023. V odločitvi je navedeno, da je Meta Ireland kršila člen 46(1) GDPR, ko je nadaljevala s prenosom osebnih podatkov iz EU/EGP v ZDA po razglasitvi sodbe Sodišča EU (primer Pooblaščenec za varstvo podatkov proti Facebook Ireland Limited in Maximillian Schrems). Medtem ko je Meta Ireland izvedla te prenose na podlagi posodobljenih standardnih pogodbenih klavzul (“SCC”), ki jih je Evropska komisija sprejela leta 2021 v povezavi z dodatnimi dopolnilnimi ukrepi, ki jih je izvajala Meta Ireland, je DPC ugotovil, da ti dogovori niso obravnavajo tveganja za temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki jih je Sodišče EU opredelilo v svoji sodbi.
Preiskava se je prvotno začela avgusta 2020, nato pa je bila z odredbo višjega sodišča Irske prekinjena do rešitve niza pravnih postopkov do 20. maja 2021. Po obsežni preiskavi je DPC pripravil osnutek odločitve z dne 6. julij 2022. Predvsem je ugotovil, da:
so bili zadevni prenosi podatkov izvedeni v nasprotju s členom 46(1) GDPR; in
v teh okoliščinah je treba prenos podatkov začasno prekiniti.
V skladu s postopkom sodelovanja, ki ga določa GDPR (člen 60), je bil osnutek odločitve, ki ga je pripravil DPC, predložen svojim enakovrednim regulatorjem v EU/EGP, znanim tudi kot zadevni nadzorni organi (»CSA«). Narava obdelave, ki je bila predmet preiskave, je bila taka, da so bili vsi drugi nadzorni organi EU/EGP vključeni kot CSA za namene postopka sodelovanja.
V zvezi z vprašanjem neskladnosti družbe Meta Ireland z GDPR in predlogom DPC, da se odredi začasna ustavitev prenosov podatkov, so se CSA strinjali z odločitvijo DPC.
Majhno število 4 od 47 CSA je izrazilo ugovor v zvezi s popravljalnimi pooblastili, ki jih je DPC predlagal v okviru osnutka sklepa. Znotraj te podskupine CSA so vsi štirje CSA zavzeli stališče, da bi bilo treba družbi Meta Ireland naložiti upravno globo za ugotovljeno kršitev. Dva od teh CSA sta tudi zavzela stališče, da bi bilo treba družbi Meta Ireland naložiti ukrepanje za obravnavanje osebnih podatkov, ki so že bili nezakonito preneseni v ZDA, tj. podatkov, prenesenih od julija 2020 do aktualnega datuma obravnave.
DPC se s tem ni strinjal, kar odraža njegovo stališče, da bi izvajanje dodatnih korektivnih pooblastil poleg predlagane odredbe o začasni prekinitvi preseglo obseg pooblastil, ki bi jih lahko opisali kot “primerne, sorazmerne in potrebne” za obravnavanje kršitve člena 46(1). GDPR.
Po neformalnem posvetovalnem procesu je postalo jasno, da soglasja ni mogoče doseči. V skladu s svojimi obveznostmi v skladu z GDPR je DPC posredoval ugovore Evropskemu odboru za varstvo podatkov (»EDPB«) v presojo v skladu z mehanizmom za reševanje sporov iz člena 65.
Evropski odbor za varstvo podatkov je svojo odločitev sprejel 13. aprila 2023. V skladu s svojimi obveznostmi sprejetja svoje končne odločitve „na podlagi“ sklepa Evropskega odbora za varstvo podatkov je v sklepu Odbora za varstvo podatkov z dne 12. maja 2023 evidentirano izvajanje naslednjih korektivnih pooblastil Odbora za varstvo podatkov:
odredbo, izdano v skladu s členom 58(2)(j) GDPR, ki od Meta Ireland zahteva, da prekine kakršen koli prihodnji prenos osebnih podatkov v ZDA v obdobju petih mesecev od datuma obvestila o odločitvi DPC Meta Ireland;
upravno globo v višini 1,2 milijarde EUR (kar odraža odločitev EDPB, da je treba naložiti upravno globo za sankcioniranje ugotovljene kršitve. DPC je določil znesek globe, ki naj se naloži glede na ocene in ugotovitve, ki so bile vključene v odločitev EDPB); in
odredbo, izdano v skladu s členom 58(2)(d) GDPR, ki od družbe Meta Ireland zahteva, da uskladi svoje postopke obdelave s poglavjem V GDPR, tako da preneha z nezakonito obdelavo, vključno s shranjevanjem, osebnih podatkov EU v ZDA. /EEA uporabniki, preneseni v nasprotju z GDPR, v 6 mesecih po datumu obvestila o odločitvi DPC podjetju Meta Ireland.
V današnji digitalni dobi kibernetski kriminalci nenehno snujejo nove načine za izkoriščanje posameznikov in organizacij za osebno korist. Ena najbolj razširjenih in nevarnih kibernetskih groženj je phishing. Napadi s pomočjo phishinga so postali vse bolj sofisticirani in še naprej ciljajo na nič hudega sluteče posameznike ter želijo ukrasti občutljive podatke, kot so gesla, finančni in osebni podatki. Ta članek raziskuje svet phishinga, njegove različne oblike in ključne nasvete, kako se zaščititi pred to vsesplošno grožnjo.
Razumevanje phishinga
Phishing je oblika napada socialnega inženiringa, ki uporabnike zavede, da razkrijejo zaupne podatke ali nevede izvedejo določena dejanja. Kibernetski kriminalci pogosto uporabljajo spretno izdelana e-poštna sporočila, neposredna sporočila ali zavajajoča spletna mesta, ki lažno predstavljajo zakonite subjekte, kot so banke, platforme družbenih medijev ali zaupanja vredni ponudniki storitev. Cilj je zvabiti žrtve v razkritje občutljivih podatkov, ki se nato izrabljajo za zlonamerne namene.
Vrste phishing napadov
1. Email phishing: Najpogostejša oblika phishinga, pri kateri kibernetski kriminalci pošiljajo zavajajoča e-poštna sporočila, ki so videti kot iz uglednih virov, in prejemnike spodbujajo, da kliknejo zlonamerne povezave ali posredujejo osebne podatke.
