RATEL UPOZORAVA JAVNOST Značajan porast prevara korisnika platformi za e-trgovinu
RATEL je objavio brošuru u kojoj savetuje građane i privrednike kako da zaštite svoje poslovanje u onlajn svetu.
U poslednje vreme, primećen je značajan porast broja prevara usmerenih na korisnike platformi za e-trgovinu. Reč je o prevari koja je usmerena na oglašivače kojima se putem neke od aplikacija za komunikaciju javljaju navodni kupci koji su zainteresovani za proizvode koje su oglasili.
Komunikacija se odvija najčešće putem Whatsapp-a ili Viber-a, a brojevi telefona koji se koriste mogu biti iz nacionalne ili mreže iz inostranstva.
– Napadač se predstavlja kao navodni kupac i komunikaciju počinje pitanjem oglašivaču da li je proizvod i dalje dostupan, kao i da li kupoprodaju mogu da obave elektronskim putem. Tada im u svoje ime ili u ime „administratora platforme za e-trgovinu“ dostavlja link sa objašnjenjem da je navodni kupac već uplatio sredstva preko aplikacije i od oglašivača traži klikne na link koji vodi na stranicu na kojoj se zahteva da unese u određena polja podatke sa bankovne kartice (broj kartice i CVV broj) kako bi mu se navodno izvršila uplata. Ponekad navodni kupac od oglašivača, pored ovih podataka, traži da mu dostavi i kodove koje oglašivač dobija prilikom popunjavanja forme za unos podataka. Kada oglašivač unese podatke i dostavi kodove, lice koje vrši prevaru podiže sva raspoloživa sredstva sa bankovnog platnog računa oglašivača, nakon čega prekida svaku vrstu komunikacije – objašnjava se u brošuri.
KAKO ZAŠTITI SVOJU FIRMU I ZAPOSLENE?
Napadači koristeći savremene alate mogu istovremeno da upućuju stotine pomoću tehnologije Voice Over Internet Protocol (VoIP) i lako mogu da podmetnu ID pozivaoca da bi
poziv izgledao kao da dolazi iz pouzdanog izvora, kao što je banka.
– Ova vrsta napada se danas najviče koristi iz razloga što se na ovaj način može doći do većeg broja ljudi nego putem e-poruka. Veći je stepen poverenja ljudi ka pozivima, nego ka e-porukama, a validacije sistema su automatske. Takođe, telefonskim pozivima je moguće lakše doći do određenih ciljnih grupa, kao što su npr. pripadnici starije populacije. Otvaranje sve većeg broja pozivnih centara je doprineo povećanju poverenja i prihvatanja poziva od osoba koje ne poznajemo, a pitaju za poverljive informacije.
Pored pomenutog napada preko glasovnog poziva, napadači danas koriste Vishing i smishing koje predstavljaju uobičajene vrste fišing napada, koji napadaju žrtvu putem
glasovnih poziva i slanjem poruka. Obe vrste koriste tradicionalnu metodu fišing prevara koja od žrtve zahteva hitnu reakciju. Cilj je sličan, dok su načini isporuke različiti.
ŠTA JE VISHING?
Vishing je vrsta fišing napada koja se vrši putem telefonskih poziva i Skype-a sa ciljem da se prikupe finansijski ili lični podaci glasovni fišing, a kao ciljnu grupu ima korisnike Voice Over Internet Protocol- VoIP usluge.
Napadači koriste različite ID-jeve koji odaju utisak da su od pouzdane osobe. Čini se da je poziv upućen iz lokalnog područja ili organizacije koju poznajete. Kada se poziv propusti, napadači obično ostave poruku u kojoj traže da ih pozovete. Napadači imaju za cilj prikupljanje podataka o kreditnim karticama, datumima rođenja, kredencijalima za različite naloge ili brojeva telefona kontakata žrtve, s ciljem da saznaju njene lične podatke. Za vreme telefonskog poziva, napadač se obično predstavlja kao predstavnik policije, osoba koja nudi pomoć u instaliranju softvera (upozorenje: To je verovatno zlonamerni softver) ili najčešće kao predstavnik banke, govoreći žrtvi da joj je račun ugrožen.
UOBIČAJENE VISHING PREVARE
Postoji nekoliko najčešćih tema vishing prevara.
„Kompromitovani“ račun banke ili kreditne kartice. Bilo da se radi o osobi ili o unapred snimljenoj poruci, žrtva dobija informaciju da postoji problem sa nalogom ili uplatom koju je žrtva izvršila. Od žrtve će se možda zahtevati kredencijali za prijavljivanje da bi se rešio problem ili će se zatražiti nova uplata. Preporuka je da umesto davanja ličnih podatka, žrtva spusti slušalicu i nazove svoju finansijsku instituciju na njihov javno dostupan broj, kako bi se proverila informacija.
