Pretekli mesec je bil mesec kibernetske varnosti, a zdi se, da bi morali o njej govoriti celo leto. Vi imate informacijsko varnost zapisano že v nazivu delovnega mesta: kako vi gledate na varnostne izzive sodobnega sveta?
Danes vsi uporabljamo tehnologijo, ki se nam je še pred leti zdela nemogoča. Podatki, ki se z uporabo sodobnih naprav zbirajo in obdelujejo, pa lahko na različne načine vplivajo na naša življenja. Zato se je danes bolj kot kadarkoli prej nujno zavedati pomena informacijske varnosti ter znati zavarovati svoje podatke, svojo zasebnost in se ubraniti pred različnimi poskusi kibernetskih napadov, ki se velikokrat manifestirajo v takšni ali drugačni obliki finančnega oškodovanja.
Banke že od nekdaj veljajo za varna okolja, a so hkrati tudi velike tarče. Je finančno motiviranih napadalcev v digitalni krajini več? Kako pogosto doživite kibernetske napade, poskuse vdorov in podobne varnostne incidente?
V večini primerov napadalci niso osamljeni posamezniki, temveč dobro organizirane kriminalne združbe, ki delujejo kot poslovno okolje oziroma klicni centri – tudi z več kot sto »zaposlenimi«. Na spletu lahko vidimo posnetke, ki so jih etični hekerji pridobili z vdorom v nadzorne kamere teh »poslovnih prostorov«.
Vse finančne organizacije se dobro zavedamo tovrstnih groženj in vlagamo precejšnja sredstva za spremljanje izpostavljenosti, preprečevanje, detekcijo ter ne nazadnje omejevanje in odpravo posledic morebitnih groženj. Ravno zato je v zadnjih letih zaznati trend preusmeritve napadalcev na končnega uporabnika, ki v povprečju ni dovolj digitalno osveščen in predstavlja bistveno lažjo tarčo.
Drži, napadalci pogosto izberejo lažje tarče. To smo uporabniki. Kako pogoste so bančne prevare? Smo ljudje – oziroma naša naivnost ter radovednost – najšibkejši člen varnostne enačbe?
V večini primerov smo ljudje dejansko najšibkejša točka. Pri večini spletnih zlorab so uporabljeni preprosti koncepti, ki temeljijo predvsem na psihologiji ter na manipulaciji in uporabi družbenega inženiringa. To so strah (uporabnika se prestraši, da je njegov bančni račun blokiran ali kartica preklicana, kar pa lahko uredi s klikom na povezavo), nujnost (uporabnika se pozove, da je treba ukrepati takoj – kadar se mudi, delamo napake, brez razmisleka sprejemamo nagle in morebiti slabe odločitve), avtoriteta (napadalci se predstavljajo kot uslužbenci bank, policije, finančne uprave in drugih institucij, ki jim žrtve zaupajo), preobremenjenost (ljudje dnevno sprejmemo in obdelamo ogromno količino podatkov na osnovi katerih ukrepamo, vendar podatkom dostikrat ne posvetimo dovolj časa za premišljen odziv) in ne nazadnje, pohlep (najpogostejši sprožilec pri investicijskih prevarah, kjer goljufi obljubljajo in lažno prikazujejo, včasih celo izplačajo začetne donose).
Sam skoraj vsak mesec prejmem prevarantska e-sporočila, ki zlorabljajo ime in podobo banke NLB ter me skušajo prepričati, da bi se prijavil v lažno spletno banko ... Kako to preprečiti, saj verjamem, da se v tovrstne goljufije ulovi precej ljudi? Obstaja učinkovita zaščita?
Phishing ali ribarjenje za podatki je vrsta napada z lažnim predstavljanjem, najpogosteje preko e-pošte ali SMS-sporočil, kjer nas napadalci poskušajo prepričati v razkritje občutljivih podatkov. Najpogostejši cilji tovrstnih napadov so prijavni podatki za spletne banke, aktivacijo mobilnih bank in podatki o kreditnih karticah. Prevarantsko sporočilo nas običajno nagovarja h kliku na povezavo v sporočilu, dostikrat pod pretvezo nekega nepredvidenega dogodka, ki zahteva hitro ukrepanje. Povezava nato vodi na lažno spletno stran, ki zahteva vpis našega uporabniškega imena, gesla in drugih osebnih podatkov, ki so nato kasneje zlorabljeni za naše finančno oškodovanje. Sporočilo in spletna stran po navadi vsebujeta grafične elemente in posnemata podobo prave storitve.