2. Spear Phishing: Zelo ciljno usmerjeni napadi, usmerjeni na določene posameznike ali organizacije, ki pogosto uporabljajo prilagojene informacije za povečanje verodostojnosti.
3. Smishing: Lažno predstavljanje prek SMS ali besedilnih sporočil, kjer poskušajo napadalci zavesti uporabnike, da kliknejo povezave ali odgovorijo z občutljivimi informacijami.
4. Vishing: Lažno predstavljanje prek glasovnih klicev, kjer se napadalci pretvarjajo, da so zakoniti predstavniki, da izvlečejo zaupne podatke.
5. Pharming: Preusmerjanje uporabnikov na lažna spletna mesta, tudi če vnesejo pravilne URL-je, za krajo poverilnic za prijavo in drugih občutljivih podatkov.
Nasveti za obrambo pred phishing napadi
1. Izobražujte in ozaveščajte: Izučite sebe in svoje zaposlene o grožnjah lažnega predstavljanja (phishinga) in najnovejših tehnikah napada. Redno izvajajte usposabljanja za ozaveščanje, da boste vsem pomagali prepoznati sumljiva e-poštna sporočila ali sporočila.
2. Preverite identiteto pošiljatelja: natančno preglejte e-poštne naslove in URL-je, preden kliknete povezave ali prenesete priloge. Še enkrat preverite pri pošiljatelju, če niste prepričani o legitimnosti sporočila.
3. Pazite se nujnosti in groženj: Lažna e-poštna sporočila pogosto ustvarjajo občutek nujnosti, ki grozi s hudimi posledicami, če ne ukrepate takoj. Ostanite mirni in preverite, preden odgovorite.
4. Poskrbite za posodobljeno programsko opremo: Redno posodabljajte svoj operacijski sistem, protivirusno in varnostno programsko opremo, da zagotovite zaščito pred najnovejšimi grožnjami.
5. Uporabite večfaktorsko avtentikacijo (MFA): Omogočite MFA, kadar koli je to mogoče, saj doda dodatno raven varnosti, zaradi česar napadalci otežijo ogrozitev vaših računov.
6. Prijavite sum phishinga: Če prejmete sumljivo e-pošto ali sporočilo, to prijavite IT oddelku vaše organizacije ali ustreznemu organu. Poročanje pomaga preprečiti, da bi drugi postali žrtve.
7. Zaščitite svoje spletno mesto: Če imate spletno mesto, implementirajte certifikate SSL in druge varnostne ukrepe za zaščito pred phishingom, ki izkoriščajo nešifrirane povezave.
8. Bodite previdni pri javnem omrežju Wi-Fi: Izogibajte se dostopanju do občutljivih računov ali deljenju osebnih podatkov med uporabo javnega omrežja Wi-Fi, saj je lahko ranljivo za prestrezanje.
Zaključek
Napadi s phishingom so stalna grožnja, ki zahteva pazljivost, ozaveščenost in proaktivne ukrepe, da ostanemo varni v digitalnem okolju. Z razumevanjem različnih tehnik phishinga in sprejetjem najboljših praks za zaščito pred njimi lahko posamezniki in organizacije zmanjšajo tveganja in zaščitijo svoje dragocene podatke. Vedno bodite previdni, dvomite o sumljivih sporočilih in dajte prednost kibernetski varnosti, da boste korak pred kibernetskimi kriminalci in se zaščitili pred phishing napadi.
Spletni napadalci posebej radi izvedejo napade, kjer je njihova vloga omejena na to, da žrtev prepričujejo. Prepričujejo pa jo v nekaj, česar sicer zagotovo ne bi naredila v normalnih okoliščinah. Da to dosežejo najpogosteje uporabijo eno od metod:
Ustvarjanje pritiska in nujnosti
Vzpostavljanje odnosa zaupanja med napadalcem in žrtvijo
Da bi napadalec lahko uspešno izvedel pretvarjanje, da je dejansko predstavnik poslovnega partnerja, mora vzpostaviti določeno stopnjo zaupanja z žrtvijo. Njegov cilj je, da žrtev prepriča, da bo izvedla spremembo matičnih podatkov podjetja, za katerega se napadalec pretvarja, da ga zastopa.
Ko je zaupanje vzpostavljeno, želi napadalec, da se izvede sprememba matičnih podatkov podjetja (sprememba podatkov o bančnem računu).
Scenarij napada
Kontaktira te oseba, ki se predstavlja, da je predstavnik poslovnega partnerja (dobavitelj, ponudnik storitve ali upnik). Kontakt se lahko izvede preko kateregakoli komunikacijskega kanala – preko telefona, pisma, faksa, elektronske pošte, ali kombinacije navedenega. Napadalec potem zahteva, da spremeniš matične podatke o družbi – spremeniti bi bilo potrebno podatke, ki so namenjeni izvedbi plačila prihodnjih računov. Seveda je nov račun pod nadzorom in upravljanjem napadalca.
Zaščita pred napadom
Najpogosteje se področje celovito obravnava preko KYP postopkov (know your partner). Ti postopki so namenjeni temi, da organizacija v njih določi kako bo izvajala preverjanje podatkov o poslovnih partnerjih in kako bo izvajala ažuriranja podatkov. Takšni postopki največkrat delijo poslovne partnerje po obsegu prometa in določajo strožje postopke za pravne osebe, ki prestavljajo za organizacijo večjo izpostavljenost. Tako lahko na primer za partnerje, kjer se ustvari do 200 EUR uporabi »zaupanje«, do 5.000 EUR preverjanje matičnih podatkov iz javno dostopnih baz (ajpes.si, bizi.si) in nad 5.000 EUR se od partnerja zahteva kopijo listin, kjer so navedeni matični podatki (izpisek iz sodnega registra,…). Seveda gre pri tem za interne predpise, ki sledijo odločitvam vodstva in povezanimi sprejemljivimi ocenami tveganja. Podjetja pogosto določijo postopke in načine za upravljanje sprememb matičnih podatkov, s katerimi seznanijo tudi svoje poslovne partnerje. S tem je zagotovljeno, da morebitne spremembe sporočajo na obvladovan in nadzorovan, predvsem pa pričakovan način, kar pomeni, da dodatna preverjanja niso potrebna.
