U suvremenom svijetu digitalizacije i novih tehnologija sve se više vremena provodi pred ekranima. Prema nedavno provedenom istraživanju kod nas, čak su i oni najmlađi trećinu

Posao, ali i privatne aktivnosti dodatno nas usmjeravaju na internet, a kako se zaštititi od neželjenih situacija, pojašnjava Tino Šokić, stručnjak za kibernetičku sigurnost čije su konzultantske usluge i predavanja prepoznati u najvećim tvrtkama diljem svijeta.

Mnogima je dobro poznato kako se koristiti internetom, no pojmovi vezani uz elektroničke prijevare i dalje su nepoznanica. Zbog toga govorimo o phishingu. Vrsta je to računalne prijevare koja se najjednostavnije može pojasniti kao krađa identiteta.

''Riječ phishing na tragu je engleske riječi fishing, što u prijevodu izvedenice znači 'pecanje' ili 'ribarenje'. Phishing je oblik kriminalne radnje i ponašanja u kojem se pomoću prikrivanja pravog identiteta pokušava ukrasti, odnosno doći do osjetljivih osobnih podataka napadnute osobe ili tvrtke prvenstveno putem elektroničke pošte. Ti podaci mogu biti pristupne generalije, kao što su korisničko ime (engl. username) i lozinka (engl. password), brojevi kreditnih kartica (engl. credit card number), osobni identifikacijski broj ili drugi osobni podaci. Uz potencijalnu krađu navedenih podataka, cilj napada može biti da žrtva učini nešto kao što je pokretanje ili otvaranje privitka, čime će napadač steći prednost i potencijal za daljnji razvoj kriminalne aktivnosti'', objašnjava Tino Šokić, stručnjak za kibernetičku sigurnost.

Često se susretnem s pitanjem: 'Kako je došlo do toga, a imam odličan sustav za e-poštu ili napredni vatrozid?' Odgovor je zapravo vrlo jednostavan, i to bez puno argumentiranja – zbog čovjeka.

Zanimljivo o genezi nomenklature riječi phishing jest da su se hakeri u početku nazivali phreaks umjesto freaks, što znači da umjesto f pišu ph. U svakom slučaju, ovo je tehnika skrojena za čovjeka te je podvrsta socijalnog inženjeringa kojem je u fokusu čovjekova lakovjernost, odnosno psihološka manipulacija.

"Niz je to tehnika pomoću kojih pojedinac, iskorištavanjem ljudskih pogrešaka i slabosti, utječe na drugog pojedinca kako bi ga naveo da učini nešto što nije u njegovu najboljem interesu", dodatno pojašnjava Šokić.

Ovaj se pojam počeo rabiti još 90-ih godina prošlog stoljeća, kada se dogodila i prva phishing prijevara. Naime, kreirajući algoritme za stvaranje nasumičnih brojeva kreditnih kartica hakeri su putem popularnog američkog internetskog operatera otvarali račune. Ako bi pogodili broj postojeće kreditne kartice, javljali bi se korisnicima, koji bi im poslali svoje osobne podatke ni ne pomišljajući na prijevaru. Međutim, uložena su sredstva u osnaživanje sigurnosnog sustava kako bi se prijevare spriječile.

''Rekao bih da razlog pojave phishinga počiva na ljudskoj prirodi kao takvoj. Phishing je samo jedan od načina kako (nažalost) doći do podataka koji se koriste u kriminalne svrhe'', kaže Tino Šokić, stručnjak za kibernetičku sigurnost.

Na pitanje koje su najčešće tehnike phishinga odgovara: ''Prijave se najčešće odvijaju putem e-pošte, odnosno kroz e-poruke. Nakon što dođe do računalnog incidenta čiji je uzrok phishing e-poruka, često se susretnem s pitanjem: 'Kako je došlo do toga, a imam odličan sustav za e-poštu ili napredni vatrozid?' Odgovor je zapravo vrlo jednostavan, i to bez puno argumentiranja – zbog čovjeka. Svakako je potrebno imati antivirusno rješenje na računalima, poslužiteljima i mobilnim uređajima, možda imati vatrozid ili proxy za kontrolu internetskog prometa, ali na kraju, čovjek je taj kome stigne sporna e-poruka i onda možda poduzme daljnje radnje u vezi s tom e-porukom.''

