- Lažno predstavljanje obuhvaća različite tehnike lažnog predstavljanja (SMS, pozivi, e-pošta, web, IP, DNS, GPS, facial) čiji je cilj krađa podataka ili novca.
- Kod lažiranja SMS-a i lažiranja identifikacije pozivatelja, kriminalci krivotvore pošiljatelja i broj kako bi se predstavljali kao banke ili pouzdane organizacije.
- Najbolja obrana je biti oprezan s neočekivanim porukama i pozivima, ne dijeliti osjetljive podatke i uvijek provjeravati putem službenih kanala.
- Obuka, sigurnosni alati i regulatorne mjere jačaju zaštitu, ali razboritost korisnika ostaje ključna.
La krađa identiteta putem SMS-a i poziva Postala je jedna od najopasnijih i najčešćih prijevara koje pogađaju i pojedince i tvrtke; pogledajte najnovije Vijesti o računalnoj sigurnosti i kibernetičkoj sigurnosti.
U ovom članku ćemo detaljno objasniti Što je SMS lažiranje, kako funkcionira i kako je povezano s drugim vrstama lažiranja? (u pozivima, e-porukama, web stranicama, IP-u, DNS-u, GPS-u itd.), kao i znakove za njihovo otkrivanje i praktične mjere koje možete primijeniti kako biste se zaštitili u svakodnevnom životu, i osobno i profesionalno, te u pitanjima sigurnost i privatnost u programima.
Što je lažiranje i zašto je toliko opasno?
Kada govorimo o lažiranju, mislimo na skup tehnika krađe identiteta Napadači ih koriste kako bi se lažno predstavljali kao pouzdana osoba, tvrtka ili organizacija. Cilj je uvijek isti: prevariti žrtvu da otkrije osjetljive podatke, izvrši plaćanja ili izvrši radnje koje koriste prevarantu.
Kibernetički kriminalci kombiniraju lažiranje s raznim oblicima phishing (obmana radi krađe podataka)Ove se prijevare mogu dogoditi putem e-pošte, SMS-a, telefonskih poziva ili lažnih web stranica. U bankarskom sektoru ove se prijevare posebno usredotočuju na prikupljanje vjerodajnica za online bankarstvo, podataka o kartici, SMS verifikacijskih kodova (OTP) ili drugih osobnih podataka koji se mogu koristiti za počinjenje financijskih prijevara ili čak drugih kaznenih djela krađe identiteta.
Važno je to zapamtiti Ugledne financijske institucije ne traže informacije putem SMS-a, telefona ili e-pošte. Treba zatražiti podatke poput korisničkog imena i lozinke za online bankarstvo, kodova poslanih na vaš mobilni telefon, broja kartice, datuma isteka ili troznamenkastog sigurnosnog koda (CVV/CVC). Ako netko zatraži ove podatke putem ovih kanala, trebali biste odmah posumnjati.
SMS lažiranje: Što je to i kako funkcionira
El SMS spoofing To je tehnika koja omogućuje napadaču slanje tekstualne poruke koja izgleda kao da dolazi od legitimnog pošiljatelja (obično banke, kurirske tvrtke ili vladine agencije), a u stvarnosti je šalje kriminalac. Ova se praksa često koristi u varijanti phishinga koja se naziva razbijanje, u kojem obmana stiže putem SMS-a.
U praksi, prevarant Izmjena broja ili imena pošiljatelja koje vidite na zaslonu svog mobilnog uređaja (polje poznato kao ID pošiljatelja). Zahvaljujući tome, lažna poruka može se pojaviti u istoj SMS niti u kojoj ste prethodno primili legitimne komunikacije od svoje banke ili pouzdane usluge. Ovaj privid kontinuiteta tjera korisnika da smanji oprez.
Sadržaj ovih SMS poruka obično uključuje alarmantne ili hitne obavijestiOve prijevare često uključuju: neprepoznate naplate, skore zatvaranje računa, potrebu za ažuriranjem informacija, navodne nagrade ili povrat poreza, između ostalog. Nakon toga vas pozivaju da kliknete na poveznicu ili nazovete telefonski broj koji zapravo ne pripada lažnom subjektu.
