Spletnih prevar je vse več, kriminalci so vse bolj predrzni, povečano število spletnih nakupov ob koncu pa kar kliče po večji previdnosti in večji ozaveščenosti uporabnikov spleta. Za varnost slovenskih uporabnikov spletnih storitev skrbi SI-CERT in projekt Varni na Internetu. Za izčrpne odgovore na naša vprašanja je poskrbela Erina Borovič.
Erina, najprej lepo pozdravljeni. Vse vas, ki sodelujete pri SI-CERT-u in pri projektu Varni na Internetu, na Dnevnih novicah imenujemo kar ‘angeli varuhi slovenskega spleta’. Kaj vse obsegajo aktivnosti obeh struktur, oz. za kaj vse ste skrbite, za katera področja ste pristojni?
“Nacionalni odzivni center za kibernetsko varnost SI-CERT (Slovenian Computer Emergency Response Team) opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah. Uporabnikom in organizacijam, ki imajo kakršnokoli težavo iz področja informacijske varnosti, nudimo osnovno brezplačno pomoč.
Že 11 let pa izvajamo tudi nacionalni program ozaveščanja Varni na internetu, ki je v prvi vrsti namenjen ozaveščanju uporabnikov o različnih oblikah spletnih goljufij in ponuja praktične rešitve, kako se pred njimi zavarovati. Mnoge spletne prevare bi namreč lahko uspešno preprečili, če bi si pred vsakim klikom vzeli sekundo za premislek in poznali posledice različnih spletnih prevar.”
Zdi se nam, da je letos spletnega kriminala še precej več kot v bližnji preteklosti, pa čeprav je bil tudi med pandemijo Covida 19 opazen porast. Kaj pravijo vaši podatki, ali to drži in če res drži, zakaj je po vašem mnenju temu tako?
“Leta 2021 smo obravnavali rekordno število phishing prevar, ki so se v primerjavi z letom poprej povečale za skoraj 37 %. Tovrstne prevare so predstavljale kar tretjino od skupaj 3177 prijavljenih varnostnih incidentov. Epidemija koronavirusa Covida-19 je v prvi vrsti prispevala k številčnejšim nakupom prek spleta, kar ima za posledico večje število prevar prek lažnih spletnih trgovin.”
V zadnjih dveh ali treh mesecih so alarm pred spletnimi kriminalci zagnali tudi na Združenju slovenskih bank, kar se v preteklosti ni dogajalo prav pogosto, pa čeprav so tudi slovenske banke vsakodnevno na udaru spletnih kriminalcev. Kaj se je torej spremenilo v zadnjih mesecih?
“Kot omenjeno, se je v zadnjem času močno povečalo število phishing prevar, največ v obliki lažnih obvestil v imenu bank. Tak napad se običajno začne z elektronskim sporočilom, ki prejemnika nagovarja h kliku na povezavo v sporočilu. Najpogostejši izgovori so, da je potrebno nujno posodobiti podatke, da moramo takoj zaščiti naš račun, da so nam pravkar blokirali bančno kartico, ipd.
Povezava v naslednjem koraku vodi na lažno spletno stran, ki je na videz zelo podobna legitimni strani banke (ali katere druge storitve) in tam se nahaja obrazec za vnos podatkov. V zadnjem času se phishing sporočila selijo tudi na mobilne telefone v obliki SMS-sporočil, ki pod pretvezo ‘preverjanja podatkov’, ‘potrjevanja transakcij’ in podobnih motivov želijo izvabiti avtentikacijske podatke za dostop do mobilne banke uporabnika.
Pri več različnih vrstah prevar, ki so povezane z investicijami in tudi s kriptovalutami, je osnovni cilj spletnih kriminalcev enak – pridobiti vašo bančno kodo in vam z računa pobrati vse prihranke. Na kakšne načine se pri SI-CERT-u in pri projektu Varni na Internetu trudite ljudem dopovedati, da bajni spletni investicijski zaslužki ne obstajajo?
“Uporabnike ozaveščamo na različne načine – z različnimi video vsebinami, infografikami, tudi zgodbami resničnih ljudi, ki so se znašli v tovrstnih prevarah in ostali brez vsega oziroma v hudi osebni in finančni stiski. Trudimo se, da na čim bolj enostaven način približamo vsebino posameznih prevar, brez da bi odvračali od legitimnih investicijskih priložnosti. Vemo, da te so in o teh ne govorimo.
