SEMINARSKI
RAD
Predmet: ELEKTRONSKO POSLOVANJE
Tema:
PHISHING
Mentor:
Stud
Čačak, 2015.
3
Slika1: Internet prevara
II. Phishing: Istorija e-mail prevare
Phishing e-mail, kako ga popularno zovu i čiji naziv aludira na “pecanje” (fishing),
je globalni naziv za kriminalni pokušaj otuđivanja senzibilnih informacija, kao npr.
brojeva kreditnih karitca ili šifri i korisničkih naloga bankovnih internet pristupa, gde
pošiljalac lažnim predstavljanjem i kamuflažom pokušava da iznedri senzibilne
podatke od korisnika.
Naravno, Phishing je u uskoj sprezi sa SPAM-om, te osobama i kompanijama koje
distribuiraju milione email adresa bez znanja vlasnika. Svakako to je začarani krug
u koji su umešane i velike korporacije, te underground grupe hackera i
profesionalnih SPAM-era većinom stacioniranih na Istoku (Kina, Rusija), gde
zakonske regulative ne pokrivaju sajber kriminal kao što je to slučaj na Zapadu.
Interesantan podatak koji je ovaj mesec objavio Gartner, engleska kuća za
ispitivanje tržišta, je svakako iznenadio sve prognostičare i stručnjake. Gartner
putem svojih anketnih izvora je utvrdio da su u toku 2007 godine
2
napadi
kriminalaca putem phishing email poruka uspeli da otudje preko 3 milijarde
američkih dolara u SAD-u. Ovaj frapantan podatak govori da se radi o ozbiljnoj
ilegalnoj industriji koja ekspandira iz godine u godinu. Stručnjaci su smatrali da će
se u ovoj godini smanjiti broj takvih slučaja s obzirom da banke a i korisnici već
imaju dugogodišnja negativna iskustva, ali očigledno naivnost novih korisnika i
njihovo povećavanje i dalje osigurava enorman profit kriminalnim skupinama iz
ovog miljea. Čak ni različite software zaštite ne pomažu korisnicima da se izbore
protiv lažnih mailova. Tako da još uviek najveći broj takvih mailova je orjentisan ka
bankovnom računu korisnika, gde lažnim predstavljanjem pošiljalac “maskira”
email i predstavi se kao činovnik banke. Nekad i izrazito iskusni internet korisnici
se “uklikaju” misleći da njihova banka traži korisnički nalog kako bi otklonili kvazi
grešku na sistemu, ali tada shvate da adresa web stranice nije adresa njihove
banke i uvide trik, dok milioni korisnika ne spoznaju ovaj vid prevare te ostave
tražene informacije na sajtu “phisher-a” na osnovu kojih kriminalci “upadnu” na
internet bankovni račun i sredstva preusmere na svoje račune u off-shore zonama.
2
http://www.informacija.rs/Clanci/Prevare-na-internetu-Phishing-Fising-1-
deo.html
(last visited 3.2.2013)
4
Slika 2: Phishing
Naravno, ovo zvuči i previše jednostavno, ali svakako iza phishing mailova se
nalaze grupe ljudi koje marljivo isplaniraju svoje akcije, te spretno sakriju bilo
kakve tragove, tako da je kasnije policiji gotovo pa nemoguće upratiti transakcije.
Generalno phishing prevara nije nikakva novina. Šta više, phishing je aktuelan i od
pre digitalnog vremena i Interneta. Osamdesetih je u Americi bio popularan Phone
Phishing.
3
Gde je naivnost osobe dolazila do izražaja, a mudri kriminalci su umeli
da profitiraju. Recimo banalan primjer najjednostavnije telefonske prevare je kada
se sa druge strane osoba predstavi kao radnik banke u kojoj žrtva stvarno ima
račun, te traži podatke osobe, između ostalog broj računa i broj lične karte,
navodno radi neke provere pošto je došlo do pometnje u bankarskom sistemu.
Većina “žrtava” se upeca te žurno dostave sve tražene informacije. Kasnije osoba
u banci podigne sredstva sa računa gde za ispriku što nemaju ličnu kartu kaže ili
da je zaboravio ili da mu je u drugom novčaniku i tako obmane i bankarskog
službenika. Sofisticiraniji prevaranti su u to vreme čak falsifikovali i lična
dokumenta kako bi lakše došli do sredstava, te birali žrtve po njihovom izgledu,
načinu života, uhodeći ih i formirajući njihove profile. Danas je ovaj oblik phishing-
a zastario, ali je još uvek u jednocifrenom procentu prisutan na statistici banaka u
SAD-u.
3
http://www.webopedia.com/TERM/P/phishing.html
(last visited 30.1.2013)
6
Sada se postavlja pitanje, kao se zaštititi od ove vrste prevare? A sada jedan
ciničan odgovor
4
… Stanovnici Balkana se ne trebaju brinuti, jer niti imaju novaca
koji interesuju kriminalce, niti imaju internet bankarstva, a kada internet poslovanje
dođe u ovaj deo Evrope, nadam se da ćemo tada rabiti sofisticirane sisteme
zaštite tako da će se ovaj post smatrati zastarelim! Ali oprezu nikad kraja, tako da
ne zameram paranoičnim korisnicima, ali ipak im savetujem da se informišu prije
nego postanu “žrtva” phishing prevare.
Banke i njihova osiguranja su pak najviše stradala u ovoj godini. Po Garner-ovim
anketama, banke su u proseku izvršile povrat od 64% sredstava koja su otuđena
phishing prevarom. Svakako, korisnici smatraju banku odgovornom, jer nisu
upozorili korisnike na ovakve mogućnosti. Dok neke banke imaju i klauzule koje
govore o ovim prevarama te striktno naglašavaju svojim korisnicima da nikome ne
daju svoje pristupne podatke, čak ni bankovnim činovnicima, izuzev u direktnom
kontaktu u banci.
S obzirom da banke rapidno rade na tome da edukuju svoje korisnike, te da
ponude veće mere zaštite, velika verovatnoća je da će u sledećoj godini phishing
metode iz ove godine postati staromodne, ali nikako ne sumnjam da će phishing
industrija odustati od daljeg sofisticiranja svojih metoda kamuflaže i prevare.
III. Phishing and Pharming
Apsolutni šampion svih prevara na Internetu i noćna mora kompanija koje žive od
Internet prodaje je svakako metod poznat kao PHISHING. Najprostije rečeno ovo
je izvlačenje poverljivih podataka od korisnika Internet servisa, lažnim
predstavljanjem. Sam izraz Pecanje
5
(Phishing sa F) je engleska kovanica od
phreaking (phone +reaking – omaž ranim hakerima, izraz za kešanje na javne
telefonske mreže u SAD i tradicionalna zamena za F - PH) i fishing – najranije
forme napada pecanjem klijenata kompanije AOL. Socijalni inženjering, koji je
definisan kao metod manipulacije korisnicima zarad ilegalnog sakupljanja
INFORMACIJA, dakle ne mora da bude vezan direktno za novac, često su
informacije bitnije. Sama Phishing prevara se toliko dobro primila na Internetu, da
sada ima 22 miliona stranica na Webu na kojima se pominje, potomstvo u vidu
Pharming i Spear Phishing prevara. Phishing je socijalni fenomen, svi znaju za
4
http://banozio.blogspot.com/2012/10/phishing-web-prevara.html
(last visited
2.2.2013)
5
Markus Jakobsson, Steven Myers, Phishing and Countermeasures:
Understanding the Increasing Problem of Electronic Identity Theft, John
Wiley & Sons, 05.12.2006
