Rudarenje je rudarenje; dok jedno od čovjeka traži težak i mukotrpan fizički rad ispod zemlje, drugi podrazumijeva korištenje računala i (puno) struje dok čovjek čeka. U prvom slučaju rezultat su rude poput ugljena, a u drugom su rezultat kriptovalute.
No, u tržištu vrijednom više stotina milijardi eura, zlonamjerne osobe koriste priliku kako bi udaljeno pristupile računalima drugih korisnika te onda njih koristila za rudarenje kriptovaluta i to upravo zato što računala takvih osoba nisu bila dovoljno zaštićena ili su oni kao korisnici preuzeli neki zlonamjerni program putem phishinga ili komprimitirane mrežne stranice. Ovakva se vrsta kriminala naziva cryptojacking.
Usporedivo, to je kao i da ostaviš otključana vrata i pustiš nepoznate osobe da uđu u tvoj stan kad god oni to požele te koriste sve tvoje kućanske uređaje za svoje potrebe (dok ti plaćaš račune za njihovu struju).
Godišnje se u svijetu zabilježi preko sto milijuna ovakvih napada, dok je samo u prvih šest mjeseci prošle godini u Europi zabilježen rast od preko 200 %.
Što je botnet?
Zamisli da moraš ispeći sto pita u sat vremena. Budući da nemaš pećnicu kod kuće, možeš nevidljivo ući u 100 stanova i iskoristiti tuđe pećnice da ispečeš sve pite na vrijeme. Upravo to rade neki zlonamjerni programi. Dolaze na veći broj računala, povezuju se i zatim rade ono što im netko naredi, a vlasnici računala uopće toga nisu svjesni.
Početkom 2016., skupina studenata kreirala je program koji je iskoristio slabe lozinke na desecima računala diljem svijeta, zarazio ih, a zatim koristio kako bi svi zajedno dalje napadali mrežne stranice diljem svijeta. Tada je, tzv. Mirai botnet onemogućio rad velikog broja web stranica, uključujući medije i sveučilišta. Njegov konkurent, Emotet botnet, toliko se brzo širio, da je svoje širenje u samo pola godine povećao za preko 900 %.
Napadačima posao olakšava činjenica što za takve napade mogu koristiti bilo koji uređaj koji pristupa internetu (tzv. IoT), a kojih, prema podacima iz 2024., ima čak 18,8 milijardi.
Tržište bilježi povećanje broja korištenja botneta i šteta koje nastaju, a povećanjem interesa za kriptovalutama, predviđa se značajan rast napada upravo na njihove korisnike.
Povezane vijesti
Vidi sve vijestiInternetske prijetnje
Što je cryptojacking ili zlonamjerno rudarenje kriptovalutama?
Internetske prijetnje
Što je phishing?
Kao što i ribič bira na kojoj će lokaciji pecati, u koliko sati te hoće li kao mamac koristiti kruh ili umjetnu ribicu, tako i zlonamjerni ljudi svojim aktivnostima na internetu „pecaju“ žrtve kako bi od njih dobili neku informaciju ili stekli neku financijsku korist. I oni, baš kao i ribiči, biraju kad će izvesti napad ovisno o tome koliku koncentraciju osobe imaju u pojedino doba dana, tko će im biti žrtva ovisno o tome koji su im ciljevi, no umjesto izbora između kruha ili umjetne ribice smišljaju na koji će način pripremiti neku lažnu poruku elektroničke pošte (ili nekog drugog kanala) kako bi napali neku osobu.
Phishing ili „pecanje“ jedna je od metoda socijalnog inženjeringa, u kojoj napadači, najčešće koristeći elektroničku poštu, navode žrtve da otvore određene privitke pošte, preuzmu zlonamjerne programe na mrežnim stranicama ili navedu žrtvu na neku drugu aktivnost od koje oni mogu imati korist.
Iako su ljudi svakako pametniji od ribica koje brzo žele doći do komadića kruha, napadači iskorištavaju njihovu nesmotrenost, nedostatak vremena i kreiraju poruke koje izgledaju kao i stotine onih koje svakodnevno primaju. Gotovo svaka treća osoba u Hrvatskoj ne prepoznaje takve lažne poruke elektroničke pošte.
Phishing svakim danom postaje sve više korišten, sofisticiraniji je, a dnevno napadači kreiraju preko milijun i pol novih phishing stranica koje koriste za napade.
Postoji više različitih vrsta phishinga, a u nastavku ti predstavljamo one koji su danas najrašireniji.