Jedna od najčešćih taktika je da poruka sadrži poveznica na lažnu web stranicu koja imitira web stranicu bankeOva stranica može biti gotovo identična stvarnoj: logotipi, boje, sličan tekst, pa čak i vrlo sličan URL. Cilj je da unesete svoje online bankarske podatke, podatke o kartici i kodove koje primate putem SMS-a kako bi kriminalac mogao pristupiti vašem računu.
U drugim slučajevima, SMS upućuje žrtvu na lažni telefonski brojgdje se navodni „menadžer“ ili „agent“ predstavlja kao bankarski službenik, traži privatne podatke i korak po korak vodi osobu kako bi odobrila transfere ili plaćanja, vjerujući da „rješavaju sigurnosni problem“.
Zašto se lažne SMS poruke miješaju sa službenim
Jedno od najčešćih pitanja je kako je moguće da je lažna poruka pojavljuju se unutar iste niti nego legitimne SMS poruke iz banke. Objašnjenje leži u načinu na koji mobilni telefoni i mreže obrađuju identifikator pošiljatelja.
Uređaji grupiraju razgovore isključivo na temelju ID pošiljateljaOvom alfanumeričkom polju nedostaje robusna provjera i globalna pravna validacija. Drugim riječima, mreža i mobilni uređaji pretpostavljaju da svatko tko tvrdi da je "Banka X" ili koristi određeni broj to zapravo i jest, bez strogih kontrola.
Ova rupa u zakonu omogućuje kibernetičkim kriminalcima uzurpirati naziv za otpremu koji koriste banke i tvrtkeBudući da ne postoji snažna autentifikacija vlasnika aliasa, korisnikov terminal miješa lažne poruke s legitimnima, stvarajući privid potpune normalnosti.
Rezultat je taj čak i pažljivi i iskusni korisnici Moguće je da će upasti u zamku jer kanal i kontekst (nit poruke iz "vaše banke") djeluju potpuno autentično, a ton poruke poigrava se strahom, hitnošću ili osjećajem financijskog gubitka.
Lažno predstavljanje pozivatelja: Lažno predstavljanje u telefonskim pozivima
El Lažno predstavljanje pozivatelja Lažiranje telefona ekvivalentno je lažiranju SMS-a, ali primijenjeno na pozive. Umjesto manipuliranja pošiljateljem SMS-a, napadač krivotvori broj koji se pojavljuje na identifikaciji pozivateljaDakle, zaslon mobilnog telefona može prikazati stvarni broj banke, službenog tijela ili čak poznatog kontakta, čak i ako poziv dolazi s nekog drugog mjesta.
Ovom tehnikom, prevarant se pretvara da je zaposlenik banke, upravitelj računa ili osoblje službene službe i kontaktira žrtvu tvrdeći da ima hitan problem: sumnjive pokrete, pokušaje neovlaštenog pristupa, blokiranje kartice, potrebu za hitnom provjerom podataka itd.
Tijekom poziva, osoba s druge strane obično pita vrlo osjetljivi podaci: korisničko ime i lozinka za digitalno bankarstvo, kodovi primljeni SMS-om, puni broj kartice, PIN, osobni podaci (osobna iskaznica, datum rođenja, adresa) ili čak da žrtva vrši transfere "kako bi blokirala prijevaru" koji se zapravo usmjeravaju na račune koje kontroliraju kriminalci.
Posljedice mogu biti ozbiljne: izravan pristup bankovnim računimaTo uključuje neovlaštene transfere, otvaranje računa na ime žrtve ili krađu identiteta radi počinjenja drugih kaznenih djela. Stoga, ako se od vas tijekom poziva traže sigurnosne informacije, trebali biste prekinuti poziv i sami nazvati službene telefonske brojeve banke.
Kako bi se utvrdio mogući slučaj lažiranja identifikacije pozivatelja, preporučljivo je provjeriti je li Inzistiraju na hitnosti provođenja operacije, ako je ton zastrašujući ili ako su pitanja neuobičajena (na primjer, traženje potpunih lozinki ili kodova koje vas banka nikada ne pita preko telefona).
