Kako, kao developer, zaštiti svoje klijente od “spoofinga”?

Željka Jurić, Product Managerica u odjelu Security&Compliance ASEE razjasnila nam je kako funkcionira prevara zvana “spoofing” te kako se od nje možemo zaštititi, bili mi krajnji korisnik ili developer koji razvija aplikacije za njih

“Vaš paket ne može biti isporučen. Kliknite na link kako bi dopunili informacije o adresi.” – i vi kliknete i popunite informacije, a od vas se traži još i da platite simbolični iznos. Simbolični iznos ipak nije mali, a vaši podaci o računu su ukradeni kroz lažnu formu na webu. I kroz par minuta postali ste žrtva spoofinga.

U zemljama EU ovo predstavlja jedan od većih problema i troškova s kojim se susreću banke, dostavne službe i payment provideri. Milijuni eura se troše godišnje kako bi se nadomjestio i refundirao iznos od akcija gdje se prevarant predstavlja kao institucija kojoj vjerujete i traži od korisnika da podijeli svoje osobne podatke.

Neke banke su u Hrvatskoj već pokrenule kampanje s kojima pokušavaju podići svijest o lažnim porukama i pozivima koji su upućeni njihovim korisnicima. O tome kako partner .debuga ASEE radi na security rješenjima koja se hvataju u koštac s ovom vrstom problema, više nam je objasnila Željka Jurić, Product Managerica u odjelu Security&Compliance.

Možete li nam dodatno približiti problematiku opisanih prevara, s tehničke strane?

Postoje zapravo dva načina, onaj koji je češći i učestaliji i samim time jednostavniji za primijetiti sa strane korisnika je taj kada vam netko šalje poruku (ovo se još zove smishing) ili primite poziv (vishing) s nekog nasumičnog broja koji izgleda kao bilo koji drugi nepoznati broj. Vi možda mislite da vas zove prijatelj, ili netko s posla, no zapravo tek kad se javite krenu vam pričati priču. Na primjer kažu vam da imate puno novaca u kriptovalutama i da je vrijeme da vam se taj novac isplati. Oni vas zovu kako bi im vi dali podatke o računu na koji će vam isplatiti novac. Slično je i sa SMS-om. Poruka dolazi s nepoznatog broja, ili čak s nečije mail adrese. U ovim slučajevima prevarant ne radi zapravo ništa tehnički zahtjevno, ili je kupio puno različitih sim kartica i zove, ili šalje poruke s neke platforme.

No u pravom spoofingu se radi o tome da broj s kojeg vas netko zove ili vam šalje poruke je doista broj od banke ili neke druge institucije.  Broj pozivatelja je broj kojem nikada ne možete vjerovati jer on može biti jednostavno spoofan koristeći software koji dijele prevaranti besplatno online. Vaš zaslon obično prikazuje telefonski broj i ime povezano s linijom kojom ste pozvani. Ali postoje usluge koje vam omogućuju prikaz bilo kojeg lažnog ID-a pozivatelja. Neki pružatelji usluga Voice over IP (VoIP) jednostavno dopuštaju korisniku da konfigurira prikazani broj kao dio konfiguracijske stranice na web sučelju pružatelja usluga.

Željka Jurić

Prevaranti različitim načinima dolaze do kontakt brojeva žrtve. Jedan od načina da se dođe do osjetljivih podataka je dark web gdje se već nalaze podaci koje je netko ukrao i objavio, no lako je doći do osobnih podataka korisnika i preko društvenih mreža ili stranica koje nude oglase za posao. Na ovaj način prevaranti još lakše steknu povjerenje korisnika jer već unaprijed znaju puno o njemu.

Najčešće šalju lažne SMS-ove na nasumične brojeve, pa se dogodi da od 20.000 brojeva pogode baš vaš u trenutku kada vam kasni paket od pošte. Vi od prevaranta dobivate poruku da vam paket nije uspio biti isporučen, i da morate ispuniti podatke kako bi vas kurir kontaktirao.

Kako ste vi doskočili malicioznim praksama prevaranata?

Budući da dugi niz godina radimo s bankama i financijskim institucijama, znali smo što se krenulo događati. Već više od 20 godina razvijamo rješenja koja rade na security mehanizmima i poznajmo dobro mobilne aplikacije i dodatne mogućnosti koje se mogu integrirati kako bi se zaštitila mobilna aplikacija i  njezini korisnici. Logičan slijed bio je i dalje nastaviti  pomagati našim klijentima i stvoriti nešto inovativno čime rješavamo veliki problem. Iskoristili smo postojeće security mehanizme na kojima godinama radimo, adaptirali ih i primijenili na ovaj problem.

Kako radi Spoofing protector, na kojim se tehnologijama zasniva?

Naše rješenje Spoofing protector je zapravo programska biblioteka (SDK) koji se integrira u mobilnu aplikaciju određene institucije. To je zapravo B2B rješenje koje štiti krajnjeg korisnika. Svaki korisnik će dobiti obavijest prije nego što primi legitiman poziv od određene institucije. To je jedan od prvih načina kako korisnik može znati da je poziv zaista pravi. U slučaju lažnog poziva, te obavijesti neće biti, pa će naše rješenje odmah prekinuti taj poziv prije nego on uopće dođe do krajnjeg korisnika.

