Kako zaščititi denar in osebne podatke na internetu

2024 Avtor: Malcolm Clapton | [email protected]. Nazadnje spremenjeno: 2023-12-17 04:10

Bolj ko ste obveščeni, težje vas je prevarati. Tukaj je vse, kar morate vedeti o lažnem predstavljanju pri Microsoftu.

Poiščite še več nasvetov, kako se zaščititi pred digitalnimi grožnjami.

Kaj je lažno predstavljanje in kako nevarno je

Lažno predstavljanje je pogosta vrsta kibernetske goljufije, katere namen je ogrožati in ugrabiti račune, ukrasti podatke o kreditni kartici ali katere koli druge zaupne podatke.

Najpogosteje kibernetski kriminalci uporabljajo e-pošto: na primer pošiljajo pisma v imenu znanega podjetja in uporabnike privabijo na njegovo lažno spletno mesto pod pretvezo donosne promocije. Žrtev ne prepozna ponaredka, vnese prijavo in geslo iz svojega računa in tako uporabnik sam prenese podatke prevarantom.

Vsakdo lahko trpi. Avtomatizirana e-poštna sporočila z lažnim predstavljanjem so najpogosteje usmerjena na široko občinstvo (na stotine tisoč ali celo milijone naslovov), obstajajo pa tudi napadi, ki so usmerjeni na določen cilj. Najpogosteje so ti cilji najvišji menedžerji ali drugi zaposleni, ki imajo privilegiran dostop do korporativnih podatkov. Ta prilagojena strategija lažnega predstavljanja se imenuje kitolov, kar v prevodu pomeni "lov kitov".

Posledice napadov z lažnim predstavljanjem so lahko uničujoče. Goljufi lahko berejo vašo osebno korespondenco, pošiljajo lažna sporočila vašemu krogu stikov, dvigujejo denar z bančnih računov in na splošno delujejo v vašem imenu v širšem smislu. Če vodite podjetje, je tveganje še večje. Lažno predstavljanje lahko ukradejo poslovne skrivnosti, uničijo občutljive datoteke ali odtečejo podatke vaših strank, kar škodi ugledu podjetja.

Glede na poročilo o trendih dejavnosti lažnega predstavljanja delovne skupine proti lažnemu predstavljanju so strokovnjaki za kibernetsko varnost samo v zadnjem četrtletju 2019 odkrili več kot 162.000 goljufivih spletnih mest in 132.000 e-poštnih kampanj. V tem času je približno tisoč podjetij z vsega sveta postalo žrtev lažnega predstavljanja. Še vedno je treba videti, koliko napadov ni bilo odkritih.

Razvoj in vrste lažnega predstavljanja

Izraz "phishing" izvira iz angleške besede "fishing". Ta vrsta prevare res spominja na ribolov: napadalec vrže vabo v obliki lažnega sporočila ali povezave in čaka, da uporabniki ugriznejo.

Toda v angleščini se phishing piše nekoliko drugače: phishing. Namesto črke f se uporablja digraf ph. Po eni različici je to sklicevanje na besedo lažni ("prevarant", "prevarant"). Po drugi strani - subkulturi zgodnjih hekerjev, ki so jih imenovali phreakers ("phreakers").

Menijo, da je bil izraz lažno predstavljanje prvič javno uporabljen sredi devetdesetih let prejšnjega stoletja v novičarskih skupinah Usenet. Takrat so prevaranti začeli s prvimi napadi z lažnim predstavljanjem, namenjenimi strankam ameriškega internetnega ponudnika AOL. Napadalci so pošiljali sporočila, v katerih so prosili za potrditev svojih poverilnic in se predstavljali kot zaposleni v podjetju.

Z razvojem interneta so se pojavile nove vrste napadov z lažnim predstavljanjem. Goljufi so začeli ponarejati celotne spletne strani in obvladali različne kanale in komunikacijske storitve. Danes je mogoče razlikovati takšne vrste lažnega predstavljanja.

