Razotkriveno

Širi se prevara kojom se kradu osobni podaci građana i organizacija

Korisnike se poziva da kliknu na seksualno eksplicitni video, ali se prije gledanja od njih traži da upišu osobne podatke.
Ilustracija: Gerd Altmann from Pixabay

Društvenim mrežama širi se prevara (primjer arhiviran ovdje) koja ima za cilj prikupiti osobne podatke s računala građana, a posredno i organizacija u kojima rade. Na linku koji ima adresu firebase.googleapis.com prikazan je isječak iz seksualno eksplicitnog videa uz opis “Nećete vjerovati što ovi studenti rade”.

Screenshot/Facebook

Klik na link odvodi vas na stranicu na kojoj navode da se za gledanje cjelovitog videa potrebno ulogirati, odnosno unijeti svoje osobne podatke kako biste “kupili” pristup.

Radi se o online prevari koja se naziva credential phishing.

Kako piše portal Trust Wawe, krađa identiteta vjerodajnica (credential phishing) velika je prijetnja koja cilja organizacije diljem svijeta. Kreatori lažnih sadržaja pronalaze pametne i inovativne načine da namame žrtve da potajno pokupe njihove podatke.

Vjerodajnica (credential) je sredstvo dokazivanja (prepoznavanja) elektroničkog identiteta (npr. korisničko ime/lozinka, token na mobilnom telefonu, digitalni certifikat i sl.). Vjerodajnica služi kao sredstvo prijave na elektroničku uslugu.

Ono što je specifično za ovu prevaru jest da su URL-ovi za pohranu Google Firebase ugrađeni u phishing poruke. Zapravo, akteri iskorištavaju ugled i usluge infrastrukture Google Clouda za smještaj svojih stranica za prikupljanje vjerodajnica za krađu identiteta.

Google Firebase je inače platforma za razvoj mobilnih i web aplikacija. Firebase Storage ima potporu Google Cloud Storagea i omogućuje sigurne prijenose i preuzimanja datoteka za Firebase aplikacije. Više primjera credential phisinga možete pronaći ovdje.

Kako prepoznati phishing i kako se zaštititi?

Agencija za zaštitu osobnih podataka (AZOP) građanima je na svojim stranicama objavila sljedeće savjete koji se tiču phishinga:

“Ne upisujte svoje osobne podatke, podatke o kreditnoj kartici, ne šaljite preslike osobnih iskaznica, pinove kartica, CVC kodove s kartica (zadnje tri znamenke na poleđini kartice), kao niti kodove koje generira mobilno bankarstvo. Institucije poput banaka, tijela javnih vlasti Vas neće tražiti da osobne podatke dostavljate putem e-maila. Također, imajte na umu kako je za uplatu na račun potreban samo IBAN/broj računa te ime i prezime vlasnika računa, a ne podaci s Vaše kartice (broj kartice, datum isteka i CVC kod)!”.

Obrazac phishing poruka i poveznica većinom je isti: napadači koriste sličnu domenu e-mail adrese kao i organizacija kojom se predstavljaju, pozivaju na hitnu/brzu reakciju, poruke često sadrže gramatičke i pravopisne pogreške te od Vas traže određene osobne podatke, a najčešće se traži upisivanje podataka s Vaše kartice.

Stoga je bitno da, ako i kliknete na takvu poveznicu, nikako ne upisujete svoje osobne podatke, a pogotovo ne brojeve kartica i sigurnosne kodove.

Phishing prevare su učestala praksa

Brojni su primjeri phishing prijevara, a jedna od češćih su i lažne nagradne igre koje se društvenim mrežama učestalo šire i koje često imaju za cilj prikupljanje osobnih podataka građana, o čemu je Faktograf pisao u više navrata.

Internetski prevaranti korisnicima društvenih mreža obećavaju vrijedne nagrade, a zapravo ih pokušavaju opljačkati. Nekima je namjera od korisnika pokušati izvući novac, drugi preferiraju krađu osobnih podataka.

Više o tome kako se putem lažnih Facebook profila i stranica varaju korisnici ove društvene mreže pisali smo ovdje, a o tome kako internetski prevaranti iskorištavaju društveno zanemarivanje starijih osoba pisali smo ovdje.

Facebook
Twitter

Uočili ste objavu na društvenim mrežama i želite da provjerimo je li točna? Želite nas upozoriti na netočnu ili manipulativnu izjavu političara? Imate prijedloge, pohvale ili kritike? Pišite nam na [email protected] ili nas kontaktirajte putem Twittera ili Facebooka.