Phishing email, kako ga popularno zovu i čiji naziv aludira na “pecanje” (fishing), je globalni naziv za kriminalni pokušaj otuđivanja senzibilnih informacija, kao npr. brojeva kreditnih karitca ili šifri i korisničkih naloga bankovnih internet pristupa, gdje pošiljalac lažnim predstavljanjem i kamuflažom pokušava da iznjedri senzibilne podatke od korisnika.

Naravno, Phishing je u uskoj sprezi sa SPAM-om, te osobama i kompanijama koje distribuiraju milione email adresa bez znanja vlasnika. Svakako to je začarani krug u koji su umješane i velike korporacije, te underground skupine hackera i profesionalnih SPAM-era većinom stacioniranih na Istoku (Kina, Rusija), gdje zakonske regulative ne pokrivaju sajber kriminal kao što je to slučaj na Zapadu.

Interesantan podatak koji je ovaj mjesec objavio Gartner, engleska kuća za ispitivanje tržišta, je svakako iznenadio sve prognostičare i stručnjake. Gartner putem svojih anketnih izvora je utvrdio da su u toku 2007 godine napadi kriminalaca putem phishing email poruka uspjeli da otudje preko 3 milijarde američkih dolara u SAD-u. Ovaj frapantan podatak govori da se radi o ozbiljnoj ilegalnoj industriji koja ekspandira iz godine u godinu. Stručnjaci su smatrali da će se u ovoj godini smanjiti broj takvih slučaja s obzirom da banke a i korisnici već imaju dugogodišnja negativna isustva, ali očigledno naivnost novih korisnika i njihovo povećavanje i dalje osigurava inorman profit kriminalnim skupinama iz ovog miljea. Čak ni različite software zaštite ne pomažu korisnicima da se izbore protiv lažnih mailova. Tako da još uvijek najveći broj takvih mailova je orjentisan ka bankovnom računu korisnika, gdje lažnim predstavljanjem pošiljalac “maskira” email i predstavi se kao činovnik banke. Nekad i izrazito iskusni internet korisnici se “uklikaju” misleći da njihova banka traži korisnički nalog kako bi otklonili kvazi grešku na sistemu, ali tada shvate da adresa web stranice nije adresa njihove banke i uvide trik, dok milioni korisnika ne spoznaju ovaj vid prevare te ostave tražene informacije na sajtu “phisher-a” na osnovu kojih kriminalci “upadnu” na internet bankovni račun i sredstva preusmjere na svoje račune u off-shore zonama.

Naravno, ovo zvuči i previše jednostavno, ali svakako iza phishing mailova se nalaze grupe ljudi koje marljivo isplaniraju svoje akcije, te spretno sakriju bilo kakve tragove, tako da je kasnije policiji gotovo pa nemoguće upratiti transakcije.

Generalno phishing prevara nije nikakva novina. Šta više, phishing je aktuelan i od prije digitalnog vremena i Interneta. Osamdesetih je u Americi bio popularan Phone Phishing. Gdje je naivnost osobe dolazila do izražaja, a mudri kriminalci su umjeli da profitiraju. Recimo banalan primjer najjednostavnije telefonske prevare je kada se sa druge strane osoba predstavi kao radnik banke u kojoj žrtva stvarno ima račun, te traži podatke osobe, između ostalog broj računa i broj lične karte, navodno radi neke provjere pošto je došlo do pometnje u bankarskom sistemu. Većina “žrtava” se upeca te žurno dostave sve tražene informacije. Kasnije osoba u banci podigne sredstva sa računa gdje za ispriku što nemaju ličnu kartu kaže ili da je zaboravio ili da mu je u drugom novčaniku i tako obmane i bankarskog službenika. Sofisticiraniji prevaranti su u to vrijeme čak falsifikovali i lična dokumenta kako bi lakše došli do sredstava, te birali žrtve po njihovom izgledu, načinu života, uhodeći ih i formirajući njihove profile. Danas je ovaj oblik phishing-a zastario, ali je još uvijek u jednocifrenom procentu prisutan na statistici banaka u SAD-u.

