„Ako se odgovorno ponašamo na internetu i preduzimamo mere prevencije, sačuvaćemo sebe od mogućih onlajn prevara ali i sve druge građane uključujući i one koji ne koriste internet. Kako? Pa tako što ne koriste svi građani internet, ali svi građani koriste struju, vodu, saobraćajne, ili bankarske usluge… Greškom samo jednog korisnika, potencijalnim domino efektom, možemo doći upravo do tog kritičnog IKT sistema i onda svi građani mogu da imaju veliki problem“, kaže za portal N1 Jovan Milosavljević iz Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima – CERT.
Nekada se govorilo da nije pitanje da li ćete biti meta napada preko mreže, već kada ćete biti.
Sada ni to više nije pitanje, već samo: „Da li znate da ste napadnuti, ili ne?“
U poslednjih godinu dana u sajber napadima dominiraju finansijske institucije, koje se najčešće manifestuje kroz kreiranje lažnih internet stranica banaka.
To je, kaže Jovan Milosavljević iz Nacionalnog CERT-a, trenutni trend koji lako može da se preokrene.
Prevare u onlajn kupovinama
„Napravili smo analizu prijavljenih incidenata od prošle godine. Od ukupnog broja, a CERT je primio nešto više od 500 prijava tokom 2022, prevare preko raznih sajtova za onlajn trgovinu, ili poštanskih usluga, bile su vredne preko osam miliona dinara, što je više od 70.000 evra. Reč je o kupovini raznih stvari preko interneta – torbi, telefona, cipela, ili prijema pošiljki koje su navodno na čekanju“, kaže naš sagovornik.
Navodni kupac komunicira sa trgovcem najčešće putem Vajbera ili neke druge aplikacije.
“Napad započinje porukom sa upitom da li je proizvod na stanju, nakon čega započinje prepiska sa prodavcem kako da se izvrši plaćanje i preuzimanje proizvoda. U tu svrhu, napadači traže prodavcu broj platne kartice, kao i CVC broj sa poleđine, kako bi se navodno plaćanje izvršilo. Ukoliko prodavac ima problem sa transakcijom, napadači ga upućuju na ’tehničku podršku’ sa sajta – koji je lažan. Ta lažna tehnička podrška, dalje, usmerava prodavca šta dalje da radi, traži mu unos sms koda i prodavac – ostaje bez novca“, pojašnjava Milosavljević način na koji se sprovode prevare preko sajtova za kupovinu.
Važno je, kaže, istaći da se davanje broja platne kartice vezuje za slučaj kada ste u ulozi kupca, a ne prodavca, jer treba da platite određenu uslugu.
„U konkretnom slučaju, prodavac bi trebalo da dostavi kupcu samo broj računa na koji kupac treba da uplati sredstva, a ne broj svoje platne kartice. Sa druge strane, važno je proveriti da li ta internet stranica uopšte nudi mogućnost onlajn plaćanja, ili je robu moguće platiti samo pouzećem“, ukazuje naš Milosavljević.
Naš sagovornik ističe da je brojka od oko 520 incidenata izvesno veća – jer mnogi ne prijave zloupotrebe kojima su bili izloženi.
Takođe, i od onih prijavljenih, ne naznače svi o kojoj novčanoj vrednosti prevare je reč, tako da je i ukupan iznos prevara izvesno veći.
„Ključno je što smo za godinu dana zabeležili porast prijavljenih incidenata za 85 odsto – u 2021. godini imali smo oko 270 prijavljenih incidenata o zloupotrebama i prevarama preko mreže, a godinu dana kasnije oko 520 takvih prijava“, ističe sagovornik portala N1.
Nema solo igrača, koristi se veštačka inteligencija
Kako objašnjava Jovan Milosavljević, tipovi sajber napada su različiti – nisu svi u istoj kategoriji, niti im treba dati isti značaj.
Milosavljević ističe da su dve stvari ključne – hakerske grupe više ne funkcionišu kao samostalni igrači, a napredak veštačke inteligencije je značajno otežao korisnicima da prepoznaju da su meta internet prevare.
„Osnovni problem je što hakerske grupe sada funkcionišu gotovo korporativno – kao da dolaze na posao od devet do pet i rade na otkrivanju ranjivosti mreža, osluškuju mrežni saobraćaj, istražuju da li i na koji način mogu da uđu u neku mrežu. Hakovanje je postalo usluga (hacking as a service)“, ističe Milosavljević.
Na to se, dodaje, nadovezuje upotreba veštačke inteligencije (AI) u svrhe kreiranja hakerskih napada.
