- Lažno predstavljanje obuhvata različite tehnike lažnog predstavljanja (SMS, pozivi, e-pošta, web, IP, DNS, GPS, facial) čiji je cilj krađa podataka ili novca.
- Kod lažiranja SMS poruka i lažiranja identifikacije pozivaoca, kriminalci falsifikuju pošiljaoca i broj kako bi se predstavljali kao banke ili pouzdane organizacije.
- Najbolja odbrana je biti oprezan s neočekivanim porukama i pozivima, ne dijeliti osjetljive podatke i uvijek provjeravati putem službenih kanala.
- Obuka, sigurnosni alati i regulatorne mjere jačaju zaštitu, ali razboritost korisnika ostaje ključna.
La krađa identiteta putem SMS-a i poziva Postala je jedna od najopasnijih i najčešćih prevara koja pogađa i pojedince i preduzeća; pogledajte najnovije Vijesti o računarskoj sigurnosti i sajber sigurnosti.
U ovom članku ćemo detaljno objasniti Šta je SMS lažiranje, kako funkcioniše i kakav je odnos s drugim vrstama lažiranja? (u pozivima, e-porukama, web stranicama, IP-u, DNS-u, GPS-u itd.), kao i znakove za njihovo otkrivanje i praktične mjere koje možete primijeniti kako biste se zaštitili u svakodnevnom životu, kako ličnom tako i profesionalnom, te u pitanjima sigurnost i privatnost u programima.
Šta je lažiranje i zašto je toliko opasno?
Kada govorimo o lažiranju, mislimo na skup tehnika krađe identiteta Napadači ih koriste da bi se lažno predstavljali kao osoba, kompanija ili organizacija od povjerenja. Cilj je uvijek isti: prevariti žrtvu da otkrije osjetljive podatke, izvrši plaćanja ili izvrši radnje koje koriste prevarantu.
Sajber kriminalci kombinuju lažiranje podataka sa raznim oblicima phishing (obmana radi krađe podataka)Ove prevare se mogu dogoditi putem e-pošte, SMS-a, telefonskih poziva ili lažnih web stranica. U bankarskom sektoru, ove prevare se posebno fokusiraju na prikupljanje online bankarskih podataka, podataka o kartici, SMS verifikacijskih kodova (OTP) ili drugih ličnih podataka koji se mogu koristiti za počinjenje finansijskih prevara ili čak drugih krivičnih djela krađe identiteta.
Važno je to zapamtiti Ugledne finansijske institucije ne traže informacije putem SMS-a, telefona ili e-pošte. Treba zatražiti informacije poput korisničkog imena i lozinke za online bankarstvo, kodova poslanih na vaš mobilni telefon, broja kartice, datuma isteka ili trocifrenog sigurnosnog koda (CVV/CVC). Ako neko zatraži ove informacije putem ovih kanala, trebali biste odmah posumnjati.
SMS lažiranje: Šta je to i kako funkcioniše
El SMS lažiranje To je tehnika koja omogućava napadaču da pošalje tekstualnu poruku koja izgleda kao da dolazi od legitimnog pošiljaoca (obično banke, kurirske kompanije ili vladine agencije), dok je u stvarnosti šalje kriminalac. Ova praksa se često koristi u varijanti phishinga koja se naziva smishing, u kojem obmana stiže putem SMS-a.
U praksi, prevarant Izmijenite broj ili ime pošiljatelja koje vidite na ekranu svog mobilnog telefona (polje poznato kao ID pošiljatelja). Zahvaljujući tome, lažna poruka se može pojaviti u istoj SMS niti u kojoj ste prethodno primili legitimne komunikacije od svoje banke ili pouzdane usluge. Ovaj privid kontinuiteta tjera korisnika da smanji oprez.
Sadržaj ovih SMS poruka obično uključuje alarmistička ili hitna obavještenjaOve prevare često uključuju: neprepoznate naplate, skore zatvaranje računa, potrebu za ažuriranjem informacija, navodne nagrade ili povrat poreza, između ostalog. Nakon toga vas pozivaju da kliknete na link ili pozovete broj telefona koji zapravo ne pripada lažnom entitetu.
