U bankarskoj industriji najteži sigurnosni napadi manifestiraju se putem lažnih e-mailova. “U njima se prevaranti predstavljaju kao banke ili državne institucije te pokušavaju doći do osjetljivih podataka klijenata, kao što su prijavni podaci ili aktivacijski kodovi za mToken”, upozorava Hrvoje Gledec, voditelj tima za sigurnost digitalnog bankarstva iz Sektora za digitalno bankarenje Erste banke.

Napadači pritom šalju poveznice na lažne phishing stranice, a upravo je phishing jedna od najvećih online prijetnji današnjice. Na globalnoj razini procjenjuje se da se dnevno pošalje više od tri milijarde takvih neželjenih poruka.

U Hrvatskoj je phishing trenutno na prvom mjestu računalno-sigurnosnih incidenata, a svemu tome doprinosi globalna dostupnost potencijalnih žrtava. Naime, sve što je napadačima potrebno su pristup internetu i aktivna e-mail adresa korisnika putem koje će izvršiti svoju prevaru.

Doza opreza uvijek je dobrodošla

Da se sve češće susreću sa situacijama u kojima klijenti prime phishing mail te ga smatraju valjanim i nasjednu na prevaru, tvrdi i Melita Olanović, direktorica direkcije kartičnog poslovanja i mobilnog plaćanja iz Sektora direktnih kanala Erste banke.

Ono što pritom ističe kao bitno je da se ljudi, u takvim slučajevima, prvenstveno moraju zapitati je li istina to što su putem e-maila dobili.

Primjerice, kao recentni slučaj prevare ističu se lažne obavijesti Porezne uprave. Napadači su slali e-mailove lažno se predstavljajući kao Porezna uprava RH, s poveznicom na lažnu stranicu e-Građani.

Ondje se tražio unos podataka i aktivacijskih kodova za aktivaciju novog mTokena. Kada bi osoba unijela podatke, napadač bi aktivirao novi mToken i tako dobio potpuni pristup računima.

U sumnjivim slučajevima obavezno kontaktirati banku

“Kada dobijemo takvu poruku, prvo bismo se trebali zapitati imamo li uopće osnove za povratom poreza. Slijedi pitanje je li se nešto promijenilo u odnosu na prethodnu godinu oko isplate i na kraju, zašto bi za uplatu na račun trebali upisati kartične podatke i transakciju potvrditi mTokenom kada je za uplatu dovoljan samo IBAN”, savjetuje Olanović.

To bi bili neki od jednostavnih koraka koje klijenti mogu sami provesti, a u slučaju bilo kakvih nedoumica ili nesigurnosti, svakako savjetuje da se kontaktira banka.

Lažne obavijesti i prevare na oglasnicima

Osim lažnih porezni, Gledec je pak istaknuo da se sve češće internetom šire i lažne obavijesti o zahtjevima banke. “Napadač šalje e-mail klijentu, lažno se predstavljajući kao njegova banka, tražeći ažuriranje podataka kako bi se moglo nastaviti korištenje usluga online bankarstva”, kaže.

Takav e-mail sadrži link koji vodi na lažnu stranicu za prijavu u online bankarstvo, gdje se traži unos podataka i aktivacijskih kodova za novi mToken. Kada klijent unese podatke, napadač ih koristi za pristup računima i izvršavanje transakcija.

Aktualne su još i prevare putem oglasnika. “Prevarant se pritom javlja klijentu koji prodaje proizvod na nekom od prodajnih oglasnika, predstavljajući se kao kupac. Potom šalje lažni link navodne kurirske službe te traži unos kartičnih podataka ili aktivacijskih kodova, koje zatim koristi za izvršenje prevare”, opisuje Gledec.

Zlonamjerne aplikacije

Dodaje da ljudi mogu postati žrtvama prevare i ako ih napadač uputi na instalaciju aplikacije za udaljeno upravljanje uređajem.

Takve aplikacije omogućavaju napadaču pristup cjelokupnom uređaju, mobitelu ili računalu, pa tako i online bankarstvu i računima u banci.

“U tim slučajevima, napadač komunicira s klijentom na način da stekne njegovo povjerenje i nagovori ga da instalira zlonamjerne aplikacije kako bi mu, navodno, pomogao u investiranju. Prevaranti zapravo nakon toga mogu bez klijentovog znanja izvršavati transakcije i otuđiti dostupna sredstva”, ističe Gledec.

Prevencija napada pravi je izazov

Kreativnost i dosjetke zlonamjernih pojedinaca tako dovode do jednog od najvećih izazova današnjice u sektoru bankarske sigurnosti, a to je prevencija napada.

Sigurnosni timovi Erste banke nastoje otkriti potencijalne prijetnje prije nego što postanu problem, koristeći napredne algoritme i strojno učenje kako bi mogli analizirati ponašanje i identificirati neobične obrasce.

“S obzirom na to da prevaranti često mijenjaju svoje metode i tehnike, nastojimo uvijek biti korak ispred njih i osigurati najnovije sigurnosne protokole za zaštitu. Pritom često surađujemo s drugim stručnjacima u industriji”, kaže Gledec.

Nadzor i analiza incidenata

U nastojanju da se spriječe prevare, dodaje Olanović, doprinijeti mogu jedino zajednički napori klijenata i banke.

“Posebni specijalizirani timovi naših djelatnika nadležnih za kartičnu sigurnost i prigovore svakodnevno nadziru kartične transakcije korisnika, kroz više sustava i iz više aspekata – primjerice, prema učestalosti transakcija i rizičnosti potrošnje”, opisuje.