Proces sistematične zaščite
Celotnemu procesu sistematične zaščite pred spremembami podatkov o poslovnih partnerjih pogosto pravimo KYC ali KYP.
Koncepta »Spoznaj svojo stranko« (KYC – Know Your Customer) in »Spoznaj svojega partnerja« (KYP – Know Your Partner) sta bistveni preventivni praksi v različnih panogah, predvsem v finančnih funkcijah in poslovanju. Praksi sta namenjeni preverjanju identitete in ozadja strank in poslovnih partnerjev z namenom preprečevanja goljufij, pranja denarja in drugih nedovoljenih dejavnosti. Te prakse pomagajo organizacijam upravljati tveganja, povezana s posamezniki ali pravnimi subjekti, s katerimi sodelujejo, in zagotoviti skladnost s predpisi ter zakonodajo.
Spoznajte svojo stranko (KYC)
KYC je niz postopkov in praks, ki jih uporabljajo finančne institucije, kot so banke, zavarovalnice in investicijska podjetja, za preverjanje identitete svojih strank. KYC želi vzpostaviti naslednje ključne informacije o stranki:
Preverjanje identitete (ime, datum rojstva, naslov in osebni dokument, ki ga je izdal državni organ),
Razumevanje finančnega ozadja stranke in vira sredstev,
Ocena profila tveganja stranke in ali je morda vpletena v nezakonite dejavnosti, kot je pranje denarja ali financiranje terorizma.
Primarni cilj KYC je zmanjšati tveganje finančnih kaznivih dejanj in zagotoviti, da finančne institucije nenamerno ne pomagajo kriminalcem pri pranju denarja ali drugih nezakonitih dejavnostih.
Spoznajte svojega partnerja (KYP)
KYP, znan tudi kot “spoznaj svojega poslovnega partnerja” (KYBP – Know Your Business Partner) ali “spoznaj svojo nasprotno stranko” (KYCp – Know Your Competitor), razširja načela KYC na svet poslovnih partnerstev in transakcij. KYP vključuje postopek skrbnega pregleda za ocenjevanje identitete, ugleda in integritete poslovnih partnerjev, dobaviteljev, strank in nasprotnih strank. Ključni elementi KYP vključujejo:
Preverjanje obstoja in registracije pravne osebe,
Ocena finančne stabilnosti poslovnega partnerja,
Preverjanje preteklosti poslovnega partnerja, vključno z vsemi preteklimi pravnimi težavami ali kršitvami predpisov,
Ocenjevanje tveganja ugleda, povezanega s partnerstvom.
Cilj KYP je zagotoviti, da podjetje vstopa v poslovni odnos z uglednim in zaupanja vrednim partnerjem, s čimer se zmanjša tveganje goljufije, finančne izgube in škode lastnemu ugledu.
Prakse KYC in KYP so ključne za skladnost s predpisi, obvladovanje tveganja ter ohranjanje integritete in ugleda organizacije. Neizvajanje ustreznega skrbnega pregleda KYC in KYP lahko povzroči pravne in finančne posledice, vključno z globami in škodo za ugled podjetja. Te prakse so še posebej pomembne v panogah, ki so zelo regulirane in kjer obstaja večje tveganje za pranje denarja, goljufije ali druge finančne zločine.
Ko razmišljamo, beremo ali zasledimo informacijo, da se je kje dogodil vdor v informacijski sistem skoraj vedno pomislimo na to, da se to lahko zgodi marsikomu, nikoli in nikakor pa nam ali naši firmi. Tako mislimo mi in tako mislijo tudi na ostalih družbah – tudi na tistih ki so bile žrtve vdora.
Zakaj o tem?
Prejšnji teden sem govoril s kolegom, ki mi je povedal, da je bila njihova firma žrtev vdora. Sicer ni bilo večje vsebinske škode, ker so vdor hitro zaznali in izvajanje prekinili. Vedno pa so takšne aktivnosti povezane tudi z širšim razmišljanjem glede tehnične varnosti. In spet pozabimo na organizacijsko.
Kako se je vdor zgodil?
Informacijski sistem, ki je bil žrtev vdora je sicer tehnično dobro upravljanj. Ima svoje uporabnike, ki se redno usposabljajo in izobražujejo s področja informacijske varnosti. Redno in ustrezno uporabljajo varnostne rešitve – skratka vse je kot mora biti. Tudi zunanji uporabniki imajo podpisane ustrezne dogovore, so usposobljeni za dostope in striktno jih izvajajo na način kot je določen v medsebojnem sporazumu.
V petek je bil v informacijski sistem izveden nepooblaščen dostop. Dostop se je izvedel preko uporabniškega računa pogodbenega zunanjega sodelavca. Ko je bila vzpostavljena VPN povezava do informacijskega sistema se je od tam nadaljeval napad na AD strežnik, ki je bil izveden uspešno. V tem trenutku je bil nepooblaščen dostop tudi zaznan in zaustavljen.
Sreča v nesreči je bila, da je bil napad izveden na testni AD strežnik, ki se je ravno pripravljal za namene testiranja delovanja novih funkcionalnosti in integracij z ostalimi storitvami. Posledično še ni imel vseh potrebnih varnostnih posodobitev in je omogočal uspešno izvedbo napada.
Lekcija, ki se je lahko naučimo
Verjetno bi se kaj podobnega lahko zgodilo tudi v našem informacijskem sistemu. Mogoče najbolj učinkovit mehanizem za preprečevanje tovrstnih napadov je izvajanje rednih pregledov uporabniških računov. Te je potrebno izvajati tako na ravni internih zaposlenih, kot tudi začasnega osebja ter zunanjih izvajalcev.
Ali to delamo?
Delamo. Občasno. Verjetno bi bilo potrebno izvajati takšne preglede pogosteje. Redno. Sprotno. Tako kot se izvajajo tudi poizkusi nepooblaščenih dostopov. Redno. Sprotno.
