Svatko tko ima telefon i može primati pozive podložan je napadu izgovorom. Napadači vas mogu nazvati pod lažnim izgovorom, kao što je predstavljanje da ste iz tehničkog odjela tvrtke ili drugog tima s pristupom lozinkama, kako bi manipulirali vama i dobili informacije. Ovi napadači mogu prodati ili zloupotrijebiti te podatke, stoga biste trebali aktivno štititi svoje podatke.
Dakle, što je pretekcija? Kako se možete zaštititi?
Što je pretexting?
Pretekstiranje, oblik društvenog inženjeringa, događa se kada haker koristi prijevarna sredstva kako bi pokušao dobiti pristup sustavu, mreži ili bilo kojoj informaciji. Napadač smišlja lažni scenarij, poznat kao izgovor, pretvarajući se da je netko iskusan, poput IT osoblja, voditelja ljudskih resursa ili čak državnog agenta. Ovaj napad može se dogoditi online i osobno.
Pretekstovanje je počelo u Ujedinjenom Kraljevstvu početkom 2000-ih kada su novinari koji su tražili sočne izvještaje o slavnim osobama koristili ekstremne mjere da ih špijuniraju. Konkurencija između novinskih marki bila je žestoka, što je navelo novinare da izmisle nove načine dobivanja privatnih informacija.
Prvo, bilo je jednostavno poput njuškanja po glasovnoj pošti ciljne slavne osobe. Govorna pošta dolazila je sa zadanim PIN-om koji se mnogi korisnici nisu potrudili promijeniti, a novinari su to iskoristili. Ako je zadani PIN promijenjen, neki su išli toliko daleko da su zvali svoje mete i pretvarali se da su tehničari iz telefonske tvrtke. Dobili bi PIN-ove govorne pošte i dobili pristup tamo skrivenim informacijama.
Općenito, scenariji s izgovorom obično zahtijevaju veliku dozu hitnosti ili suosjećanja od potencijalne žrtve. Napadači mogu koristiti e-poštu, telefonske pozive ili tekstualne poruke kako bi stupili u kontakt sa svojim metama.
Elementi napada s izgovorom
U scenariju s izgovorom, postoje dva glavna elementa: "lik" kojeg glumi prevarant i "uvjerljiva situacija" namijenjena prevariti metu da povjeruje da lik ima pravo na informacije koje oni su nakon.
Zamislite da pokušavate obraditi transakciju, a ona ne prolazi. Ne dobivate pizzu koju ste naručili, a online trgovina je zatvorena. Kakva šteta! Ali to nije sve. Nekoliko minuta kasnije, nekom neobjašnjivom greškom saznajete da je vaš račun terećen.
Ubrzo nakon toga, napadač zove i pojavljuje se, pretvarajući se da je agent za brigu o korisnicima iz vaše banke. Budući da očekujete poziv, nasjedate na ovu vjerojatnu situaciju i dajete podatke o svojoj kreditnoj kartici.
Kako funkcionira pretexting?
Pretekstiranje iskorištava slabosti u potvrdi identiteta. Tijekom glasovnih transakcija fizička identifikacija gotovo je nemoguća, pa institucije pribjegavaju drugim metodama za identifikaciju svojih klijenata.
Ove metode uključuju traženje provjere datuma rođenja, najbližeg srodstva, broja potomaka, kontakt adrese, majčinog djevojačkog prezimena ili broja računa. Većina ovih informacija može se dobiti na internetu s računa meta na društvenim mrežama. Pretektori koriste ove informacije kako bi "dokazali" autentičnost svog karaktera.
Prevaranti koriste vaše osobne podatke kako bi vas natjerali da otkrijete osjetljivije informacije koje mogu koristiti. Dobivanje ovih osobnih podataka zahtijeva pažljivo istraživanje jer što su dobiveni podaci specifičniji, to ćete biti prisiljeniji odreći se još vrijednijih informacija.