• Lažno predstavljanje po e-pošti. Goljufi registrirajo poštni naslov, podoben naslovu znanega podjetja ali znanca izbrane žrtve, in z njega pošiljajo pisma. Hkrati je ponarejeno pismo po imenu pošiljatelja, oblikovanju in vsebini lahko skoraj identično izvirniku. Samo v notranjosti je povezava do ponarejenega spletnega mesta, okuženih prilog ali neposredna zahteva za pošiljanje zaupnih podatkov.
• SMS lažno predstavljanje (smishing). Ta shema je podobna prejšnji, vendar se namesto e-pošte uporablja SMS. Naročnik prejme sporočilo z neznane (običajno kratke) številke z zahtevo po zaupnih podatkih ali s povezavo na lažno stran. Napadalec se lahko na primer predstavi kot banka in zahteva potrditveno kodo, ki ste jo prej prejeli. Pravzaprav prevaranti potrebujejo kodo za vdor v vaš bančni račun.
• Lažno predstavljanje na družbenih omrežjih. S širjenjem takojšnjih sporočil in družbenih medijev so napadi z lažnim predstavljanjem preplavili tudi te kanale. Napadalci lahko stopijo v stik z vami prek lažnih ali ogroženih računov znanih organizacij ali vaših prijateljev. V nasprotnem primeru se načelo napada ne razlikuje od prejšnjih.
• Telefonsko lažno predstavljanje (vishing). Goljufi niso omejeni na besedilna sporočila in vas lahko pokličejo. Najpogosteje se v ta namen uporablja internetna telefonija (VoIP). Klicatelj se lahko na primer predstavlja kot uslužbenec podporne službe vašega plačilnega sistema in zahteva podatke za dostop do denarnice - menda za preverjanje.
• Išči z lažnim predstavljanjem. Na lažno predstavljanje lahko naletite kar v rezultatih iskanja. Dovolj je, da kliknete povezavo, ki vodi do lažne strani, in na njej pustite osebne podatke.
• Pojavno lažno predstavljanje. Napadalci pogosto uporabljajo pojavna okna. Ob obisku sumljivega vira boste morda videli pasico, ki obljublja nekaj koristi - na primer popuste ali brezplačne izdelke - v imenu znanega podjetja. S klikom na to povezavo boste preusmerjeni na spletno mesto, ki ga nadzorujejo kibernetski kriminalci.
• Kmetovanje. Ni neposredno povezano z lažnim predstavljanjem, vendar je kmetovanje tudi zelo pogost napad. V tem primeru napadalec ponaredi podatke DNS tako, da uporabnika namesto izvirnih spletnih mest samodejno preusmeri na ponarejena. Žrtev ne vidi sumljivih sporočil in transparentov, kar poveča učinkovitost napada.

Lažno predstavljanje se še naprej razvija. Microsoft je spregovoril o novih tehnikah, ki jih je njegova storitev proti lažnemu predstavljanju Microsoft 365 Advanced Threat Protection odkrila leta 2019. Na primer, prevaranti so se naučili bolje prikriti zlonamerne materiale v rezultatih iskanja: legitimne povezave so prikazane na vrhu, ki uporabnika vodijo do spletnih mest z lažnim predstavljanjem z več preusmeritvami.

Poleg tega so kibernetski kriminalci začeli samodejno ustvarjati povezave z lažnim predstavljanjem in natančne kopije e-pošte na kvalitativno novi ravni, kar jim omogoča učinkovitejše zavajanje uporabnikov in izogibanje varnostnim ukrepom.

Po drugi strani se je Microsoft naučil prepoznati in blokirati nove grožnje. Podjetje je uporabilo vse svoje znanje o kibernetski varnosti za ustvarjanje paketa Microsoft 365. Zagotavlja rešitve, ki jih potrebujete za vaše podjetje, hkrati pa zagotavlja, da so vaši podatki učinkovito zaščiteni, vključno z lažnim predstavljanjem. Microsoft 365 Advanced Threat Protection blokira zlonamerne priloge in potencialno škodljive povezave v e-poštnih sporočilih, zazna izsiljevalsko programsko opremo in druge grožnje.

Kako se zaščititi pred lažnim predstavljanjem

Izboljšajte svojo tehnično pismenost. Kot pravi pregovor, kdor je opozorjen, je oborožen. Preučite informacijsko varnost sami ali se posvetujte s strokovnjaki. Tudi samo dobro poznavanje osnov digitalne higiene vam lahko prihrani veliko težav.

Bodi previden. Ne sledite povezavam in ne odpirajte prilog v pismih neznanih sogovornikov. Pazljivo preverite kontaktne podatke pošiljateljev in naslove spletnih mest, ki jih obiščete. Ne odgovarjajte na zahteve po osebnih podatkih, tudi če je sporočilo videti verodostojno. Če vas predstavnik podjetja prosi za informacije, je bolje, da pokličete njihov klicni center in sporočite situacijo. Ne klikajte na pojavna okna.