Dan varne rabe interneta bo potekal letos 7. februarja. Leta 2023 se obeležuje že 20. leto dnava varne rabe interneta. V Sloveniji ga organizira Fakulteta za družbene vede iz Ljubljane. Praznovanje dneva varne rabe interneta je namenjeno predvsem otrokom in mladostnikom, ki so mogoče še dodatno izpostavljeni nevarnostim, ki nanje pretijo preko spleta. In to so nevarnosti, ki jih (vsaj naša generacija) še niti ni poznala. Mogoče je ravno zato toliko bolj pomembno, da se nekoliko bolj posvetimo problematiki varne rabe.
Kaj sploh je varna raba interneta?
Internet, omrežje ogromne količine računalnikov in praktično neomejene količine podatkov. Seveda skriva prenekatere pasti in nevarnosti. Verjetno si vsakdo zamišlja svoj scenarij glede internetnih nevarnosti. Tako hitro pomislimo na spletne prevare, na zlorabe podatkov, na zlorabe prijavnih podatkov, na vse podatke, ki jih sami »filamo« v internet in vsebujejo veliko kategorij – od prijavnih podatkov, do fotografij, ki jih objavljamo na družbenih omrežjih, do fotografij naših družinskih članov, ki jih objavljamo, pa vse do številk plačilnih kartic, ki jih je pač potrebno razkriti, da lahko izvedemo kakšen spletni nakup. Veliko je tega. Ogromno. In ker nas je uporabnikov interneta še enkrat ogromno, potem pridemo do tega, da je takšnih podatkov ogromno x ogromno, kar pomeni ogromno na kvadrat. Potem dodamo še več različnih portalov, da dobimo še tretjo dimenzijo in potem vsemu skupaj dodamo še čas, da imamo 4 dimenzionalni prostor. To je nekaj kar si lahko še predstavljamo. 4 dimenzije v katerih se nabirajo in stekajo naši podatki. Poslovni, osebni, različni. In potem se odločimo, da bomo delovali vzgojno in o pasteh interneta govorili z našimi najmlajšimi. Ali pa malo starejšimi. Mogoče tudi tistimi, ki so veliko starejši. Recimo kar takole – tistim, ki so nekoliko bolj ranljive skupine uporabnikov. Ki informacijske tehnologije uporabljajo nekoliko bolj poredko in ki mogoče njihove uporabe niso tako zelo vešči. Ko začnemo razmišljati o merilu – katera meja znanja je potrebna, da lahko govorimo o tem da je nekdo res vešč uporabe interneta, pa lahko hitro ugotovimo, da smo mogoče celo sami v skupini, ki ni povsem in najbolj vešča uporabe vseh tehnologij. Hitro gre svet – zlikovci gredo z njim še hitreje. Mi smo pravzaprav navadni naivci, ki stojimo in čakamo, da postanemo žrtve. Tako nekako gre cela zgodba.
Nove oblike zlorab
Seveda so nove oblike zlorab interneta nove mogoče samo nam. Med te oblike sodijo pogosto tudi zlorabe preko družbenih omrežji, kjer se do posameznikov – mogoče bolj ranljivih – obnašajo nesramno drugi uporabniki. Podajajo neumestne komentarje, dodajajo komentarje na sicer povsem prijazne objave, si ustvarjajo nove lažne profile in preko njih izvajajo spletna nadlegovanja. Ja – ko sem bil še majhen, takrat je bilo drugače. Če je imel kdo kaj povedati je to naredil pred vsemi ali pa mogoče za hrbtom, ampak njegova »objava« je bila hipna in pozabljena. Danes pa so objave nameščene v večdimenzionalnem podatkovnem prostoru, ki pa niti približno ni upravljan, kaj šele da bi bil pod nadzorom. Tako lahko preko spletnega žaljenja dosegajo posamezniki zelo neprijetne trenutke za svoje žrtve, ki se verjetno ne znajo niti kaj dosti obraniti tovrstnih napadov. Pravzaprav se na področju družbenih omrežij večkrat odvijajo prave male vojne, ki lahko našim mladostnikom povzročijo prenekatero skrb, neprijeten občutek in celo travmo ali pa tudi kaj več. V svetu so zabeleženi tudi primeri, ko je zaradi neprimernosti in nesramnosti prišlo do samomorov.
(Ne)primerne vsebine
Letošnji dan varne rabe interneta je namenjen zagotavljanju dostopa do primernih vsebin za naše mladostnike. Vedno več je govora o tem kako se lahko nastavijo hišni sistemi, kako se uredijo filtri glede vsebin in kako se lahko vzpostavijo omejitve in nadzori. Seveda je to tudi pot. Mogoče pa je pot, ki je bolj smiselna pot razumevanja – če otrok ali mladostnik razumeta pasti interneta, bosta mogoče lažje razumela in prepoznala odstopanja, ki morajo pri njih sprožiti določeno stopnjo alarma.
Torej?
Ja – omejitve so OK, predstavljajo določeno tehnično varnost in oviro. Razumevanje pa je še veliko boljše, saj te nauči kako biti previden in kako se obnašati varno. Povsem drugačna raven. Ozaveščanje in znanje – to skupaj je močnejše kot onemogočen dostop.
Izkoristite dan varne rabe interneta in odprite to temo s svojimi mladostniki. Povprašajte jih preko sproščenega pogovora katere vsebine so že videli na spletu in povprašajte jih če se jim je kdaj zdelo, da je kakšna vsebina takšna, da so se počutili ob njej neprijetno. Pri tem je potrebno vedeti, da je tudi pojem neprimerne vsebine zelo širok in da ja – na spletu so na voljo vse neprimerne vsebine. Tudi takšne, za katere si niti slučajno ne mislite, da obstajajo. V tisočerih kopijah.
Namenite kakšno uro pogovoru na to temo. Pa pojdite potem na tisti krompirček in burger, ki ga imajo ta mali tako radi. Vsaj počutili se boste nekoliko lažje, da ste opozorili na nevarnosti, ki lahko pretijo.
Digitalna doba je prinesla priložnosti brez primere za vlagatelje, hkrati pa je povzročila nove oblike finančnih goljufij, ki prežijo na nič hudega sluteče. Naložbene prevare v digitalnem svetu postajajo vse bolj izpopolnjene in žrtve privabljajo z obljubami o visokih donosih in finančnem uspehu. V tem članku bomo raziskali nekaj pogostih vrst naložbenih goljufij v digitalnem kraljestvu in podali bistvene nasvete za zaščito vaše finančne prihodnosti.
