Pazite se prevar

Nakupovalno mrzlico, ki razviti del sveta oblije ob koncu leta, s pridom izkoriščajo tudi goljufi. Ti so, žal, med največjimi zaslužkarji zadnjih dveh mesecev v letu. Številni spletni trgovci v tem času ponujajo zelo visoke popuste, ki bi se morebiti tekom leta zdeli nenavadni in bi bili nakupovalci bolj previdni, v času črnega petka in prazničnih prodajnih akcij pa izjemne popuste ljudje skorajda pričakujemo. In prav na to računajo tudi kibernetski napadalci, ki nas skušajo zvabiti na lažne spletne strani, ukrasti naše prijavne podatke ali, še najraje, številke s kreditne kartice. En tak napačen nakup nas lahko zato zelo veliko stane – spretni kriminalci nato z našo kartico nakupujejo dokler tega ne odkrijemo in jo blokiramo.

Na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT opozarjajo na številne lažne spletne trgovine, ki zavajajo z imenom Slovenija ali Ljubljana v naslovu spletne strani. Podoben val lažnih trgovin so zaznali že lani v jesenskem času. Letos pa na SI-CERT izpostavljajo nov trend med pristopi napadalcev. Gre za SMS-sporočila, ki želijo pod pretvezo dostavnih podjetij priti do podatkov kreditnih kartic. Goljufi tako zlorabijo podobo in ime logističnih podjetij ter dostavnih služb, kot so Pošta Slovenije, DHL, DPD, UPS in druga, s ciljem kraje razpoložljivih sredstev. Tovrstne prevare povzročajo visoka oškodovanja, saj lahko napadalci žrtvi v najbolj črnem scenariju v celoti izpraznijo bančni račun.

Prihaja poplava prevarantskih SMS-sporočil

Kot opozarjajo na SI-CERT, lahko v naslednjih tednih pričakujemo številna SMS-sporočila, kjer bodo logistična podjetja obveščala o dostavi naročenega blaga. Razmere bodo poskušali izkoristiti tudi napadalci, ki bodo zlorabili legitimna podjetja in prav tako pošiljali SMS-sporočila, da nas čaka paket ali druga pošiljka. Pri čemer pa bodo od nas želeli, da iz različnih razlogov vnesemo še podatke kreditne kartice. Največkrat bodo nepridipravi potencialno žrtev »strašili« s sporočili, da paketa ne morejo dostaviti, ker nimajo pravega naslova, da nas ni bilo doma, da je potrebno plačati le nekaj evrov za ponovno dostavo ali carino in podobnimi.

Kako jih prepoznati? Večina tovrstnih SMS-sporočil prihaja iz telefonske številke v tujini. Lažno sporočilo vsebuje tudi povezavo na spletno stran, ki je zgolj po imenu podobna ponudniku logističnih storitev, a ima pogosto še kak drug znak ali zamenjano črko. »Če uporabniki sledijo navodilom iz SMS-sporočila in kliknejo na ponujeno povezavo, jih odpelje na spletno stran, ki kopira podobo dostavnih podjetij brez njihove vednosti. Ponarejena spletna stran zahteva vpis podatkov kreditne kartice, v drugem koraku pa tudi enkratne kode iz SMS-sporočila, ki ga žrtev prejme s strani banke. Vpisani podatki se prenesejo napadalcem, ti pa lahko z njimi žrtvi v celoti izpraznijo bančni račun,« svari Jasmina Mešić, koordinatorka nacionalnega programa ozaveščanja Varni na internetu na SI-CERT.

Pozor na obvestila v mobilnih aplikacijah

Dolgo časa je veljalo pravilo, da moramo biti spletni uporabniki pozorni predvsem na lažna in prevarantska elektronska sporočila v e-nabiralniku. Ta je bil v preteklih letih resda najpogostejši vektor napada, a t. i. spletno ribarjenje oziroma e-poštne prevare se sedaj selijo še na pametne telefone. V odzivnem centru SI-CERT v zadnjem letu beležijo močan porast števila napadov prek SMS-sporočil in aplikacij za hipno sporočanje, kot sta Viber in WhatsApp, ki ju uporabljajo številni Slovenci. V tem primeru se nevarnosti selijo na pametne telefone v obliki zasebnih sporočil, ki pod pretvezo preverjanja podatkov ali potrjevanja transakcij želijo izvabiti podatke za dostop do elektronske banke in/ali podatke kreditne kartice. »Leta še ni konec, a zdi se, da bo tovrstnih napadov letos kar trikrat več kot lani,« meni Mešićeva.

Napadi prek SMS-sporočil so za uporabnike lahko nevarnejši od napadov preko elektronske pošte, saj jih pred slednjimi vsako leto bolje ščitijo filtri na poštnih strežnikih, ki blokirajo večji del lažnih sporočil. Pri SMS in drugih zasebnih sporočilih pa taka zaščita (zaenkrat še) ne obstaja. »Praktično nemogoče je preveriti pošiljatelja SMS-sporočila, obenem pa je zelo enostavno potvoriti telefonske številke, da so videti, kot da so slovenske, ali pa kot pošiljatelja SMS-sporočila enostavno navesti ime dostavne službe. V samem SMS-sporočilu je težje preveriti, kam pelje povezava, kot to lahko storimo na računalniku. Nenazadnje je tudi način uporabe telefona veliko bolj oseben, pogosto ga uporabljamo v okolju, kjer si težje vzamemo trenutek miru, da natančno preverimo stran, kamor vnašamo podatke. Vse to so dejavniki, na katere računajo tudi spletni goljufi,« še pojasni sogovornica.

Na kaj paziti v mesecu nakupov?

Spletni uporabniki lahko v prihajajočih tednih upravičeno pričakujemo več obvestil o dostavi paketov. Predvsem moramo biti pozorni na vsa SMS- in e-sporočila, ki od nas zahtevajo takojšen odziv, npr. »takoj preverite podatke, sicer bo pošiljka zavrnjena«, »paketa ne moremo dostaviti, plačajte carino«. Če takšno sporočilo od nas v naslednjem koraku zahteva še vpis kreditne kartice, je to že znak za alarm! Dostavna podjetja namreč nikoli ne zahtevajo vnosa kreditne kartice na svojih spletnih straneh. V SMS-sporočilih, namenjenih obveščanju o dostavi paketa, logistična podjetja prav tako nikoli ne preusmerjajo uporabnika na spletno stran, kjer naj bi vnesel podatke svoje kreditne kartice.

Če smo v tem času naročili enega ali več izdelkov, katerih dostavo še čakamo, nam je pošiljatelj zelo verjetno poslal podatke o sledenju pošiljke. Najprej preverimo ujemanje teh podatkov s podatki v sporočilu SMS in se po klasični poti, torej prek spletnega iskalnika in brskalnika odpravimo na spletno stran ponudnika za sledenje pošiljki (in ne preko povezave v SMS-sporočilu).