internetske prevare

Čak 1500 ljudi godišnje nasjedne na phishing napade i izgubi novac. Naše stručnjakinje smislile su rješenje koje će se obračunati s prevarantima na globalnoj razini

31.07.2022 u 17:00

Bionic
Reading

'UPOZORENJE: Vaš račun na Googleu je blokiran iz sigurnosnih razloga. Otkrili smo neovlaštenu prijavu, klikom na poveznicu potvrdite i zaštitite svoj račun. Hvala'. 'Ja sam John iz Engleske, nedavno mi je teta ostavila veliko nasljedstvo koje bih podijelio s Vama'. Ovo su samo dva primjera phishing mailova, vrste prijevare putem elektroničke pošte u kojoj maliciozni napadač navodi žrtvu da klikne na razne poveznice i otkrije svoje osobne podatke; od OIB-a do podataka o kreditnoj kartici

Ta vrsta internetske prijevare također može kompromitirati tvrtku u kojoj osoba radi ili pak pojedinca te uzrokuje veliku financijsku i reputacijsku štetu, kao i psihološke posljedice žrtve. Na svjetskoj razini puno je ozbiljnija situacija pa se kibernetički napadi – od kojih je phishing najzastupljeniji s gotovo 90 posto – događaju gotovo svake sekunde.

Godišnje oko 1500 građana u Hrvatskoj nasjedne na spomenute prevare. U 'novom normalnom', u kojem se u svijetu intenziviraju online usluge i korištenje mailova kao sredstva komunikacije korisnika svih dobnih skupina, oni 'ranjiviji' nisu svjesni mogućih ugroza.

Taj je gotovo svakidašnji izazov bio misao vodilja PhisHRbana, istraživačko-razvojnog projekta koji se bavi područjem kibernetičke sigurnosti s ciljem razvoja inovativnog rješenja za prepoznavanje phishing poruka. Projekt je još u tijeku, a traje 30-ak mjeseci, odnosno nešto više od godinu i pol. Trenutno je u procesu izrada sustava umjetne inteligencije za automatsko prepoznavanje poruka na hrvatskom jeziku, do polovice 2023. godine.

PhisHRban dakle otkriva maliciozne elektroničke poruke neželjenog i zavaravajućeg sadržaja pomoću rješenja umjetne inteligencije, s ciljem automatskog prepoznavanja phishing poruka koje 'pecaju' potencijalne žrtve. Novost projekta je to što se razvija za hrvatski jezik.

Spoj je to znanosti i realnog sektora u kojem sudjeluju tvrtka Megatrend d.o.o. i dva fakulteta, Ekonomski fakultet i Filozofski fakultet Sveučilišta u Zagrebu, uz istraživački tim pod vodstvom prof. dr. sc. Mirjane Pejić Bach, prof. dr. sc. Sanje Seljan te Anđelke Strajher.

Predvodnici u području obrade prirodnog jezika

Svaki e-mail klijent, kao što je npr. Google, ima automatski sustav za identifikaciju malicioznih poruka e-pošte, kao što su virusi ili phishing poruke. Međutim takvi alati nisu prilagođeni hrvatskom jeziku. Osim toga, internetski kriminalci također inoviraju te razvijaju nove vrste phishing poruka. Tako da je izrada alata za phishing poruke 'mrtva trka' između internetskih kriminalaca i alata za njihovo automatsko prepoznavanje.

'Rezultat projekta je novi proizvod koji ima potencijalno veliko tržište, ne samo u Hrvatskoj, već i u zemljama regije, jer su istraživanja pokazala da je vjerojatnost nasjedanja na prijevaru putem phishing poruka veća kada je poruka napisana na jeziku govornika. Hrvatska može biti predvodnik u području obrade prirodnog jezika jer je on vrlo specifičan, s kompleksnom gramatikom. Rješenja umjetne inteligencije koja koriste algoritme umjetnog jezika mogu biti primjenjiva i za druge jezike, ali je potrebno izraditi algoritam koji može prepoznavati različite složene jezične konstrukcije.

