Za sve one koji su prespavali poslednjih 15 Internet godina, phishing je situacija u kojoj se nalazite kada vam napadač pošalje uverljivu e‑mail poruku, lažno se predstavljajući kao neka velika, vama najverovatnije poznata kompanija, u nameri da vas obmane da biste mu ostavili svoje poverljive podatke. Stručnjaci za phishing imaju svoj stručni naziv: semantički napad. Uopšteno, to su napadi koji, umesto ranjivosti softvera, koriste ranjivost i lakovernost korisnika.
Lažno predstavljanje nove generacije
Semantički napadi su moderan termin za (pra)staru kriminalnu aktivnost lažnog predstavljanja u cilju obmane druge strane, a poznato je da kriminal najčešće prati miris novca. Što je više novca (u bilo kojoj formi) na Internetu, to je i više kriminalaca koji će učiniti sve da do njega dođu. „Pravi“ novac na Internetu se najčešće nalazi u formi elektronskog bankarstva, platnih kartica, PayPal i srodnih servisa... Najveći deo navedenih on‑line usluga zaštićen je isključivo lozinkom (password‑om), koja je lošim momcima (i devojkama?) preko potrebna, i koju će pokušati da upecaju.
Lozinke stručnjaci odavno ne smatraju dovoljnom zaštitom – njihovo vreme je prošlo. Današnji računari su dovoljno brzi da s lakoćom razbijaju lozinke u off‑line sistemima. Ako šifre kojim slučajem čuvate snimljene na lokalnom disku, budite uvereni da će ih svaki moderni trojanac bez problema skinuti. Sa on‑line servisima situacija je komplikovanija – nekoliko pogrešnih lozinki i nalog se zaključava. Da bi došli do lozinke, kriminalci nemaju drugog rešenja osim da vas „primoraju“ da im je svojevoljno pošaljete.
Semantički napadi se lako izvode korišćenjem fundametalnog principa i temelja Interneta – anonimnosti. Upravo je „nevidljivost“ koju ljubomorno čuvamo naš najveći neprijatelj kada su u pitanju finansijske transakcije. U stvarnom svetu nije nemoguće otvoriti apoteku (ili ekspozituru izmišljene banke), opremiti prostor nameštajem i na posletku prevariti (po)nekog lakovernog klijenta. Složićemo se, ipak, da je takav scenario malo verovatan i uglavnom neisplativ. Na Internetu je neuporedivo lakše izgraditi lažnu virtuelnu imperiju, i na Web sajt „regularnog“ biznisa uputiti milione korisnika putem (besplatnih) e‑mail poruka. Brzo, jeftino, uz minimalan rizik.
Zašto i u kojoj meri se korisnici upecaju na virtuelne mamce, objasnile su mnoge naučne studije u prethodnoj deceniji, a rezultati su uglavnom zabrinjavajući – na uspešnost napada ne utiču bitnije ni pol, ni obrazovanje, ni starosna struktura. Danas, kao i pre više hiljada godina, validnost poruka koje su nam upućene procenjuje se isključivo na osnovu lične intuicije, izgleda (po principu „što profesionalnije, to sigurnije“), nekog unutrašnjeg osećaja. Nažalost, često ignorišući očigledne znakove koji ukazuju da je reč o sumnjivoj raboti: čudnoj adresi pošiljaoca, neverifikovanom Web sajtu, agresivnom ili uznemirujućem tonu poruke gde mu mesto nije...
Kako je svest o phishing‑u rasla, a tehnologija uspevala da identifikuje takve poruke, napadači su menjali taktike, pa osim „klasičnog pecanja“, danas je sve teže odbraniti se od SMS phishing‑a (kanal za prenos poruke je SMS poruka) ili spear phishing‑a, koji predstavlja posebno organizovan (ciljan) napad na određenu kompaniju ili veću grupu korisnika sa zajedničkim atributima.
I sve to samo sa jednim jedinim ciljem – doći do para. Nikoga zaista ne zanimaju vaše lozinke, brojevi platnih kartica ili Paypal nalog. To su samo ključevi koji omogućavaju da realan novac neovlašćeno promeni vlasnika.
Phishing u Srbiji
I tako smo konačno došli do para... kojih u Srbiji baš i nema. Ili ih nema toliko da bi napadač imao razlog da savlada jezik, prikupi dovoljno validnih e‑mail adresa lokalnih korisnika i napravi sajtove koji će izgledati isto kao sajtovi domaćih banaka. Čak i kada pretpostavimo da sve navedeno ne predstavlja značajan napor nekom lokalnom Internet kriminalcu, male su šanse da će masovnim slanjem e‑mail poruka uspeti da „pogodi“ korisnika sa debelim on‑line novčanikom. U Srbiji se „pecanje“ naprosto ne isplati – „ribe“ je previše malo.
Ipak, dve industrije već neko vreme drže „zabačenu“ svoju srpsku „udicu“ – pornografski sajtovi i on‑line „apoteke“ sadrže lokalizovane „mamce“ solidnog kvaliteta. U kojoj meri se na tim sajtovima ostavljaju finansijski podaci korisnika (najčešće brojevi platnih kartica), nije poznato. Tek, ovdašnje banke znatno duže u svojoj ponudi imaju namenske Internet kartice koje su vezane za posebne debitne račune na kojima se ne preporučuje čuvanje novca, već prenos nešto veće količine od one koju nameravate da potrošite na Mreži. Nadamo se da ove savete većina (malobrojnih) korisnika strogo poštuje, pa da, ako i ostave (greškom?) koji evro tu i tamo, rizik od instant pražnjenja ostalih računa klijenata praktično ne postoji.
Ozbiljnija pretnja se pojavljuje na horizontu. U vreme velike nezaposlenosti i ere socijalnih mreža koje vrve od ličnih podataka, gotovo rutinski se može napraviti personalizovana e‑mail poruka u kojoj će vam biti ponuđen posao koji nestvarno odgovara vašim kvalifikacijama i prethodnom radnom iskustvu. Da bi proces nesmetano tekao dalje, možda će biti neophodno uplatiti neku manju sumu i ostaviti podatke o računu na koji će novac biti vraćen ako budete odbijeni. Mali rizik za potencijalno veliki dobitak? Nova godina je blizu, a Deda Mraz (nažalost?) ne postoji...
|