Home  /  Sigurnost  /  Kako da se efikasno zaštitite od Phishing-a?

Kako da se efikasno zaštitite od Phishing-a?

Autor:
Sigurnost 14 komentara

Phishing prevare, ukratko rečeno, predstavljaju pokušaj krađe podataka korisnika interneta preko falsifikovane web stranice. Kako uglavnom ne zahtevaju napredno programersko znanje od strane prevaranta, phishing napade moguće je izvesti relativno lako.
Izveštaji svetskih kompanija koje se bave online sigurnošću i zaštitom  ukazuju na značajno povećanje phishing napada u prvoj polovini 2013. godine.
U ovom tekstu podelićemo nekoliko saveta na koji način možete efikasno da se zaštitite od phishing-a i tako sačuvate vaše podatke i novac.


Najčešći scenario sa kojim ćete se susretati je da na e-mail, Facebook ili preko chat-a od prijatelja, čiji je nalog već kompromitovan, dobijete link sa “super interesantnim” sadržajem koji će vas odvesti na maliciozni websajt koji, recimo, može izgledati identično kao facebook.com i gde će biti potrebno da unesete vaš e-mail i lozinku kako biste mogli da vidite željeni sadržaj. Vi ćete uneti vaše podatke i gotovo istog trenutka ostaćete bez vašeg naloga koji će prevarantu poslužiti za dalje širenje malicioznog sadržaja.
Primer takvog websajta možete videti na slici:

Nešto ređi kod nas, ali vrlo opasan i sa daleko drastičnijim posledicama je pokušaj krađe podataka sa vaše platne kartice. Ovaj tip napada obično funkcioniše tako što preko e-mail poruke, navodno, od banke dobijate obaveštenje da je potrebno da potvrdite vaše podatke i verifikujete vaš nalog. Link u poruci ne vodi na sajt banke već na maliciozni websajt gde, ponovo, dolazi do krađe vaših podataka.

Na koji način se zaštititi od ovakvih napada?

Na internetu možete pronaći pregršt korisnih saveta za zaštitu od phishing-a.  Saveti koji će biti izloženi u ovom tekstu odabrani su po relevantnosti za situaciju koju imamo u Srbiji. Generalno, zaštita se može obaviti pomoću softvera, ali da bi zaštita bila potpuna potrebna je opreznost i edukovanost korisnika kao i njegovo aktivno učešće.

Zaštita pomoću softverskih rešenja

  • Koristite i redovno ažurirajte antivirus, antispyware, programe za filtriranje nepoželjne pošte (takozvane spam filtere).
    Napomena: Nikada ne koristite “krekovan” antivirus. Kako da znate da li koristite krekovan antivirus? Ukoliko imate Nod, Kaspersky ili Norton antivirus a ne plaćate licencu koristite krekovan softver.
    Ukoliko već ne želite da kupite licencu, izaberite neki od besplatnih programa koji će vam pružiti sasvim dovoljnu zaštitu. Moja preporuka bila bi Avast, Avira ili, ako ste fan novih tehnologija, Panda Cloud.

  • Redovno ažurirajte vaš operativni sistem kao i programe koje koristite i uvek koristite poslednju verziju browsera.
    Ova prva dva saveta su generalne sigurnosne preporuke i ne odnose se samo na phishing i rešiće vam mnogo potencijalnih sigurnosnih problema.

  • Na kraju, koristite dvofaktorsku autentifikaciju gde god je to moguće. Čak i u slučaju da neko dođe do vašeg korisničkog imena i lozinke neće moći da se uloguje na vaš nalog jer će mu biti potreban i SMS kod sa vašeg telefona. Ovakva vrsta zaštite postaje sve popularnija, a već je implementirana na Facebook, Twitter, LinkedIn i Google.

Zaštita edukacijom i opreznošću

Ovo je ključni deo za efikasnu zaštitu od phishing-a.
Sva softverska rešenja samo će smanjiti verovatnoću da budete izloženi napadu. Antivirus i antispyware će blokirati pristup malicioznom sajtu, spam filter će blokirati prijem problematičnih poruka, ali nikada neće moći da pokriju sve situacije.

Jedan od razloga zbog kojeg je phishing i danas vrlo opasan je činjenica da sistemi zaštite koje koriste websajtovi na koje se logujete nemaju gotovo nikakvu ulogu u zaštiti od phishing-a jer se sam napad odigrava mimo njihovih servera i njihovog znanja. Zato je važno da u slučaju da do napada ipak dođe, postupute po ovim već proverenim i često citiranim savetima za zaštitu:

  • Kada se logujete na bilo koji websajt ili vršite e-banking transakciju budite vrlo oprezni.

