“Te kode ne delite z nikomer!” Če gre za enkratne kode/gesla (OTP) in uporabniška gesla, bi moral biti ta nasvet tako samo po sebi umeven in nekaj, kar vsi že vemo, da ga ni treba več ponavljati. Ampak…
Nedavno smo naleteli na prevaro z lažnim predstavljanjem (ang. phishing). Neka oseba je prejela sporočilo SMS, v katerem je pisalo približno tako:
“Pozdravljeni, ne poznate me, ampak vaša mobilna telefonska številka je bila nekoč moja. Skušam se prijaviti v neki svoj stari račun, ki je povezan s to telefonsko številko, in aplikacija mi sporoči, da mi bodo poslali potrditveno kodo v sporočilu SMS na mobilno telefonsko številko, ki jo zdaj uporabljate vi. Zanima me, ali lahko zaprosim za potrditveno kodo, ki jo boste prejeli na svoj telefon po SMS-ju, vi pa mi jo potem posredujete? Če to za vas ni sprejemljivo, popolnoma razumem in ni problema.”
Res je, da če svoje mobilne telefonske številke dolgo ne uporabljate, jo lahko mobilni operater vzame iz uporabe in čez nekaj časa proda nekomu drugemu. Torej obstaja možnost, da je imela vaša mobilna telefonska številka nekoč drugega lastnika, še posebej, če ste jo dobili nedavno. In mnogi ljudje vedo za to.
Prošnja je napisana vljudno in je videti izjemno prepričljiva. Prijazni ljudje cenijo vljudnost in prošnja se zdi upravičena, zato bodo najbrž hoteli pomagati. Tako pride potrditvena koda in prejemnik jo pošlje avtorju vljudne prošnje, ki potem odgovori z iskreno hvaležnostjo. Toda dobri samaritan je ravno dal avtorju vljudne prošnje dostop do svojega računa.
Seveda obstaja zelo majhna možnost, da je sporočilo res poslal nekdo, ki je bil nekoč lastnik vaše mobilne telefonske številke in potrebuje vašo pomoč. Ampak to je malo verjetno. Bolj verjetna razlaga je lažno predstavljanje. Poglejte, kako pride do tega.
Napadalec v divjinah kibernetskega prostora odkrije e-naslov (vaš), ki je povezan s telefonsko številko (tudi vašo). Če imate oziroma ste nekoč imeli račun Yahoo, Twitter ali LinkedIn (ali enega od stotih računov pri manj znanih storitvah, katerih uporabniški podatki so bili nedavno razkriti), ni težko ugotoviti, katera telefonska številka je povezana z vašim e-naslovom.
Napadalec začne tako, da najprej ukrade dostop do vašega e-naslova. To naredi tako, da ponastavi geslo. Ko skuša ponastaviti geslo, pošlje storitev sporočilo SMS s potrditveno kodo na mobilno telefonsko številko, povezano z računom, da potrdi, da je lastnik računa ta, ki skuša ponastaviti geslo.
Preden pa prevarant naredi ta korak, vam pošlje ganljivo vljuden SMS, katerega primer smo zapisali zgoraj. Potrditvena koda je veljavna samo nekaj minut, zato vas mora kibernetski zločinec ustrezno pripraviti, da mu boste poslali potrditveno kodo, takoj ko jo dobite.
Napadalec ima zdaj dostop do vašega e-naslova, zato lahko ponastavi gesla za vse račune, povezane s tem e-naslovom — družabna omrežja, druge storitve e-pošte, spletne denarnice in tako dalje. Povezave za ponastavitev gesel so poslane na ta e-naslov, in tako ima kibernetski zločinec dostop do vseh vaših računov – vi ga pa nimate.
Zato ne smete nikoli z nikomer deliti svojih potrditvenih kod, ki jih prejmete po sporočilu SMS, ne glede na to, kako prijazno vas nekdo prosi za pomoč. Če delite samo eno kodo, si lahko zaklenete dostop do skoraj celotnega svojega spletnega obstoja.
• Nikoli ne delite svojih potrditvenih kod z nikomer, ne po SMS in ne po telefonu. Te kode so glavni način, s katerim storitev preverja, da ste vi res vi.
• Omogočite dvofaktorsko avtentikacijo* (avtentikacija = preverjanje pristnosti uporabnika), kjer je to mogoče. Tudi če izgubite dostop do svojega e-računa, boste vsaj lahko zavarovali svoje druge račune pred krajo.
• Uporabite napredne varnostne rešitve (protivirusne programe in VPN) na vseh vaših napravah, tudi na mobilnih. Poleg drugih funkcij za zaščito vas bodo obvestili tudi o trojancih, ki skušajo ukrasti kode iz SMS-jev.
13. julij 2022, Rekono d.o.o.
Od 20.10. je več kot 260.000 uporabnikom sistema Rekono omogočena prijava v portal eDavki in eDražbe Od danes je več kot 260.000 obstoječim uporabnikom sistema
Omejevaje visokotveganih dostopov V zadnjem času se tako v tujini kot tudi pri nas (https://www.cert.si/letna_porocila/porocilo-o-kibernetski-varnosti-za-leto-2021/) srečujemo s hitrim naraščanjem števila phishing napadov na nevešče uporabnike,
Nikoli in nikomur ne posredujte svojih potrditvenih kod Delovanje prevarantov, da z lažnim predstavljanjem pridejo do vaših potrditvenih kod – in kaj se lahko zgodi,
Od 16.6. je več kot 230.000 uporabnikom sistema Rekono omogočena prijava v portal Moja E-uprava Od 16.6. je več kot 230.000 uporabnikom sistema Rekono omogočena
Okrogla miza o elektronskem podpisu in druge storitve zaupanja Prehod na digitalno poslovanje pomeni povečevanje prihodkov in optimizacijo stroškov, zato je v številnih podjetjih elektronsko poslovanje
Težave s potrjevanjem spletnih plačil? Če imate težave s potrjevanjem spletnih plačil oz. ste prejeli SMS, da je bilo vaše spletno kartično plačilo zavrnjeno, ker
Ekipa, ki skrbi za delovanje sistema Rekono, ima dolgoletne izkušnje na področju informacijskih sistemov, sistemov elektronske identitete in elektronskih podpisov, sistemov informacijske varnosti ter sistemske integracije. Podjetje Rekono, ki skrbi za delovanje sistema, ima za svoje IT-storitve vzpostavljen sistem upravljanja storitev, ki je certificiran po standardu ISO 20000, sistem vodenja varovanja informacij, ki je certificiran po standardu ISO 27001 ter sistem vodenja kakovosti, ki je certificiran po standardu ISO 9001. Podjetje Rekono je tudi prejemnik pristopnega certifikata Družbeno odgovoren delodajalec, katerega naložbo sofinancirata Republika Slovenija in Evropska unija iz Evropskega socialnega sklada.
© 2023 Rekono d.o.o., Vse pravice pridržane