Opozarjamo pa na lažne sheme in načine, kako kriminalci uporabnike prepričajo, da investirajo svoj denar. Poslužujejo se namreč veliko različnih načinov, najbolj razširjen pa je družbeni inženiring. Kriminalci so namreč dobro podkovani v človeški psihologiji in znajo pritisniti na pravi gumb oziroma uporabnika z izbiro pravih besed v pravem trenutku prepričati, da je to zlata jama in edinstvena priložnost za finančni uspeh.
Seveda najpogosteje ciljajo na ljudi, ki imajo finančne težave in si želijo hitrega zaslužka, ki bi jim olajšal življenje, na koncu pa se znajdejo v še hujši stiski. Držimo se pravila, da če na spletu nekaj izgleda preveč lepo, da bi bilo res, potem najbrž ni. Podobno kot v fizičnem svetu.”
Spletni kriminalci so letos v svojih poskusih goljufij pričeli redno uporabljati oznake Policije, Europola in Ministrstva za notranje zadeve (‘sporočilo o sodnem pregonu’), nazadnje pa tudi Finančne uprave RS (‘preplačilo davka’). Jim zato ljudje lažje nasedajo in ali jih zato morda varnostni organi preiskujejo še bolj intenzivno?
“Slovensko različico lažnih obvestil smo prvič zasledili v mesecu maju letošnjega leta. Vsake toliko se pojavi nova variacija sporočil, ki se od prejšnjih običajno razlikuje v grafični podobi dopisa in v imenu podpisnika – vsakič se goljufi potrudijo in poiščejo ime aktualnega generalnega direktorja policije. Taka elektronska sporočila so poslana na veliko število naključnih naslovov.
Cilj goljufov je najti nekaj posameznikov, ki jih bodo navedbe dovolj prestrašile, da bodo sporočilo vzeli za legitimno, odgovorili nanj in goljufom nakazali zahtevano kazen, čeprav so vse navedbe povsem izmišljene, sporočilo pa se lahko obravnava kot vsako drugo neželeno pošto (spam).
Policija taka dejanja preiskuje, vendar pa so ti postopki precej dolgotrajni, poleg tega se storilci nahajajo v tujini in uporabljajo različne tehnike skrivanja identitete, zato jih je zelo težko najti in sankcionirati.”
Ker ta intervju nastaja prav pred Črnim petkom in pričetkom decembrske praznične nakupovalne mrzlice, se moramo dotakniti tudi spletnih prevar s področja lažnih spletnih trgovin. Ali Slovenci veliko nasedamo na sumljivo poceni artikle?
“Na SI-CERT v sklopu programa Varni na internetu opozarjamo na previdnost pri spletnem nakupovanju. Ameriški 0nakupovalni praznik’ črni petek se je dodobra prijel v Sloveniji, kar izkoriščajo tudi spletni goljufi. Na SI-CERT smo zaznali nove pristope k zavajanju potrošnikov. Ker v mesecu akcij in popustov nizke cene niso tako neobičajne, je potrebno preveriti tudi druge znake, ki lahko kažejo na prevaro, predvsem datum registracije domene in podatke o trgovcu.
V mesecu reklam in popustov so naši kanali na družbenih omrežjih polni oglasov. Med njimi se zagotovo najdejo tudi oglasi prevarantov, ki se oglašujejo enako kot vsi ostali, saj se jim to preprosto izplača. Velja neko splošno prepričanje, če se nek izdelek oglašuje, potem gre za preverjenega, zanesljivega trgovca, kar pa ne drži.
Spletni goljufi pogosto zakupijo oglase, da pripeljejo obiskovalce do svojih lažnih trgovin, saj je nekaj sto evrov vložka zelo malo v primerjavi z visokimi zneski, ki zaslužijo pri tovrstnih prevarah.”
Tej vrsti prevare sta podobni goljufija s področij lažnih spletnih oglasnikov in s področja lažnih trgovcev z rabljenimi avtomobili. Kaj nam lahko poveste o zadnjih (ali morda najbolj zanimivih) primerih s teh dveh področij?