Implementacija takvih alata znatno pomaže u otkrivanju potencijalno zlonamjernih aktivnosti te olakšava identifikaciju ponašanja koja općenito odstupaju od uobičajenih.

Nadzor i analiza aktualnih sigurnosnih incidenata, kao i praćenje i evaluacija različitih sigurnosnih rješenja, također su ključni.

Raznolika sigurnosna rješenja

“Primjerice, postupci višestruke autentifikacije samo su jedna od mjera opreza koje osiguravaju dodatan sloj sigurnosti i smanjuju rizik od neovlaštenog pristupa računima”, kaže Gledec.

Generalni cilj je osigurati sigurnost i zaštitu podataka klijenata te im osigurati pouzdano bankarsko iskustvo, primarno kroz kombinaciju praksi koje su usklađene s najnovijim sigurnosnim standardima i regulativama u industriji.

Poznavanje opasnosti najbolja je zaštita

“Često zanemaren, a zapravo ključan segment u borbi protiv online prevara je edukacija korisnika. Nastojimo informirati naše klijente o različitim vrstama prijetnji te ih poučiti kako prepoznati sumnjive e-poruke, telefonske pozive i druge oblike komunikacije”, govori Gledec.

Razumijevanje raznih metoda napada i svijest o opasnostima tako omogućava bolju zaštitu od financijskih prevara.

Suradnja s klijentima olakšava posao

“Klijenti pozitivno reagiraju kada ih kontaktiramo i izrazimo sumnju da je moglo doći do kompromitacije podataka ili da bilježimo pokušaje prevare. Zainteresirani su za suradnju te propituju načine kako izbjeći nepovoljne situacije”, kaže Olanović.

Druga situacija je da se klijenti sami jave nakon što uoče neovlaštenu transakciju na računu te se kroz rješavanje prigovora i kontakta s s klijentom dolazi do informacija o mogućem načinu prevare.

No, bez obzira je li banka kontaktirala klijenta ili se klijent sam javio banci, stručnjaci Erste banke naglašavaju da je njihov temeljni zadatak klijentima skrenuti pažnju na potencijalne prevare te ih uputiti u korake zaštite.

Kartica je isto što i novčanik – ne dajte ju svakome

“Tako, primjerice, sugeriramo klijentima da nikada ne pohranjuju podatke s kartice prilikom online kupnje, da budu pažljivi prilikom kupovine ili prodaje preko oglasnika te da nikada ne potvrđuju uplatu sredstava na račun mTokenom jer se mTokenom samo potvrđuje isplata s računa”, opisuje Olanović.

Dodaje da svoje korisnike nastoje osvijestiti koliko jedna kartica sadrži vrijednih podataka te da njihovim ustupanjem trećim osobama daju na raspolaganje sva svoja sredstva na računu.

“Uvijek ističemo da je kartica kao i novčanik, a svi znamo da novčanik sigurno ne bismo olako dali nepoznatoj osobi”, kaže.

---

Savjeti za sigurnost

Imajući na umu razne opasnosti koje vrebaju na digitalnim kanalima te njihove potencijalno vrlo ozbiljne posljedice, Olanović i Gledec istaknuli su i 10 ključnih koraka koje je potrebno slijediti kako bi se osigurala zaštita i povećala sigurnost u online svijetu.

1. Pripazite na phishing i lažne e-poruke financijskih institucija u kojima se traži da potvrdite podatke o računu. Takve e-mailove prijavite institucijama od kojih navodno dolaze kako biste pomogli u razotkrivanju prevaranata.

2. Ne odgovarajte ni na kakve e-mail poruke u kojima se od vas zahtijeva dostavljanje kartičnih podataka – broj kartice, troznamenkasti kontrolni broj CVC2/ CVV, rok valjanosti kartice, PIN i jednokratne zaporke za sigurnosnu kupovinu ili slanje kopije vaše kartice. U slučaju primitka takvog e-maila odmah obavijestite banku.

3. Redovito provjeravajte račune uz koji vam je izdana kartica te vodite evidenciju o učinjenim troškovima.

4. Aktivirajte usluge za informiranje o učinjenim troškovima – primjerice, Erste SMS putem kojeg se odmah dobije informacija o autorizaciji kartične transakcije, izvod po računu i slično.

5. Prije nego što se odlučite na internetsku kupovinu, istražite prodavatelje te izbjegavajte one s lošim ocjenama. Provjerite uvjete poslovanja internetske trgovine. Pažljivo proučite uvjete plaćanja, dostave, reklamacija i povrata.

6. Koristite poznate servise za plaćanje i provjerite je li internetska stranica putem koje kupujete sigurna i pouzdana prije nego što provedete plaćanje.

7. Kartične podatke unosite samo na sigurnim stranicama – potražite ‘\https\’ na početku adrese internetske stranice te sličicu neotključanog lokota pored trake za adresu – ‘\s\’ kao secure ili siguran, a ne s uobičajenim ‘\http\’.

8. Za svaki račun i aplikaciju koristite drugi PIN i lozinku. Koristite li istu lozinku za sve, a prevarant dođe u posjed iste, imat će pristup svemu.

9. Ako ne kupujete određeni proizvod ili uslugu, nemojte davati podatke o svojoj platnoj kartici.

10. Redovno ažurirajte antivirusni program i postavke firewalla na računalu.

---

Sadržaj nastao u suradnji s Erste bankom.