Kako zaštititi novac i osobne podatke na Internetu

2024 Autor: Malcolm Clapton | [email protected]. Zadnja promjena: 2023-12-17 03:58

Što ste bolje informirani, teže vas je prevariti. Evo svega što trebate znati o krađi identiteta s Microsoftom.

Pronađite još više savjeta kako se zaštititi od digitalnih prijetnji.

Što je phishing i koliko je opasan

Krađa identiteta uobičajena je vrsta kibernetičke prijevare, čija je svrha kompromitiranje i otmica računa, krađa podataka o kreditnoj kartici ili bilo koje druge povjerljive informacije.

Kibernetički kriminalci najčešće koriste e-poštu: na primjer, šalju pisma u ime poznate tvrtke, mame korisnike na njezinu lažnu web stranicu pod izlikom profitabilne promocije. Žrtva ne prepoznaje lažnjak, upisuje login i lozinku sa svog računa, a sam korisnik tako prenosi podatke prevarantima.

Svatko može patiti. Automatizirani phishing emailovi najčešće su ciljani na široku publiku (stotine tisuća ili čak milijune adresa), ali postoje i napadi usmjereni na određeni cilj. Najčešće su ti ciljevi vrhunski menadžeri ili drugi zaposlenici koji imaju povlašten pristup korporativnim podacima. Ova personalizirana strategija krađe identiteta naziva se kitolov, što se prevodi kao "hvatanje kitova".

Posljedice phishing napada mogu biti razorne. Prevaranti mogu čitati vašu osobnu korespondenciju, slati phishing poruke vašem krugu kontakata, podizati novac s bankovnih računa i općenito djelovati u vaše ime u širem smislu. Ako vodite posao, rizik je još veći. Krađi identiteta sposobni su ukrasti korporativne tajne, uništiti osjetljive datoteke ili procuriti podatke vaših kupaca, oštetiti ugled tvrtke.

Prema Izvješću o trendovima aktivnosti krađe identiteta Radne skupine za borbu protiv krađe identiteta, samo u posljednjem tromjesečju 2019. stručnjaci za kibernetičku sigurnost otkrili su više od 162.000 lažnih web stranica i 132.000 kampanja e-pošte. Tijekom tog vremena oko tisuću tvrtki iz cijelog svijeta postalo je žrtvama krađe identiteta. Ostaje za vidjeti koliko napada nije otkriveno.

Evolucija i vrste phishinga

Izraz "phishing" dolazi od engleske riječi "fishing". Ova vrsta prijevare doista podsjeća na ribolov: napadač baca mamac u obliku lažne poruke ili poveznice i čeka da korisnici zagrizu.

Ali na engleskom phishing se piše malo drugačije: phishing. Umjesto slova f koristi se digraf ph. Prema jednoj verziji, ovo je referenca na riječ lažna ("varalica", "prevarant"). S druge strane - u subkulturu ranih hakera, koji su se zvali phreakers ("phreakers").

Vjeruje se da je izraz phishing prvi put javno korišten sredinom 1990-ih u novinskim grupama Useneta. U to vrijeme prevaranti su pokrenuli prve phishing napade usmjerene na korisnike američkog internet provajdera AOL. Napadači su slali poruke u kojima su tražili da potvrde svoje vjerodajnice, predstavljajući se kao zaposlenici tvrtke.

Razvojem interneta pojavile su se nove vrste phishing napada. Prevaranti su počeli lažirati cijele web stranice i ovladali različitim kanalima i komunikacijskim uslugama. Danas se takve vrste krađe identiteta mogu razlikovati.