Pogoste digitalne naložbene goljufije
Ponzijeve sheme: Ponzijeve sheme obljubljajo visoke donose na naložbe in plačujejo zgodnje vlagatelje s sredstvi kasnejših udeležencev. So nevzdržni in sčasoma propadejo, zaradi česar imajo številni vlagatelji precejšnje izgube. Pogosto jih poznamo tudi pod imenom »piramidne igre«, osnovne oblike so bile prisotne ča v času razširjenosti klasične pošte (saj se spomnimo, ko je bilo potrebno na kuverto napisati 5 naslovov in poslati denar tistemu na vrhu seznama naslovov…
Lažne ponudbe kriptovalut: Razcvet priljubljenosti kriptovalut je pritegnil goljufe, ki ustvarjajo lažne začetne ponudbe kovancev (ICO) ali priložnosti za naložbe v kriptovalute. Te prevare obljubljajo hitro bogastvo in ciljajo na posameznike, ki želijo izkoristiti navdušenje nad kriptovalutami,
Goljufije z vnaprejšnjimi provizijami: Pri goljufijah z vnaprejšnjimi provizijami prevaranti zahtevajo majhno vnaprejšnje plačilo, da odklenejo znatne donose. Ko je pristojbina plačana, žrtve pogosto ugotovijo, da obljubljene nagrade niso bile nič drugega kot prazne obljube.
Lažna spletna mesta za naložbe: Goljufi oblikujejo investicijska spletna mesta profesionalnega videza, ki posnemajo zakonita, legitimna podjetja. Ta spletna mesta ponujajo neobstoječe naložbene priložnosti in privabijo nič hudega sluteče žrtve, da položijo svoja sredstva na bančne račune napadalcev.
»Prevare v kotlovnici«: Čeprav se sliši kot cenena oblika nezvestobe gre za obliko naložbene prevare. Prodajne taktike pod visokim pritiskom se uporabljajo pri tako imenovanih »boiler room frauds«, kjer goljufi kličejo potencialne vlagatelje, da bi ponudili ničvredne ali neobstoječe delnice, blago ali druge naložbe. Te želijo seveda prodati po visoki ceni in žrtev šele po nakupu ugotovi, da je izvedba nakup slabe naložbe preko posrednika. Spretni goljufi potrebno dokumentacijo pripravijo in izvedejo na način, da so »v drobnem tisku« navedene vse odgovornosti, ki so na investitorju, investitor pa kaj kmalu ugotovo, da je bila njegova naložba strel v prazno.
Programska oprema za lažno trgovanje: Goljufi lahko promovirajo lažno programsko opremo za trgovanje, ki trdi, da zagotavlja zajamčen dobiček. Uporabniki na koncu izgubijo svoje naložbe, ker programska oprema ne zagotavlja, kot je bilo obljubljeno.
Zaščitita se pred digitalnimi naložbenimi goljufijami
Vedno preveri naložbeno priložnost: Temeljito preučite naložbo. Preverite legitimnost podjetja ali posameznika, ki ponuja priložnost. Preverite ustrezno licenciranje in registracijo pri ustreznih organih, če je to mogoče.
Bodite previdni pri visokih donosih: Bodite skeptični do vsake naložbe, ki obljublja neobičajno visoke donose z malo ali brez tveganja. Če se sliši predobro, da bi bilo res, verjetno je.
Ne hiti: Izogibajte se prenagljenim naložbenim odločitvam. Goljufi pogosto pritiskajo na potencialne žrtve, naj hitro ukrepajo. Vzemite si čas za premišljene odločitve.
Pazite se nezaželenih ponudb: Bodite previdni pri nezaželenih naložbenih ponudbah, prejetih po e-pošti, telefonskih klicih ali družbenih medijih. Preden razmislite o kateri koli ponudbi, dobro preglejte.
Uporabljajte zaupanja vredne platforme: Trgujte ali vlagajte prek uglednih in uveljavljenih platform, kot so registrirane posredniške družbe in znane borze kriptovalut.
Razpršite svoje naložbe: Diverzifikacija lahko pomaga ublažiti vpliv morebitnih izgub. Razporedite svoje naložbe med različna sredstva, da zmanjšate tveganje.
Zaključek
V digitalnem svetu so naložbene goljufije stalna grožnja posameznikom, ki iščejo finančno rast. Zaščita tvojega težko prisluženega denarja zahteva budnost, skepticizem in temeljito raziskavo, preden se odločiš za investicijo.
Če si obveščeni o pogostih naložbenih goljufijah in upoštevaš preudarne naložbene prakse, lahko zaščitiš svojo finančno prihodnost in zmanjšaš tveganje, da postaneš žrtev digitalnih naložbenih prevar. Ne pozabite, da zakonite naložbe zahtevajo čas in skrben premislek, zato se izogibaj prenagljenim odločitvam, ki bi lahko povzročile tvoj finančni propad. Verjetno že tako nimaš preveč prihranjenih sredstev, da bi se lahko razsipno obnašal…
Da bi lažje prepoznali spletne napade, opisujem pogoste metode za izvajanje spletnih goljufij, ki smo jih deležni tudi v našem kibernetskem prostoru.
Kibernetski kriminalci nenehno iščejo načine, kako pridobiti denar ali drugačno korist na račun žrtev spletnega kriminala. Pri tem se najbolj pogosto poslužujejo metod socialnega inženiringa, kjer želene informacije pridobijo na način, da pretentajo osebo, ki ima dostop do želenih informacij. Alternativa pridobivanju informacij je izvajanje vdora v informacijski sistem, kar je tehnološko veliko bolj zahtevno in časovno potratno.
Kibernetski kriminalci tako vedno bolj postajajo »psihologi«, kot pa tehnični strokovnjaki. Dobra zaščita zoper napade preko socialnega inženiringa je zgolj in samo redno usposabljanje in ozaveščanje zaposlenih oziroma vseh uporabnikov informacijskih tehnologij.
