Spletni prevaranti so postali natančni, potrpežljivi in prepričljivi. Ne računajo več samo na naivne uporabnike, temveč na utrujenost, naglico, strah in občutek, da je treba nekaj urediti takoj. Sporočilo o prometni kazni, ponovna potrditev kartice pri rezervaciji apartmaja, klic domnevne banke ali navodilo, naj kartico prislonite na telefon, lahko delujejo kot drobna nevšečnost. Prav v tem je nevarnost.
V Sloveniji so pristojni v zadnjih dneh opozorili na obsežen phishing napad z lažnimi SMS in iMessage sporočili, ki se predstavljajo kot obvestilo o cestnoprometnem prekršku. SI-CERT navaja, da sporočila prejemnike vodijo na lažne strani, kjer se zahteva vnos registrske številke, nato pa še podatkov plačilne kartice. Policija ob tem poudarja, da kršiteljev cestnoprometnih predpisov nikoli ne obvešča prek SMS sporočil.
Prvo pravilo digitalne varnosti: pritisk pomeni alarm
Najbolj nevarna spletna prevara se ne začne nujno s slabo slovenščino ali sumljivo grafiko. Veliko jih je videti dovolj prepričljivo, da človek za trenutek podvomi. Skoraj vedno pa imajo skupno lastnost: od uporabnika zahtevajo hitro dejanje. Plačajte takoj. Potrdite kartico. Preverite račun. Namestite aplikacijo. Sledite navodilom operaterja. Prislonite kartico na telefon.
Takšen pritisk je prvi znak za ustavitev. Resna banka, uradni organ ali zaupanja vreden ponudnik nastanitve od uporabnika ne bo zahteval, da v paniki vpisuje podatke kartice prek povezave v sporočilu ali po navodilih neznane osebe.
SMS o prometni kazni je past, ne bližnjica do plačila
Lažna sporočila o prometnih kaznih so nevarna zato, ker zadenejo v vsakdanji strah. Marsikdo pomisli, da je morda res vozil prehitro, spregledal znak ali pozabil plačati kazen. Prevaranti pri tem uporabljajo imena ustanov, ki zvenijo uradno, včasih tudi oblikovanje, ki spominja na državne strani.
SI-CERT opisuje primer, pri katerem lažna stran po vnosu registrske številke uporabniku sporoči, da je bil zaznan prekršek in da mora plačati kazen. Namen ni plačilo kazni, temveč kraja podatkov kartice. Po vnosu teh podatkov jih napadalci lahko hitro uporabijo za večje nakupe na drugih spletnih straneh.
Kaj storiti, če takšno sporočilo prejmete
Povezave ne odpirajte. Sporočila ne posredujte naprej kot opozorilo s klikljivo povezavo. Ne vpisujte registrske številke, kartičnih podatkov, enkratnih gesel ali podatkov za spletno banko. Najvarnejši korak je, da informacijo preverite sami, prek uradne spletne strani ali aplikacije, ne prek povezave iz sporočila.
Če ste podatke že vpisali, takoj pokličite banko in zahtevajte blokado kartice. Pri sumu zlorabe ne čakajte do naslednjega dne. Minute so lahko pomembne.
Kartica in PIN ne smeta nikoli potovati skupaj
Staro pravilo o PIN številki še vedno velja, čeprav se zdi skoraj zastarelo. PIN ne sodi v denarnico, na listek ob kartici, v beležko z naslovom »kartica« ali v fotografijo na telefonu. Pri vnosu PIN številke na bankomatu ali plačilnem terminalu tipkovnico zakrijte z roko. To ni pretirana previdnost, ampak osnovna navada.
Dodatna zaščita so obvestila o transakcijah, dnevni limiti in možnost začasnega zaklepa kartice v mobilni banki. ZPS je že pri opozorilih glede spletnega nakupovanja kot dobro prakso izpostavila SMS obveščanje, zaklepanje kartice in nastavitev limitov za porabo.
Digitalna banka ni nevarna, nevaren je lažni vhod vanjo
Spletna in mobilna banka sta varni le toliko, kolikor je varen način, kako vanju vstopate. V aplikacijo vstopajte prek ikone, ki jo poznate, ali prek ročno vpisanega uradnega naslova banke. Povezava v SMS sporočilu, elektronski pošti ali klepetu ni primerna pot do bančnih storitev.