Spear phishing
Spear ili ciljani phishing je metoda u kojoj se napadač prethodno detaljno upoznaje s navikama koje njegova žrtva obavlja unutar organizacije. Informacije koristi kako bi personalizirao napad za samu žrtvu, najčešće pomoću maliciozne e-pošte.
Cilj spear phishinga je ukrasti osjetljive informacije kao što su podaci za prijavu i/ili zaraziti uređaje zlonamjernim softverima.
Smishing
Smishing je oblik phishinga u kojem napadači koriste SMS poruke kako bi prevarili korisnike da otkriju osjetljive informacije, poput lozinki, brojeva kreditnih kartica ili PIN-ova. Poruke često izgledaju autentično, dolaze od navodnih banaka, telekom operatora, dostavnih službi ili čak državnih institucija.
Linkovi u smishing porukama vode na lažne web stranice dizajnirane da izgledaju kao stvarne, a njihova svrha je krađa osobnih podataka. Smishing može također potaknuti korisnika na preuzimanje zlonamjernog sofvera ili aplikacija koje ugrožavaju uređaj.
Primjeri smishinga uključuju SMS poruke u kojima piše da si osvojio neku nagradu ili poklon i traži da klikneš na link za "preuzimanje nagrade". Isto tako, poruke u kojima navodna banka piše da postoji problem s tvojim računom ili karticom i traži da se hitno prijaviš putem poslanog linka. Česte su i lažne obavijesti o dostavi paketa koje traže potvrdu adrese, osobnih podataka ili plaćanje poštarine preko linka.
Quishing
Quishing je oblik phishinga u kojem napadači koriste QR kodove za preusmjeravanje korisnika na lažne web stranice ili navođenje na preuzimanje zlonamjernih aplikacija. QR kodovi su sveprisutni u svakodnevnom životu, nalaze se na plakatima, letcima, u restoranima, trgovinama ili na javnim površinama. Upravo ih to čini savršenim alatom za napadače koji žele prevariti korisnike.
Posebno je opasan oblik napada jer korisnici često ne povezuju QR kod s phishingom, a samo skeniranje koda djeluje bezopasno, što povećava šanse za uspjeh napada.
Kako quishing izgleda u svakodnevici? QR kod na plakatu koji navodno vodi do nagradne igre ili kupona, ali zapravo otvara lažnu stranicu koja te traži osobne podatke ili podatke o kreditnoj kartici. Ponekad QR kod koji tvrdi da vodi do jelovnika ili uputa za parking, zapravo vodi na instalaciju zlonamjerne aplikacije na tvoj uređaj. A QR kod u e-mailu i SMS-u koji navodno vodi do sigurnosne provjere banke, a zapravo je lažna stranica za krađu lozinki.
Kako se možeš zaštititi?
Ne skeniraj QR kodove iz sumnjivih ili nepoznatih izvora.
Prije unosa bilo kakvih podataka, provjeri URL adresu koju QR kod otvara.
Koristi sigurnosne aplikacije koje provjeravaju sigurnost QR kodova prije nego ih otvoriš.
Prati znakove zlonamjernog softvera ili neobičnog ponašanja aplikacija na svom uređaju.
Vishing
Vishing je oblik phishinga u kojem napadači koriste pozive kako bi prevarili korisnike i došli do osjetljivih podataka, poput lozinki, brojeva kreditnih kartica ili osobnih podataka. Napadi se često prikrivaju tako da pozivatelj zvuči kao legitimna osoba iz banke, telekom operatora, policije ili druge poznate institucije.
Vishing je posebno opasan jer napadači često koriste socijalni inženjering, odnosno manipuliraju ljudskom psihom, kako bi žrtva postupila impulzivno i otkrila svoje podatke. Pozivi mogu biti vrlo uvjerljivi, a ponekad se čak koriste snimljeni glasovi ili “spoofing” brojeva kako bi izgledalo da dolaze od legitimnih izvora.
Kako se možeš zaštititi?
Nikad ne daj osobne ili financijske podatke nepoznatim osobama preko telefona.
Provjeri identitet pozivatelja tako da prekineš poziv i nazoveš službeni broj institucije koju navodno predstavlja.
Ne žuri s donošenjem odluka jer stvarne organizacije neće zahtijevati hitne uplate ili podatke preko telefona.
Ako osjetiš pritisak ili prijetnju, zabilježi poziv i prijavi ga nadležnim institucijama.