„Upotreba AI, poput ChatGPT kao i drugih AI rešenja, dovodi nas u situaciju da ne možemo ili da teško možemo da prepoznamo takozvane fišing prevare. Veštačka inteligencija omogućila je usavršavanje ovih napada, pa više ne možete da primetite bilo kakve gramatičke greške ili reči koje nisu iz našeg jezika – fišing mejlovi izgledaju krajnje verodostojno. Dodatni problem je kada uz sve to stignu sa poznate adrese, ako je neko prethodno hakovao taj nalog. Ako otvorite takav mejl i kliknete na link, vaš račun može postati kompromitovan i tako se vraćamo na pomenuti domino efekat koji nas lako može odvesti u smeru koji ne bismo želeli“, objašnjava naš sagovornik.
Veštačka inteligencija, dodaje, može da pomogne i drugoj strani, u smislu zaštite od hakerskih napada, pošto veliki vendori, odnosno kompanije koje pružaju Cloud servise, ili svoja rešenja – bilo hardverska ili softverska – usmereni su na razvoj po principu: “Security by design”..
To, objašnjava, znači da se korisniku maksimalno pomaže da određeni uređaj koristi samo u željene svrhe, a da o bezbednosti uređaja brine proizvođač.
Ako ne očekujete novac – nemojte ni da kliknete
„S druge strane, ono na čemu i Nacionalni CERT insistira i u čemu pratimo trendove svetske zajednice je da moramo podići svest kod svih korisnika, od onih najmlađih do najstarijih (što lično nazivam radom na razvoju principa ‘’Security by the click’’). Moramo da im približimo mere prevencije koje sami mogu da preduzmu“, navodi Jovan Milosavljević.
To znači, kako objašnjava – da korisnici ne treba da ostavljaju otključan računar kada ga ne koriste, da kreiraju kompleksne ali i različite lozinke za svaki internet nalog, da koriste multifaktorsku autentifikaciju, da obraćaju pažnju odakle im dolazi mejl.
„Da li je to zaista ta osoba od koje očekujete mejl ili vam je ta mejl adresa nepoznata? Ako je nepoznata – nema potrebe da otvarate takav imejl. Razumem da svakoga obraduje devizni priliv na račun, ali ako ne očekujete novac, onda nemojte ni da kliknete na poruku koja vas obaveštava o vanrednom deviznom prilivu na račun. jer je vrlo izvesno da je reč o prevari. Ako deluje isuviše dobro da bi bilo istinito, onda je vrlo izvesno da to – nije istina“, ističe Milosavljević.
Tu je, dodaje, izuzetno važno što podizanjem tog opšteg nivoa svesti svih građana, svih korisnika interneta – mi čuvamo sve građane.
„Zašto? Pa zato što ne koriste svi građani internet, ali svi građani koriste struju, vodu, saobraćaj, bankarske usluge i drugo. Greškom samo jednog korisnika taj domino efekat može da dođe upravo do tog kritičnog IKT sistema i onda svi imamo problem. Obaranje nekih takvih sistema podrazumeva i potencijalno ugrožavanje nacionalne bezbednosti . Suština je – malim koracima prevencije i proaktivnog delovanja, mi sebi, ali i svima koji su na internetu i van njega – činimo dobro“, ističe sagovornik portala N1.
Preporuke za sajber higijenu
Lozinka je, kaže Milosavljević, kao četkica za zube – nikome je ne dajete.
„Osnovni postulati sajber higijene su da ne plaćamo preko javnih vajfaj mreža. Da kreiramo lozinku koja ima najmanje devet karaktera, a preporuka je da ih bude 16, zatim da je ta lozinka kompleksna i da je jedinstvena za taj nalog. Za svaki novi nalog treba da napravimo novu, jedinstvenu lozinku. Da ne bismo morali da ih sve pamtimo, treba da koristimo neku od takozvanih Password manager aplikacija, a treba da zapamtimo samo jednu kompleksnu lozinku za pristup aplikaciji Password manager“, ističe Milosavljević.
Dodatno, važno je korišćenje multifaktorske autentifikacije gde god je to moguće, pošto se tako kreira dodatni sloj zaštite.
„Jer, ako vam neko hakuje nalog i pokušava da se loguje, a vi imate multifaktorsku autentifikaciju, on bi trebalo da ima i vaš mobilni telefon na koji ćete dobiti dodatni sms kod koji predstavlja taj dodatni sloj zaštite“, pojašnjava naš sagovornik.
CERT je, ističe Milosavljević, prošle godine podigao interaktivnu platformu za sajber bezbednost pod nazivom „Za bezbedniji klik“ kojoj mogu da pristupe svi građani besplatno.
Sadržaj je različit za različite kategorije korisnika, a jedan deo je posvećen i bezbednosti dece na internetu.
Foto Shutterstock/Pavel Ilyukhin
Daniela Ilić Krasić N1
