Kako prepoznati prevarante na internetu pre nego što vam isprazne novčanik

Tekstovi o zaštiti, 31.05.2023, 10:30 AM

Hakovali su korporativne imejlove, krali novac od ljudi i preduzeća i u svoje prevare umešali druge, nevine ljude koji su im, ne znajući šta rade, pomagali da prebace ukradeni novac.

Državljani Nigerije Solomon Ekunke Okpe i Džonson Uke Obogo nedavno su osuđeni na četiri, odnosno godinu dana zatvora zbog prevara zbog kojih su pojedinci i preduzeća pretrpeli gubitke u ukupnom iznosu od skoro milion dolara.

Sa idejom da ovaj slučaj bude uputstvo za sve kako da izbegnu slične prevare, istraživači kompanije ESET razotkrili su taktike ove nigerijske grupe koje su uključivale kompromitovanje poslovne e-pošte (BEC), prevare sa oglasima za posao od kuće i prevare sa čekovima i kreditnim karticama.

Korak 1 - hakovanje imejl naloga: Da bi dobili pristup imejl nalozima, Okpe i saučesnici pokretali su fišing napade zahvaljujući kojima bi prikupili hiljade imejl adresa i lozinki. Na isti način dolazili su i do velike količine informacija o kreditnim karticama i ličnih podataka žrtava.

Fišing („pecanje“) najčešće podrazumeva imejlove koji se predstavljaju kao poruke renomiranih institucija kao što su banke, imejl provajderi i poslodavci, a formulisani su tako da stvore kod žrtve osećaj hitnosti. Cilj je prevariti ljude da daju novac, akreditive za prijavu, informacije o kreditnoj kartici ili druge vredne podatke.

Druga tehnika za hakovanje nečijeg naloga koristi činjenicu da mnogi ljudi biraju slabe lozinke, prekratke ili sastavljene od previše jednostavnog skupa znakova, tako da prevaranti mogu lako da ih razbiju uz pomoć automatizovanih alata koji mogu da ih pogode za samo nekoliko sekundi.

Hakeri takođe često koriste sklonost ljudi da koriste lozinke koje već koriste milioni ljudi i za koje napadačima nisu potrebni automatizovani alati da bi ih pogodili. Godinama su neke od najpopularnijih lozinki u većem delu sveta „password“, „123456“, „123456789“, „guest“ i „qwerty“.

Zato je važno da uvek koristite duge, složene i jedinstvene lozinke.

Korak 2 - napad na poslovne partnere: Nakon što bi dobili pristup nalozima žrtava, Okpe i njegov tim bi slali mejlove zaposlenima u kompanijama koje su poslovale sa žrtvom, upućujući ih da prebace novac na bankovne račune koje su kontrolisali kriminalci, njihovi saučesnici ili „mule“. Ovi mejlovi su napravljeni tako da izgledaju kao da dolaze od žrtve, ali su zapravo bili uputstvo za transfer novca na račune Okpea i njegovih saučesnika.

Takvi napadi se nazivaju napadi kompromitovanja poslovne e-pošte. Obični se fišing napadima ciljaju nepoznate žrtve, ali ovaj takozvani „spear phishing“ napad cilja određenu osobu ili grupu ljudi. Napadači proučavaju dostupne informacije o ciljanoj osobi na internetu i u skladu sa tim prilagođavaju svoje imejlove. To otežava prepoznavanje takvih mejlova, ali ono nije nemoguće. Na primer, ove poruke često dolaze kao grom iz vedra neba, insistira se na hitnosti ili se koriste druge taktike pritiska, i uvek sadrže priloge ili (skraćene) URL adrese koje vode do sumnjivih sajtova.

Ako je cilj spear phishing napada krađa akreditiva, dvofaktorska autentifikacija (2FA) može da vas zaštiti. Za pristup nalogu nije dovoljna lozinka, već i drugi korak provere identiteta. Najpopularnija opcija su kodovi za autentifikaciju koji se šalju putem SMS poruka, ali namenske 2FA aplikacije i hardverski ključevi pružaju veći nivo bezbednosti.

Ako se od vas kao zaposlenog traži da pošaljete novac, posebno u kratkom roku, još jednom proverite da li je zahtev pravi.

Korak 3 - prevariti ljude da prenesu ukradeni novac: Nigerijci su se lažno predstavljali kao poslodavci i objavljivali oglase za posao na veb sajtovima i forumima. Pretvarali su se da zapošljavaju veliki broj ljudi koji žele da rade posao od kuće.

Iako su oglašene pozicije bile legitimne, prevaranti su radnicima davali zadatke koji su olakšali njihove prevare. Žrtve su nesvesno pomagale prevarantima u otvaranju bankovnih računa, prenosu ili podizanju novca sa računa i unovčavanju ili deponovanju falsifikovanih čekova.

Ako vam ponuda za posao od kuće deluje primamljivo, uvek sprovedite istraživanje. Potražite na internetu ime firme, imejl adresu i broj telefona i proverite da li ima pritužbi na kompaniju. Kada tražite posao na internetu, činite to na legalnim sajtovima za zapošljavanje i drugim pouzdanim izvorima.

Međutim, ovo nije sve. Okpe i saučesnici su sprovodili i ljubavne prevare sa fiktivnim identitetima na sajtovima za upoznavanje, pretvarajući se da traže srodnu dušu. Kada bi zadobili poverenje žrtava, Okpe i saučesnici su ih koristili kao mule za prebacivanje novca u inostranstvo i primanje gotovine od neovlašćenih bankovnih transfera.

Ljubavni prevaranti „vole“ po šablonu, što olakšava prepoznavanje njihovih trikova. Budite oprezni sa onlajn udvaračima koji postavljaju mnogo ličnih pitanja, ali izbegavaju da odgovore kada im postavite pitanje o njihovom životu. Brzo izjavljuju ljubav. Sa sajta za upoznavanje brzo prelaze na privatno ćaskanje. Imaju izgovore zbog čega ne mogu da se sa vama vide lično ili zbog čega izbegavaju video poziv. Pretvaraju se da žive ili rade u inostranstvu. Imaju savršene slike profila i priče o tome zašto im je potreban novac, koje često uključuju plaćanje putnih ili medicinskih troškova, vize i putne isprave.

Foto: Sander Sammy / Unsplash