U digitalno doba kibernetička sigurnost postaje sve važnija, posebice s porastom broja prijetnji koje vrebaju iz online svijeta. Phishing, SMS prijevare i lažni telefonski pozivi sve su češće metode kojima se kibernetički kriminalci koriste kako bi prevarili korisnike i došli do osjetljivih podataka. Phishing, oblik prijevare u kojem se napadači predstavljaju kao pouzdane osobe ili organizacije putem e-pošte, poruka ili web stranica, svakodnevno pogađa tisuće ljudi diljem svijeta. Cilj ovih napada je navesti žrtve na otkrivanje osobnih informacija poput lozinki, brojeva kreditnih kartica ili drugih povjerljivih podataka
U svijetu se 98 posto kibernetičkih napada oslanja na social engineering (psihološku manipulaciju s ciljem otkrivanja povjerljivih informacija), više od 3,5 milijardi korisnika telefona svakodnevno prima spam tekstualne poruke, a 2022. godine više od 50 posto osobnih uređaja bilo je izloženo phishing napadu putem mobilnih uređaja svaki kvartal.
Veliki su to troškovi i za kompanije - godišnji financijski utjecaj phishinga na mobilnim uređajima na organizaciju od 5000 zaposlenih iznosi gotovo četiri milijuna dolara. Tijekom protekle godine vishin napadi povećali su se za 30 posto, što ukazuje na rastući trend phishinga putem poziva.
Te je podatke iznijela Mirta Šimunić iz kompanije ASEE koja je u Zagrebu organizirala prvi ASEE CyberSafe Showcase kako bi istaknula važnost prevencije social engineering prijevara.
vezane vijesti
'Šteta prouzročena ovom vrstom prevara broji se u milijardama eura diljem svijeta. Nedavni slučaj banke OCBC iz Singapura, koja je izgubila 13,7 milijuna američkih dolara jer je više od 790 njenih korisnika nasjelo na lažne SMS poruke, jasno pokazuje težinu problema za banke i institucije. Ovakvi primjeri prevara prisutni su i kod nas', rekla je Šimunić te prikazala primjere poruka u kojima su se prevaranti lažno predstavljali u ime poznatog portala Njuškalo i Hrvatske pošte.
'Ovi primjeri, ali i brojni drugi, jasno iscrtavaju koliko je važna edukacija korisnika i podizanje svijesti o problemu', naglasila je Šimunić te dodala: 'U 2023. tri od četiri poduzeća izgubila su novac zbog telefonskih phishing (vishing) prijevara. Prosječni godišnji trošak vishing prijevara dostiže brojku od 14 milijuna za svaki vid poslovanja. Voice-based prijevare postižu najviši postotak uspješnosti od 77 posto. Prosječan trošak jednog vishing napada iznosi 577 dolara.'
Ustvrdila je i da je potrebno povećati borbu protiv spoofinga i social engineeringa radi zaštite reputacije banke/institucije, financijskih rizika, PSD3 usklađenosti te povećanja sigurnosti korisnika. PSD3 regulativa se odnosi na Treću direktivu o platnim uslugama (Payment Services Directive 3) koju je predložila Europska komisija kako bi unaprijedila i modernizirala postojeći okvir za platne usluge unutar Europske unije. Cilj ove regulative je daljnje poboljšanje sigurnosti, učinkovitosti i transparentnosti platnih usluga, te jačanje zaštite potrošača.
Željka Jurić, produkt menadžerica u odjelu sigurnosnih rješenja kompanije ASEE, govorila je o zaštiti od tzv. spoofinga, gdje napadač koristi pravi i registrirani broj određene institucije kako bi prevario korisnika te putem poziva ili SMS poruka došao do osjetljivih podataka.
'ASEE-ov spoofing protector osigurava zaštitu od lažnih SMS-ova i telefonskih poruka u stvarnom vremenu. Omogućava detektiranje lažnih poziva te njihovo blokiranje koristeći napredne algoritme analize i filtriranja. Korisnik često nije svjestan da je dobio lažan poziv ili poruku', navela je Jurić.
Spoofing protector
Ovo rješenje integrira se u mobilnu aplikaciju određene institucije i štiti krajnjeg korisnika. Korisnik će dobiti obavijest prije nego što primi legitiman poziv od institucije. U slučaju lažnog poziva, obavijest neće biti poslana, a rješenje će odmah prekinuti poziv.
Rješenje funkcionira slično i za SMS poruke. Ako SMS ne sadrži sigurnosni potpis ili potpis nije uspješno verificiran te je sumnjiv iz bilo kojeg razloga (vrijeme slanja, ime/broj pošiljatelja), SMS poruka će biti označena kao pokušaj prevare i neće biti isporučena korisniku.
Dubravko Kovačić, produkt menadžer za sigurnost platnih rješenja kompanije ASEE, održao je predavanje na temu adaptivne autentikacije.
Istaknuo je prednosti ovakve autentikacije u procesima plaćanja i sprječavanju prevara. Banke žele biti sigurne u identitet korisnika kako bi smanjile rizik, a korisnici žele jednostavno i brzo korisničko iskustvo. Rješenje koje provodi više razina provjere identiteta bez dodatnog angažmana korisnika upravo to omogućuje i pomiruje dvije naizgled suprotstavljene stvari.
'Postalo je jasno da su napadači prestali ciljati tehnologiju i našli su slabiju kariku – korisnika', istaknuli su Dražen Koren iz Hrvatske poštanske banke i Dario Matacun iz ASEE koji su raspravljali su o implementaciji ovog rješenja u banci. Istaknuli su kako je rješenje razvijano i dobivalo svoje finalne obrise kroz usku suradnju dviju kompanija, omogućavajući banci i njenim korisnicima dodatnu razinu zaštite.
'Prevencija social engineering prevara postaje sve važnija kako napadači postaju sofisticiraniji. Iako smo se ovim događajem fokusirali na uski broj stručnjaka, svjesni smo važnosti kontinuiranog razgovora na ovu temu. Naš cilj je educirati i osnažiti sudionike da prepoznaju i preveniraju ove prijetnje, te ponuditi konkretna tehnološka rješenja za povećanje sigurnosti i povjerenja u digitalnom prostoru', izjavio je Robert Preskar, direktor odjela sigurnosnih rješenja u ASEE.