“V zadnjem času mnogi poročajo o prevarah z lažnimi spletnimi trgovinami, ki na videz ponujajo ugodno obutev znanih blagovnih znamk. Hkrati zavajajo, da gre za slovenske trgovce oz. slovenske distributerje, na način, da v imenu spletne trgovine uporabljajo ime Slovenija. V samo dveh mesecih smo zabeležili že 13 različnih lažnih trgovin.
Prevarani potrošniki poročajo, da so na teh straneh obutev naročili in jo tudi plačali, a ta nikoli ni prispela na njihov dom, ali pa so prejeli ceneni ponaredek. Tako pri prevarah prek spletnih oglasnikov kot lažnih trgovinah gre za to, da ob plačilu svoje podatke posredujemo neznancu.
Pri spletnih oglasnikih prevara poteka na način, da se (lažni) kupec oglasi prek aplikacije WhatsApp ali Viber in pošlje povezavo do spletne strani, kjer naj bi prodajalec z vpisom podatkov o kreditni kartici na kartico prejel plačilo za izdelek.Povezava v sporočilu vodi na lažno spletno stran, ki uporablja grafično podobo Pošte Slovenije ali banke.
Lažna spletna stran je prirejena za vsako žrtev posebej in vsebuje podatke o prodajalcu in izdelku, v nekaterih primerih pa tudi sliko iz malega oglasa. Napadalci na portalu celo nudijo klepet kot podporo uporabnikom. Žrtev tako dobi lažen občutek legitimnosti spletnega mesta.
Pod krinko nakazila kupnine je potrebno vpisati podatke o kreditni kartici in potrditveno kodo iz SMS sporočila. S temi podatki lahko napadalci ukradejo sredstva z računa žrtve.”
Kako pa je glede neobičajnih telefonski klicev iz tujine, kjer smo letos dobivali klice npr. iz Gane in iz Burkine Faso. Kako je s temi poskusi in ali je res dovolj, da se le za nekaj sekund javite na klic, pa ste že lahko v resnih težavah?
“Sicer ti klici izvirajo predvsem iz Indije in držav JV Azije in ne iz Afrike. Če prejmete neobičajen telefonski klic iz neznane tuje številke, je možno, da gre za prevaro, ki jo uvrščamo v kategorijo lažnih klicev tehnične pomoči. Namen prevare je finančno oškodovanje, lahko pa vam tudi ukradejo identiteto. Take klice je najbolje ignorirati. Klicatelji se v angleščini z močnim naglasom predstavijo kot Microsoftova tehnična pomoč.
Sogovorniku razložijo, da nujno kličejo zato, ker njegov računalnik javlja napake oz. alarme, ki naj bi bili posledica okužbe računalnika. Največkrat gre za tujo številko, lahko pa se prikaže tudi slovenska telefonska številka, vendar pa ne gre za klice iz Slovenije, saj so številke klicateljev ponarejene. Goljufi vas želijo prepričati, da imate okužen računalnik. Naročijo vam, da si naložite program za oddaljen dostop pod pretvezo, da vam bodo pomagali težavo odpraviti na daljavo.
Preko tega programa goljufom omogočite popoln nadzor nad vašim računalnikom. Prevara se lahko stopnjuje, saj v naslednjem koraku od vas za namen plačila licenčnega programa za odpravljanje težav z računalnikom zahtevajo podatke o kreditni kartici ali pa vam ponudijo pomoč pri plačilu, če jim omogočite dostop do spletne banke. Pri tem vas poskušajo prepričati k namestitvi dodatne aplikacije na pametni telefon, s čimer pridobijo tudi popoln dostop do telefona.
Ko imajo podatke o kreditni kartici ali dostop do spletne banke na računalniku in hkrati tudi dostop do SMS sporočil na vašem telefonu, zakrijejo podatke na zaslonih računalnika in telefona ter potem hitro izvedejo transakcijo vsega vašega razpoložljivega denarja na nek tuj bančni račun.
Naj poudarimo, da predstavnik Microsofta od vas nikoli ne bo zahteval številko kreditne kartice ali dostopa do spletne banke. Če od vas zahtevajo posredovanje skenov ali fotografij osebnih dokumentov, to skoraj zagotovo kaže na to, da vam skušajo zlorabiti identiteto.”
