Združenje bank Slovenije (ZBS) je vsled pričetka spomladanskega vala kampanje ozaveščanja javnosti glede tveganj spletnih prevar in v sodelovanju z Upravo kriminalistične policije, SI-CERTom ter Združenjem za informatiko in telekomunikacije pri Gospodarski zbornici Slovenije (GZS) organiziralo dogodek za novinarje na temo spletnih goljufij in prevar na področju elektronskega poslovanja. Z namenom, da bi vzbudili pozornost in dodatno poudarili, kako smo vsi izpostavljeni tveganjem goljufij ter kako pomembna je posebna dodatna pozornost pri branju sporočil, ki jih prejmemo prek elektronske pošte, smo medijem poslali vabilo, ki je posnemalo tehniko dveh prevar: investicijsko prevaro in phishing, za katero so značilni trije elementi: lažna novica, obljuba in povezava na lažni spletni obrazec za prijavo, ki je imel nepravilen naslov domene, vendar zelo podoben originalni, kar je značilno za phishing prevaro. V okviru odzivov novinarjev so nekateri preverili sum, da gre pri vabilu za phishing, drugi so nas obvestili, da so v našem imenu prejeli lažno vabilo (zloraba logotipa in imena ZBS), tretji pa so nas označili za podpornike »megle«.
Glede na to, da so spletne goljufije resen družbeni problem, si Združenja bank skupaj s članicami, bankami in hranilnicami, že drugo leto zapored prizadeva za dvig osveščenosti javnosti glede pretenj, ki jih neustrezna uporaba naših naprav in spletnih aplikacij, prinaša. V letošnji kampanji, ki se bo pričela izvajati sredi marca, bo osrednja pozornost namenjena opozorilom v zvezi z ribarjenjem za našimi podatki in investicijskim prevaram.
Stanislava Zadravec Caprirolo, direktorica ZBS je na dogodku izpostavila, da hiter razvoj tehnologije predstavlja tudi pot za kibernetske napade, ki postajajo izrazito kompleksni. Povzela je, da je stopnja digitalnih veščin in kompetenc državljanov EU po podatkih Eurostata relativno nizka. Leta 2021 je 87% ljudi (starih od 16 do 74 let) redno uporabljalo internet, le 54% pa jih je imelo vsaj osnovne digitalne veščine.
Vse več napadov na svoje komitente beležijo tudi banke in hranilnice (v nadaljevanju banke), pri čemer napadalci povezave na lažne spretne strani pošiljajo v SMS sporočilih, ki vsebujejo navidezno resnične podatke o banki. Banke imajo tudi sisteme in mehanizme, s katerimi zmanjšajo tveganja tako za banko kot za stranke, vendar največ za varnost svojih podatkov lahko naredi vsak posameznik. Napadi z neposrednim vdorom v banke niso bili zabeleženi.
Kako postopati, če ugotovimo ali posumimo, da smo žrtev prevare pri izvedbi finančne transakcije in kako, da zmanjšamo izpostavljenost prevari?
- Banke ali hranilnice nikoli ne bodo zahtevale, da vnašate svoje prijavne podatke ali podatke o karticah v spletne povezave, poslane prek elektronskih ali SMS sporočil. To je lahko prvi znak, da gre za prevaro. Tako sporočilo, je treba takoj zbrisati. Če ste v lažno spletno banko morebiti že vnesli svoje identifikacijske podatke, nemudoma kontaktirajte kontaktni center banke ali svojega osebnega bančnika.
- Če opazite transakcije, ki jih niste opravili, o tem takoj obvestite svojo banko ali hranilnico.
- O morebitni zlorabi obvestite tudi policijo; incident pa lahko tudi sami prijavite na SI-CERT.
- Če banko obvestite takoj, potem morda še obstaja vsaj majhna možnost, da bo banka morda lahko transakcijo ustavila. Ko pa je transakcija izvedena in denar že na računu goljufivega prejemnika, je možnost povrnitve zelo majhna.
- Zato je zelo pomembno, da smo zelo pozorni in previdni preden izvedemo transakcijo.
