Manipulacija putem poverenja je oblik prevare koji ne koristi tehnička sredstva, već ljudsku prirodu. Umesto hakovanja sistema, napadači pokušavaju da „hakuju“ ljude koristeći obmanu, lažno predstavljanje i uverljive izgovore kako bi došli do poverljivih informacija.

Ovi napadi nisu rezervisani samo za velike kompanije ili one koji su „naivni“. Bilo ko može postati meta – zaposleni, direktori, IT administratori, pa čak i oni oprezni korisnici. Ključna razlika je u tome što se ovi napadi oslanjaju na psihologiju i poverenje, a ne na ranjivosti u softveru.

Fišing (Phishing)

Najpoznatiji oblik – lažne poruke koje pokušavaju da vas navedu da kliknete na zlonamerni link, preuzmete fajl ili unesete lozinku.

Tu imamo spear phishing i to su ciljani napadi na pojedince uz korišćenje njihovih javno dostupnih informacija.

Zatim smishing (SMS phishing) i vishing (voice phishing), a to su poruke putem SMS-a i lažni pozivi koji se predstavljaju kao banka, kurirska služba i slično.

Ne morate da kliknete na svaki link koji vidite, napravite pauzu i pozovite zvanični broj telefona službe za koju smatrate da vam piše i objasnite im šta ste dobili. Banke i druge službe vam nikada neće tražiti korisničko ime, lozinku ili PIN kod.

Lažno predstavljanje (Pretexting)

Napadač se predstavlja kao neko kome korisnik veruje — IT tehnička podrška, kolega iz firme, banka, pa čak i nadređeni. Cilj je da se kroz lažnu priču (pretext) dobije pristup poverljivim podacima, lozinkama, pa čak i finansijskim računima.

Primer: Korisnik dobija poziv od „IT podrške“ koja tvrdi da je došlo do bezbednosnog incidenta i da hitno mora da promeni lozinku — naravno, preko linka koji zapravo vodi na lažnu stranicu koja će sačuvati korisničko ime i lozinku koju pokušavate da unesete.

Usluga za uslugu (Quid Pro Quo) lažna tehnička podrška

Neko vam nudi pomoć ili „nagradu“, ali zauzvrat traži pristup računaru, lozinke ili podatke. Vrlo često meta ovih napada su neuki korisnici koji bi želeli da preuzmu nagradu ali ne umeju da se uloguju na nalog banke (primer), tada im haker zatraži pristupne podatke bankovnog naloga da bi im pomogao da “preuzmu nagradu”.

Napadači nude usluge u zamenu za informacije, npr. lažno se predstavljaju kao tehnička podrška kako bi stekli pristup vašem sistemu. Ako ste gledali film “The Beekeeper” onda znate o čemu se radi.

Mamac (Baiting)

Ponuda koja je „previše dobra da bi bila istinita“ – besplatan softver, USB sa oznakom „Poverljivo“, ekskluzivan sadržaj. Cilj je da žrtva preuzme zlonamerni sadržaj.

Zaraženi USB uređaji, primamljive ponude za preuzimanje datoteka ili ekskluzivan sadržaj često služe kao “mamac” za instaliranje zlonamernog softvera ili otkrivanje informacija.

Nema lakog novca i besplatnih poklona. Imajte to u vidu.

Neovlašćeni fizički pristup (Tailgating)

Napadač fizički ulazi u prostorije firme prateći zaposlenog – često se pretvara da je dostavljač, novi radnik ili „zaboravio karticu“.

Kako se zaštititi od prevare na internetu?

Manipulacije na internetu postaju sve sofisticiranije — često dolaze u formi uverljivih poruka, lažnih upozorenja ili poziva na hitnu akciju. Ključno je ne reagovati impulsivno. Pre nego što kliknete na bilo kakav link ili unesete podatke usporite i obratite pažnju na sledeće znakove moguće prevare:

• Hitnost: Poruke koje zahtevaju brzu reakciju (npr. „račun će biti zaključan“).
• Neprovereni izvori: Mejlovi sa čudnim adresama, greškama u kucanju, neobičnim tonom.
• Mejl adrese slične adresama saradnika: Mejl adrese koje se razlikuju za jedno slovo (!)
• Neobični zahtevi: Kolega traži lozinku? Klijent traži direktan pristup serveru? Proverite.
• Ponude koje deluju predobro: Besplatni vaučeri, softver, pokloni — uz zahtev za klik ili podatke.

Kako reagovati ako prepoznate moguću prevaru?

Uvek potvrdite neobične zahteve. Ako ste dobili čudan mejl od kolege, pozovite kolegu telefonom i pitajte ga o čemu se radi.

Ne delite lozinke i podatke putem mejla, SMS-om, Viber-om ako dobijate prvi put takav zahtev ili ako u firmi već nemate takvu praksu.

Ako dobijete mejl sa predračunom za plaćanje, pozovite saradnika telefonom i proverite da li je račun na koji treba da platite ispravan. Jednom kada platite pogrešno, više nema vraćanja. Uvek postavljajte pitanja:

• Da li poznajem pošiljaoca?
• Da li je ovo tačan mejl saradnika sa kojim se dopusujem svakog dana? Ili se razlikuje za 1 slovo?
• Da li poruka ima pravopisne greške ili čudan ton?
• Da li postoji realna potreba za hitnom reakcijom?
• Da li link vodi na poznat domen?

Zdrava doza sumnje je najbolja zaštita. Ako bilo šta deluje sumnjivo — proverite, ne klikćite.

Kada prevara zaobiđe softver najbolja i krajnja zaštita je zdrav razum. Zato je potrebno na vreme razmišljati o tome i ukazati kolegama kako izgledaju prevare.