Kako ocjenjujete trenutnu situaciju u vezi s phishing napadima i sajber prijetnjama na bankarski sektor u našoj zemlji? Da li ste primijetili porast ovakvih incidenata?
Prevarne radnje sa raznih aspekata su uvijek prisutne, ali se crnogorske banke kvalitetno nose sa tom problematikom. Sa većim stepenom digitalizacije usluga, jačim prisustvom vještačke inteligencije imamo i jače, frekventnije napade u sajber prostoru. Ono što je dobro jeste da niti jedna banka nije kompromitovana na ovaj način, ili nemamo prijavljen upad u sistem samih banaka. Prevarne radnje phishing, kao i vishinga (voice phishing) ili prevare putem telefonskih kontakata kao i „deepfake phishinga“ su usmjerene na korisnike usluga kod finansijskih organizacija. Deepfake phishing koristi vještačku inteligenciju za kreiranje veoma realističnih i ubedljivih medija, kao što su video snimci, audio i slike, koji mogu prevariti čak i najbudnije pojedince i organizacije. Moramo stalnom edukacijom, konstatnim informisanjem klijenata da ojačamo nivo finansijske pismenosti klijenata, da bi preventivno spriječili ove nelegalne radnje.
Upućujemo klijente banaka da koriste službene aplikacijama, ili prepoznatljiv internet pregledač kako bi obavljali finansijske transakcije. Nikada ne preuzimajte aplikacije iz nepoznatih izvora. Budite oprezni ako koristite mobilni uređaj u javnosti, naročito za mobilno bankarstvo. Svakako se odjavite nakon što ste obavili sve što ste trebali. Isključite Bluetooth vezu ako ne želite podijeliti svoje informacije s drugima, jer su to talasi koje haker lagano preuzima ukoliko ste na javnoj wi-fi mreži. Budite oprezni kada otvarate linkove iz tekstualnih poruka (SMS) ili e-poruka. Vaša banka vas nikada neće pitati za povjerljive informacije putem SMS-a, ili e-poruka. Budite oprezni kada otvarate multimedijalne poruke, jer bi mogli sadržavati malware. Ne otvarajte takve poruke, osim ako znate o čemu je riječ, ili ste to očekivali.
Koje su glavne vrste phishing napada i cyber prijetnji s kojima se banke suočavaju danas? Da li postoje specifične metode koje su posebno problematične za bankarski sektor?
Klasičan vid prevarnih pokušaja su Fišing (Phishing) koji predstavlja traženje podataka od klijenata banaka da bi se saznali njihovi lični podaci, kao što su korisnička imena, lozinke, brojevi kreditnih kartica, JMBG, PIN kartice i druge povjerljive informacije, da bi iste bile iskorištene za neovlašteno podizanje sredstava sa računa klijenta. Ove podatke banka vam nikad neće tražiti na ovaj način komunikacije.
Prevarant se žrtvi lažno predstavlja kao prepoznatljiva adresa (banka, društvena mreža, kolega, prijatelj) koristeći slične, ili klonirane e-mejl adrese, dizajn sajtova, logotip banke. Napadi se izvode najčešće preko mejla i SMS poruka, obično tražeći da se klikne na link, ili preuzme prilog sa mail-a. Na hiljade adresa se šalje i kada se neko, popularno rečeno upeca, ide faza preuzimanja podataka i njihova prodaja na crnom tržištu, ili brza realizacija prevaranta.
Takvi linkovi obično vode do lažnih internet stranica koje izgledaju identično kao prave stranice i žrtve unose svoje podatke, ne shvatajući da je u pitanju prevara. Pored toga, za obmanu se mogu koristiti i SMS poruke, ili telefonski pozivi u kojima se napadač može predstaviti na primjer kao službenik banke, ili čak inspektor policije. Klijenti moraju znati da banka nikada neće tražiti pomenute lične podatke putem društvenih mreža, telefonski, SMS-a (Viber, Whats Up..) ili bilo kojeg drugog kanala te vrste komunikacije.
Postoje li strateške inicijative na nivou udruženja koje pomažu bankama da poboljšaju svoje mjere zaštite? Kako udruženje banaka reaguje na porast phishing napada?
Strateški pristup je edukacija, razmjena informacija, sistemski pristup problematici. Upodobiti zakone, odnosno sve vrste prepreka tehničkih, ili regulatornih da budemo efikasniji u zaštiti klijenata. Saradnja sa CIRT-om i Agencijom za elektronske komunikacije mora biti na kvalitetnijem nivou u sprovođenju aktivnosti koje se tiču blokade malicioznih sajtova i sprečavanja ove vrste prevarnih radnji. Incidente ove vrste moguće je prijaviti državnim organima podnošenjem krivične prijave protiv NN lica, što automatski isključuje brzu reakciju koja je neophodna u ovim situacijama. Moramo prevazići to stanje, što je iz Udruženja banaka inicirano, ali ponovićemo inicijativu. Za one koji nijesu upoznati CIRT.ME (eng. Computer Incident Response Team) je u skladu sa Zakonom o informacionoj bezbjednosti, zadužen za odgovor na računarsko bezbjednosne incidente u sajber prostoru Crne Gore.
Dobijete li e-poruku, ili SMS u kojima se od vas traži da otkrijete lične podatke, nemojte to uraditi, kao niti kliknuti na linkove u takvim porukama. Analize ukazuju da su najčešće korišćene fraze u „phishing“ mejlovima riječi poput „faktura“ i „verifikacija“, čime se koristi hitnost kako bi se prevarile žrtve, ili da preuzmete neku pošiljku sa pošte tražeći minimalnu uplatu.
Proslijedite sve sumnjive e-poruke, ili detalje o dobijenim sumnjivim SMS-ovima vašoj banci, a zatim ih izbrišite iz dolazne mape. Te informacije vaša banka će koristiti za sprečavanje internet prevara.
Implementacija tehnoloških rješenja, uspostavljanje čvrstih organizacionih politika i podsticanje individualne budnosti su ključni koraci u ublažavanju rizika povezanih sa phishing-om. Kako tehnologija veštačke inteligencije nastavlja da napreduje, neophodno je ostati informisan i proaktivan u rešavanju ove prijetnje koja se razvija.
mr Bratislav Pejaković
Generalni sekretar UBCG
