Ko pokliče Microsoftova tehnična »pomoč«

Phishing predstavlje tretjino vseh napadov

Phishing je, kot je za MM povedala Jasmina Mešić, koordinatorka programa ozaveščanja, ključna beseda, ki je zaznamovala delo na SI-CERT tako v preteklem letu kot letos, saj obravnava phishing napadov predstavlja kar tretjino vseh incidentov. »Phishing napadi so se v primerjavi z letom 2020 povečali za skoraj 37 odstotkov. Čeprav gre za eno od najstarejših vrst spletnih napadov, ki so tehnično precej enostavni, so še vedno relativno uspešni,« je povedala Mešićeva. Phishing ali ribarjenje za podatki je vrsta napada z lažnim predstavljanjem, najpogosteje v elektronskih sporočilih, ki poskušajo prejemnika prepričati v razkritje občutljivih podatkov. Tudi letos izstopajo phishing prevare, do septembra so obravnavali že 731 tovrstnih napadov. »Pri tem pa goljufi ne želijo zgolj gesel za različne uporabniške račune, ampak tudi podatke o kreditnih karticah in avtentikacijske podatke za dostop do elektronske banke,« opozarja sogovornica.

Največja škoda zaradi »trojanca« znašala 100 tisoč evrov

Velik delež incidentov predstavlja tudi zlonamerna koda oziroma trojanski konji, ki po okužbi računalnika ukradejo vsa shranjena in vpisana gesla ter napadalcem omogočajo popoln nadzor nad računalnikom. »Ti se najpogosteje širijo preko priponk in običajno predstavljajo prvi korak pri nepooblaščenem dostopu do omrežja podjetja preko okužbe računalnika zaposlenega. Takšen napad na podjetje se običajno nadaljuje s pridobitvijo administratorskih pravic in konča z zagonom izsiljevalskega kriptovirusa (t. i. ransomware), ki zašifrira vse dostopne datoteke, tudi varnostne kopije.« Izpostavlja tudi povečanje  števila investicijskih prevar, večinoma gre za vlaganja v lažne kriptosheme, pri čemer izstopajo tudi finančna oškodovanja. Najvišje zabeleženo oškodovanje v lanskem letu je znašalo 100 tisoč evrov, medtem ko se je povprečen znesek izgubljenega vložka gibal okoli 28 tisoč evrov.

Microsoftova tehnična pomoč v resnici ni pomoč

Klici iz tujine so postali nekakšen standard. Pri tem nas je zanimalo, ali so goljufi ubrali kakšen nov pristop, na katerega je treba biti še bolj pozoren. »Že vrsto let opozarjamo na prevare s klici lažne Microsoftove pomoči. Klicatelji se v angleščini z močnim naglasom predstavijo kot Microsoftova tehnična pomoč. Sogovorniku razložijo, da nujno kličejo zato, ker njegov računalnik javlja napake, ki naj bi bili posledica okužbe računalnika. V naslednjem koraku pa zahtevajo oddaljen dostop do  računalnika, kar jim omogoči popoln prevzem nadzora. V zadnjem času so vse bolj pogosti klici iz nepoznanih številk, kjer goljufi uporabnike nagovarjajo k lažnim investicijam v različne oblike premoženja. Investicijske prevare so vse prej kot nedolžne in številni v njih izgubijo vse svoje prihranke,« svari Mešićeva. Pojavljajo se tudi nove oblike prevar, ki uporabljajo napredne tehnologije. Na SI-CERT so v nekaterih napadih že zasledili znake uporabe umetne inteligence, ko so napadalci s pomočjo t. i. »deepfake« zvočnih posnetkov prevzeli identitete različnih oseb in na ta način poskušali vplivati na žrtve.

Če vas »obišče« policija,  brez strahu

V zadnjih mesecih so pogosta postala tudi sporočila, kjer se pošiljatelji predstavljajo kot predstavniki policije in bank. Tudi v tem primeru gre po izkušnjah Mešićeve za poskuse phishinga, kjer želijo goljufi pridobiti podatke kreditne kartice. Za krinko uporabijo ime in podobo dostavnih podjetij (npr. DHL, Pošta Slovenije) ter pošljejo elektronsko pošto, da nas čaka paket, plačati moramo le še nekaj evrov stroškov dostave, kar uredimo s klikom na priloženo povezavo. »Vendar nas ta pelje na ponarejeno spletno stran, kjer naj bi vnesli podatke kreditne kartice. Storilci pridobijo podatke o kreditni kartici, potem pa prosijo še za potrditveno kodo, ki jo medtem prejmete od baše banke. Na koncu tako nevede potrdite transakcijo v višini vašega limita, kar lahko pomeni tudi tisoč evrov!« opozarja sogovornica.