Glavni rezultat projekta je algoritam koji će moći s velikom preciznosti automatski prepoznavati phishing poruke na hrvatskom jeziku. Sekundarni rezultat projekta je algoritam za analizu teksta na hrvatskom jeziku, a koji do sada nije razvijen za hrvatsko tržište. Oba proizvoda imaju velik potencijal za društvo i za gospodarstvo', pojašnjavaju nam idejni začetnici projekta.

Istraživački tim projekta PhisHRban o phishing napadima:

Phishing napadi postali su izuzetno sofisticirani i prošli su dani u kojima ste jednostavno mogli uočiti neobičnu e-poruku, odnosno više u tolikoj mjeri ne stižu pisma afričkog princa koji potražuje financijsku pomoć. U phishing porukama uvijek se javljaju obećanja i strah – obavijesti da ste osvojili milijune ili ucjena da će vam netko učiniti nešto nažao vrlo je popularna strategija kako bi vas navela da učinite nešto što nije u vašem interesu. Današnje phishing poruke mogu biti napisane potpuno personalizirano tako da se ne razlikuju od originalnih poruka. Zbog toga je potrebno biti oprezan čim se od nekoga traži davanje nekih podataka ili neka akcija.

Sadrži li e-poruka poveznicu, obavezno treba provjeriti kamo ona vodi. To se čini bez klikanja, već samo pomoću prelaska pokazivačem preko poveznice da se prikaže stvarna putanja, odnosno adresa stranice na koju vodi. E-adresa pošiljatelja često je u phishing porukama sastavljena tako da sliči na originalnu adresu e-pošte. Naprimjer, adresa će biti pbz-hrvatska@gmx.com umjesto pbz@pbz.hr. Iako se evidentno radi o lažnoj adresi, ona ipak ima neke poznate elemente – 'pbz' i 'hrvatska' u nazivu maila navode na povjerenje, što je opasno. Uz to, obratite pozornost na gramatičke pogreške, način komunikacije te cjelokupan kontekst, što osim za elektroničku poštu vrijedi za SMS poruke i telefonske pozive.

Zlonamjernih napada je puno i neki od njih usmjereni su na hrvatsko tržište, a neki su dio svjetskih kampanja. Inicijatori projekta PhisHRban kao primjer navode phishing poruke koje 'glume' poruke Hrvatske pošte na hrvatskom jeziku s ciljem navođenja građana da odaju podatke o svojoj kreditnoj kartici, a namijenjene su lokalnom tržištu i vjerojatno su ih kreirali kriminalci iz Hrvatske ili zemalja regije.

Navode da postoje dva načina zaštite od phishing napada:

  • rješenja umjetne inteligencije, kojima se automatizira prepoznavanje phishing poruka
  • edukacija korisnika za prepoznavanje phishing poruka.

'Kao i u životu, ništa nije besplatno u virtualnom svijetu'

'Posljedice mogu biti ogromne. Prva grupa posljedica su financijske štete koje poduzeće može imati zbog odavanja povjerljivih podataka. Druga grupa su reputacijske štete jer poduzeće ostavlja dojam nepouzdane organizacije. Treća grupa posljedica mogu biti psihološke prirode, jer se javlja nesigurnost zaposlenika zbog prijevare. Ako postanemo žrtve phishing napada, na osobnoj razini javljaju se isti problemi kao i u poduzećima, a koji uključuju financijsku štetu te se ljudi osjećaju osramoćeni i ugroženi kao posljedica prijevare.

Phishing napade možemo izbjeći kao i druge prijevare u privatnom životu. Kriminalci uvijek igraju na emocije – strah i potencijalnu korist. S jedne strane trebamo biti oprezni kada nas netko želi zaplašiti i traži od nas podatke putem e-pošte koji su povjerljive prirode – naše korisničko ime i lozinku, OIB, podatke o kreditnoj kartici i slično. S druge strane, također trebamo biti oprezni kada nam netko želi darivati nešto, a zauzvrat također traži osjetljive podatke. Kao i u životu, ništa nije besplatno ni u virtualnom svijetu', zaključuju idejni začetnici projekta.