Nećeš me upecati

Najveći nedostatak onlajn trgovine je što korisnike na Internetu vrebaju zli hakeri koji će učiniti sve da ćape pare sa bankovnog računa žrtve, a da apsurd bude veći – sama žrtva pomoći će im u tome

U nas se još sve plaća novcem tako da su trenutne šanse da postanete phising žrtva relativno male. Čak i ako ste ponosni vlasnik kartice neke od banaka, teško da ćete preko, recimo, aukcijske kuće http://www.ebay.com ili http://www.amazon.com okušati radost i užas globalizacije znanu kao onlajn trgovina. Većina banaka kod nas “štiti” svoje klijente tako što im kaže da to čine na sopstvenu odgovornost i da se ne odobrava trošenje para preko Interneta.

Međutim, ko ima pravu pravcatu kreditnu karticu, a ne želi da odoli iskušenju da na već nekom sajtu pazari nešto, automatski je kandidat za potencijalnu phising žrtvu i zato je dobro znati bar nekoliko osnovnih sitnica o ovom bauku informativnog društva.

Stručnjaci se još ćeraju oko toga da li sama reč phising potiče zapravo iz fišinga (fishing) pecanje, tj. maskirano hvatanje soma na bućkalo, ili je u samoj srži ove reči upozorenje da tu nešto smrdi (fishy). Kako god bilo, slovo f dobilo je latinski oblik iz čisto praktičnih razloga – na monitoru f može se pobrkati sa slovom l i i, dok ph liči samo na sebe. A čitava stvar funkcioniše tako što prevaranti šalju lažne imejl (e-mail) formulare kako bi potencijalne žrtve uverili da im poruku šalje poznata banka ili firma koja se bavi onlajn trgovinom. Ko odgovori na ovakav imejl šaljući podatke od adrese do broja kreditne kartice (i socijalnog osiguranja) – upecao se.

Sudeći po izveštaju Anti-Phising Work Group http://www.antiphising.org čiji je osnivač Tumbleweed Communications – http://www.tumbleweed.com (okuplja firme za onlajn trgovinu, banke, Ministarstvo odbrane SAD itd.), takvih je mnogo. U odnosu na decembar 2003. godine broj registrovanih napada skočio je za 163 odsto, a od januara do aprila ove godine broj žrtava porastao je za 60 odsto.

Najviše njih prevarilo se tako što je trgujući na eBay sajtu (koristeći PayPal) primilo imejl u kome treba kliknuti link kako bi se potvrdila registracija ili kupovina. Druga, nešto ređa varijanta je da se praktično ponovo prolazi kroz proces registracije koji uključuje ponovno davanje broja kreditne kartice i poslednje četiri cifre sa poleđine kartice. Od trenutka kada kliknete link ili imejl “vratite” eBay, zli haker je preusmerio žrtvu na željeni sajt i sada samo treba čekati. Prvom prilikom kad žrtva upotrebi korisničko ime, lozinku i kreditnu karticu, prevarant dobija informacije koje potom koristi preuzimajući identitet svoje žrtve kojoj će svakog meseca skidati, recimo, sedam dolara i proći će nekoliko meseci pre nego što u izveštajima iz banke identifikujete da tu nešto nije u redu.

I kao što srpski ministar finansija preporučuje u nekim drugim slučajevima, najbolje je celu stvar odmah prijaviti, jer će banka pokrenuti istragu. Sporna kartica biće zamenjena novom i ako je reč o ozbiljnoj banci, nadoknadiće žrtvi otet (retroaktivno tri meseca unazad) 21 dolar, što će biti slaba uteha žrtvi i ovako poljuljanog samopoštovanja, koja tek treba u banci da otrpi “peglanje”, tj. poduku kako da ne ponovi istu glupost. Nevolja je što lažni imejlovi jesu dosta verna kopija onog što inače dobijete od onlajn kompanija, banki... Primeri PayPal lažnjaka mogu se naći na http://home.pcisys.net/tbc/misc/phish001.htm .

U banci će reći da je svaki imejl koji traži hitne finansijske informacije krajnje sumnjiv, naročito ako nema elektronski potpis, ako nije personalizovan i ako nagovara da se hitno treba javiti. Ukoliko je radoznalost klijenta tolika da će crći ako ne klikne na link u imejlu, bolje je otvoriti sa brauzera (Internet Explorer, Mozilla, Opera, šta ko već ima) iskopiran link. Još mudrije je telefonom zvati kompaniju, banku... Za svaki slučaj, nije loše “skinuti” sa Interneta program koji će blokirati ovakve napade. Mnogi preporučuju http://www.earthling.net/earthlinktoolbar koji ne mora nužno biti i najefikasniji jer se situacija na Mreži menja u treptaju oka.

A da to i nije tako lako, čak ni onima u banci, pokazalo se na nedavno završenom Globalnom simpozijumu za upravljanje rizikom, održanom u San Dijegu (Kalifornija, SAD). Kako bi se obračunao sa ovim đavolom, MasterCard napravio je pakt sa NameProtect http://www.nameprotect.org , firmom specijalizovanom za otkrivanje digitalnih prevara. Ideja je da se prevaranti, koji su sve veštiji i oprezniji, hvataju pre nego što stave mamac na udicu. Ovi iz NameProtect muvaće se po diskusijama, forumima i drugim mestima gde se nevaljalci okupljaju, ćaskaju o tome koga su poslednjeg zeznuli i, što je najvažnije, gde razmenjuju ukradene brojeve kreditnih kartica. Kad naiđu na neki vruć trag, odmah će to dojaviti momcima iz MasterCard-a koji će alarmirati policiju i korisnike koji, između ostalog, od sada pa nadalje ne bi smeli devojačko ime svoje majke da koriste kao deo lozinke ili odgovor na pitanje kada zaborave svoje korisničko ime ili lozinku.