Piše: Združenje bank Slovenije
Banke in hranilnice, članice Združenja bank Slovenije (ZBS), v zadnjem času zopet opažajo porast števila napadov na mobilne telefone z namenom zlorab mobilnih bančnih aplikacij.
Vsem ugotovljenim primerom oškodovanja je skupno to, da je bila na mobilne telefone oškodovancev nameščena programska oprema za oddaljen dostop in upravljanje nadzora nad telefoni oškodovancev. Nato so goljufi prek mobilnih bank opravljali nakazila finančnih sredstev oškodovancev na druge bančne račune, od tam pa je denar zelo pogosto potoval na kripto menjalnico.
Goljufije se pričnejo s telefonskim klicem osebe, ki se predstavi kot strokovnjak v finančnem oddelku. Po prijaznem uvodu klicatelju sporoči, da ima ta denarna sredstva v kripto denarnici, ki jih je treba odblokirati in nakazati na račun oškodovanca. Da pa se to lahko zgodi, goljuf potrebuje dostop do računalnika ali telefona žrtve. Prepriča jo, da sama namesti aplikacijo za oddaljen dostop do svoje naprave (pogosto sta to Anydesk, TeamViewer). Tako so lahko kriminalci nato v ozadju prevzeli nadzor nad napravo in brez vednosti žrtve, opravili nakazila denarja z njenega računa na drug račun ali kripto menjalnico.
Članice ZBS, banke in hranilnice, strankam svetujejo, da:
- redno nadgrajujete svoje naprave, tudi mobilne in imate nameščen protivirusni program,
- ste pazljivi pri nameščanju programske opreme tudi z zaupanja vrednih spletenih mest,
- ste pazljivi pri dodeljevanju pravic za dostop, saj tako posamezni programi pridobijo pravice za branje vsebine zaslona in izvajanje klikov brez uporabniške interakcije. Na ta način napadalci prevzamejo poln nadzor nad vašo napravo,
- zavedajte se, da banke ali hranilnice nikoli od vas ne bodo zahtevale, da vnašate svoje prijavne podatke ali podatke o karticah v spletne povezave, poslane prek elektronskih ali SMS sporočil. To je prvi znak, da gre za prevaro. Tako sporočilo je treba takoj zbrisati. Če ste v lažno spletno banko morebiti že vnesli svoje identifikacijske podatke, nemudoma kontaktirajte kontaktni center banke ali osebnega bančnika,
- če opazite transakcije, ki jih niste opravili, o tem takoj obvestite svojo banko ali hranilnico,
- uporabljajte programske opreme za zaščito pred virusi in zlonamerno kodo na svojih računalnikih ter na prenosnih napravah,
- upoštevajte dobre prakse pri geslih,
- poskrbite za varnost domačega omrežja,
- poskrbite za varnostne kopije podatkov,
- ozaveščajte družinske člane in svoje otroke glede varnosti na internetu,
- zavedajte se in se zaščitite pred krajo identitete in svojih podatkov;
- o morebitni zlorabi takoj obvestite policijo, banko ali hranilnico; incident pa prijavite na SI-CERT.
Za uspešen boj proti kibernetskemu kriminalu je nujno ozaveščanje javnosti o kibernetski varnosti. Zato je Združenje bank skupaj s članicami lani izvedlo obsežno kampanjo Pazi.se, namenjeno ozaveščanju javnosti glede spletnih prevar in dvigu zavedanja glede tveganj, ki nam v digitalnem pretijo. Glede na rezultate javnomnenjske raziskave in odzive na kampanjo nasploh lahko povzamemo, da je nadaljnje osveščanje nujno, saj med drugim, kar slaba polovica vprašanih, ki so sodelovali v javnomnenjski raziskavi, nikoli ne menja gesel ali PIN številke svoje kartice, nekaj vprašanih pa bi še vedno sporočilo svoja identifikacijska sredstva ali občutljive podatke neznanemu klicatelju. Aktivnosti ozaveščanja je treba usmerjati v osnovna varnostna sporočila in nasloviti vse generacije ter s tem celotno družbo.
Letos s kampanjo nadaljujemo, ker se zavedamo, da je to za varnost vseh nas nujno.
Ni dvoma, da je glede na našo medsebojno digitalno povezanost, odvisnost in izpostavljenost nujno, da kampanja postane vseslovenska nacionalna in stalna aktivnost, da se vanjo vključijo vsi oz. pristojne institucije, podjetja, telekomunikacijski operaterji, ponudniki spletnih storitev… in tudi mediji, saj bomo le tako pri odkrivanju, prepoznavanju ter preprečevanju kibernetskih prevar uspešnejši. Nujno torej je, da postanemo vsi ustrezno digitalno pismeni, kar bi med drugim lahko pri naši mlajši generaciji dosegli že vnosom teh vsebin v obvezne učne predmete v osnovne in srednje šole.