Jedna od najčešćih taktika je da poruka sadrži link ka lažnoj web stranici koja imitira web stranicu bankeOva stranica može biti gotovo identična pravoj: logotipi, boje, sličan tekst, pa čak i vrlo sličan URL. Cilj je da unesete svoje online bankarske podatke, podatke o kartici i kodove koje primate putem SMS-a kako bi kriminalac mogao pristupiti vašem računu.
U drugim slučajevima, SMS upućuje žrtvu na lažni telefonski brojgdje se navodni "menadžer" ili "agent" predstavlja kao bankarski službenik, traži privatne podatke i korak po korak vodi osobu kako bi odobrila transfere ili plaćanja, vjerujući da "rješavaju sigurnosni problem".
Zašto se lažne SMS poruke miješaju sa službenim
Jedno od najčešćih pitanja je kako je moguće da lažna poruka pojavljuju se unutar iste teme nego legitimne SMS poruke iz banke. Objašnjenje leži u načinu na koji mobilni telefoni i mreže obrađuju identifikator pošiljatelja.
Uređaji grupiraju razgovore isključivo na osnovu ID pošiljateljaOvom alfanumeričkom polju nedostaje robusna verifikacija i globalna pravna validacija. Drugim riječima, mreža i mobilni uređaji pretpostavljaju da svako ko tvrdi da je "Banka X" ili koristi određeni broj to zaista i jeste, bez strogih kontrola.
Ova rupa u zakonu omogućava sajberkriminalcima uzurpirati naziv za otpremu koji koriste banke i kompanijeBudući da ne postoji jaka autentifikacija vlasnika aliasa, korisnikov terminal miješa lažne poruke s legitimnim, stvarajući privid potpune normalnosti.
Rezultat je taj čak i pažljivi i iskusni korisnici Moguće je da će upasti u zamku, budući da kanal i kontekst (nit poruka iz "vaše banke") djeluju potpuno autentično, a ton poruke se poigrava sa strahom, hitnošću ili osjećajem finansijskog gubitka.
Lažno predstavljanje pozivaoca: Lažno predstavljanje u telefonskim pozivima
El lažiranje ID pozivaoca Lažiranje telefona je ekvivalentno lažiranju SMS-a, ali primijenjeno na pozive. Umjesto manipuliranja pošiljateljem SMS-a, napadač falsifikuje broj koji se pojavljuje na identifikaciji pozivaocaDakle, ekran mobilnog telefona može prikazati stvarni broj banke, službenog tijela ili čak poznatog kontakta, čak i ako poziv potiče s nekog drugog mjesta.
Ovom tehnikom, prevarant se pretvara da je zaposlenik banke, upravitelj računa ili osoblje službene službe i kontaktira žrtvu tvrdeći da ima hitan problem: sumnjive pokrete, pokušaje neovlaštenog pristupa, blokiranje kartice, potrebu za hitnom provjerom podataka itd.
Tokom poziva, osoba na drugom kraju obično pita visoko osjetljivi podaci: korisničko ime i lozinka za digitalno bankarstvo, kodovi primljeni putem SMS-a, puni broj kartice, PIN, lični podaci (lična karta, datum rođenja, adresa) ili čak da žrtva vrši transfere "kako bi blokirala prevaru" koji su zapravo usmjereni na račune koje kontrolišu kriminalci.
Posljedice mogu biti ozbiljne: direktan pristup bankovnim računimaTo uključuje neovlaštene transfere, otvaranje računa na ime žrtve ili krađu identiteta radi počinjenja drugih krivičnih djela. Stoga, ako se od vas tokom poziva traže sigurnosne informacije, trebali biste prekinuti vezu i sami pozvati službene brojeve telefona banke.
Da biste identificirali mogući slučaj lažiranja identifikacije pozivaoca, preporučljivo je provjeriti da li Insistiraju na hitnosti izvođenja operacije, ako je ton zastrašujući ili ako su pitanja neuobičajena (na primjer, traženje kompletnih lozinki ili kodova koje vas banka nikada ne pita preko telefona).
