Lansko leto je svet kibernetske varnosti zaznamovala ključna beseda »phishing« oziroma spletno ribarjenje ali še poenostavljeno: spletne prevare. Nacionalni odzivni center za kibernetsko varnost (SI-CERT) je obravnaval veliko primerov prevarantskih spletnih mest, namenjenih prestrezanju gesel in drugih podatkov uporabnikov, ter prevarantskih elektronskih sporočil. Tovrstne prevare so predstavljale kar tretjino vseh prijavljenih varnostnih incidentov. »V letu 2021 smo na SI-CERT skupno obravnavali 3177 varnostnih incidentov, med katerimi so ponovno prednjačili napadi z metodami prevar. Ti so se v primerjavi z letom poprej povečali za skoraj 37 %. Čeprav gre za eno najstarejših vrst spletnih napadov, ki so obenem tehnično zelo enostavni, so še vedno relativno uspešni,« nam je zaupala Jasmina Mešić, koordinatorka nacionalnega programa ozaveščanja Varni na internetu. Še vedno velja, da datotek in povezav, poslanih od neznanih pošiljateljev, ne gre kar klikniti in odpreti, saj je to lahko pravi recept za »katastrofo«.
Prejeli smo tudi povsem sveže podatke. Letos so – vključno z mesecem avgustom, torej do 1. septembra – na SI-CERT obravnavali že 2132 varnostnih incidentov, projekcije pa napovedujejo, da bo ta številka do konca leta presegla tri tisoč incidentov in tudi presegla lansko številko. Taktike napadalcev ostajajo enake, saj tudi letos izstopajo spletne in e-poštne prevare, spletne goljufije, ribarjenje za gesli in zlonamerna koda, ki se širi predvsem prek priponk elektronske pošte.
Do septembra je SI-CERT obravnaval že 731 phishing napadov, pri čemer pa goljufi ne želijo zgolj gesel za različne uporabniške račune, ampak tudi podatke o kreditnih karticah in avtentikacijske podatke za dostop do elektronske banke, saj je njihov cilj izrazito finančno obarvan.
Denar, poslan prek spleta, lahko hitro izpuhti
Ko smo že pri denarju: izpostaviti velja tudi rast števila investicijskih prevar, večinoma gre za vlaganja v lažne kriptosheme, pri čemer izstopajo tudi finančna oškodovanja. Najvišje oškodovanje, ki ga je zabeležil SI-CERT, je v lanskem letu znašalo 100.000 evrov, medtem ko se je povprečen znesek izgubljenega vložka gibal okoli 28.000 evrov.
Zelo pogoste in žal tudi uspešne so tudi t. i. direktorske in računovodske prevare. Navadno gre za e-poštne prevare, kjer se napadalci predstavljajo kot direktor podjetja in računovodji naložijo plačilo računa podjetju v tujini. Če podjetje zahtevan znesek plača, denarja nikoli več ne vidi. Zelo podobni so poskusi prevar, kjer na e-naslov računovodstva prihajajo lažni računi in dopisi drugih ključnih zaposlenih v podjetju.
Koliko podjetja in posameznike stanejo take napake? Po podatkih SI-CERT je povprečna višina odkupnina za odšifriranje podatkov podjetja (ki je posledica napada z izsiljevalskim virusom) je domače podjetje stala 10 tisoč evrov, vrivanje v poslovno komunikacijo (npr. med direktorja in računovodjo) pa 19 tisočakov. Ob omenjenih številkah hitro postane jasno, da je strošek investicije v storitve zagotavljanja kibernetske varnosti pravzaprav zanemarljiv v primerjavi s sanacijo posledic napada.
Vseprisotni računalniški virusi in trojanski konji
Poročila kažejo, da sta trenutni največji globalni kibernetski grožnji izsiljevalski virusi ter ribarjenje za podatki. Na udaru so predvsem podjetja oziroma njihovi zaposleni, saj raste število poslovnih e-poštnih prevar in (žal uspešnih) poskusov vrivanja v poslovno komunikacijo med zaposlenimi v podjetjih. Za velik delež varnostnih incidentov v Sloveniji so poskrbele najrazličnejše zlonamerne kode – poleg vseprisotnih računalniških virusov so bili pri tarčah »uspešni« predvsem trojanski konji, ki po okužbi računalnika ukradejo vsa shranjena in vpisana gesla ter napadalcem omogočajo popoln nadzor nad računalnikom. Ti se najpogosteje širijo prek priponk in navadno predstavljajo prvi korak pri nepooblaščenem dostopu do omrežja podjetja prek okužbe računalnika zaposlenega. Tak napad na podjetje se običajno nadaljuje s pridobitvijo skrbniških pravic in konča z zagonom izsiljevalskega kripto virusa (t. i. ransomware), ki zašifrira vse dostopne datoteke in tudi varnostne kopije (če jih najde). Sledi obvestilo o zaklenjenih podatkih in zahteva po plačilu odkupnine – najpogosteje v izbrani kriptovaluti.
»Čeprav se zdi, da govorimo o težavah, s katerimi se srečujejo podjetja in ne končni uporabniki, je za uspešno izveden napad vseeno potrebna interakcija posameznika, zaposlenega. Zato vseeno izpostavljamo tovrstne napade, čeprav se niso nujno zgodili za zaslonom domačega računalnika,« še pove Mešićeva.
