Mrežna krađa identiteta

Uvod u phishing

Mrežna krađa identiteta je oblik društvenog inženjeringa. Za razliku od drugih kibernetičkih napada koji izravno ciljaju mreže i resurse, napadi socijalnog inženjeringa koriste ljudske pogreške, lažne priče i taktike pritiska kako bi manipulirali žrtvama da nenamjerno nanesu štetu sebi ili svojim organizacijama. U tipičnom pokušaju krađe identiteta, kriminalac se pretvara da je netko kome žrtva vjeruje, poput kolege, šefa, autoriteta ili predstavnika poznate marke. Kriminalac šalje poruku u kojoj upućuje žrtvu da plati račun, otvori privitak, klikne na poveznicu ili poduzme neku drugu radnju.

Razvoj i utjecaj phishing napada

Phishing, pojam koji je sada sinonim za kibernetički kriminal, nastao je iz programa koji je razvio tinejdžer u Pennsylvaniji pod nazivom AOHell. Ovaj rani zlonamjerni softver ciljao je AOL (America Online), popularnu online uslugu u ranim danima interneta, koristeći mehanizme za krađu podataka o kreditnim karticama i probijanje lozinki, što je dovodilo do poremećaja u AOL-ovim uslugama. Program AOHell postavio je temelje za automatizirani phishing softver, utječući na kasnije phishing metode, uključujući one koje koristi Warez zajednica – skupina uključena u hakiranje i dijeljenje piratskog softvera.

Rani dani phishinga

Warez zajednici se pripisuju prvi organizirani phishing napadi, koji su započeli 1996. Ciljali su korisnike AOL-a koristeći algoritam za generiranje nasumičnih brojeva kreditnih kartica. Kada bi pronašli valjani broj, stvorili bi prave AOL račune kako bi prevarili druge korisnike. Ova početna phishing shema razvila se u sofisticiranije taktike društvenog inženjeringa, u kojima su napadači oponašali zaposlenike AOL-a kako bi prikupljali osjetljive informacije.

Nakon ovih ranih prijevara, taktike phishinga brzo su se prenijele na e-poštu. Rane phishing e-poruke kretale su se od neuvjerljivih shema, poput onih koje su uključivale lažne nigerijske prinčeve, do sofisticiranijih pokušaja poput virusa Mimail iz 2003. Virus Mimail distribuirao se putem e-pošte koja je tvrdila da je od PayPala, potičući korisnike da ažuriraju podatke o svojim kreditnim karticama. Mnogi korisnici, zavedeni uvjerljivim PayPal logotipom, unijeli su svoje vjerodajnice na zlonamjernu web stranicu.

Prijetnja usmjerena na čovjeka

Phishing je posebno opasan jer iskorištava ljudsku psihologiju umjesto da se oslanja na tehnološke ranjivosti. Napadači često ne moraju izravno provaliti u sustave ili nadmudriti alate za kibernetičku sigurnost. Umjesto toga, obmanjuju pojedince s ovlaštenim pristupom osjetljivim informacijama, što ih navodi da nesvjesno pomognu u napadu.

Phisheri mogu biti pojedinačni prevaranti ili organizirane kriminalne bande, a phishing mogu koristiti u razne zlonamjerne svrhe, uključujući krađu identiteta, prijevaru s kreditnim karticama, krađu novca, iznudu, preuzimanje računa i špijunažu. Mete phishing napada uključuju pojedince, korporacije i vladine agencije. Jedan značajan primjer je phishing napad na Hillary Clinton i njezinu predsjedničku kampanju u SAD-u 2016. godine, gdje su ruski hakeri koristili lažnu e-poštu za resetiranje lozinke kako bi ukrali tisuće e-poruka. Čak je i IT služba za korisnike kampanje bila prevarena lažnim e-porukama.

Moderne tehnike krađe identiteta

Phishing se značajno razvio, koristeći više komunikacijskih metoda i sofisticirane tehnike za obmanjivanje meta. Moderni pokušaji phishinga mogu vrlo blisko oponašati legitimne tvrtke, što otežava njihovo otkrivanje bez pažljivog pregleda.

Neke suvremene tehnike phishinga uključuju:

• Angler Phishing: To se događa putem društvenih mreža, korištenjem lažnih URL-ova, trenutnih poruka ili lažnih profila za prikupljanje osjetljivih informacija. Napadači također mogu iskoristiti profile na društvenim mrežama za osobne podatke kako bi poboljšali svoju manipulaciju.
• Kloniranje i lažiranje domene: Napadači stvaraju e-poruke koje vrlo nalikuju legitimnim, koristeći točne kopije poruka ili krivotvoreći imena domena kako bi e-poruke izgledale autentično. Često se lažno predstavljaju kao velike, poznate tvrtke kako bi prevarili korisnike da otkriju osobne podatke.
• Smishing: Ova tehnika kombinira phishing s SMS-om, slanjem lažnih tekstualnih poruka za prikupljanje informacija poput brojeva kreditnih kartica ili lozinki.
• Spear Phishing: Visoko ciljani spear phishing uključuje napadače koji prikupljaju detaljne informacije kako bi izradili personalizirane e-poruke koje izgledaju kao da dolaze iz pouzdanih izvora.
• Kitolov: Ova vrsta phishinga cilja na zaposlenike na visokim pozicijama ili visokopozicionirane pojedince, često uključujući sofisticiranu društvenu manipulaciju i prikupljanje obavještajnih podataka.
• Vishing: Kombinirajući phishing s VoIP-om (glas preko internetskog protokola), vishing uključuje lažne telefonske pozive s ciljem dobivanja osjetljivih informacija.

Ukratko, phishing se razvio od ranih programa poput AOHella do složenih shema koje uključuju različite metode komunikacije. Prijetnja ostaje značajna jer se oslanja na ljudsku psihologiju, zbog čega je bitno da pojedinci i organizacije ostanu budni i informirani o ovim taktikama koje se stalno razvijaju.