Zlonamjerne softvere najlakše je razumjeti ako računalo usporediš s čovjekom, odnosno, ljudskim tijelom. Kao što te mogu zahvatiti razne bolesti, tako i računalo može biti zaraženo različitim zlonamjernim programima. U ljudskom tijelu to mogu biti različiti virusi i bakterije, dok računalo mogu napasti različiti programi, kao što su to virusi, crvi ili pak ono što se u posljednje vrijeme češće spominje, ransomwarei.
Kao i kod čovjeka, računalo branimo različitim aktivnostima. Umjesto cjepiva, na računalu se često nalaze različiti antivirusni (ili antimalware) programi. Različite programe često stavljaš u karantenu ili računalu onemogućuješ pristup mreži, baš kao što ponekad ostaješ doma jer ne želiš zaraziti druge osobe.
Ono što je, u konačnici, zajedničko računalu i čovjeku je da trebamo biti oprezni kako se ne bismo zarazili.
Štete koje prouzročuju malware ili ransomware mogu biti iznimno ozbiljne. Prema Statisti, u 2024. godini otprilike 65 % financijskih organizacija diljem svijeta prijavilo je da je iskusilo ransomware napad. Uz to, žrtve ransomwarea u prosjeku trajno gube 43 % podataka pogođenih napadom.
Što je cryptojacking ili zlonamjerno rudarenje kriptovalutama?
Rudarenje je rudarenje; dok jedno od čovjeka traži težak i mukotrpan fizički rad ispod zemlje, drugi podrazumijeva korištenje računala i (puno) struje dok čovjek čeka. U prvom slučaju rezultat su rude poput ugljena, a u drugom su rezultat kriptovalute.
No, u tržištu vrijednom više stotina milijardi eura, zlonamjerne osobe koriste priliku kako bi udaljeno pristupile računalima drugih korisnika te onda njih koristila za rudarenje kriptovaluta i to upravo zato što računala takvih osoba nisu bila dovoljno zaštićena ili su oni kao korisnici preuzeli neki zlonamjerni program putem phishinga ili komprimitirane mrežne stranice. Ovakva se vrsta kriminala naziva cryptojacking.
Usporedivo, to je kao i da ostaviš otključana vrata i pustiš nepoznate osobe da uđu u tvoj stan kad god oni to požele te koriste sve tvoje kućanske uređaje za svoje potrebe (dok ti plaćaš račune za njihovu struju).
Godišnje se u svijetu zabilježi preko sto milijuna ovakvih napada, dok je samo u prvih šest mjeseci prošle godini u Europi zabilježen rast od preko 200 %.
Povezane vijesti
Vidi sve vijestiInternetske prijetnje
Što je zlonamjerni softver ili malware?
Internetske prijetnje
Što je phishing?
Kao što i ribič bira na kojoj će lokaciji pecati, u koliko sati te hoće li kao mamac koristiti kruh ili umjetnu ribicu, tako i zlonamjerni ljudi svojim aktivnostima na internetu „pecaju“ žrtve kako bi od njih dobili neku informaciju ili stekli neku financijsku korist. I oni, baš kao i ribiči, biraju kad će izvesti napad ovisno o tome koliku koncentraciju osobe imaju u pojedino doba dana, tko će im biti žrtva ovisno o tome koji su im ciljevi, no umjesto izbora između kruha ili umjetne ribice smišljaju na koji će način pripremiti neku lažnu poruku elektroničke pošte (ili nekog drugog kanala) kako bi napali neku osobu.
Phishing ili „pecanje“ jedna je od metoda socijalnog inženjeringa, u kojoj napadači, najčešće koristeći elektroničku poštu, navode žrtve da otvore određene privitke pošte, preuzmu zlonamjerne programe na mrežnim stranicama ili navedu žrtvu na neku drugu aktivnost od koje oni mogu imati korist.
Iako su ljudi svakako pametniji od ribica koje brzo žele doći do komadića kruha, napadači iskorištavaju njihovu nesmotrenost, nedostatak vremena i kreiraju poruke koje izgledaju kao i stotine onih koje svakodnevno primaju. Gotovo svaka treća osoba u Hrvatskoj ne prepoznaje takve lažne poruke elektroničke pošte.
Phishing svakim danom postaje sve više korišten, sofisticiraniji je, a dnevno napadači kreiraju preko milijun i pol novih phishing stranica koje koriste za napade.
Postoji više različitih vrsta phishinga, a u nastavku ti predstavljamo one koji su danas najrašireniji.