Za uspešen boj proti kibernetskemu kriminalu je nujno ozaveščanje o kibernetski varnosti. S tem namenom je ZBS ob podpori članic pripravilo tudi kampanjo ozaveščanja Pazi.se, ki jo je začelo izvajati že v letu 2023. Novinarjem in medijem se je zahvalila za podporo kampanji z objavami na temo prevar, saj je izobraževanje in stalno ozaveščanje o kibernetski varnosti nujno za uspešen boj proti kibernetskemu kriminalu.
David Gracer iz Uprave kriminalističen policije je predstavil obravnavane elektronske goljufije v Sloveniji s strani Policije. Povedal je, da so z ločevanjem obravnave spletnih goljufij pričeli v letu 2020, ko so le-te skupaj rezultirale v 8 mio EUR škode (ostale goljufije 60 mio EUR), leta 2023 pa je vsota škod iz spletnih goljufij znašala že 27,5 mio EUR (ostale goljufije 30 mio EUR).
Za primerjavo je izpostavil, da so v letu 2023 škode iz naslova tatvin znašale cca 16 mio EUR, škode iz velikih tatvin cca 29,8 mio EUR, škode iz ropov pa cca 440.000 EUR. Predstavil je tudi načine storitve nekaterih prevar in način pridobitve protipravne premoženjske koristi s strani storilcev. Podatke najpogosteje dobijo s pomočjo phishinga in nato kraje bančnih podatkov, ki jih oškodovanec sam vnese na lažno spletno stran.
V nekaterih oblikah prevar storilci denar pridobijo s pomočjo denarnih mul. Te z dvigovanjem gotovine in posredovanjem preko Western Union oz. preko prenakazil na druge transakcijske račune in nakupom virtualnih valut ukradena denarna sredstva hitro razpršijo in preusmerijo največkrat v tretje države, kjer se za njimi izgubi sled.
Izpostavil je investicijsko goljufijo in potek prevare (slika spodaj), ki se običajno začne preko telefonskega klica, kjer goljuf prepriča oškodovanca, da si na svoj telefon namesti zlonamerno programsko opremo, ki ji v nadaljevanju sledi vdor v spletno/mobilno banko in odliv sredstev z računa. Poudaril je, da je prevare čim prej potrebno prijaviti policiji, saj le v primeru takojšnje oz. hitre prijave obstaja manjša možnost, da s takojšnjo zaustavitvijo sredstev v sodelovanju z Uradom za preprečevanje pranja denarja ne pride do njihovega odliva. Prav tako je zlorabo potrebno čim prej prijaviti tudi banki.
Gorazd Božič, vodja SI-CERTa in Jasmina Mešić, koordinatorka nacionalnega programa ozaveščanja Varni na internetu sta povedala, da so Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT v preteklem letu ponovno zabeležili rast števila obravnavanih incidentov, pri čemer ostaja že nekaj let precej stabilno razmerje, da spletne prevare predstavljajo tretjino vseh primerov. V skoraj 30-ih letih delovanja odzivnega centra imajo že toliko vpogleda v problematiko, da lahko izpostavijo nove pristope spletnih napadalcev, ki so jih zaznali.
Gotovo vidijo trend lokalizacije, saj napadalci vedno pogosteje za svoje krinke izrabljajo slovenske storitve in podjetja, ki so slovenskim uporabnikom blizu in tudi vzbujajo več zaupanja. Tako so zaznali več phishing napadov, kjer so zlorabili podjetja Mimovrste, Bolha.com, Pošta Slovenije, Arnes elektronsko pošto ipd. Obenem je tudi slovenščina vedno boljša in prepričljivejša, kar je posledica zmogljivih prevajalskih programov. Podoben trend je tudi pri lažnih spletnih trgovinah, ki zavajajo, da gre za slovenske trgovce oz. slovenske distributerje, na način, da v imenu spletne trgovine uporabljajo ime Slovenija.
Prav tako opažajo, da napadalci žrtvam posvetijo zelo veliko časa. Napadi so vse bolj personalizirani in prilagojeni posamezni žrtvi. Vse več je napadov z neposrednim stikom, torej napadalci žrtev pokličejo po telefonu ali kontaktirajo preko zasebnega sporočila (Viber, Telegram). Vzamejo si veliko časa za prepričevanja in pojasnila, izstopajo predvsem kripto investicijske prevare, kjer za prepričljivejšo krinko organizirajo spletne seminarje, video navodila, zaprte podporne skupine ipd.