Druge vrlo uobičajene vrste lažiranja
Iako su lažiranje SMS poruka i lažiranje identifikacije pozivatelja posebno opasni u financijskom sektoru, postoje i druge metode. mnoge druge varijacije lažiranja koji također žele prevariti i ukrasti informacije ili novac. Njihovo razumijevanje pomaže u prepoznavanju obrazaca i boljoj zaštiti.
Lažno predstavljanje putem e-pošte
U lažiranje e-pošteNapadač šalje e-poruke koje izgledaju kao da dolaze s legitimne adrese: banke, poznate kompanije ili čak ličnog kontakta. Trik je u lažiranju polja pošiljatelja (FROM), tako da na prvi pogled domena izgleda pouzdana, iako nakon detaljnijeg pregleda obično i jeste. malo drugačije od stvarnog domena entiteta (na primjer, promijeniti slovo, dodati crticu ili koristiti drugu ekstenziju).
U ovim e-porukama se od korisnika obično traži dati lične ili finansijske podatkePreuzmite prilog ili kliknite na linkove koji vode do lažnih stranica. U mnogim slučajevima, oni se koriste za instaliranje zlonamjernog softvera (virusa, trojanaca, keyloggera) ili za otvaranje web stranice identične bankovnoj, gdje žrtva unosi svoje podatke za prijavu.
Lažno predstavljanje web stranice ili domene
El lažiranje weba ili lažiranje domene Ovo uključuje kreiranje lažne web stranice koja imitira legitimnu (banku, online trgovinu, vladinu agenciju itd.). URL prikazan u adresnoj traci preglednika obično je vrlo sličan, ali ne i identičan, URL-u stvarne stranice. Napadači često kombiniraju ovu tehniku sa lažiranjem SMS-ova ili e-pošte kako bi usmjerili promet na ove lažne stranice.
Jednom kada se nađe na lažnoj web stranici, žrtva ulazi vaše pristupne podatke, podatke o kartici ili druge povjerljive informacije vjerujući da su na originalnoj stranici. Kriminalci prikupljaju ove podatke u stvarnom vremenu i mogu ih odmah koristiti za pristup računu, kupovinu ili pražnjenje stanja.
IP lažiranje
U IP prevaraSajber kriminalac lažira IP adresu drugog računara tako da ciljni sistem vjeruje da veza potiče iz pouzdanog izvora. Na taj način mogu izbjegavanje sigurnosnih filtera, pristupiti ograničenim resursima ili iskoristiti povjerenje koje postoji između mašina na istoj mreži.
Ova vrsta napada se često koristi kao dio složenije strategijekao što su napadi uskraćivanjem usluge (DDoS) ili upadi u korporativne mreže, i mogu omogućiti krađu povjerljivih informacija ako nisu na snazi adekvatne mjere zaštite.
DNS Spoofing
El DNS lažiranje Oslanja se na manipuliranje Sistemom domenskih imena (DNS), koji prevodi imena web stranica u IP adrese. Napadači zaraze ruter ili računar žrtve ili manipuliraju DNS odgovorima, tako da kada korisnik posjeti poznatu web stranicu, bude tiho preusmjeren na zlonamjernu stranicu. lažna stranica koju oni kontrolišu.
Sa stanovišta korisnika, sve izgleda normalno (kucaju URL koji uvijek koriste), ali u stvarnosti ulaze na manipulisanu web stranicu gdje mogu krađu akreditivnih podataka, bankovnih podataka ili instaliranje zlonamjernog softvera a da toga nije ni svjestan.
GPS lažiranje
El GPS prevara To uključuje lažiranje ili manipuliranje signalom pozicioniranja tako da uređaj vjeruje da se nalazi na drugoj lokaciji nego što zapravo jeste. Ova tehnika se može koristiti za obmanuti navigacijske sisteme, mijenjanje transportnih ruta, mijenjanje evidencije lokacije ili čak činjenje prevare u vezi s isporukama ili rutama koje se naplaćuju na osnovu udaljenosti.
Na primjer, zlonamjerni vozač mogao bi koristiti GPS lažiranje kako bi prevario platformu i naveo je da je putovao više kilometara nego što je stvarno i tako naplatiti više ili preusmjeriti prijevoz na drugo područje, a da sistem to odmah ne detektuje.