Primer phishing spletnega mesta, namenjenega kraji podatkov

V primeru lažnih opozoril, ki naj bi jih poslala policija, pa gre za hude obtožbe, kako so na vašem računalniku odkrili otroško pornografijo. Za razrešitev nastale situacije bi domnevno morali pisati na navedeni elektronski naslov, v nasprotnem primeru sledi aretacija. Takšna elektronska sporočila so po besedah sogovornice poslana na veliko število naključnih naslovov. Cilj goljufov je najti nekaj posameznikov, ki jih bodo navedbe dovolj prestrašile, da bodo sporočilo vzeli za legitimno in odgovorili nanj, čeprav so vse navedbe povsem izmišljene, sporočilo pa se lahko obravnava kot vsako drugo neželeno pošto (spam). »Pri vsakem valu tovrstnih sporočil prejmemo ogromno zaskrbljenih vprašanj, saj uporabnike prepričajo logotipi policije, navedba sodišča in podpis samega generalnega direktorja policije, vendar je popolnoma vse izmišljeno!«

Naj vas ne premamijo prevelike obljube v kriptosvetu

Kriptosvet ima slabši ugled prav zaradi različnih piramidnih shem in prevar.  Skratka, tudi s tega vidika so »vroča tema«. Novice o neverjetnih zaslužkih tudi po opažanjih Mešićeve premamijo marsikoga, ki prav tako želi skočiti na kriptovlak in si zagotoviti finančno svobodo. »Žal pa kriptomanijo izkoriščajo tudi spletni goljufi, ki uporabnike nagovarjajo k lažnim investicijam v različne oblike premoženja. Kriptovalute si zaradi potencialne donosnosti in optimističnih napovedi tako ogleduje vse več malih vlagateljev, med katerimi se mnogi prvič srečujejo z investicijskim poslovanjem.« Takšni začetniki so po opažanjih Mešićeve glavna tarča spletnih goljufov, ki pri svojih prevarah postajajo vse bolj uspešni.

V enem letu so se prevare podvojile

Slovenska policija že dve leti zapored beleži porast prijav v zvezi z investicijskimi vlaganji na lažnih spletnih platformah. V letu 2020 so obravnavali 83 primerov s skupnim oškodovanjem v višini več kot 2 milijonov evrov, leta 2021 pa se je znesek več kot podvojil. »Na tem mestu izpostavljamo, da na SI-CERT nikoli ne izražamo negativnega mnenja o kriptovalutah, opozarjamo zgolj na goljufe, ki izkoriščajo kriptovalute kot krinko za svoja dejanja. Pravzaprav smo pripravili nasvete za vse, ki želijo varno stopiti v kriptosvet. Skrb zbujajoče so investicijske prevare, ki se običajno začnejo z lažnimi oglasi o bajnih zaslužkih, v katerih goljufi pogosto zlorabijo podobe znanih oseb in jim podtaknejo lažne izjave. Takšne oglase lahko zasledimo na družbenih omrežjih in forumih,« dodaja.

Najvišje oškodovanje pri kriptoprevarah je znašalo 155 tisoč evrov

Če vas premamijo obljube o nerealno visoki donosnosti, vam goljufi namenijo veliko svojega časa. Vaš osebni svetovalec vam po telefonu ali klepetu obrazloži natančen potek trgovanja na njihovi platformi, s čimer pridobi vaše zaupanje. »Po začetnem vložku, ki običajno znaša 250 evrov, vam dodelijo dostop do spletnega portala, ki prikazuje izmišljene podatke o neverjetni rasti vaših sredstev. Kot dokaz, da ne gre za prevaro, vam lahko na začetku omogočijo izplačilo manjšega dela prikazanega zaslužka na bančni račun, s čimer vas poskušajo prepričati v večje investicije.«