Kako pa je z SMS-i in z e-pošto, v kateri se skrivajo izsiljevalski virusi? Je res dovolj že en sam klik in smo že v škripcih?
“Tako je, dostikrat zadostuje že samo en napačen klik, da pride do zlorabe. Če niste prepričani, zakaj ste prejeli neko sporočilo, ne klikajte na povezave v njem in ne odpirajte priponk, pa tudi če pride iz znanega naslova. Raje pokličite pošiljatelja po telefonu in ga vprašajte, ali vam je res on poslal sporočilo. Okužbe računalnika z virusom vam lahko povzročijo zelo veliko škodo in skrbi.
Virusi so sicer različnih vrst, ampak skoraj zagotovo vam bo takoj po zagonu ukradel vsa shranjena gesla v spletnih brskalnikih in programih za elektronko pošto, s pomočjo t.i. keyloggerja bo beležil čisto vse pritiske na tipkovnico, če imate na računalniku shranjeno kriptodenarnico jo bo poslal napadalcem,, in z vašega računalnika pošiljal okužena sporočila vašim kontaktom.
Lahko vam tudi ukrade datoteke, npr. fotografije ali videe, na koncu pa zašifrira vse dokumente ter za šifrirni ključ zahteva odkupnino. Bolj sofisticirani virusi se celo preko vašega računalnika povežejo v vaše službeno omrežje in se razširijo po vseh drugih računalnikih v omrežju.”
Prav med pripravo tega intervjuja je angleška policija sprožila ogromno akcijo proti spletnim kriminalcem,v kateri je aretirala prek 120 ljudi, ocenila pa je, da je bilo po Veliki Britaniji, ZDA in ostalemu svetu oškodovanih prek 200.000 ljudi. Akcija, ki se suče okrog spletne strani ‘iSpoof’, se je razširila še na nekatere druge države. Kakšen je vaš komentar in ali morda obstaja kakšna povezava s Slovenijo?
“Podrobnosti tega primera ne poznamo in zato ga ne moremo komentirati.”
Sicer je različnih vrst prevar že toliko, da jih niti ne uspemo omeniti prav vse – nigerijske, loterijske, ljubezenske, humanitarne… Najbrž so naši možgani najboljše varnostno proti-orožje, kaj torej svetujete ljudem?
“Najboljše orodje za zaščito je znanje in ozaveščenost uporabnikov. Svojih gesel in podatkov za dostop ne delimo z nikomer, prav tako ne posojamo osebnega telefona in računalnika. Še boljša zaščita pred zlorabami je več faktorska avtentikacija, ki pomeni, da moramo poleg gesla za dostop do neke storitve vpisati še varnostno kodo, ki jo ustvari aplikacija ali pa jo prejmemo v SMS sporočilu.
To vrsto avtentikacije zelo priporočamo, če je le možno si jo nastavite na vseh pomembnih računih (Gmail, Facebook, Instagram, …). Poudarjamo, da je pred vsakim klikom potrebno premisliti, od koga in zakaj smo prejeli neko sporočilo ali priponko. Vse izjemno ugodne ponudbe preverimo dvakrat. Če nas nekdo, ki ga ne poznamo in se ne želi pokazati (npr. prek video klica), prosi za denar, obstaja verjetnost, da gre za prevaro.
Nihče na spletu tudi ne deli denarja kar tako, zato je potrebno biti previden pri številnih lažnih ponudbah za hitre in ugodne kredite in investicijske priložnosti. V pomoč za zaščito pred spletnimi prevarami, ki imajo za posledico lahko hudo finančno ali osebno stisko, smo na SI-CERT pripravili tudi brezplačni spletni tečaj Varni v pisarni.
Učna platforma na enostaven, razumljiv in vizualno privlačen način uporabnikom predstavi osnove informacijske varnosti in glavna spletna tveganja, ki ciljajo na zaposlene. Najširši javnosti in podjetjem v Sloveniji tako zagotavlja brezplačno storitev izobraževanja zaposlenih o informacijskih varnosti.”
Hvala za ta pogovor in tudi za vse, kar vaša ekipa počne za našo spletno varnost.