Danas je na Internetu slična situacija, i svakako mnogo sofisticiranija od phone phishing-a i bez “direktnog kontakta” kriminalca sa „žrtvom“, te je zbog te globalne mreže, kriminalcima sa jednog kraja planete otvoren put da pristupe na račune “žrtve” na drugom kraju planete, što uveliko otežava bilo kakvu kriminalističku obradu nadležnih institucija, policije i Interpola, naročito zbog međudržavnih pravnih i zakonskih regulativa i nejednakosti.

Međutim, ne možemo samo korisnike smatrati odgovornim za dobro poslovanje kriminalaca, ali su svakako najzaslužniji, jer njihova neinforisanost i lakomislenost dovodi do ovih frapantnih statistika. Glavni krivci pored korisnika su i njihove banke ili institucije koje nude uslugu koja nema adekvatnu mjeru zaštite. Danas, moderne banke nude nekoliko nivoa zaštite za internet bankarstvo, tako da mogućnost da “hakeri” provale nečiji bankovni račun su pa gotovo nemoguće, ali phisher-i još uvijek imaju otvorena vrata. Razlog za to je što kamufliranom prevarom dobiju sve podatke za ulaz na internet bankovni nalog korisnika. Što bolja kamuflaža i što sofisticiranija metoda, utoliko rastu šanse da će “žrtva” nasjesti na trik i ostaviti podatke. U zadnjih par godina, phisher-i su došli do zaključka da korisnici sve manje nasjedaju na njihove podle kamuflaže i trikove, tako da su odlučili da se sofisticiraju i krenu u proizvodnju besplatnih programa za neke gluposti koje Internet korisnici obožavaju, naročito zato što su besplatni, dok ti programi pored svoje operativne funkcije imaju i tajnu funkciju a to je da snimaju sve sigurnosne podatke i internetom odašiljaju na servere phisher-a, koji kasnije vrlo jednostavno ulaze na bankovne račune koristeći korisničke podatke i zaštitne šifre.

Sada se postavlja pitanje, kao se zaštititi od ove vrste prevare? A sada jedan ciničan odgovor … Stanovnici Balkana se ne trebaju brinuti, jer niti imaju novaca koji interesuju kriminalce, niti imaju internet bankarstva, a kada internet poslovanje dođe u ovaj dio Evrope, nadam se da ćemo tada rabiti sofisticirane sisteme zaštite tako da će se ovaj post smatrati zastarjelim! Ali oprezu nikad kraja, tako da ne zamjeram paranoičnim korisnicima, ali ipak im savjetujem da se informišu prije nego postanu “žrtva” phishing prevare.

Banke i njihova osiguranja su pak najviše stradala u ovoj godini. Po Garner-ovim anketama, banke su u prosjeku izvršile povrat od 64% sredstava koja su otuđena phishing prevarom. Svakako, korisnici smatraju banku odgovornom, jer nisu upozorili korisnike na ovakve mogućnosti. Dok neke banke imaju i klauzule koje govore o ovim prevarama te STRIKTNO naglašavaju svojim korisnicima da NIKOME ne daju svoje pristupne podatke, čak ni bankovnim činovnicima, izuzev u direktnom kontaktu u banci.

S obzirom da banke rapidno rade na tome da edukuju svoje korisnike, te da ponude veće mjere zaštite, velika vjerovatnoća je da će u sljedećoj godini phishing metode iz ove godine postati staromodne, ali nikako ne sumnjam da će phishing industrija odustati od daljeg sofisticiranja svojih metoda kamuflaže i prevare.

U sljedećem dijelu ovog članka više ću se orjentisati ka tehničkim karakteristikama ove vrste prevare, te ću objaviti određene analize i testove koje sam sproveo. Isto tako biće dosta riječi o PayPal phishingu i drugim procesorima za naplatu koji su došli pod ruku savremenih i neumornih phishing majstora, a ostaviću i detaljne upute kako se najbolje zaštititi od ovakvih prevara.

Iskoristiću ovu priliku da svim čitaocima i autorima zaželim Srećnu Novu 2008. godinu.

Modifikovano : December 27th, 2007 Svrstano pod : Društvo i društvene nauke, Ekonomija i poslovanje, IT, Tehnologije Navigacija : Previous post / Next post