Splošni nasveti:
Redno preverjaj statuse svojih uporabniških računov za spletne storitve (uporabljaj kompleksna gesla, izvajaj redno spreminjanje gesel, če je možno uporabi za prijavo metodo večfaktorske avtentikacije),
Spletna plačila izvajaj vedno samo preko varnih spletnih strani (preveri da je v URL https, priporočljivo je tudi, da preveriš izdan certifikat) in preko varnih povezav (namesto javnega ali splošno dostopnega WiFi omrežja raje uporabi lastno mobilno dostopno točko za izvedbo plačil),
Zavedaj se, da te banka ne bo nikoli spraševala preko telefonskega klica ali sporočila elektronske pošte glede prijavnih podatkov za dostope do spletnega bančništva,
Če določena ponudba, ki jo prejmeš izgleda enostavno preveč dobra, da bi bila resnična, to verjetno tudi je,
Shranjuj svoje zasebne podatke na varen način,
Bodi previden glede količine in nabora osebnih podatkov, ki jih deliš preko družbenih omrežij. Napadalci lahko zlorabijo te podatke in si s pomočjo njih izdelajo lažno identiteto,
Če sumiš, da si svoje bančne podatke razkril napadalcem, o tem nemudoma obvesti banko,
Če sumiš, da si razkril prijavne podatke, nemudoma izvedi ponastavitve gesel na ogroženih računih in na računih, kjer uporabljaš enaka gesla (kar seveda tudi ni ustrezno),
Poizkuse prevar sporoči in prijavi, tudi če nisi postal žrtev prevare
Napadalec se pretvarja, da je direktor podjetja
Cilj te prevare je, da oseba, ki je pooblaščena za izvedbo plačil dejansko izvede plačilo ponarejenega računa ali izvede nepooblaščeno nakazilo denarja.
Napadalec največkrat izvede neposreden klic do višjega uradnika ali pa mu posreduje sporočilo elektronske pošte. V sporočilu zahteva za popolno zaupnost, ker gre za občutljivo poslovno transakcijo, ki jo je potrebno urediti čimprej. Zahteva glede plačila je nenavadna in ni skladna z ustaljenim postopki podjetja. Zahtevo napadalec pogosto utemelji bodisi z dodatno nagrado ali pa z grožnjo glede kazni, če transakcija ne bo izvedena.
Napad torej temelji na vnemi zaposlenega, da opravi nalogo, ki jo zahteva najvišje vodstvo družbe. Napad spremlja vtis, da napadalci dobro poznajo organiziranost in kulturo podjetja oziroma organizacije, komunikacija pa je izredno prepričljiva.
Napadalec se pretvarja, da je predstavnik poslovnega partnerja
Kontaktira te oseba, ki se predstavlja, da je predstavnik poslovnega partnerja (dobavitelj, ponudnik storitve ali upnik). Kontakt se lahko izvede preko kateregakoli komunikacijskega kanala – preko telefona, pisma, faksa, elektronske pošte, ali kombinacije navedenega. Napadalec potem zahteva, da spremeniš matične podatke o družbi – spremeniti bi bilo potrebno podatke, ki so namenjeni izvedbi plačila prihodnjih računov. Seveda je nov račun pod nadzorom in upravljanjem napadalca.
Napadalec te pokliče, pošlje SMS ali sporočilo elektronske pošte
Lažno predstavljanje (preko elektronske pošte), preko SMS sporočil (SMShing) ali preko glasovnega klica (vishing) so najbolj pogoste metode, ki jih napadalci uporabljajo za izvedbe napadov bančnih strank.
Lažna sporočila elektronske pošte so namenjena temu, da prejemnika zvedejo, da delijo svoje osebne, finančne ali varnostne podatke. Ta sporočila elektronske pošte so videti identično kot legitimna vrsta korespondence, saj vsebujejo ustrezne logotipe, postavitve in ton komunikacije sporočila elektronske pošte. Dodatno imajo sporočila vsebovan parameter nujnosti – bodisi preko uporabljenega jezika komunikacije, bodisi preko potencialne kazni v primeru, da se ne odzoveš pravočasno. Sporočilo lahko prosi celo, da odpreš prilogo ali pa da klikneš povezavo, ki je del sporočila. Navadno je povezava urejena celo tako, da je potrebno za odpiranje klikniti na sliko, da je s tem dodatno skrit dejanski URL strani. Ker sporočila izgledajo zelo legitimna, veliko prejemnikov dejansko odpre povezave, priponke in reagira, kot je zapisano v navodilih napadalca.
Vishing klici (kombinacija besed phishing in voice) je oblika telefonske prevare, pri kateri te želi napadalec preslepiti, da razkriješ svoje prijavne podatke, osebne ali finančne podatke ali pa celo, da jim izvedeš nakazilo denarja.
Smishing (kombinacija SMS in phishing) je poizkus pridobivanja osebnih, finančnih ali prijavnih podatkov preko SMS sporočlila. Napadalec se najpogosteje predstavi kot oseba zaposlena pri zaupanja vredni instituciji, kot na primer banka, izdajatelj plačilnih ali kreditnih kartic,… Prejeto sporočilo te bo pozvalo (seveda z določenim občutkom nujnosti), da odpreš priloženo povezavo do spletnega mesta, da bi preveril/potrdil/posodobil/ponovno aktiviral svoj uporabniški račun. Povezava seveda vodi do ležnega spletnega mesta, telehonska številka pa je od napadalca, ki se pretvarja, da je zaposlen pri zaupanja vrednem podjetju. Cilj je pridobiti podatke, s pomočjo katerih, te lahko kasneje oškodujejo.
Napadalec ustvari poneverjeno spletno stran banke
Sporočila elektronske pošte, ki so lažno posredovana s stani bank običajno vključujejo povezave do poneverjenega spletnega mesta banke, kjer napadalec zahteva, da razkrijete svoje osebne in finančne podatke.
Poneverjena spletna mesta bank so videti skoraj identična svojim izvirnikom. Poneverjena spletna mesta pogosto uporabljajo pojavna okna za vnos bančnih poverilnic. Prave banke takšnih metod ne uporabljajo.