Prevaranti pogosto ne potrebujejo gesla za vse. Dovolj je, da uporabnika vodijo korak za korakom, ga prepričajo v potrjevanje zahtevkov ali mu razložijo, da gre za varnostni postopek. Prav zato je treba biti posebej pozoren pri vsaki zahtevi, ki vključuje potrjevanje v aplikaciji, vnos enkratnih kod ali deljenje zaslona.
>>> Direktorska prevara: tiha past, ki podjetjem vsako leto povzroča ogromno škode
Rezervacija apartmaja: največja past je selitev pogovora
Posebno občutljive so rezervacije nastanitev. Ljudje pred dopustom hitro plačujejo akontacije, potrjujejo podatke kartic in rešujejo domnevne zaplete. ZPS je pri prevarah na Booking.com že opozarjala na vzorec, pri katerem goljufi po rezervaciji uporabnika kontaktirajo prek drugega komunikacijskega kanala, denimo WhatsAppa, nato pa trdijo, da je treba kartico ponovno preveriti ali plačilo urediti prek posebne povezave.
To je trenutek, pri katerem je treba obstati. Če je bila nastanitev rezervirana prek platforme, naj komunikacija in plačilo ostaneta na tej platformi. Zahteva za plačilo zunaj uradnega sistema, ponovna potrditev kartice prek poslane povezave ali nenavadno navodilo po telefonu so razlog za preverjanje, ne za hitenje.
Posebej sumljivo: prislonite kartico na telefon
Novejši poskusi prevar lahko vključujejo navodilo, naj uporabnik namesti aplikacijo, dovoli dostop ali prisloni kartico na telefon. To se lahko sliši kot tehnični postopek, v resnici pa gre lahko za zlorabo kartice prek brezstične oziroma NFC povezave. Kartice nikoli ne prislanjajte na telefon po navodilu neznane osebe, domnevnega ponudnika nastanitve, prodajalca ali lažnega bančnega svetovalca.
Neznane aplikacije so lahko najdražja bližnjica
Aplikacija, ki jo namestite po navodilu neznanca, lahko odpre vrata do podatkov, sporočil, potrditvenih kod ali oddaljenega nadzora. ZPS pri prevarah z oddaljenim dostopom opozarja, da prevaranti pogosto gradijo občutek nujnosti, uporabnika prestrašijo z blokado računa ali varnostno grožnjo in ga nato usmerjajo v ravnanja, ki koristijo njim.
Zato velja preprosto pravilo: aplikacije nameščajte samo iz uradnih trgovin, na lastno pobudo in po preverjanju ponudnika. Klicatelj, ki vas vodi skozi namestitev programa, ni pomočnik, ampak lahko postane najkrajša pot do zlorabe.
Pet znakov, da imate pred sabo prevaro
Najprej preverite, ali sporočilo zahteva hitro plačilo ali grozi z dodatnimi stroški. Nato poglejte, ali vas pošilja na povezavo, ki je niste sami poiskali. Tretji znak je zahteva po vnosu kartičnih podatkov, PIN številke, enkratne kode ali gesla. Četrti znak je selitev pogovora iz uradne aplikacije na zasebni kanal. Peti znak je navodilo, naj namestite aplikacijo ali prislonite kartico na telefon.
Kaj naredite, če ste že kliknili?
Klik sam po sebi še ne pomeni nujno zlorabe. Največja težava nastane, če ste vnesli podatke ali potrdili transakcijo. V tem primeru takoj obvestite banko, blokirajte kartico, zamenjajte gesla, preverite zadnje transakcije in prijavite dogodek pristojnim. SI-CERT svetuje posredovanje lažnih phishing sporočil na njihov naslov, da lahko omejijo napad in opozorijo druge uporabnike.
Varnost se začne pri počasnejšem kliku
Najboljša obramba pred spletnimi prevarami ni tehnično znanje, ampak navada, da si pred klikom vzamete deset sekund. Kdo mi piše? Zakaj se mudi? Zakaj bi moral podatke vpisati prav prek te povezave? Ali lahko isto stvar preverim v uradni aplikaciji? Ali bi mi banka res naročila, naj kartico prislonim na telefon?
Digitalni svet ne bo postal manj prepričljiv. Prevaranti bodo še naprej menjavali zgodbe, od prometnih kazni do apartmajev, paketov, davkov in bančnih opozoril. Uporabnik pa ima eno prednost: ni mu treba sodelovati v naglici, ki jo ustvari neznanec. Varna odločitev je pogosto najpreprostejša. Ne kliknite, ne vnašajte podatkov, ne nameščajte ničesar in preverite po uradni poti.
Kdor to navado osvoji, ne postane nezaupljiv do tehnologije. Postane samo težja tarča.