Velja poudariti, da te zlorabe niso posledica ranljivosti oziroma pomanjkljivosti samega spletnega bančništva ampak naše (pre)slabe pozornosti in slabe digitalne pismenosti. Enostavna zaščita je, da vsako takšno sporočilo vzamemo z zdravo mero skepse – predvsem pa nikoli ne vpisujemo osebnih podatkov na spletni strani, do katere smo prišli s klikom na povezavo, prejeto v takšnem sporočilu.
Nam lahko zaupate, koliko je pravzaprav zlorab v spletnem bančništvu, se z njimi soočate vsak dan? Kakšen je povprečen znesek zlorab? Kako pomagate uporabnikom?
O konkretnih številkah ne morem govoriti, se pa to dogaja na dnevnem nivoju. Uporabnikom svetujemo, da o posamezni zlorabi čim prej obvestijo svojo banko, ki bo izvedla blokado uporabnikovih računov oziroma bančnih kartic ter podala zahtevke za morebitno povrnitev zlorabljenih sredstev. Prav tako uporabnikom svetujemo, da zlorabo prijavijo nacionalnemu odzivnemu centru za kibernetsko varnost (SI-CERT) in Policiji.
Kdo je odgovoren za poplačilo morebitne nastale škode, če napadalci pridobijo dostop do uporabnikove spletne in/ali mobilne banke ter mu odtujijo sredstva?
V vseh dosedanjih primerih zlorab so napadalci potrebne osebne podatke za vstop v uporabnikovo spletno ali mobilno banko pridobili neposredno od samih uporabnikov. V tem primeru je odgovornost za morebitno nastalo škodo seveda na strani uporabnika.
Kaj pa druge vrste prevar – zelo pogoste so tudi »dostavljalske« prevare, kjer napadalci želijo podatke o plačilnih karticah za plačilo stroškov dostave v višini par evrov, kar se potem izkaže za zelo drago?
Tudi pri teh vrstah prevar gre za ribarjenje za podatki. Gre za še eno vrsto napadov z lažnim predstavljanjem, najpogosteje preko e-pošte ali SMS-sporočil, kjer nas kot prejemnike poskušajo prepričati v razkritje občutljivih podatkov. Cilj tovrstnih prevar je kraja podatkov o uporabnikovih kreditnih karticah in njihova zloraba ter s tem oškodovanje uporabnika. Pri tem uporabljajo logotipe in grafično podobo dostavnih služb, da bi bila tovrstna lažna sporočila in lažne spletne strani čim bolj verodostojni. Tudi tu lahko uporabnikom svetujem predvsem to, da so pozorni in da osebne podatke vpisujejo le na legitimnih spletnih straneh dostavnih služb.
Imate še kakšen nasvet za dobro »varnostno higieno«?
Za spletno oziroma digitalno varnost lahko ogromno naredimo že posamezniki. Pomembno je, da obvladamo osnovne digitalne veščine. Prostora za učenje je veliko in naj se nikoli ne zaključi – goljufi namreč ne spijo, zato tudi mi ne smemo. Bodimo pozorni, kje vpisujemo svoja gesla in osebne podatke! Nikoli ne vpisujmo svojih gesel in osebnih podatkov na spletnih straneh, ki se nam zdijo sumljive ali pa smo do njih prišli prek povezav v prejeti e-pošti, priponkah e-pošte ali SMS-sporočil. Uporabnikom priporočam, naj se izogibajo tudi avtomatskemu shranjevanju gesel v spletnem brskalniku.
Poleg e-poštnih se krepi tudi število telefonskih prevar. So v tem primeru ukrepi podobni?
So. Ob vsakem telefonskem kontaktu bodimo izredno pozorni, zlasti, če gre pri tem za posredovanje osebnih podatkov, gesel in dostopov – banka po telefonu ali SMS-sporočilu nikoli ne zahteva avtentikacijskih podatkov za uporabo spletne ali mobilne banke oziroma katerihkoli drugih identifikatorjev, kot so: PIN-koda, geslo, enkratno geslo OTP za dostop do spletne banke, 3-mestna varnostna koda na kartici ipd.
Če preventiva ne uspe in smo doživeli napad, prevaro ali zlorabo, kako pravilno ravnati, se odzvati?
Uporabniki naj v tem primeru o tem takoj obvestijo svojo banko ter prevaro prijavijo SI-CERT in Policiji.