Uporabniki pogosto ne prepoznajo prevare, dokler ne želijo zasluženega denarja končno prenakazati na svoj bančni račun. Goljufi izplačila onemogočijo ter jih pogojujejo z novimi investicijami oz. zahtevami po plačilu raznih izmišljenih stroškov. Takoj, ko ugotovijo, da niste več pripravljeni plačevati – ali pa vam je zmanjkalo denarja –, se prenehajo odzivati, vi pa ostanete brez vloženega denarja. »Mnogi posamezniki, ki so jih zaslepile obljube o neverjetnem donosu, so izgubili vse svoje prihranke, nemalokrat pa najeli tudi kredit ali si denar izposodili od bližnjih. Vsote, ki jih uporabniki izgubijo v investicijskih prevarah, se nemalokrat gibljejo v tisočih, včasih tudi desettisočih evrov. Najvišje oškodovanje, ki smo ga zabeležili na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT, je znašalo kar 155 tisoč evrov!«

Na kaj naj bodo pozorni spletni trgovci

Goljufi so na različne načine »napadli« tudi spletne trgovce. Spletnim trgovcem sicer v SI-CERT svetujejo podobno kot vsem upravljavcem spletnih mest – nujna je skrb za posodobljeno platformo, saj z ustreznim spremljanjem in posodabljanjem strežnika in sistema za upravljanje z vsebinami poskrbimo za zaščito pred veliko večino napadov. »Poskrbijo naj tudi za ustrezne varnostne kopije, multifaktorsko avtentikacijo in omejijo prijave na svoj strežnik na znane lokacije. Naprednejša spletna mesta, ki hranijo osebne podatke ali izvajajo finančne transakcije, je smotrno preveriti z neodvisnim varnostnim pregledom in penetracijskim testom,« svetuje Mešićeva.

Hekerski napadi ne pojenjajo, kvečjemu obratno

Za konec nas je zanimalo še stanje pri hekerskih napadih, ki jih na SI-CERT vsako leto beležijo vedno več. Kot pravi Mešićeva, nobeden od kazalnikov ne kaže, da bi se trend rasti zmanjševal. Nekakšna prelomnica je bilo leto 2020 in pandemija, ki je prinesla neverjeten poskok v številu phishinga napadov.  »V poslovnem okolju so še vedno aktualni napadi z izsiljevalskimi virusi, pri čemer napadalci poskušajo še dodatno zaostriti izsiljevanje. V zadnjem obdobju napadalci poleg zašifriranja podatkov žrtvam tudi ukradejo občutljive osebne in poslovne podatke in grozijo z njihovo javno objavo ali pa podatke ponudijo najboljšemu kupcu na črnem trgu. V primeru, da žrtev ne plača odkupnine, grožnje tudi uresničijo,« opozarja.

Kibernetska varnost podjetij sloni na vseh zaposlenih

V SI_CERT poudarjajo, da ima marsikdo občutek, da so kibernetski napadi na podjetja zelo sofisticirani in tehnološko napredni, vendar pa izkušnje kažejo, da se največ napadov na podjetja začne s preprostim elektronskim sporočilom, ki ga prejme eden od zaposlenih, in bodisi klikne na povezavo v sporočilu in na lažni spletni strani vpiše svoje geslo, ali pa odpre priponko sporočila in na ta način računalnik okuži z vohunskim virusom, ki napadalcem omogoči oddaljen dostop do omrežja. »Ko imajo napadalci dostop do ene delovne postaje, z različnimi metodami pridobijo administratorske pravice na omrežju, s čimer imajo popoln in neopazen nadzor nad vsemi podatki. V tej fazi lahko izvajajo kakršne koli aktivnosti, od eksfiltracije občutljivih informacij do zašifriranja vseh dostopnih podatkov. Zato je tako pomembno, vendar hkrati tako zapostavljeno vlaganje v zaposlene! Sredstva, ki jih podjetja namenijo za informacijsko varnost, so dostikrat namenjena zgolj nekim tehničnim rešitvam za preprečevanje vdorov, zanemari pa se izobraževanje in ozaveščanje zaposlenih, ki so najpogostejša tarča napadalcev.«

Manjša podjetja lahko usmerijo svoje zaposlene tudi na brezplačni spletni tečaj o informacijski varnosti Varni v pisarni, ki so ga pripravili strokovnjaki z dolgoletnimi izkušnjami na SI-CERT. Tečaj je na voljo na naslovu varnivpisarni.si in je zasnovan na modularni način, tako da zaposlenim (in podjetju nasploh) ne vzame veliko časa. »Izgovorov, da je informacijska varnost predraga in da vzame preveč časa, v današnjem času ne bi smelo biti več,« sklene Mešićeva.