  • Prilikom logovanja uvek dobro proverite da li je URL stranice na koji se logujete validan. Prostije rečeno, gledajte da li je link dobar.
    Možda savet deluje jednostavno, ali u praksi nije sve baš tako jasno. Napadači često koriste grafičku sličnost između karaktera da bi prevarili žrtvu. Na primer pronađite razliku između sledeća dva URL-a:
    http://www.mojkorner.rs
    http://www.mojkomer.rs
    Jedan od ova dva domena mogu se iskoristiti za phising napade.

  • Vodite računa da se na sajtove, posebno one koji sadrže poverljive informacije o vama, uvek logujete preko sigurne konekcije. Link treba da počinje sa https:// umesto http://
    Nažalost, ovo pravilo još uvek nije potpuno primenjivo u Srbiji ali je samo pitanje vremena kada ćemo i mi početi da primenjujemo svetske sigurnosne standarde.
    Napomena: Postoji mogućnost da adresa sajta počinje sa https:// (to znači da napadač može na svoj sajt da ubaci SSL) ali teško da će imati “proveren” sertifikat. U slučaju da je sertifikat samododeljen a vi pokušate da pristupite takvom sajtu vaš browser će vas upozoriti na opasnost. Dobićete poruku, kao na slici:

  • Dobili ste e-mail od banke? Nije dovoljno samo da proverite da li e-mail pošiljaoca pripada vašoj banci jer je relativno lako izmanipulisati e-mail adresom pošiljaoca i učiniti da ona izgleda kao validna.

  • U vezi sa prethodnim, nikada nemojte slati vaše osetljive podatke trećoj strani putem e-mail poruke. Vaša banka nikada to neće tražiti od vas.

  • Ukoliko i dalje niste sigurni da li je sajt na koji se logujete pravi možete pokušati sa sledećom trik metodom provere:
    Ukucajte pogrešnu šifru pri logovanju, pogrešan CVV ili broj kartice. Validan websajt će vam vratiti povratnu informaciju da su podaci neispravni. Phishing websajt, sa druge strane, neće vam dati nikakvu informaciju.

Umesto zaključka pokušaćemo da razbijemo jednu zabludu koja se često sreće kod dosta korisnika interneta. To je ono čuveno: “A šta će nekome moji podaci, neka mi upadne u nalog ako hoće, nemam ništa tamo”. Ovako razmišljanje vrlo je opasno i neodgovorno. Nisu retki primeri u svetu, čak su sve češći, gde nakon krađe naloga na društvenoj mreži dolazi i do krađe identiteta te osobe što može imati duboke posledice koje vrlo dobro ilustroje ovaj video:

Takođe, ukoliko vam je ukraden nalog niste ugroženi samo vi, već i vaši prijatelji koji će, po automatizmu, sve što dolazi od vas smatrati validnim sadržajem a samim tim, vaši prijatelji biće podložniji prevari.

Stoga, nemojte olakšavati posao zlonamernim korisnicima. Zaštitite se i uživajte u dobrobitima interneta. Za sve nejasnoće, pozivam vas da nam se obratite u komentarima.

Povezani postovi

  1. Luka
    23. јула 2013. at 11:13

    Ko klikce na svakojake gloposti u mailovima i zasluzuje da ostane bez profila….

  2. StellaNakkila
    23. јула 2013. at 16:12

    E pa meni su to jednom uradili na FB, znam da ne treba i budala ukuca svoje korisnicko i sifru, ali je FB to resuo u roku od par minuta jer sam ja odmah preduzela neke korake jer znam sta sam uradila… moglo je da bude svakako… anyway, informacije niko nece traziti da potvrdjujete tek tako iz ciste bistre, pa kada neko pozove telefonom i predstavi se kao “taj i taj” ne znaci da je on zaista ta osoba… mozda je ovo sok mnogima ali ljudi lazu 🙂 i kad treba i kad ne treba, posebno kada hoce nesto od tebe, a najvise kada mnogo brbljaju!

  3. Maxi
    23. јула 2013. at 20:05

    Dobri saveti za pocetnike!
    Samo bih na listu free antivirusa dodao i AVG kao jedno od najboljih i najpopularnijih besplatnih resenja.

  4. Jovan Šikanja
    23. јула 2013. at 21:53

    Hvala na komentaru. Slažem se da AVG pripada ovde ako je jedini kriterijum sigurnost. Uzeo sam autorsku slobodu da ga ne navedem jer mi se ne sviđa način na koji su rešene određene stvari koje se tiču samog korisničkog interfejsa.