Nevarnosti selijo na mobilne telefone
»Izpostavili bi tudi trend, da se nevarnosti selijo na mobilne telefone v obliki SMS-sporočil, ki pod pretvezo »preverjanja podatkov«, »potrjevanja transakcij« in podobnih motivov želijo izvabiti avtentikacijske podatke za dostop do elektronke ali mobilne banke uporabnika,« ugotavlja Mešićeva in dodaja: »Torej naše pozornosti ne zahteva več zgolj elektronska pošta, kot so varnostni strokovnjaki opozarjali do sedaj, ampak tudi SMS-sporočila, ki zahtevajo takojšnjo reakcijo.«
Prevare oziroma njihovi mehanizmi ostajajo skozi leta praktično enake oziroma so si zelo podobne, prilagajajo se le vsebine (beri: vabe) in komunikacijski kanali. Ker mladi več časa preživijo na družbenih omrežjih, so se temu trendu prilagodili tudi spletni goljufi. Tako ribarijo za Instagram gesli pod pretvezo, da je uporabnik postal t. i. »preverjeni uporabnik« ali pa postavljajo lažne Facebook-profile v imenu znanih vplivnežev, prek katerih potencialne žrtve obvestijo, da so bile izžrebane v nagradni igri – za prejem nagrade pa naj žrtev vnese le še številko kreditne kartice. Mlajši uporabniki, pri čemer ne gre nujno za otroke in najstnike, so vse pogosteje tudi tarča različnih kripto-investicijskih prevar pa tudi izsiljevanja z intimnimi posnetki.
Obiščite portal Varni na internetu
Največ lahko za lastno varnost na spletu naredimo z izobraževanjem. Obilo informacij ter hudomušnih, a zelo nazornih video posnetkov glede kibernetske varnosti najdete tudi na spletnem mestu www.varninainternetu.si, kjer si velja prebrati bogato zbirko nasvetov in opisov prevar. Da se ne bi primerile tudi vam ...
Avtorji so letos v sklopu programa Varni na internetu za mesec kibernetske varnosti zasnovali sveža gradiva za dve ciljni skupini. »Podjetja in zaposlene bomo z akcijo »Izognite se najslabšemu scenariju!« nagovarjali, naj se udeležijo našega brezplačnega spletnega tečaja Varni v pisarni, kjer v 30-minutah predstavimo ključne nevarnosti, ki ciljajo na različna delovna mesta. Podjetja in organizacije bomo tudi pozivali, naj postanejo t. i. Ambasadorji kibervarnosti in izvedejo vsaj eno aktivnost v podjetju. To je lahko spletni seminar, predavanje ali zgolj pošljejo elektronsko sporočilo zaposlenim z nekaj nasveti. Majhni koraki, pa vendar, pomembno je, da se zaposleni zavedajo, kako velik prispevek imajo pri zagotavljanju informacijske varnosti,« sklene Mešićeva.
Splošno javnost pa bodo nagovarjali s kampanjo na družbenih omrežjih. V sodelovanju z mladimi TikTok-erji so posneli serijo zanimivih video posnetkov, v katerih predstavijo nekatere tipične napake, ki jih starejši pogosto počno v spletu. Seveda pokažejo tudi napake mlajše generacije uporabnikov, ki nikakor ni imuna na spletne prevare. »Mogoče se na prvi pogled zdi, da s sporočili in primer ciljamo izključno mlade uporabnike, ampak gre za povsem življenjske situacije, predstavljene na način, da bo marsikdo video posnetek poslal svoji mami ali očetu s pripisom »Poglej, pa saj ti isto počneš!«. Kibernetska varnost v podjetju ali doma je namreč močna le toliko, kolikor je močan/ozaveščen njen najšibkejši člen.«
Kaj je evropski mesec kibervarnosti?
Evropski mesec kibervarnosti je kampanja Evropske unije, ki jo organizirata Agencija Evropske unije za kibernetsko varnost (ENISA) in Evropska komisija. Kampanja, ki letos praznuje 10. obletnico, se vsako leto širom Evrope odvija v oktobru, v njej pa sodeluje 29 držav članic in več kot 300 zunanjih partnerjev. Cilji kampanje so ozaveščanje o kibernetskih grožnjah, promocija kibernetske varnosti ter izobraževanje prebivalcev in organizacij, kako se zaščitijo na spletu. Osrednja tema letošnje kampanje, ki poteka pod sloganom »Think Be4 U Click« oziroma prevedeno »Pomisli, preden klikneš«, je obravnavanje varnostnih vprašanj v zvezi z digitalizacijo vsakdanjega življenja, ki so se v času pandemije koronavirusa še pomnožila.
ENISA bo letos podelila tudi nagrade za najboljša gradiva s področja ozaveščanja o kibernetski varnosti, ki so nastala tekom let. Države članice EU so v kategoriji najboljši video izglasovale prav slovenski video, s katerim domači varnostni strokovnjaki opozarjajo na prevare prek spletne platforme za oddajanje prenočišč Airbnb.
