Phishing je kibernetički napad u kojem kriminalci lažno predstavljaju pouzdane entitete—poput banaka, tehnoloških tvrtki ili kolega—putem e-pošte, tekstualnih poruka ili lažnih web stranica kako bi vas naveli da otkrijete osjetljive informacije poput lozinki, brojeva kreditnih kartica ili osobnih podataka. Ostaje jedan od najčešćih i najučinkovitijih oblika kibernetičkog kriminala danas.

Kako mogu prepoznati phishing e-poruku?

Obratite pažnju na hitan ili prijeteći jezik, sumnjive adrese pošiljatelja koje oponašaju legitimne tvrtke, generičke pozdrave poput "Dragi korisniče", neočekivane privitke i poveznice koje se ne podudaraju sa službenim URL-om web stranice. Prije klika prijeđite pokazivačem preko poveznice kako biste pregledali stvarnu odredišnu adresu.

Štiti li me korištenje VPN-a od phishing napada?

VPN šifrira vaš internetski promet i skriva vašu IP adresu, ali ne može izravno spriječiti phishing napade. Phishing cilja ljudsko ponašanje, a ne mrežne ranjivosti. VPN je i dalje vrijedan za opću sigurnost, ali trebate ga kombinirati s anti-phishing alatima i opreznim navikama pregledavanja.

Što trebam učiniti ako sam slučajno kliknuo na phishing poveznicu?

Odmah se odspojite s interneta, pokrenite skeniranje zlonamjernog softvera na svom uređaju, promijenite lozinke za sve potencijalno ugrožene račune, omogućite dvofaktorsku autentifikaciju i obavijestite svoju banku ako su uneseni financijski podaci. Prijavite pokušaj phishinga svom pružatelju e-pošte i nadležnim tijelima poput FTC-a ili Action Frauda.

Phishing

Phishing: Što je i zašto morate znati o njemu

Svaki dan šalju se milijarde lažnih e-poruka, tekstualnih poruka i web-stranica s jednim ciljem: prevariti vas da predate svoje osobne podatke. Ta tehnika zove se phishing i ostaje jedan od najučinkovitijih i najraširenijih kibernetičkih napada — ne zato što je tehnički sofisticiran, već zato što cilja ljudsku psihologiju umjesto računalnih sustava.

Što je phishing?

Phishing je oblik socijalnog inženjeringa u kojem napadač glumi nekoga kome vjerujete — vašu banku, uslugu streaminga, vašeg poslodavca ili čak vladinu agenciju — kako bi vam manipulirao da poduzmete radnju koju inače ne biste. Ta radnja može biti klik na zlonamjernu vezu, preuzimanje zaraženog privitka ili unos lozinke na lažnu stranicu za prijavu.

Naziv je namjerna igra riječima s engleskom riječju "fishing" (ribolov). Napadači bacaju mamac i čekaju tko će zagristi.

Kako phishing funkcionira?

Većina phishing napada slijedi predvidljiv obrazac:

Mamac: Primate poruku koja izgleda legitimno. Može oponašati obavijest o naplati za Netflix, sigurnosno upozorenje PayPala ili hitnu e-poruku od IT odjela vaše tvrtke.
Udica: Poruka stvara osjećaj hitnosti — vaš račun će uskoro biti suspendiran, postoji sumnjiva aktivnost ili trebate odmah potvrditi identitet.
Zamka: Preusmjeravaju vas na lažnu web-stranicu koja izgleda identično kao prava. Kada unesete svoje vjerodajnice, one idu izravno napadaču.

Postoje i ciljani oblici. Spear phishing uključuje personalizirane napade usmjerene na određene osobe, često koristeći informacije prikupljene s društvenih mreža. Whaling cilja visokoprofilne rukovoditelje. Smishing koristi SMS tekstualne poruke, dok se vishing odvija putem glasovnih poziva.

Moderne phishing stranice često koriste HTTPS i prikazuju ikonu lokota, što mnogi pogrešno smatraju znakom da je stranica sigurna. To samo znači da je veza šifrirana — ne i da je sama stranica pouzdana.

Zašto je to važno za korisnike VPN-a

Česta zabluda je da upotreba VPN-a štiti od phishinga. Ne štiti — barem ne izravno. VPN šifrira vaš internetski promet i skriva vašu IP adresu, ali ne može vas spriječiti da dobrovoljno unesete svoje vjerodajnice na lažnoj web-stranici.

Ipak, korisnici VPN-a nisu potpuno bez zaštite:

Neki VPN-ovi uključuju značajke zaštite od prijetnji koje blokiraju poznate phishing domene prije nego što ih vaš preglednik uopće učita.
VPN može spriječiti DNS hijacking, tehniku kojom napadači tiho preusmjeravaju korisnike na lažne web-stranice čak i kada upišu ispravnu adresu.
Upotreba VPN-a na javnom Wi-Fi-ju sprječava napade tipa "čovjek u sredini" (man-in-the-middle), koji se ponekad koriste uz phishing za presretanje vjerodajnica.

Međutim, oslanjanje isključivo na VPN za zaštitu od phishinga daje vam lažan osjećaj sigurnosti. I dalje su potrebne dobre digitalne navike.

Primjeri iz stvarnog života

Primate e-poruku od "Apple podrške" u kojoj piše da je vaš račun zaključan. Veza vas vodi na apple-support-login.com — uvjerljivi falsifikat koji krade vaš Apple ID.
Tekstualna poruka tvrdi da je vaša banka otkrila prijevaru i traži da nazovete broj 0800. Broj vas spaja s prevarantom koji se predstavlja kao stručnjak za prijevare.
E-poruka na radnom mjestu naizgled od HR odjela traži od zaposlenika da se prijave na novi portal za beneficije — zapravo je to stranica za prikupljanje vjerodajnica.

Kako se zaštititi

Uvijek provjerite stvarnu e-mail adresu pošiljatelja, a ne samo prikazano ime
Zadržite pokazivač miša iznad veza prije klika kako biste vidjeli stvarni odredišni URL
Omogućite dvofaktorsku autentifikaciju na svim važnim računima — čak i ukradene lozinke postaju beskorisne bez drugog faktora
Koristite upravitelja lozinkama, koji neće automatski popuniti vjerodajnice na lažnim stranicama
U slučaju sumnje, idite izravno na službenu web-stranicu umjesto da klikate bilo koju vezu

Phishing funkcionira jer je jednostavan i skalabilan. Razumijevanje načina na koji djeluje vaša je prva linija obrane.

PhishingPočetnik