26.04.2023.
U rubrici „Korisno je da znate”, Bogdan Stanišić, samostalni stručni saradnik u Odseku za poslovnu podršku i razvoj novih proizvoda i servisa, govori o jednoj od najučestalijih internet prevara – o fišingu, odnosno „pecanju”. On u videu objašnjava šta je fišing, kako ga prepoznati, navodeći primer lažne stranice Narodne banke Srbije na Fejsbuku, ali i na koji način građani mogu da se zaštite od ovakvih prevara.
Fišing (što u prevodu sa engleskog jezika znači „pecanje”) jeste vrsta napada koja podrazumeva manipulaciju ljudima od strane zlonamernih pojedinaca i često se koristi za krađu ličnih podataka, uključujući i podatke o platnoj kartici korisnika. „To se dešava kada napadač, predstavljajući se kao osoba ili institucija od poverenja, pokušava da vas prevari na način da putem imejla ili poruka na društvenim mrežama i veb-sajtovima ostavite osetljive podatke (poput broja platne kartice, PIN-a i dr.), koje će kasnije moći da zloupotrebi. Značajnu ulogu u prevari predstavlja građenje i korišćenje poverenja žrtve, pa s obzirom na to da korisnici imaju poverenja u svoje pružaoce platnih usluga (na primer banke) i bezgotovinske instrumente plaćanja koje ti pružaoci izdaju, napadači pokušavaju da se lažno predstave kao jedan od tih pružalaca.
Jedan od takvih primera jeste i organizovanje navodne nagradne igre za korisnike DinaCard platnih kartica preko lažne stranice Narodne banke Srbije na Fejsbuku. „Prevara je osmišljena tako da navodnim učestvovanjem u nagradnoj igri korisnik dobija priliku da udvostruči stanje sredstava koje ima na platnom računu. Da bi mogao da učestvuje u toj navodnoj nagradnoj igri, neophodno je da organizatoru koji se lažno predstavlja kao Narodna banka Srbije dostavi podatke o svojoj platnoj kartici i stanju na računu kako bi se stanje udvostručilo”, naglašava on.
Prema njegovima rečima, ovaj fišing napad je imao za cilj da od korisnika prikupi informacije o platnoj kartici kao što su broj kartice, datum važenja kartice i CVV- trocifren broj na poleđini kartice. „Kada napadač dođe u posed tih informacija, on ih prosleđuje nekom ko ih može zloupotrebiti za izvršenje transakcije bez saglasnosti korisnika. Informacija o stanju na računu, pored toga što za cilj ima da priča o nagradnoj igri bude uverljivija za korisnika, olakšava napadačima da praktično u jednoj transakciji skinu sva raspoloživa sredstva s platnog računa korisnika”, ističe on.
Kada su u pitanju takvi slučajevi, Bogdan Stanišić kaže da Narodna banka Srbije odmah nakon saznanja o ovoj i sličnim ponudama na mrežama, radi sprečavanja potencijalnih prevara građana, preduzima mere prevencije tako što informaciju prosleđuje Tužilaštvu za visokotehnološki kriminal i posebnom Odeljenju MUP-a za suzbijanje visokotehnološkog kriminala kao nadležnim institucijama, koje, u skladu sa svojim ovlašćenjima, preuzimaju rešavanje ovog predmeta. Pored toga, Narodna banka Srbije, u skladu s procedurama društvene mreže Fejsbuk, prijavljuje navedenu stranicu kao lažnu i prevarnu.
