Račun nije blokiran. Porezna uprava ne traži hitnu potvrdu. Banka ne šalje poveznicu za unos PIN-a. Ipak, upravo takve poruke ovih dana ponovno završavaju u elektroničkim sandučićima korisnika u Njemačkoj.
PIŠE: Zoran Hardi, stručnjak za računalnu sigurnost i umjetnu inteligenciju
Phishing kampanje više se ne oslanjaju samo na tehničku prijevaru. Njihova snaga je u uvjerljivom scenariju. Korisniku se ne nudi komplicirana priča, nego jednostavan problem koji navodno treba odmah riješiti: potvrditi identitet, provjeriti račun, ažurirati podatke ili spriječiti ograničenje pristupa.
U tome je glavna opasnost. Lažna poruka ne mora biti savršena. Dovoljno je da dođe u pravom trenutku i da nalikuje nečemu što građanin već očekuje od banke, osiguranja, porezne službe ili dostavne tvrtke.
Posebno su rizične poruke koje kombiniraju službeni ton i kratki rok. Takav spoj smanjuje prostor za razmišljanje. Čitatelj ne provjerava tko šalje poruku, nego traži način kako da što prije ukloni navodni problem.
Prijevara obično počinje poveznicom. Ona vodi na stranicu koja izgledom može podsjećati na službeni portal, ali nema nikakve veze s institucijom čije ime koristi. Ondje se od korisnika traže podaci koji kriminalcima omogućuju pristup računu, kartici ili drugim digitalnim uslugama.
U posljednje vrijeme sve se češće koriste i QR kodovi. Oni su praktični jer sakrivaju odredišnu adresu. Korisnik skenira kod i tek nakon toga vidi gdje je završio, a tada je često već ušao u lažni postupak prijave ili plaćanja.
Postoji nekoliko znakova koje treba shvatiti ozbiljno:
Ako poruka traži hitnu reakciju, treba zastati. Ako se spominje blokada računa, kazna, povrat novca ili sigurnosna provjera, treba dodatno provjeriti. Ako poveznica ne vodi na službenu adresu institucije, ne treba je otvarati. Ako se traže PIN, TAN, lozinka ili podaci kartice, poruku treba smatrati pokušajem prijevare. Ako je pošiljatelj nepoznat ili adresa samo podsjeća na službenu, poruku ne treba koristiti kao osnovu za bilo kakvu radnju.
Najsigurniji postupak ostaje jednostavan. Banku, poreznu upravu, osiguranje ili drugu službu treba otvoriti izravno, preko poznate aplikacije ili ručnim upisivanjem službene adrese u preglednik. Poveznica iz poruke ne smije biti ulaz u online bankarstvo ili osobni korisnički račun.
Ako je korisnik već unio podatke, važno je reagirati odmah. Treba kontaktirati banku, promijeniti lozinke, provjeriti transakcije i po potrebi blokirati karticu. Kod sumnje na krađu identiteta slučaj treba prijaviti policiji.
Phishing danas ne pobjeđuje zato što je tehnički napredan, nego zato što koristi svakodnevne navike. Ljudi su naučili potvrđivati račune, otvarati obavijesti i rješavati administrativne zahtjeve putem interneta. Prevaranti upravo tu rutinu pretvaraju u slabost.
Zato oprez ne počinje antivirusnim programom, nego pitanjem: zašto bi ova institucija baš sada, baš ovim putem i baš preko ove poveznice tražila moje podatke?
Fenix-magazin/SČ/Zoran Hardi