Takšen napad običajno dodatno zaznamuje:
Nujnost – vsebina sporočila bo govorila o določeni aktivnosti, ki jo je potrebno izvesti nujno, saj te s tem želijo pripraviti, da boš opravljal naloge izven ustaljenih postopkov,
Slaba zasnova – poneverjene spletne strani imajo pogosto vključene napake v črkovanju ali slovnici,
Prisotnost pojavnih oken – ta se v primeru napada pogosto uporabijo za zbiranje osebnih, prijavnih ali finančnih podatkov – seveda vanje ne vpisuj podatkov in jih preko pojavnih oken ne posreduj aplikaciji oziroma napadalcu
Napadalec želi romantičen odnos
Ljubezenske prevare se običajno dogajajo na spletnih portalih, ki so namenjeni zmenkom, napadalci pa vseeno pogosto uporabljajo družbena omrežja ali elektronsko pošto.
Napad prepoznaš na način, da oseba, ki si jo spoznal preko spleta izraža zelo močna čustva do tebe in te prosi za nadaljevanje komunikacije preko zasebnih kanalov (ne preko portala za zmenke). Sporočila napadalca so pogosto slabo napisana in so nejasna. Dodatno je možno opaziti, da njihov spletni profil ni v skladu s tem kar povedo. V določenih primerih se napadalci odločijo tudi za prošnjo, če mu lahko posreduješ svoje intimne slike ali videoposnetke.
Napadalec potrpežljivo čaka in komunicira s tabo, da si tako počasi pridobiva tvoje zaupanje – to lahko traja tudi več tednov ali mesecev. Ko napadalec pridobi zaupanje, pove presunljivo zgodbo in te prosi za denar, podatke o bančnem računu ali plačilni kartici. Če podatkov ali denarja ne pošlješ, te bo napadalec skušal izsiljevati s fotografijami ali posnetki, ki si jih posredoval. Če pošlješ denar, bo napadalec seveda zahteval še več in vedno več…
Napadalec ima pripravljeno tudi celotno vrsto opravičili, glede tega, da mu ne deluje spletna kamera, da ne more potovat, da bi se srečal s tabo, in seveda – zakaj vedno pogosteje potrebuje vedno več denarja.
Kraja osebnih podatkov
Tvoji osebni podatki so zelo dragoceni za kibernetske kriminalce. Zaščititi se pred goljufijami, pomeni tudi varovati svoje osebne podatke.
Tudi, če imaš svoje račune v družbenih omrežjih konfigurirane in določene kot »zasebne« in ustrezno zaščitene ali če si že na splošno previden in ne deliš veliko informacij (slike, videoposnetki, delitve glede stanja oziroma statusa), kibernetski kriminalci uporabijo različne tehnike za pridobivanje dodatnih podatkov, ki jih nato uporabljajo za krajo identitete. Najbolj pogosto ciljajo, pridobivajo in uporabljajo osebne podatke iz nabora ime in priimek, elektronska pošta, številka kreditne kartice,..).
Napadalec lahko pridobljene osebne podatke zlorabi na različne načine, med najbolj tipične pa sodijo:
Opravljanje nepooblaščenih nakupov s pomočjo tvoje plačilne kartice,
Odpiranje novih bančnih računov,
Sklenitev telefonske naročnine,
Najem posojila,
Prodati pridobljene osebne podatke drugim napadalcem in goljufom,
Opravljanje nezakonitih poslov pod tvojo identiteto,
Twishing
Mnogi napadi sledijo navedenim vzorcem, najbolj pogoste oblike napadov, ki so izpeljanke, kot na primer Twishing – gre za kombinacijo besed Twitter in phishing. Napad je izveden na način da napadalec izvede pošiljanje sporočila uporabniku omrežja Twitter, kjer ga preusmeri na lažno spletno stran, z namenom pridobivanja prijavnih podatkov (uporabniško ime in geslo).
Napredne storitve
Druga pogosta oblika napada je pridobivanje podatkov preko dodatne storitve – na primer storitev spremljanja zgodovine ogledov tvojega profila na družbenem omrežju. Ta bo za delovanje potrebovala dostop in vpogled do tvojega profila. V naslednji fazi boš prejel anketo, v katero boš vnesel dodatne osebne podatke. Pošiljatelj ankete bo zaslužil vedno, ko bo nekdo izpolnil anketo. Kdo je dejansko izvedel obiske tvojega profila ne boš izvedel nikoli – napadalec pa je pridobil podatke, ki jih je iskal.
Ali si bil na dogodku?
Naslednja pogosta oblika je izvajanje povpraševanja glede tvojega sodelovanja ali prisotnosti na določenem dogodku. Tako na primer prejmeš sporočilo v katerem je navedeno vprašanje »Ali si ti v tem videu?«. Povezava, ki bo posredovana v sklopu sporočila te preusmeri na izpolnjevanje anketnega vprašalnika, ki služi denar napadalcu (plačilo po izvedeni anketi). Pri tej obliki se pogosto pojavi še kombinacija tveganja, da se ob odpiranju anketnega vprašalnika izvede poizkus okužbe računalnika s škodljivo programsko opremo.
Vaš račun je potekel
»Vaš račun je potekel«, »prosim za potrditev naslova elektronske pošte« in sporočila s podobno vsebino v predmetu ali vsebini sporočila pogosto predstavljajo poizkuse napadov, kjer napadalec želi pridobiti tvoje osebne in/ali prijavne podatke.
Darilne kartice
Priljubljena metoda za izvedbo kraje osebnih podatkov je tudi goljufija z darilnimi karticami ali karticami popustov za priljubljene blagovne znamke. Cilj teh prevar je pridobiti osebne podatke ali pa izvesti prijavo na določene nadstandardne, drage storitve. Te se mesečno spreminjajo in prevzemajo novo obliko in vedno zveni prelepo, da bi bilo res – zahtevana storitev ali izdelek ne bosta nikoli prispeli.
Brezplačni vzorci
Metoda s promocijo brezplačnih preizkusov oziroma testnih izdelkov uporablja opise izdelkov ali storitev ter opise kako so brezplačne uporabe ali preizkusa.