• Krađa identiteta e-pošte. Prevaranti registriraju poštansku adresu sličnu adresi poznate tvrtke ili poznanika odabrane žrtve i s nje šalju pisma. Istodobno, po imenu pošiljatelja, dizajnu i sadržaju, lažno pismo može biti gotovo identično originalu. Samo unutra postoji poveznica na lažnu stranicu, zaražene privitke ili izravan zahtjev za slanjem povjerljivih podataka.
• SMS phishing (smishing). Ova shema je slična prethodnoj, ali se umjesto e-pošte koristi SMS. Pretplatnik dobiva poruku s nepoznatog (obično kratkog) broja sa zahtjevom za povjerljivim podacima ili s linkom na lažnu stranicu. Primjerice, napadač se može predstaviti kao banka i zatražiti kontrolni kod koji ste ranije primili. Zapravo, prevarantima je potreban kod za hakiranje na vaš bankovni račun.
• Krađa identiteta na društvenim mrežama. S proliferacijom instant messengera i društvenih medija, phishing napadi preplavili su i ove kanale. Napadači vas mogu kontaktirati putem lažnih ili kompromitiranih računa poznatih organizacija ili vaših prijatelja. Inače se princip napada ne razlikuje od prethodnih.
• Telefonska krađa (phishing). Prevaranti nisu ograničeni na tekstualne poruke i mogu vas nazvati. Najčešće se u tu svrhu koristi internetska telefonija (VoIP). Pozivatelj se može predstavljati, na primjer, kao zaposlenik službe podrške vašeg platnog sustava i zatražiti podatke za pristup novčaniku - navodno radi provjere.
• phishing pretraživanja. Možete naići na phishing izravno u rezultatima pretraživanja. Dovoljno je kliknuti na poveznicu koja vodi na lažnu stranicu i na njoj ostaviti osobne podatke.
• Pop-up phishing. Napadači često koriste skočne prozore. Posjetivši sumnjivi resurs, možete vidjeti banner koji obećava neku korist - na primjer, popuste ili besplatne proizvode - u ime poznate tvrtke. Klikom na ovu poveznicu bit ćete preusmjereni na stranicu koju kontroliraju cyber kriminalci.
• Uzgoj. Nije izravno povezano s phishingom, ali uzgoj je također vrlo čest napad. U ovom slučaju, napadač lažira DNS podatke automatskim preusmjeravanjem korisnika umjesto izvornih stranica na lažne. Žrtva ne vidi nikakve sumnjive poruke i transparente, što povećava učinkovitost napada.

Phishing se nastavlja razvijati. Microsoft je govorio o novim tehnikama koje je njegova usluga protiv krađe identiteta Microsoft 365 Advanced Threat Protection otkrila 2019. Na primjer, prevaranti su naučili bolje prikriti zlonamjerne materijale u rezultatima pretraživanja: legitimne veze prikazuju se na vrhu, koje višestrukim preusmjeravanjem vode korisnika na web-mjesta za krađu identiteta.

Osim toga, cyber kriminalci počeli su automatski generirati veze za krađu identiteta i točne kopije e-pošte na kvalitativno novoj razini, što im omogućuje učinkovitije zavaravanje korisnika i zaobilaženje sigurnosnih mjera.

Zauzvrat, Microsoft je naučio identificirati i blokirati nove prijetnje. Tvrtka je upotrijebila svo svoje znanje o kibernetičkoj sigurnosti za izradu paketa Microsoft 365. On pruža rješenja koja su vam potrebna za vaše poslovanje, istovremeno osiguravajući da su vaši podaci učinkovito zaštićeni, uključujući i od krađe identiteta. Microsoft 365 Advanced Threat Protection blokira zlonamjerne privitke i potencijalno štetne veze u e-porukama, otkriva ransomware i druge prijetnje.

Kako se zaštititi od krađe identiteta

Poboljšajte svoju tehničku pismenost. Kako se kaže, onaj tko je upozoren, naoružan je. Sami proučite informacijsku sigurnost ili se obratite stručnjacima za savjet. Čak i samo dobro poznavanje osnova digitalne higijene može vam uštedjeti mnogo problema.

Budi oprezan. Nemojte pratiti linkove ili otvarati privitke u pismima nepoznatih sugovornika. Molimo pažljivo provjerite kontakt podatke pošiljatelja i adrese stranica koje posjećujete. Ne odgovarajte na zahtjeve za osobnim podacima, čak ni kada poruka izgleda uvjerljivo. Ako vas predstavnik tvrtke zatraži informaciju, bolje je nazvati njihov call centar i prijaviti situaciju. Nemojte klikati na skočne prozore.

Koristite lozinke mudro. Koristite jedinstvenu i jaku lozinku za svaki račun. Pretplatite se na usluge koje upozoravaju korisnike ako se lozinke za njihove račune pojave na webu i odmah promijenite pristupni kod ako se pokaže da je ugrožen.