Druge vrlo uobičajene vrste lažiranja
Iako su lažiranje SMS-ova i lažiranje identifikacije pozivatelja posebno opasni u financijskom sektoru, postoje i druge metode. mnoge druge varijacije lažiranja koji također žele prevariti i ukrasti informacije ili novac. Njihovo razumijevanje pomaže u prepoznavanju obrazaca i boljoj zaštiti.
Lažno predstavljanje e-pošte
U prevara putem e-pošteNapadač šalje e-poruke koje izgledaju kao da dolaze s legitimne adrese: banke, poznate tvrtke ili čak osobnog kontakta. Trik je u lažiranju polja pošiljatelja (FROM), tako da na prvi pogled domena izgleda pouzdana, iako nakon detaljnijeg pregleda obično jest. malo drugačije od stvarne domene entiteta (na primjer, promijeniti slovo, dodati crticu ili upotrijebiti drugu ekstenziju).
U ovim e-porukama se od korisnika obično traži dati osobne ili financijske podatkePreuzmite privitak ili kliknite na poveznice koje vode do lažnih stranica. U mnogim slučajevima, one se koriste za instaliranje zlonamjernog softvera (virusa, trojanaca, keyloggera) ili za otvaranje web stranice identične bankovnoj, gdje žrtva unosi svoje podatke za prijavu.
Lažno predstavljanje web stranice ili domene
El lažiranje weba ili lažiranje domene To uključuje stvaranje lažne web stranice koja oponaša legitimnu (banku, internetsku trgovinu, vladinu agenciju itd.). URL prikazan u adresnoj traci preglednika obično je vrlo sličan, ali ne i identičan, URL-u stvarne stranice. Napadači često kombiniraju ovu tehniku s lažiranjem SMS-ova ili e-pošte kako bi usmjerili promet na te lažne stranice.
Jednom kada se nađe na lažnoj web stranici, žrtva ulazi vaše pristupne podatke, podatke o kartici ili druge povjerljive informacije vjerujući da su na originalnoj stranici. Kriminalci bilježe te podatke u stvarnom vremenu i mogu ih odmah koristiti za pristup računu, kupnju ili pražnjenje stanja.
IP lažiranje
U IP podvalaKibernetički kriminalac lažira IP adresu drugog računala kako bi ciljani sustav vjerovao da veza potječe iz pouzdanog izvora. Na taj način mogu izbjegavanje sigurnosnih filtera, pristupiti ograničenim resursima ili iskoristiti povjerenje koje postoji između računala na istoj mreži.
Ova vrsta napada se često koristi kao dio složenije strategijekao što su napadi uskraćivanjem usluge (DDoS) ili upadi u korporativne mreže, te mogu omogućiti krađu povjerljivih informacija ako nisu na snazi odgovarajuće zaštitne mjere.
DNS spoofing
El DNS spoofing Oslanja se na manipuliranje Sustavom domenskih imena (DNS), koji prevodi imena web stranica u IP adrese. Napadači zaraze usmjerivač ili računalo žrtve ili manipuliraju DNS odgovorima, tako da kada korisnik posjeti poznatu web stranicu, bude tiho preusmjeren na zlonamjernu stranicu. lažna stranica koju oni kontroliraju.
S korisničke točke gledišta, sve se čini normalnim (upisuju URL koji uvijek koriste), ali u stvarnosti ulaze na manipuliranu web stranicu gdje mogu krađu vjerodajnica, bankovnih podataka ili instaliranje zlonamjernog softvera a da toga nije ni svjestan.
GPS lažiranje
El Spoof GPS To uključuje lažiranje ili manipuliranje signalom pozicioniranja tako da uređaj vjeruje da se nalazi na drugoj lokaciji nego što zapravo jest. Ova tehnika se može koristiti za obmanuti navigacijske sustave, mijenjanje transportnih ruta, mijenjanje evidencije lokacije ili čak činjenje prijevare povezane s isporukama ili rutama koje se naplaćuju na temelju udaljenosti.
Na primjer, zlonamjerni vozač mogao bi koristiti lažiranje GPS-a kako bi prevario platformu i naveo je da je putovao više kilometara nego što je stvarno i tako naplatiti više ili preusmjeriti prijevoz na drugo područje bez da sustav to odmah otkrije.