Dodatno je potrebno izpolniti anketne vprašalnike (prvi vir zaslužka spletnega napadalca), ki vsebujejo osebne podatke (drugi vir dohodka napadalca) in te naročijo na določene storitve ali proizvode, kjer je zaslužek skrit v stroških pošiljanja (tretji vir dohodka napadalca).
Zasluži z delom od doma
»Zaslužite z delom od doma« je vedno bolj pogost način zaslužka ali dodatnega zaslužka. Na spletu je veliko portalov, ki omogočajo izvedbo dodatnega zaslužka s pomočjo dela od doma. Pri tem je potrebno biti pozoren – vsako delo, ki za začetek zahteva plačilo, je verjetno goljufivo. Oglase za zaslužek z delom od doma lahko zaslediš na različnih spletnih straneh, kjer ti ponudnik dela za pričetek proda komplet, v katerem je navedeno vse kar potrebuješ za opravljanje dela od doma (prvi zaslužek napadalca), dodatno zahteva še kup osebnih podatkov – kot davčna številka in kopija osebnega dokumenta (podatke lahko zlorabi za odpiranje bančnih računov, najeme posojil – drugi zaslužek napadalca ali pa za prodajo na črnem trgu – tretji zaslužek napadalca). Nekatere ponudbe za delo so lahko tudi krinke za opravljanje pranja denarja. Te ponudba zahtevajo, da prejmete plačila na svoj bančni račun za provizijo in potem posredujete denar tujemu podjetju. Osebam, ki za provizijo posredujejo pri prenosih sredstev se na področju kibernetske varnosti pravi »finančne mule« ali na kratko »mule«. Aktivnost je seveda nezakonita.
Pomagaj mi
»Pomagaj mi, prosim« bi lahko poimenovali naslednjo metodo zbiranja osebnih podatkov in izvajanja kibernetičnega kriminala. Napadalec se pretvarja, da je daljni sorodnik, ki potrebuje pomoč – največkrat gre za finančno pomoč. Kontaktiral te bo preko družbenega omrežja, telefona, elektronske pošte ali SMS sporočila – odvisno od tega katere osebne podatke je o tebi že uspel pridobiti. Napadalec ti bo predstavil svojo stisko in te prepričeval za izvedbo nakazila denarja.
Naložbene prevare
Navadno vključujejo ponudbe za donosne naložbene priložnosti, kot so delnice, obveznice, kriptovalute, redke kovine, naložbe v zemljišča, nepremičnine ali alternativno energijo.
Znaki za tovrstno prevaro so navadno:
Prejemanje nepričakovanega telefonskega poziva,
Obetanje hitrih donosov in zagotovil, da je naložba varna,
Ponudba je na voljo za časovno omejeno obdobje,
Ponudba je na voljo samo zate in pošiljatelj te prosi, da je ne deliš z drugimi
A se spomniš kako lepo je bilo, ko si na spletu klikal med predmeti, ki bi jih mogoče potreboval in potem… …potem si videl – tisto kar si želiš in kar veš, da mora biti v kar najkrajšem času v tvojem stanovanju. Kupi, kupi.
In potem doma lepo čakaš, da pride. In čakaš.
No, zgodba se potem nadaljuje v dve smeri. Prva smer govori o tem, da pač čakaš in je to to – predmeta pač ni od nikoder.
Druga smer pa govori o tem, da predmet dobiš in da ko vidiš kaj si dobil to še zdaleč ni tisto kar si naročil.
Ne glede na smer, ki jo je zgodba imela, zaključek je jasen – postal si žrtev spletne prevare.
Kako prepoznati spletno prevaro?
Spletne prevare postajajo vedno bolj zapletene in dovršene. Po drugi strani pa smo ljudje in kot vsi ostali tudi mi delamo napake.
Med spletne prevare uvrščamo na primer spletne nakupe, preko spletnih strani za katere ne veste da so lažne ali pa nakupe preko oglasov, ki so prisotni na sicer legitimni spletni strani. Izdelek, ki ga kupujete v realnosti mogoče ne obstaja, je ponaredek ali pa gre za izdelek, kjer je kakovost daleč od pričakovane ali oglaševane.
Kaj narediti?
Ko ugotoviš, oziroma sumiš, da si postal žrtev spletne prevare je smiselno izvesti naslednje aktivnosti:
Skušaj vzpostaviti stik s prodajalcem – mogoče gre dejansko za težavo pri izvedbi prodaje ali odpošiljanja.
Vzpostavi stik s svojim finančnim posrednikom pri transakciji (banka, paypall,…) in preveri, če je bil tvoj račun kompromitiran, če so se izvajale nepričakovane aktivnosti na tvojem računu, če nisi prejel odgovora prodajalca ali če z odgovorom nisi povsem zadovoljen (ni smiseln). S tem boš lahko preprečil morebitni potencialno nadaljnjo škodo.
Spremeni svoje geslo – tisti, ki je izvedel prevaro morebiti lahko poseduje tvoje geslo, izberi močno geslo, kjer je dolžina vsaj 15 znakov in uporabljaš tako velike, male črke, kot tudi znake in številke. Priporočljiva je uporaba passphrase – niz več besed, mogoče iz različnih jezikov ali narečij.
Spremeni prijavne podatke povezanih računov ali računov, kjer si do sedaj uporabljal enake prijavne podatke.
Uporabljaj različno geslo za različne račune.
Redno posodabljaj protivirusno programsko opremo, saj s tem zagotoviš varnost naprave pred škodljivo programsko opremo. To je pravzaprav preventivni ukrep, ki pa ga pogosto pozabimo izvajati, če ni nastavljen samodejno.
Prijavi prevaro – tvoji podatki o prevari lahko pomagajo pri odkrivanju storilca in preprečitvi nadaljnjih incidentov.
Shrani vse morebitne dokaze glede opravljene transakcije – zaslonsko sliko izdelka, sporočila elektronske pošte, vmesna sporočila potrditve nakupa, informacije in obveščanja glede dostave, kopije računov, oglase,…
Obvesti o dogodki
Glede izkušnje obvesti in seznani svoje družinske člane, sodelavce, prijatelje,… Tako bodo razumeli, da se kaj podobnega lahko pripeti tudi njim.