Napadi tipa "čovjek u sredini" (MitM)
U napadima tipa Čovjek u sredini (MitM)Sajber kriminalac se pozicionira između dvije strane u komunikaciji (na primjer, korisnika i web stranice) i presreće saobraćaj, a da ga nijedan od njih ne primijetiUobičajen način da se to uradi je kreiranje lažne Wi-Fi mreže s nazivom vrlo sličnim nazivu legitimne Wi-Fi mreže (iz kafića, hotela, univerziteta itd.).
Ako se korisnik poveže na tu mrežu zamki, napadač može uhvatiti lozinke, detalji o kartici, e-mail adrese i druge osjetljive informacijeU nekim slučajevima, može i modificirati promet kako bi se preusmjeravao na lažne web stranice ili ubrizgavao zlonamjerni kod.
Parodija lica
El lažno predstavljanje lica Fokusira se na obmanjivanje sistema za prepoznavanje lica. Napadač koristi fotografije, videozapisi ili modeli lica druge osobe kako bi otključali mobilne telefone, pristupili bankarskim aplikacijama ili zaobišli kontrole biometrijske autentifikacije.
Ako sistemu nedostaju napredni mehanizmi za detekciju života (na primjer, analiza dubine, prirodnih pokreta ili refleksija svjetlosti), može biti prevaren i dozvoliti neovlašteni pristup računima i uslugama veoma osjetljiv/a.
Lažno predstavljanje u profesionalnom i poslovnom okruženju
Preduzeća, od velikih korporacija do malih i srednjih preduzeća, također su česte mete ovih tehnika lažnog predstavljanja. U profesionalnoj sferi, napadači prilagođavaju svoje poruke lažno predstavljanje šefova, kolega, dobavljača ili kupaca s kojima organizacija svakodnevno komunicira.
Uobičajeno je da pokušavaju uvjeriti zaposlenike da izvrše hitne uplate na račune koje kontrolišu kriminalciMogu pružati povjerljive informacije (podatke o kupcima, interne izvještaje, pristupne podatke) ili preuzimati dokumente koji sadrže zlonamjerni softver. Mnoge od ovih prevara poznate su kao prevara generalnog direktora ili kompromitacija poslovne e-pošte (BEC).
Da bi se smanjio rizik, ključno je obučiti cijeli tim o najboljim praksama kibernetičke sigurnosti i ojačati interne procese validacije (na primjer, zahtijevanje dvostruke provjere promjena na bankovnim računima dobavljača ili za velike transfere). Također je korisno imati tehnička rješenja koja analiziraju e-poštu, blokiraju sumnjive poruke i prate anomalne aktivnosti.
Neke finansijske institucije nude usluge kibernetičke sigurnosti posebno za preduzeća, kao što su centralizirane platforme koje otkrivaju i blokiraju pokušaje phishinga i spoofinga, procjenjuju nivo rizika i pružaju kontinuiranu obuku zaposlenima kako bi naučili prepoznati zlonamjernu komunikaciju.
Pravni okvir i regulatorne mjere protiv lažiranja identiteta
Masovni porast prevara zasnovanih na lažiranju identiteta naveo je regulatore da odobriti posebne propise za suzbijanje ovih praksiJedan od pravaca djelovanja je prisiljavanje telekomunikacijskih operatera da pojačaju kontrolu nad numeracijom koja se koristi u pozivima i SMS porukama.
Među najznačajnijim mjerama su obaveza blokiranja komunikacije s lažnim, manipuliranim ili nedodijeljenim brojevima i regulaciju identifikacije brojeva koji se koriste u pozivima za korisničku podršku i prodaju. Cilj ovoga je otežati korištenje pseudonima ili brojeva koji ne odgovaraju stvarnom entitetu.
Uprkos tome, pravna i tehnička zaštita sama po sebi nije dovoljna: i dalje je ključno da korisnici Održavajte kritičan i razborit stav Budite oprezni sa svakom komunikacijom koja traži povjerljive informacije ili vas prisiljava da hitno djelujete, posebno ako stiže putem SMS-a ili telefonskog poziva.