  5. zivorad
    24. јула 2013. at 01:35

    microsoft essential je najbolji antivirus

  6. Nikola
    24. јула 2013. at 10:03

    Potpuno se slazem, Microsoft Security Essentials je ubedljivo najbolji antivirus. Integrisan u Windows (jer je od iste kompanije) najmanje koristi resursa i odlicno obavlja posao. Imam ga godinama i nikada mu ni jedan virus nije promakao!

  7. Dima
    24. јула 2013. at 12:53

    Kompjutere koristim jako dugo pa sam napravio mali test…
    Nakon instalacije sistema sam obilazio isključivo zvanične sajtove kako za kupoprodaju tako i za vesti… Znači bez potrebe za sadržajima koji se ne otvaraju u nečijem prisustvu, eto onako bapski što se kaže. Korespondencijuputem mailova sam takodje obavljao paralelno sa eksperimentom (outlook express, thunderbird ali i web mail tipa hotmail)…

    Posle tri meseca korišćenja sam obavio detaljnu proveru sistema sa nekoliko kvaitetnih alatki jer ni one nisu savršene – nije bilo ni jedne gluposti na sistemu.

    Dakle stvar je jasna kako se koristi kompjuter ako preko njega oavljate robno-novčane transakcije

    a onda sam prešao na Linuks 😀

  8. Dima
    24. јула 2013. at 12:59

    a ipak da podsetim novopečene korisnike rčunara da bez obzira na tip browsera (Internet Explorer, Firefox, Chrome, Opera…) zvaničnu lokaciju nekog sajta ipak pribleže u “favorite” ili “bookmark” bilo iz pull-down menija od bowsera bilo kombinacijom tastera CTRL + D (plus se ne pritiska nego je oznaka da se na pritisnuti taster bez pustanja pritiska sledeci)

    Ovime ćete izbeći da “slučajno” odete na sajt koji liči na originalni

  9. Jovan Šikanja
    24. јула 2013. at 13:34

    @Dima
    Hvala na javljanju. Odličan savet za bookmark-e
    Za tako nešto postoji i softversko rešenje.
    U čuveni Adblock Plus implementiran je sistem koji se zove “Typo Protection”.
    To je zapravo sistem koji će blokirati mogućnost da odete na potencijalno maliciozni sajt
    zbog greške u kucanju.
    Dešava se na primer da pri kucanju linka promašimo neko slovo (npr. napišemo googke.com umesto google.com) a maliciozni korisnici pokušavaju da to zloupotrebe time što će na domen googke.com staviti phishing sajt za google naloge.

  10. Jovana
    24. јула 2013. at 13:53

    Odlican tekst i savet. Super video!!!

    Ovo bi trebalo da vide mnogi.

    HVALA!

  11. David
    25. јула 2013. at 15:36

    Od svih “resenja”, najbolje je da se edukujete sto se tice racunara ili samog interneta…Ja na primer kevi moram mesecno da cistim komp od svakojakih gluposti, kao i da joj proveravam osetljive podatke zbog njenog laickog pristupa internetu, jer nju zanima FB i slicne gluposti, ali ne shvata da takve socijalne mreze nose najvise rizika!
    Malo se zavucite u taj online svet, ali to ne znaci da buljite u ekran da biste nesto naucili, nego da uzmete i neku knjigu da prelistate pre svega.
    Takva su dosla vremena da je cak i rec ‘prijatelj’ izgubila svoje znacenje. Zato pamet u glavu i budite veoma pazljivi!

  12. marsovac
    28. јула 2013. at 11:21

    Slazem se da je AVG najbolji, ali free (besplatana) verzijia, nema mogucnost izbora aktivnosti kada antivirus detektuje potencijalnu opasnost, vec se detekcijom opasnosti zavrsava aktivnost ovog programa…! Ispravite me molim vas ako gresim, hvala.

  13. Draža
    7. септембра 2014. at 14:22

    Ja bih dodao i OpenDNS kao dodatnu opciju za anti-fishing zaštitu. Oni redovno ažuriraju listu malicioznih domena i najbolje je postaviti IP adrese OpenDNS-a na ruter kako bi svi uređaji iza njega bili zaštićeni bez dodatnog budženja 🙂

  14. Povratni ping: [Video] Privatnost na društvenim mrežama
© 2008. LimundoGrad d.o.o. Creative Commons License Ovo delo je licencirano pod uslovima licence Creative Commons Autorstvo-Nekomercijalno-Bez prerada 4.0 Međunarodna licenca