Манипулација путем поверења је облик преваре који не користи техничка средства, већ људску природу. Уместо хаковања система, нападачи покушавају да „хакују“ људе користећи обману, лажно представљање и уверљиве изговоре како би дошли до поверљивих информација.

Ови напади нису резервисани само за велике компаније или оне који су „наивни“. Било ко може постати мета – запослени, директори, ИТ администратори, па чак и они опрезни корисници. Кључна разлика је у томе што се ови напади ослањају на психологију и поверење, а не на рањивости у софтверу.

Фишинг (Phishing)

Најпознатији облик – лажне поруке које покушавају да вас наведу да кликнете на злонамерни линк, преузмете фајл или унесете лозинку.

Ту имамо spear phishing и то су циљани напади на појединце уз коришћење њихових јавно доступних информација.

Затим смисхинг (SMS phishing) и вишинг (voice phishing), а то су поруке путем SMS-а и лажни позиви који се представљају као банка, курирска служба и слично.

Не морате да кликнете на сваки линк који видите, направите паузу и позовите званични број телефона службе за коју сматрате да вам пише и објасните им шта сте добили. Банке и друге службе вам никада неће тражити корисничко име, лозинку или ПИН код.

Лажно представљање (Pretexting)

Нападач се представља као неко коме корисник верује — ИТ техничка подршка, колега из фирме, банка, па чак и надређени. Циљ је да се кроз лажну причу (pretext) добије приступ поверљивим подацима, лозинкама, па чак и финансијским рачунима.

Пример: Корисник добија позив од „ИТ подршке“ која тврди да је дошло до безбедносног инцидента и да хитно мора да промени лозинку — наравно, преко линка који заправо води на лажну страницу која ће сачувати корисничко име и лозинку коју покушавате да унесете.

Услуга за услугу (Quid Pro Quo) лажна техничка подршка

Неко вам нуди помоћ или „награду“, али заузврат тражи приступ рачунару, лозинке или податке. Врло често мета ових напада су неискусни корисници који би желели да преузму награду али не умеју да се улогују на налог банке (пример), тада им хакер затражи приступне податке банковног налога да би им помогао да “преузму награду”.

Нападачи нуде услуге у замену за информације, нпр. лажно се представљају као техничка подршка како би стекли приступ вашем систему. Ако сте гледали филм “The Beekeeper” онда знате о чему се ради.

Мамац (Baiting)

Понуда која је „превише добра да би била истинита“ – бесплатан софтвер, USB са ознаком „Поверљиво“, ексклузиван садржај. Циљ је да жртва преузме злонамерни садржај.

Заражени USB уређаји, примамљиве понуде за преузимање датотека или ексклузиван садржај често служе као “мамац” за инсталирање злонамерног софтвера или откривање информација.

Нема лаког новца и бесплатних поклона. Имајте то у виду.

Неовлашћени физички приступ (Tailgating)

Нападач физички улази у просторије фирме пратећи запосленог – често се претвара да је достављач, нови радник или „заборавио картицу“.

Како се заштитити од преваре на интернету?

Манипулације на интернету постају све софистицираније — често долазе у форми уверљивих порука, лажних упозорења или позива на хитну акцију. Кључно је не реаговати импулсивно. Пре него што кликнете на било какав линк или унесете податке успорите и обратите пажњу на следеће знакове могуће преваре:

• Хитност: Поруке које захтевају брзу реакцију (нпр. „рачун ће бити закључан“).
• Непроверени извори: Мејлови са чудним адресама, грешкама у куцању, необичним тоном.
• Мејл адресе сличне адресама сарадника: Мејл адресе које се разликују за једно слово (!)
• Необични захтеви: Колега тражи лозинку? Клијент тражи директан приступ серверу? Проверите.
• Понуде које делују предобро: Бесплатни ваучери, софтвер, поклони — уз захтев за клик или податке.

Како реаговати ако препознате могућу превару?

Увек потврдите необичне захтеве. Ако сте добили чудан мејл од колеге, позовите колегу телефоном и питајте га о чему се ради.

Не делите лозинке и податке путем мејла, SMS-ом, Viber-ом ако добијате први пут такав захтев или ако у фирми већ немате такву праксу.

Ако добијете мејл са предрачуном за плаћање, позовите сарадника телефоном и проверите да ли је рачун на који треба да платите исправан. Једном када платите погрешно, више нема враћања. Увек постављајте питања:

• Да ли познајем пошиљаоца?
• Да ли је ово тачан мејл сарадника са којим се дописујем сваког дана? Или се разликује за 1 слово?
• Да ли порука има правописне грешке или чудан тон?
• Да ли постоји реална потреба за хитном реакцијом?
• Да ли линк води на познат домен?

Здрава доза сумње је најбоља заштита. Ако било шта делује сумњиво — проверите, не кликћите.

Када превара заобиђе софтвер најбоља и крајња заштита је здрав разум. Зато је потребно на време размишљати о томе и указати колегама како изгледају преваре.