Na pitanje kako se zaštititi od ovakvih prevara, on odgovara da korisnici pre svega moraju da znaju da se organizacija bilo kakvih promocija, pogodnosti i sličnih aktivnosti u vezi s bezgotovinskim plaćanjima i platnim karticama ne organizuju na Fejsbuku i drugim društvenim mrežama. „Pogodnosti u vezi s bezgotovinskim plaćanjima obezbeđuju banke ili poznati trgovci u saradnji s bankama i takve informacije se korisnicima platnih kartica najčešće saopštavaju preko banke i ugovorenih kanala komunikacije koje korisnici imaju s bankama”, objašnjava on. Najčešće pogodnosti kod plaćanja bezgotovinskim platnim instrumentima jesu, na primer, popust na iznos računa za određenu robu ili uslugu, besplatna dostava robe i sl. „Pogodnosti koje obezbeđuju banke i trgovci nikada se ne daju na način da se, na primer, udvostruče sredstva na računu, ali je važno istaći da se pogodnosti nikada ne uslovljavaju zahtevanjem i davanjem informacija o platnoj kartici, jer banka tim informacijama već raspolaže”, naglašava on i ističe da eventualno učešće u pogodnostima korisnici uvek ostvaruju izvršavanjem transakcija na uobičajen način, kao kod bilo kog drugog plaćanja.
Budući da se pokušaji prevara prevashodno dešavaju na internetu i uz upotrebu stranica na društvenim mrežama, sajtova, imejlova ili drugih vidova komunikacije, korisnik uvek treba da ima izraženu sumnju prema nerealno primamljivim ponudama, koje izgledaju previše dobro da bi bile istinite.
Korisnici treba da obrate pažnju i na tehničke elemente kada dobiju neku ponudu na internetu, kao što je pogrešno navedena imejl-adresa, adresa sajta ili blago izmenjeni logotipi pružaoca platnih usluga. „Prilikom čitanja često nam se desi da poneko slovo pročitamo iako nije navedeno, tako da korisnici uopšteno treba da budu pažljivi u čitanju adrese sajta koji posećuju, posebno ako na njemu ostavljaju bilo kakve osetljive informacije”, upozorava on. Na internetu, zvaničnu stranicu banke, ili kartičnog sistema uvek možete prepoznati jer se na tim sajtovima nalazi i niz drugih informacija o samoj banci i njenim uslugama, a ne samo navodna nagradna igra.
„Dobra provera je i da primetite da li adresa sajta počinje sa HTTPS:// ili HTTP://. Nikada nemojte ostavljati osetljive informacije na veb-sajtovima čija veb-adresa počinje sa HTTP://”, naglašava on.
Fišing napadi ne moraju dolaziti nužno s društvenih mreža, već to može biti i dobijanje imejlova i poruka sa sadržajem o iznenadnom nasledstvu, lutriji ili sličnim stvarima, kojima ne treba verovati ni onda kada sadrže određenu dokumentaciju dostavljenu uz njih. Svakako ne treba dostavljati informacije o platnoj kartici ili bilo koje druge podatke pošiljaocima ovakvih imejlova odnosno poruka.
„Dakle, radi što bolje zaštite od fišinga, korisnik treba da vodi računa o tome kome odgovara na imejlove i koje sajtove posećuje, odnosno da li su to zvanične imejl-adrese i sajtovi finansijskih institucija, trgovaca s kojima sarađuje ili koje je posećivao”, kaže on. Pored toga, neophodno je da korisnik ne dostavlja odnosno ne deli podatke o svojoj platnoj kartici ni na jednom mestu, a posebno ne na društvenim mrežama, neproverenim sajtovima ili imejlovima ka neproverenim imejl-adresama. „Potrebno je imati na umu i to da zvanični, ovlašćeni pružalac platnih usluga već ima sve potrebne podatke o kartici ili drugom platnom instrumentu i da nikada od korisnika neće tražiti da ih dostavi putem takvih kanala”, ističe on.
Detaljnom proverom dobijenih ponuda i zaštitom podataka o platnom instrumentu, odnosno čuvanjem i nedeljenjem tih podataka s drugima, korisnici bezgotovinskih platnih instrumenata uspešno će se štititi od potencijalnih fišing napada kojima mogu biti izloženi.
Kabinet guvernera