Uporabite gesla pametno. Za vsak račun uporabite edinstveno in močno geslo. Naročite se na storitve, ki uporabnike opozorijo, če se gesla za njihove račune pojavijo v spletu, in takoj spremenite dostopno kodo, če se izkaže, da je ogrožena.

Nastavite večfaktorsko preverjanje pristnosti. Ta funkcija dodatno ščiti račun, na primer z uporabo enkratnih gesel. V tem primeru boste morali vsakič, ko se z nove naprave v svoj račun prijaviti, poleg gesla vnesti štiri- ali šestmestno kodo, ki vam je poslana prek SMS-a ali ustvarjena v posebni aplikaciji. Morda se ne zdi zelo priročno, vendar vas bo ta pristop zaščitil pred 99 % pogostih napadov. Konec koncev, če goljufi ukradejo geslo, še vedno ne bodo mogli vstopiti brez potrditvene kode.

Uporabite možnosti za prijavo brez gesla. V teh storitvah, kjer je mogoče, bi morali popolnoma opustiti uporabo gesel in jih nadomestiti s strojnimi varnostnimi ključi ali avtentikacijo prek aplikacije na pametnem telefonu.

Uporabite protivirusno programsko opremo. Najnovejši protivirusni program bo delno pomagal zaščititi vaš računalnik pred zlonamerno programsko opremo, ki preusmerja na spletna mesta z lažnim predstavljanjem ali krade prijave in gesla. Vendar ne pozabite, da je vaša glavna zaščita še vedno spoštovanje pravil digitalne higiene in upoštevanje priporočil za kibernetsko varnost.

Če vodite podjetje

Naslednji nasveti bodo koristni tudi za lastnike podjetij in vodje podjetij.

Usposobite zaposlene. Pojasnite podrejenim, katerim sporočilom se je treba izogibati in katerih informacij ne smete pošiljati po e-pošti in drugih komunikacijskih kanalih. Zaposlenim prepovedati uporabo službene pošte za osebne namene. Poučite jih, kako delati z gesli. Prav tako je vredno razmisliti o politiki hrambe sporočil: na primer iz varnostnih razlogov lahko izbrišete sporočila, starejša od določenega obdobja.

Izvedite napade z lažnim predstavljanjem. Če želite preizkusiti reakcijo svojih zaposlenih na lažno predstavljanje, poskusite ponarediti napad. Na primer, registrirajte poštni naslov, podoben vašemu, in z njega pošljite pisma podrejenim, v katerih jih prosite, naj vam posredujejo zaupne podatke.

Izberite zanesljivo poštno storitev. Ponudniki brezplačne e-pošte so preveč ranljivi za poslovno komuniciranje. Podjetja bi morala izbrati samo varne korporativne storitve. Uporabniki poštne storitve Microsoft Exchange, ki je del zbirke Microsoft 365, imajo na primer celovito zaščito pred lažnim predstavljanjem in drugimi grožnjami. Za boj proti goljufom Microsoft vsak mesec analizira na stotine milijard e-poštnih sporočil.

Najemite strokovnjaka za kibernetsko varnost. Če vaš proračun dopušča, poiščite usposobljenega strokovnjaka, ki bo zagotavljal stalno zaščito pred lažnim predstavljanjem in drugimi kibernetskimi grožnjami.

Kaj storiti, če ste žrtev lažnega predstavljanja

Če obstaja razlog za domnevo, da so vaši podatki prišli v napačne roke, ukrepajte takoj. Preverite svoje naprave za viruse in spremenite gesla računa. Obvestite bančno osebje, da so bili vaši plačilni podatki morda ukradeni. Če je potrebno, obvestite stranke o morebitnem puščanju.

Da se takšne situacije ne bi ponovile, izberite zanesljive in sodobne storitve sodelovanja. Najbolj primerni so izdelki z vgrajenimi zaščitnimi mehanizmi: deloval bo čim bolj priročno in vam ne bo treba tvegati digitalne varnosti.

Na primer, Microsoft 365 vključuje vrsto pametnih varnostnih funkcij, vključno z zaščito računov in prijav pred ogrožanjem z vgrajenim modelom ocene tveganja, preverjanjem pristnosti brez gesla ali večfaktorjem, ki ne zahteva dodatnih licenc.

Poleg tega storitev zagotavlja dinamično kontrolo dostopa z oceno tveganja in ob upoštevanju širokega spektra pogojev. Microsoft 365 vsebuje tudi vgrajeno avtomatizacijo in analitiko podatkov ter omogoča tudi nadzor naprav in zaščito informacij pred uhajanjem.