Što se SMS poruka tiče, svaka poruka koja se šalje od određene institucije će sadržavati sigurnosni potpis koji generira naše rješenje. Tako ćemo znati da se radi o legitimnom SMS-u. Ako SMS ne sadrži sigurnosni potpis, ili potpis nije uspješno verificiran ili je sumnjiv zbog drugih razloga (kao što su vrijeme slanja, ili ime/broj pošiljatelja), SMS poruka će se vrednovati kao pokušaj spoofanja.

Što se, dakle, događa iz perspektive korisnika, kad primi lažirani poziv ili poruku?

Osobi se na mobitelu zapravo pokazuje kao da prima legitiman poziv, čak može izgledati kao da vas doista zove banka recimo. No zapravo, prevarant zove žrtvu govoreći da je iz njihove banke ili druge institucije i obavještava je da postoji problem s njihovim računom ili kreditnom karticom. Lažna dojava također može stići putem SMS-a u početku, tražeći od osobe da nazove broj kako bi se riješio problem. Još jedna taktika koja se koristi u prijevarama s vishingom su poveznice koje nude priliku za otplatu dugova ispod izvornog iznosa ili za ulaganja s obećanim visokim povratom. Ove “ponude” obično su na ograničeno vrijeme, tako da osoba mora djelovati odmah.

Ako je pravi spoofed SMS onda će sadržavati ime banke ili dostavne službe ili njihov broj. U SMS-u vam obično šalju lažnu poveznicu na koju vas upućuju da provjere svoje podatke ili da preusmjerite paket. Za poveznicu lako možete primijetiti da je lažna. URL sadrži kombinaciju slova i brojki ili čak nekih znakova, ili je to samo jedna stranica na kojoj nema sadržaja i linkovi ne vode nigdje dalje osim na tu stranicu.

Upravo zbog svega navedenog implementacija Spoofing protectora od strane institucija i kompanija pomoći će ne samo zaštiti reputaciju kompanije i smanjiti troškove izazvane ovom vrstom prevara, već i zaštiti njihove krajnje korisnike i vratiti povjerenje u instituciju, na zadovoljstvo svih uključenih.

Tko je u teoriji, a tko u praksi odgovoran za “nasjedanje” na slične prevare?

Ovisno o kojoj vrsti spoofinga se radi. Ako se radi o pravom spoofingu gdje prevarant zove s broja određene institucije, onda je potpuna odgovornost na toj instituciji da zaštiti svoj broj i svoje korisnike. No ako se radi o nekom nasumičnom broju s kojeg se dobivaju pozivi, onda je odgovornost na samom korisniku, jer on sam odlučuje kako upravlja svojim podacima i s kim ih dijeli. No, kako i kažete, u praksi, i većini slučajeva institucije se trude nadomjestiti i refundirati novac svojim korisnicima kako bi im isti ostali odani.

Što korisnik može dodatno sam učiniti kako bi se zaštitio?

Pazite gdje ostavljate svoje osobne podatke kao što je mail ili broj telefona, ime i prezime, adresa… jer ćete time spriječiti da netko uopće dođe do vašeg broja i da postanete žrtva spoofing prevara. Uvijek za login koristite multi-faktorsku autentikaciju kako bi zaštitili podatke koje imate pohranjene bilo gdje na internetu.

Uvijek provjeravajte izvor od kojeg dobivate poruku ili poziv, ako vam je bilo što nelogično i čudno ne odgovarajte niti ne klikajte na poveznice. Često se zna dogoditi da se lažni pozivi obavljaju s nekih automatiziranih voice alata pa imate osjećaj kao da pričate s robotom.

Nijedna institucija neće vas nikada neće tražiti podatke o vašem računu kako bi vam nešto platila ili uplatila na račun.

Ako primijetite lažni poziv ili poruku najbolje je da to isto odmah prijavite toj instituciji u čije se ime netko lažno predstavlja kako bi se eventualne sljedeće prijevare spriječile.

Stručnjake tvrtke ASEE moći ćete susresti i na .debugu!

Kupi ulaznicu

250 €

Ulaznica

50 €

Studentska ulaznica

100 €

Online ulaznica

30 €

Studentska online ulaznica

Related Posts

U Hrvatskoj za marketing najpopularniji WhatsApp, u porastu korištenje RCS-a
  • 21. ožujka 2025.
  • Sandro Vrbanus

Otkrivamo teme koje ćemo pokriti na trackovima .debuga 2025
  • 20. ožujka 2025.
  • Sandro Vrbanus

Koliko karata je u prodaji za .debug i kako osigurati popuste?
  • 18. ožujka 2025.
  • Sandro Vrbanus

GlobalLogic: VelocityAI iskorištava snagu AI-a i stručnost inženjera
  • 17. ožujka 2025.
  • Sandro Vrbanus

A1 Hrvatska predstavila alat “Take It Down” za uklanjanje slika žrtava seksualne iznude
  • 12. ožujka 2025.
  • Dragan Petric

Što sve dobivate s ulaznicom za .debug 2025?
  • 12. ožujka 2025.
  • Sandro Vrbanus

Od danas su u prodaji Early Bird ulaznice za tehnološki spektakl .debug 2025
  • 10. ožujka 2025.
  • Sandro Vrbanus

Sofascore: Novi direktor proizvoda je Dejan Vasko
  • 7. ožujka 2025.
  • Sandro Vrbanus