Neželjene ponude za kredite ili investicije. Napadači pozivaju sa ponudama koje su previše dobre da bi bile istinite. Jedan od primera je i poziv u kojem se korisnicima predstavlja ponuda da sa malo uloženog novca mogu zaraditi milione dolara, zatim da se brzim rešenjem otplate dugovanja ili da se u jednom mahu oproste svi studentski zajmovi. Tipičan je zahtev da se „deluje odmah“ i plati mala naknada za to. Dakle, ako je ponuda previše dobra da bi bila istinita, to je uglavnom upravo tako kako se i čini. Savet je da žrtva ne preduzima radnje na ovakve vrste ponuda.
Legitimni zajmodavci i investitori neće davati ovakve vrste ponuda i neće započeti kontakt iznenada.
Poreska prevara. Postoje razne vrste ovih prevara, ali obično će žrtva dobiti unapred snimljenu poruku, koja je obaveštava da nešto nije u redu sa poreskom prijavom. Napadači ovo obično
uparuju sa lažnim ID-jem pozivaoca napravljenim tako da izgleda kao da poziv dolazi iz poreske uprave. Pre nego što žrtva nastavi sa komunikacijom, potrebno je da se raspita i
proveri sledeće informacije: na koji način poreska uprava može da zatraži informacije,
kao i o načinu mogućeg kontaktiranja.
KAKO UOČITI VISHING PREVARU?
-Signali koji bi mogli da ukazuju na prevaru su oni kada pozivalac tvrdi da predstavlja neku npr. agenciju, banku, poresku i sl. i traži lične ili finansijske podatke. Ako osoba nije zatražila kontakt, nijedna od ovih institucija neće uspostaviti kontakt putem e-pošte, tekstualnih poruka ili kanala na društvenim mrežama. Korisnik bi trebalo da bude skeptičan prema svima koji pozovu sa ovakvim ponudama.
Pozivalac traži podatke od žrtve. Od potencijalne žrtve se traži da potvrdi svoje ime, prezime, adresu, datum rođenja, JMBG, informacije o bankovnom računu i druge podatke za identifikaciju. Neretko se dešava da napadači već poseduju neke od ličnih podataka potencijalne žrtve, kako bi žrtva poverovala da je osoba koja je poziva zaista ona za koju se predstavlja i na taj način napadaču otkriju i druge informacije. Otkriveni podaci se mogu iskoristiti i za druge zlonamerne aktivnosti.
KAKO FUNCIONIŠU VISHING PREVARE?
-To se najbolje može objasniti primerom kada napadač kreira lažni tekst e-pošte, pretvarajući se da je npr. dobavljač i šalje ga ciljanoj kompaniji navodeći da je potrebno ponovo poslati podatke o kreditnoj kartici zbog „problema“. Ova e-pošta može sadržati link za veb sajt ili telefonski broj za „ažuriranje“ podataka kreditne kartice. I jedno i drugo će biti lažno. Ovakve poruke sistem zaštite e-pošte može blokirati, ukoliko poruke dolaze sa poznatih zlonamernih adresa ili ukoliko ih poveže sa poznatim zlonamernim URL adresama. Nakon toga, napadač zove organizaciju i traži da razgovara sa žrtvama u vezi sa e-poštom o podacima na kartici. Kada dođu do odgovarajuće mete, dalje govore da postoji problem sa naplatom, sve dok se podaci o kartici ne pošalju ponovo porudžbine se obustavljaju i nije moguće izvršiti dodatna plaćanja.
ŠTA JE SMISHING?
-Smishing je najčešća vrsta fišing napada koji se prenosi putem SMS (Short Message Service) na mobilnim telefonima. Smishing poruka sadrži pretnju ili primamljivu ponudu kako bi žrtva kliknula na link ili pozvala broj i podelila osetljive informacije u određenom roku. Tipična smishing poruka može stići sa informacijom da je bankovni račun suspendovan i
da je za otključavanje potrebno otvoriti link ili prilog, nakon čega se instalira zlonamerni softver na mobilni telefon žrtve.
KAKO SE ZAŠTITI OD VISHING I SMISHING PREVARA?
-Ne treba deliti bilo kakve poverljive informacije pozivaocu, kao što su podaci o bankovnom računu, detalje o kreditnim karticama itd., umesto toga bi korisnici trebalo da kontaktiraju svoju banku
kako bi bili sigurni da je izvor od poverenja. Preporuka je da se ne javljate na nepoznate brojeve telefona, s obzirom da se identifikacije pozivaoca lako mogu lažirati. Ukoliko se javite i posumnjate da je to telefonski poziv od neproverenog pozivaoca, prekinite poziv i blokirajte broj.
KAKO SE OPORAVITI NAKON VISHING NAPADA?
-U slučaju da ste svoje finansijske podatke dali nekome za koga se kasnije ispostavi da je prevarant, kontaktirajte svoju banku. Bilo da se radi o izdavaču kreditne kartice, banci ili drugoj instituciji, nazovite i pitajte o svim mogućnostima storniranja lažnih transakcija i blokiranju budućih troškova. Imajući u vidu da vishing napadi imaju za cilj prevaru, tu prevaru je moguće sprečiti. Primenom navedenih preporuka možete sprečiti napadače koji pokušavaju da dođu do vaših ličnih podatka putem telefona- navodi se u zaključku brošure.