Napadi postajajo vse bolj prilagojeni telefonom in našim uporabniškim navadam. Na SI-CERTu beležijo velik skok v številu napadov prek SMS sporočil in aplikacij za hipno sporočanje (npr. Viber, WhatsApp). Nevarnosti se selijo na pametne telefone v obliki zasebnih sporočil, ki pod pretvezo “preverjanja podatkov”, “potrjevanja transakcij” ipd. želijo izvabiti podatke za dostop do elektronske banke in podatke kreditne kartice (t.i.smishing). Ti napadi prek SMS sporočil so za uporabnike lahko nevarnejši od napadov preko elektronske pošte, saj pred slednjimi ščitijo filtri na poštnih strežnikih, ki blokirajo večji del lažnih sporočil. V samem SMS sporočilu je težje preveriti, kam pelje povezava, kot to lahko storimo na računalniku. Nenazadnje je tudi način uporabe telefona veliko bolj oseben, pogosto ga uporabljamo v okolju, kjer si težje vzamemo trenutek miru, da natančno preverimo stran, kamor vnašamo podatke.
Izpostavili so tudi porast oglasov, ki vodijo neposredno v spletno zlorabo – lažno trgovino, phishing spletno mesto, kripto prevaro ipd. Oglaševalske platforme, npr. Meta, Google Ads ter oglaševalske mreže so spletni napadalci popolnoma usvojili in so, če karikiramo, postale že del običajne poslovne prakse. Uporaba (oz. natančneje zloraba) legitimnih oglaševalskih orodij za zvabljanje uporabnikov v različne spletne prevare ni novost, presenetljivo pa je, kako pogosti so postali tovrstni oglase, kako dobro ciljajo uporabnike in kako malo vzvodov je na voljo, da bi se zaščitili spletni uporabniki.
Uroš Majcen iz Združenja za informatiko in telekomunikacije pri Gospodarski zbornici Slovenije, direktor kibernetske odpornosti v kranjskem IKT podjetju Kontron, je predstavil, kako se zaščititi pred goljufijami z razpoložljivo programsko opremo. Poudaril je, da je vsepovezanost in kroženje informacij ključnega pomena za sodobno poslovanje. Strojna in programska oprema imata ranljivosti, ki se jim ne moremo izogniti. Šibek člen pa je človek, ki je po naravi zaupljiv in pogosto premalo pozoren na podrobnosti (npr. prebiranje in odpiranje e-pošte), zato je ribarjenje najpogostejši način izvedbe kibernetskega napada. Zavedati se je potrebno, da preveč »privlačne« informacije verjetno niso resnične. Umetna inteligenca pa bo to še poenostavila za napadalce zaradi »spear phishinga«.
Nobena še tako napredna oprema vam ne bo koristila, če ne boste izvajali osnovnih korakov za zaščito pred kibernetskimi napadi:
- Nameščanje popravkov na svoje računalnike in mobilne naprave;
- Uporaba programske opreme za zaščito pred virusi in zlonamerno kodo na svojih računalnikih ter tudi na prenosnih napravah;
- Uporaba dobrih praks pri geslih;
- Domače omrežje in varnost;
- Zaščita pred phishing in vishing napadi;
- Varnostne kopije podatkov;
- Ozaveščanje družinskih članov glede varnosti na internetu;
- Razumevanje in zaščita pred krajo identitete;
- Vedenje kaj storiti v primeru, da postanete žrtev;
- Obvladovanje in zaščita svojih podatkov.
Predstavil je tudi razpoložljivo programsko opremo za zaščito pred kibernetskimi napadi tako za pravne, kot tudi za fizične osebe. Kot največjo grožnjo ta trenutek pa je izpostavil uporabo rešitev umetne inteligence za napade. FraudGPT lahko kreira phishing in sperphisning elektronska poročila, lahko se pretvarja, da je uporabnik in se pogovarja z osebo (socialni inženiring), lahko se uporabi za distribucijo zlonamerne programske opreme (malware) in tudi za kreiranje problematičnih dokumentov.
Ob zaključku je še poudaril pomen uporabe programske opreme za zaščito pametnih telefonov, ki še ni vsesplošno v uporabi in bi jo posamezniki morali namestiti na pametne telefone, saj se tipologije zlorab prilagajajo ravno uporabi nezaščitenih pametnih telefonov.
Združenje bank Slovenije
Ljubljana, 13. marec 2024