Napadi tipa "čovjek u sredini" (MitM)
U napadima tipa Čovjek u sredini (MitM)Kibernetički kriminalac se pozicionira između dvije strane u komunikaciji (na primjer, korisnika i web stranice) i presreće promet bez da ga itko od njih primijetiUobičajen način za to je stvaranje lažne Wi-Fi mreže s nazivom vrlo sličnim nazivu legitimne Wi-Fi mreže (iz kafića, hotela, sveučilišta itd.).
Ako se korisnik spoji na tu mrežu zamki, napadač može uhvatiti lozinke, podaci o karticama, e-mail adrese i druge osjetljive informacijeU nekim slučajevima može i modificirati promet kako bi preusmjeravao na lažne web stranice ili ubrizgavao zlonamjerni kod.
Parodija lica
El lažno predstavljanje lica Fokusira se na obmanjivanje sustava za prepoznavanje lica. Napadač koristi fotografije, videozapisi ili modeli lica druge osobe kako bi otključali mobilne telefone, pristupili bankarskim aplikacijama ili zaobišli kontrole biometrijske autentifikacije.
Ako sustavu nedostaju napredni mehanizmi za detekciju života (na primjer, analiza dubine, prirodnih pokreta ili refleksija svjetlosti), može biti prevaren i dopustiti neovlašteni pristup računima i uslugama vrlo osjetljiv.
Lažno predstavljanje u profesionalnom i poslovnom okruženju
Tvrtke, od velikih korporacija do malih i srednjih poduzeća, također su česte mete ovih tehnika lažnog predstavljanja. U profesionalnoj sferi, napadači prilagođavaju svoje poruke lažno predstavljanje šefova, kolega, dobavljača ili kupaca s kojima organizacija svakodnevno komunicira.
Uobičajeno je da pokušavaju uvjeriti zaposlenike da izvrše hitne isplate na račune koje kontroliraju kriminalciMogu pružati povjerljive informacije (podatke o klijentima, interna izvješća, pristupne podatke) ili preuzimati dokumente koji sadrže zlonamjerni softver. Mnoge od ovih prijevara poznate su kao prijevara izvršnog direktora ili kompromitiranje poslovne e-pošte (BEC).
Za smanjenje rizika ključno je obučiti cijeli tim o najboljim praksama kibernetičke sigurnosti i ojačati interne procese validacije (na primjer, zahtijevanje dvostruke provjere promjena na bankovnim računima dobavljača ili za velike transfere). Također pomaže imati tehnička rješenja koja analiziraju e-poštu, blokiraju sumnjive poruke i prate anomalne aktivnosti.
Neke financijske institucije nude usluge kibernetičke sigurnosti posebno za tvrtke, kao što su centralizirane platforme koje otkrivaju i blokiraju pokušaje krađe identiteta (phishinga) i lažiranja identiteta (spoofinga), procjenjuju razinu rizika i pružaju kontinuiranu obuku zaposlenicima kako bi naučili prepoznati zlonamjernu komunikaciju.
Pravni okvir i regulatorne mjere protiv lažiranja podataka
Ogroman porast prijevara temeljenih na lažiranju naveo je regulatore da odobriti posebne propise za suzbijanje tih praksiJedan od načina djelovanja je prisiliti telekomunikacijske operatere da pojačaju kontrolu nad numeracijom koja se koristi u pozivima i SMS-ovima.
Među najznačajnijim mjerama su obveza blokiranja komunikacije s krivotvorenim, manipuliranim ili nedodijeljenim brojevima i regulaciju identifikacije brojeva koji se koriste u pozivima za korisničku podršku i prodaju. Cilj je otežati korištenje pseudonima ili brojeva koji ne odgovaraju stvarnom entitetu.
Unatoč tome, pravna i tehnička zaštita sama po sebi nije dovoljna: i dalje je bitno da korisnici Održavajte kritičan i razborit stav Budite oprezni sa svakom komunikacijom koja traži povjerljive informacije ili vas prisiljava na hitno djelovanje, posebno ako stiže putem SMS-a ili telefonskog poziva.