Socijalni inženjering kao takav, a time i njegova podvrsta phishing, usmjeren je na ljudsku emociju, kaže Šokić i dodaje: ''Phishing poruka može imati sadržaj koji će izazvati strah, ushićenje, sreću, ljubomoru, sve one osnovne ljudske emocije jako nam dobro poznate, a na temelju kojih ćemo učiniti nešto što ne bismo trebali. Primjerice, upisati svoje osobne podatke negdje gdje ne bismo to trebali, kliknuti na nešto što ne bismo trebali pokrenuti i slično.''

Promatramo li Hrvatsku, internetskih prijevara je oko tisuću petsto godišnje, a financijska šteta zna biti u višeznamenkastim iznosima. Na svjetskoj je razini puno ozbiljnija situacija i kibernetički napadi, od kojih je phishing najzastupljeniji s gotovo 90 posto, događaju se gotovo svake sekunde. Međutim, kibernetički stručnjak Šokić smatra kako su dostupni podaci umanjeni jer nisu sve internetske prijevare prijavljene. Uz to donosi konkretan primjer:

''Za samu štetu mogu reći samo primjer iz vlastitog iskustva. Uslijed phishing napada, odnosno napada putem e-pošte, tvrtka koju znam je ostala bez glavnih poslužitelja za pohranu podataka. Nesmotreni zaposlenik zaprimio je i pokrenuo privitak u e-poruci, a taj privitak zapravo je bio ransomware, odnosno zlonamjeran softver koji šifrira i onemogućuje pristup svim podacima te potražuje otkupninu za povrat navedenog pristupa. Takva šteta nije samo financijska već i reputacijska te na kraju podliježe i određenim zakonskim odredbama.''

Financijska korist najčešći je motiv svih kibernetičkih napada te su oni manje educirani korisnici ujedno i više podložni prijevari. ''Često u šali kažem da se bojim kako je edukacija najbolja zaštita od napada u tipu phishinga. Zašto? Zato što je tu najviše izložen ljudski element – nije neutemeljena izreka kako je čovjeka najlakše hakirati'', ukazuje Tino Šokić, koji donosi i savjete za zaštitu.

Mislite prije klika!

''Treba osvijestiti da su napadi postali izuzetno sofisticirani i da su prošli dani kada ste jednostavno mogli uočiti neobičnu e-poruku, odnosno više u velikoj mjeri ne stižu pisma afričkog princa koji potražuje financijsku pomoć. Današnje e-poruke ciljano su poslane određenoj osobi i možda imaju poveznicu na lažnu mrežnu stranicu nalik originalnoj na kojoj će biti tražen unos vlastitih podataka za prijavu, koji se time zapravo predaju u ruke napadačima.''

Obratite pozornost na e-adresu pošiljatelja

''Sadrži li e-poruka poveznicu, obavezno treba provjeriti kamo ona vodi. To se čini bez klikanja, već samo pomoću prelaska pokazivačem preko poveznice da se prikaže stvarna putanja, odnosno adresa stranice na koju vodi.''

Ne otvarajte privitke bez provjere

''Uz spomenutu provjeru, obratite pozornost na gramatičke pogreške, način komunikacije te cjelokupan kontekst, što osim za elektroničku poštu vrijedi i za SMS poruke i telefonske pozive.

Obećanja i strah – obavijesti kako ste osvojili milijune ili ucjena da će vam netko nešto učiniti nažao vrlo je popularna strategija kako bi vas navela da učinite nešto što nije u vašem interesu.''

Kako je već navedeno, točan podatak kibernetičkih prijevara, a time i phishinga, nepoznat je što zbog učestalosti, a što zbog neprijavljivanja. Zato nas je zanimalo kako osvijestiti građane da ako i dođe do phishing napada, ne trebaju osjetiti sram, već poduzeti potrebne mjere te se educirati.

''Rekao bih da se kibernetička sigurnost u pogledu phishinga svodi na dva temeljna elementa. To su detekcija i prijava. Malicioznu e-poruku tj. poruku s lošom namjerom potrebno je detektirati, ali jednako tako potrebno ju je i prijaviti. Ono što nije prijavljeno – nije se dogodilo, a u slučaju kada nemamo evidenciju o događajima ne možemo reagirati dok ne dođe do stvarnog incidenta. Tada je često prekasno'', zaključuje ovaj stručnjak za kibernetičku sigurnost.''