Postavite višefaktorsku autentifikaciju. Ova funkcija dodatno štiti račun, na primjer, korištenjem jednokratnih lozinki. U tom slučaju, svaki put kada se prijavite na svoj račun s novog uređaja, osim lozinke, morat ćete unijeti i kod od četiri ili šest znakova koji vam je poslan putem SMS-a ili generiran u posebnoj aplikaciji. Možda se ne čini baš zgodnim, ali ovaj pristup će vas zaštititi od 99% uobičajenih napada. Uostalom, ako prevaranti ukradu lozinku, i dalje neće moći ući bez verifikacijskog koda.

Koristite mogućnosti za prijavu bez lozinke. U tim uslugama, gdje je to moguće, trebali biste potpuno odustati od korištenja lozinki, zamijenivši ih hardverskim sigurnosnim ključevima ili autentifikacijom putem aplikacije na pametnom telefonu.

Koristite antivirusni softver. Ažurirani antivirusni programi djelomično će pomoći u zaštiti vašeg računala od zlonamjernog softvera koji preusmjerava na web-lokacije za krađu identiteta ili krade prijave i lozinke. Ali zapamtite da je vaša glavna zaštita i dalje pridržavanje pravila digitalne higijene i pridržavanje preporuka za kibernetičku sigurnost.

Ako vodite posao

Sljedeći savjeti također će biti od pomoći vlasnicima tvrtki i rukovoditeljima tvrtki.

Obučite zaposlenike. Objasnite podređenima koje poruke treba izbjegavati, a koje informacije ne smiju slati putem e-pošte i drugih komunikacijskih kanala. Zabraniti zaposlenicima korištenje korporativne pošte u osobne svrhe. Uputite ih kako raditi s lozinkama. Također je vrijedno razmotriti politiku zadržavanja poruka: na primjer, iz sigurnosnih razloga, možete izbrisati poruke starije od određenog razdoblja.

Provedite trening phishing napade. Ako želite testirati reakciju svojih zaposlenika na phishing, pokušajte odglumiti napad. Na primjer, registrirajte poštansku adresu sličnu vašoj i šaljite pisma s nje podređenima tražeći od njih da vam dostave povjerljive podatke.

Odaberite pouzdanu poštansku uslugu. Davatelji besplatnih usluga e-pošte previše su osjetljivi na poslovnu komunikaciju. Tvrtke bi trebale birati samo sigurne korporativne usluge. Na primjer, korisnici usluge pošte Microsoft Exchange, koja je dio Microsoft 365 paketa, imaju sveobuhvatnu zaštitu od krađe identiteta i drugih prijetnji. Kako bi se suprotstavio prevarantima, Microsoft analizira stotine milijardi e-poruka svaki mjesec.

Angažirajte stručnjaka za kibernetičku sigurnost. Ako vam proračun dopušta, pronađite kvalificiranog stručnjaka koji će vam pružiti stalnu zaštitu od krađe identiteta i drugih cyber prijetnji.

Što učiniti ako ste žrtva phishinga

Ako postoji razlog za vjerovanje da su vaši podaci pali u pogrešne ruke, odmah postupite. Provjerite ima li na svojim uređajima viruse i promijenite lozinke računa. Obavijestite osoblje banke da su vaši podaci o plaćanju možda ukradeni. Ako je potrebno, obavijestite kupce o mogućem curenju.

Kako se takve situacije ne bi ponavljale, odaberite pouzdane i moderne usluge suradnje. Proizvodi s ugrađenim zaštitnim mehanizmima najprikladniji su: radit će što je prikladnije i nećete morati riskirati digitalnu sigurnost.

Na primjer, Microsoft 365 uključuje niz pametnih sigurnosnih značajki, uključujući zaštitu računa i prijava od kompromisa s ugrađenim modelom procjene rizika, provjerom autentičnosti bez lozinke ili višefaktorskom provjerom koja ne zahtijeva dodatne licence.

Osim toga, usluga pruža dinamičku kontrolu pristupa s procjenom rizika i uzimajući u obzir širok raspon uvjeta. Također, Microsoft 365 sadrži ugrađenu automatizaciju i analitiku podataka, a također vam omogućuje kontrolu uređaja i zaštitu informacija od curenja.