Kako prepoznati i izbjeći lažiranje SMS-ova i lažiranje identifikacije pozivatelja
Iako nijedan sustav nije siguran, postoji niz smjernica koje pomažu u smanjenju rizika od postajanja žrtvom ovih prijevara. Prva je razviti određeni „digitalni zdrav razum“Budite sumnjičavi prema svakoj neočekivanoj poruci ili pozivu u kojem se traže informacije ili koji izaziva uzbunu.
Kada se suočite sa sumnjivom tekstualnom porukom, zlatno pravilo je Ne klikajte na poveznice uključeno u tekst i nemojte zvati brojeve koji se pojavljuju u poruci. Ako se čini da je iz vaše banke, idite izravno na službenu web stranicu upisivanjem URL-a u preglednik ili pristupite službenoj aplikaciji i tamo provjerite postoji li doista upozorenje ili problem.
U slučaju poziva, čak i ako vidite broj banke na ekranu, ne biste ga trebali davati. lozinke, verifikacijski kodovi, podaci o kartici ili ključevi za potpisAko inzistiraju, spustite slušalicu i sami nazovite broj korisničke službe, koji je naveden na službenoj web stranici ili na poleđini vaše kartice.
Također je preporučljivo aktivirati i iskoristiti dvofaktorska autentifikacija (2FA) u ključnim uslugama poput online bankarstva, e-pošte ili profesionalnih platformi, ali uvijek imajući na umu da se kodovi poslani SMS-om ili u aplikaciju za autentifikaciju nikada ne smiju dijeliti ni s kim, čak i ako osoba tvrdi da je iz banke.
Konačno, održavajte imaju ažurirana rješenja za mobilne telefone i sigurnost (antivirus, antispam, URL filteri) dodaje dodatni sloj zaštite od zlonamjernih aplikacija i opasnih poveznica, smanjujući šanse za infekciju ili preusmjeravanje na phishing stranice.
Opće preporuke za zaštitu od lažiranja
Osim svakog specifičnog kanala (SMS, poziv, e-pošta, web stranica), postoji niz najboljih praksi koje pomažu u zaštiti od gotovo svake vrste lažiranja. Jedna od najvažnijih je Ne dijelite osjetljive informacije putem nesigurnih kanala ili neprovjereno, posebno ako niste inicirali komunikaciju.
U e-poruci, prije nego što kliknete na poveznicu ili preuzmete privitak, pažljivo pregledajte domena pošiljatelja i sadržaj porukeObratite pozornost na male pravopisne pogreške, neobične domene ili zahtjeve za informacijama koje vaša banka nikada ne bi tražila putem e-pošte. Ako vam se nešto čini čudnim, najbolje je izbrisati poruku ili izravno kontaktirati banku putem drugog kanala.
Prilikom pregledavanja weba, naviknite se gledati Puni URL u traci preglednika i provjerite odgovara li točno službenoj adresi subjekta. Budite oprezni s web-stranicama čija su imena previše slična originalima, ali nisu identična, ili koje ste primili putem poveznica u neželjenim e-porukama ili tekstualnim porukama.
Na javnim ili otvorenim Wi-Fi mrežama izbjegavajte pristup osjetljivim uslugama kao što su online bankarstvo, korporativna e-pošta ili administratorske pločeAko je potrebno, koristite pouzdani VPN za šifriranje veze i smanjenje mogućnosti da netko presreće vaš promet.
Konačno, imajte na umu da je agresivan ton ili onaj koji vas pokušava požurivati obično loš znak: Nijedan legitimni bankarski postupak ne zahtijeva trenutne odluke pod prijetnjom Mogli biste izgubiti novac u roku od nekoliko minuta. Ako primijetite pritisak ili dramu u poruci ili pozivu, stanite, udahnite i sami provjerite informacije.
Kombinacija znanja, zdravog skepticizma i nekih osnovnih tehničkih mjera znatno otežava kibernetičkim kriminalcima uspjeh s tehnikama lažiranja, bilo putem SMS-a, poziva, e-pošte, lažnih web stranica ili drugih digitalnih kanala.