Kateri so ostali aktualni načini spletnih goljufij
Goljufi občutljive in osebne podatke potencialnih žrtev najpogosteje pridobijo s pomočjo phishinga oz. kraje bančnih podatkov, ki jih oškodovanec sam vnese npr. na lažno spletno stran ali jih sporoči neznancu po telefonu. Po kraji sredstev storilci denar dejansko pridobijo s pomočjo denarnih mul. Te z dvigovanjem gotovine in posredovanjem preko Western Union oz. preko prenakazil na druge transakcijske račune in nakupom virtualnih valut ukradena denarna sredstva hitro razpršijo in preusmerijo največkrat v tretje države, kjer se za njimi izgubi sled.
Ponovno gre izpostaviti investicijsko goljufijo, ki se običajno, kot rečeno, začne prek telefonskega klica, kjer goljuf prepriča oškodovanca, da si na svoj telefon namesti zlonamerno programsko opremo, ki ji v nadaljevanju sledi vdor v spletno/mobilno banko in odliv sredstev z računa.
SI-CERT opozarja tudi na trend lokalizacije goljufij, saj napadalci vedno pogosteje za svoje krinke izrabljajo slovenske storitve in podjetja, ki so slovenskim uporabnikom blizu in tudi vzbujajo več zaupanja. Obenem je tudi slovenščina vedno boljša in prepričljivejša, kar je posledica zmogljivih prevajalskih programov. Podoben trend je tudi pri lažnih spletnih trgovinah, ki zavajajo, da gre za slovenske trgovce oz. slovenske distributerje, na način, da v imenu spletne trgovine uporabljajo ime Slovenija.
Zaznati je tudi, da napadalci žrtvam posvetijo zelo veliko časa. Napadi so vse bolj personalizirani in prilagojeni posamezni žrtvi. Vse več je napadov z neposrednim stikom, torej napadalci žrtev pokličejo po telefonu ali kontaktirajo preko zasebnega sporočila (Viber, Telegram). Vzamejo si veliko časa za prepričevanja in pojasnila, izstopajo, kot že večkrat rečeno, predvsem kripto investicijske prevare, kjer za prepričljivejšo krinko organizirajo tudi spletne seminarje, video navodila, zaprte podporne skupine ipd.
Napadi postajajo vse bolj prilagojeni telefonom in našim uporabniškim navadam. Na SI-CERTu beležijo velik skok v številu napadov prek SMS sporočil in aplikacij za hipno sporočanje (npr. Viber, WhatsApp). Nevarnosti se selijo na pametne telefone v obliki zasebnih sporočil, ki pod pretvezo “preverjanja podatkov”, “potrjevanja transakcij” ipd. želijo izvabiti podatke za dostop do elektronske banke in podatke kreditne kartice (t.i.smishing). Ti napadi prek SMS sporočil so za uporabnike lahko nevarnejši od napadov prek elektronske pošte, saj pred slednjimi ščitijo filtri na poštnih strežnikih, ki blokirajo večji del lažnih sporočil. V samem SMS sporočilu je težje preveriti, kam pelje povezava, kot to lahko storimo na računalniku. Nenazadnje je tudi način uporabe telefona veliko bolj oseben, pogosto ga uporabljamo v okolju, kjer si težje vzamemo trenutek miru, da natančno preverimo stran, kamor vnašamo podatke.
Ne gre prezreti tudi porast oglasov, opozarja SI-CERT, ki vodijo neposredno v spletno zlorabo – lažno trgovino, phishing spletno mesto, kripto prevaro ipd. Oglaševalske platforme, npr. Meta, Google Ads ter oglaševalske mreže so spletni napadalci popolnoma usvojili in so, če karikiramo, postale že del običajne poslovne prakse. Uporaba (oz. natančneje zloraba) legitimnih oglaševalskih orodij za zvabljanje uporabnikov v različne spletne prevare ni novost, presenetljivo pa je, kako pogosti so postali tovrstni oglasi, kako dobro ciljajo uporabnike in kako malo vzvodov je na voljo, da bi se spletni uporabniki zaščitili.
Živimo v dobi izrazite vsepovezanosti in kroženja informacij, pri čemer se je treba zavedati, da imata strojna in programska oprema ranljivosti, ki se jim ne moremo izogniti. Najšibkejši člen pa je človek, ki je po naravi zaupljiv in pogosto premalo pozoren na podrobnosti (npr. prebiranje in odpiranje e-pošte), zaradi česar je ribarjenje najpogostejši uspešen način izvedbe goljufij. Umetna inteligenca pa bo z spear phishingom napadalcem delo še olajšala. Nobena še tako napredna oprema ne bo koristila, če sami ne bomo izvajali osnovnih korakov za zaščito pred kibernetskimi napadi.
Ob zaključku gre dodatno in še enkrat poudariti pomen uporabe programske opreme za zaščito pametnih telefonov, ki še ni vsesplošno v uporabi in bi jo posamezniki morali namestiti na svoje pametne telefone, saj se tipologije zlorab prilagajajo ravno uporabi nezaščitenih pametnih telefonov.