Spear phishing
Spear ili ciljani phishing je metoda u kojoj se napadač prethodno detaljno upoznaje s navikama koje njegova žrtva obavlja unutar organizacije. Informacije koristi kako bi personalizirao napad za samu žrtvu, najčešće pomoću maliciozne e-pošte.
Cilj spear phishinga je ukrasti osjetljive informacije kao što su podaci za prijavu i/ili zaraziti uređaje zlonamjernim softverima.
Smishing
Smishing je oblik phishinga u kojem napadači koriste SMS poruke kako bi prevarili korisnike da otkriju osjetljive informacije, poput lozinki, brojeva kreditnih kartica ili PIN-ova. Poruke često izgledaju autentično, dolaze od navodnih banaka, telekom operatora, dostavnih službi ili čak državnih institucija.
Linkovi u smishing porukama vode na lažne web stranice dizajnirane da izgledaju kao stvarne, a njihova svrha je krađa osobnih podataka. Smishing može također potaknuti korisnika na preuzimanje zlonamjernog sofvera ili aplikacija koje ugrožavaju uređaj.
Primjeri smishinga uključuju SMS poruke u kojima piše da si osvojio neku nagradu ili poklon i traži da klikneš na link za "preuzimanje nagrade". Isto tako, poruke u kojima navodna banka piše da postoji problem s tvojim računom ili karticom i traži da se hitno prijaviš putem poslanog linka. Česte su i lažne obavijesti o dostavi paketa koje traže potvrdu adrese, osobnih podataka ili plaćanje poštarine preko linka.
Quishing
Quishing je oblik phishinga u kojem napadači koriste QR kodove za preusmjeravanje korisnika na lažne web stranice ili navođenje na preuzimanje zlonamjernih aplikacija. QR kodovi su sveprisutni u svakodnevnom životu, nalaze se na plakatima, letcima, u restoranima, trgovinama ili na javnim površinama. Upravo ih to čini savršenim alatom za napadače koji žele prevariti korisnike.
Posebno je opasan oblik napada jer korisnici često ne povezuju QR kod s phishingom, a samo skeniranje koda djeluje bezopasno, što povećava šanse za uspjeh napada.
Kako quishing izgleda u svakodnevici? QR kod na plakatu koji navodno vodi do nagradne igre ili kupona, ali zapravo otvara lažnu stranicu koja te traži osobne podatke ili podatke o kreditnoj kartici. Ponekad QR kod koji tvrdi da vodi do jelovnika ili uputa za parking, zapravo vodi na instalaciju zlonamjerne aplikacije na tvoj uređaj. A QR kod u e-mailu i SMS-u koji navodno vodi do sigurnosne provjere banke, a zapravo je lažna stranica za krađu lozinki.
Kako se možeš zaštititi?
Ne skeniraj QR kodove iz sumnjivih ili nepoznatih izvora.
Prije unosa bilo kakvih podataka, provjeri URL adresu koju QR kod otvara.
Koristi sigurnosne aplikacije koje provjeravaju sigurnost QR kodova prije nego ih otvoriš.
Prati znakove zlonamjernog softvera ili neobičnog ponašanja aplikacija na svom uređaju.
Vishing
Vishing je oblik phishinga u kojem napadači koriste pozive kako bi prevarili korisnike i došli do osjetljivih podataka, poput lozinki, brojeva kreditnih kartica ili osobnih podataka. Napadi se često prikrivaju tako da pozivatelj zvuči kao legitimna osoba iz banke, telekom operatora, policije ili druge poznate institucije.
Vishing je posebno opasan jer napadači često koriste socijalni inženjering, odnosno manipuliraju ljudskom psihom, kako bi žrtva postupila impulzivno i otkrila svoje podatke. Pozivi mogu biti vrlo uvjerljivi, a ponekad se čak koriste snimljeni glasovi ili “spoofing” brojeva kako bi izgledalo da dolaze od legitimnih izvora.
Kako se možeš zaštititi?
Nikad ne daj osobne ili financijske podatke nepoznatim osobama preko telefona.
Provjeri identitet pozivatelja tako da prekineš poziv i nazoveš službeni broj institucije koju navodno predstavlja.
Ne žuri s donošenjem odluka jer stvarne organizacije neće zahtijevati hitne uplate ili podatke preko telefona.
Ako osjetiš pritisak ili prijetnju, zabilježi poziv i prijavi ga nadležnim institucijama.