Prevaranti također imaju izravne izvore informacija osim društvenih medija. Oni mogu lažirati telefonski broj ili ime domene e-pošte organizacije za koju se lažno predstavljaju kako bi dodali vjerodostojnost vjerojatnoj situaciji koja se prodaje meti.
3 značajne tehnike preteksta
Postoje razne tehnike izgovora koje prevaranti i hakeri koriste kako bi dobili pristup osjetljivim informacijama.
1. Vishing i Smishing
Ove su tehnike vrlo slične. Vishing napadi uključuju korištenje glasovnih poziva za uvjeravanje žrtve da odustane od informacija koje su potrebne prevarantu. Smešne prevare, s druge strane, koristite SMS ili tekstualne poruke.
Vishing ima veće šanse za uspjeh jer je vjerojatnije da će mete ignorirati tekstualne poruke nego izravne pozive naizgled bitnog osoblja.
2. Mamljenje
Mamljenje uključuje korištenje velike nagrade za prikupljanje informacija, a može uključivati i lažiranje pouzdanog izvora.
Prevarant bi se mogao pretvarati da je odvjetnik tvrdeći da imate nasljedstvo od dalekog rođaka i trebat će vam vaše financijske podatke za obradu transakcije. Visokopozicionirano osoblje ciljane organizacije također može biti žrtva.
Još jedan uobičajeni manevar je ispuštanje omotnice koja sadrži flash pogon s logotipom tvrtke i porukom za rad na hitnom projektu. Flash disk bi bio krcat zlonamjernim softverom koji bi hakeri koristili za pristup poslužiteljima tvrtke.
3. Scareware
U ovoj metodi hakeri koriste strah kao taktiku. Značajan primjer je skočni prozor na nesigurnom web-mjestu koji vam govori da postoji virus na vašem uređaju i zatim vas traži da preuzmete antivirusni program koji je zapravo zlonamjerni softver. Scareware se također može distribuirati putem e-pošte i poveznica u tekstualnim porukama.
Kako se zaštititi od napada s izgovorom
Napadi s izgovorom toliko su rašireni da gotovo da ne postoji način da ih se u potpunosti zaustavi. Međutim, mogu se poduzeti koraci da ih se značajno suzbije.
Jedan korak je analiza e-pošte. Gledanje naziva domene e-pošte može dati uvid u to je li lažna ili autentična. Međutim, napadi s izgovorom mogu lažne domene e-pošte pa izgledaju gotovo identično originalu, zbog čega je izuzetno teško uočiti ove izgovore.
Ali s napretkom složene AI tehnologije, analiza e-pošte postala je pristupačnija. AI sada može uočite uzorke krađe identiteta i potražite znakove izgovora. Može identificirati anomalije u prometu i lažna imena za prikaz e-pošte, kao i fraze i tekst koji su uobičajeni kod napada pretekstom.
Edukacija korisnika je, naravno, neophodna. Nitko ne bi trebao tražiti lozinku vaše banke, PIN kreditne kartice ili serijski broj. Trebali biste odmah prijaviti zahtjev za bilo što od navedenog nadležnim tijelima. Nadalje, podsjećajući svoju obitelj, prijatelje i zaposlenike da ne klikaju na nepoznate poveznice i da ih izbjegavaju posjećivanje nesigurnih web stranica moglo bi biti dovoljno za sprječavanje ulaska zlonamjernog softvera u vaše tvrtke poslužitelji.
Ne nasjedajte na prijevare s izgovorom
Pronalaženje operacije izgovora možda neće biti lako, ali postoje jednostavni koraci koje možete poduzeti da ne postanete žrtva. Ne klikajte na poveznice na nesigurnim web stranicama i nikome ne otkrivajte svoje podatke za prijavu. Na internetskoj platformi vaše banke postoje provjerene linije korisničke službe. Kada vas bilo koji agent za korisničku podršku kontaktira, pobrinite se da brojevi odgovaraju službenoj liniji.