Kako prepoznati i izbjeći lažiranje SMS poruka i lažiranje identifikacije pozivatelja
Iako nijedan sistem nije siguran, postoji niz smjernica koje pomažu u smanjenju rizika od postajanja žrtvom ovih prevara. Prva je razviti određeni "digitalni zdrav razum"Budite sumnjičavi prema svakoj neočekivanoj poruci ili pozivu u kojem se traže informacije ili koji izaziva uzbunu.
Kada se suočite sa sumnjivom tekstualnom porukom, zlatno pravilo je Ne klikajte na linkove uključeno u tekstualnu poruku i nemojte pozivati brojeve koji se pojavljuju u poruci. Ako se čini da je iz vaše banke, idite direktno na službenu web stranicu unosom URL-a u preglednik ili pristupite službenoj aplikaciji i tamo provjerite postoji li zaista upozorenje ili problem.
U slučaju poziva, čak i ako vidite broj banke na ekranu, ne biste ga trebali davati. lozinke, verifikacijski kodovi, podaci o kartici ili ključevi za potpisAko insistiraju, spustite slušalicu i sami pozovite broj korisničke službe, koji je naveden na službenoj web stranici ili na poleđini vaše kartice.
Također je preporučljivo aktivirati i iskoristiti dvofaktorska autentifikacija (2FA) u ključnim uslugama kao što su online bankarstvo, e-pošta ili profesionalne platforme, ali uvijek imajući na umu da se kodovi poslani SMS-om ili na aplikaciju za autentifikaciju nikada ne smiju dijeliti ni sa kim, čak i ako osoba tvrdi da je iz banke.
Konačno, održavajte imaju ažurirana rješenja za mobilne telefone i sigurnost (antivirus, antispam, URL filteri) dodaje dodatni sloj zaštite od zlonamjernih aplikacija i opasnih linkova, smanjujući šanse za infekciju ili preusmjeravanje na phishing stranice.
Opće preporuke za zaštitu od lažiranja podataka
Pored svakog specifičnog kanala (SMS, poziv, e-pošta, web stranica), postoji niz najboljih praksi koje pomažu u zaštiti od gotovo svake vrste lažiranja. Jedna od najvažnijih je Ne dijelite osjetljive informacije putem nesigurnih kanala ili neprovjereno, posebno ako niste inicirali komunikaciju.
U e-poruci, prije nego što kliknete na link ili preuzmete prilog, pažljivo pregledajte domena pošiljatelja i sadržaj porukeObratite pažnju na male pravopisne greške, neobične domene ili zahtjeve za informacijama koje vaša banka nikada ne bi tražila putem e-pošte. Ako vam se nešto čini čudnim, najbolje je izbrisati poruku ili direktno kontaktirati banku putem drugog kanala.
Kada pretražujete web, naviknite se da gledate Puni URL u traci preglednika i provjerite da li se tačno podudara sa službenom adresom subjekta. Budite oprezni s web stranicama čija su imena previše slična originalima, ali nisu identična, ili koje ste primili putem linkova u neželjenim e-porukama ili tekstualnim porukama.
Na javnim ili otvorenim Wi-Fi mrežama izbjegavajte pristup osjetljivim uslugama kao što su online bankarstvo, korporativni e-mail ili administratorske pločeAko je potrebno, koristite pouzdanu VPN mrežu za šifriranje veze i smanjenje šansi da neko presretne vaš promet.
Konačno, imajte na umu da je agresivan ton ili onaj koji vas pokušava požurivati obično loš znak: Nijedna legitimna bankarska procedura ne zahtijeva trenutne odluke pod prijetnjom Mogli biste izgubiti novac za nekoliko minuta. Ako primijetite pritisak ili dramu u poruci ili pozivu, stanite, udahnite i sami provjerite informacije.
Kombinacija znanja, zdravog skepticizma i nekih osnovnih tehničkih mjera znatno otežava sajber kriminalcima uspjeh sa tehnikama lažiranja podataka, bilo putem SMS-a, poziva, e-pošte, lažnih web stranica ili drugih digitalnih kanala.
