u FOKUSU

Rizik u poslovanju današnjice – „phishing“ napadi

Pojam „phishing“ napada podrazumijeva aktivnosti kojima neovlašteni korisnici putem drugačije podstavke poruka elektroničke pošte i lažiranih web stranica financijskih organizacija pokušavaju korisnika navesti na otkrivanje povjerljivih osobnih podataka (korisnička imena i zaporke, PIN brojevi, brojevi kreditnih kartica i slično tome). U današnjici kada komunikacija putem interneta kao internet bankarstvo postaju svakodnevnica i kada velike korporacije svoje financijsko poslovanje svode na opisanu vrstu saradnje tzv. „phishing“ napadi predstavljaju ogroman rizik u poslovanju. Iako se termin „phishing“ prvi put pojavio još 1996. godine, tek je posljednjih godina poznat široj javnosti i to ponajviše zbog iznimnog porasta neovlaštenih aktivnosti ovog tipa.

Presretanje komunikacije između klijenta i poslužitelja jedna je od najčešćih tehnika dolaska do povjerljivih korisničkih informacija. Ubacivanjem u komunikacijski kanal uspostavljen između klijenta i poslužitelja napadač je u mogućnosti analizirati kompletni promet koji se razmjenjuje između ove dvije tačke, čak i onda kada se koristi kriptirana komunikacija. Samim time, primjena Man in the Middle (MITM) napada gotovo je idealna za provođenje „phishing“ napada. Za uspješnu realizaciju napada, klijenta je potrebno preusmjeriti na malicioznu adresu putem koje će se promet dalje preusmjerivati na legitimne Web poslužitelje financijske ustanove koja se želi lažno prikazati. Napadačevo računalo u tom slučaju obavlja funkciju proxy poslužitelja, pri čemu bilježi sve podatke koji su neophodni za daljnje provođenje napada.

Obzirom da se radi o problemu koji sve više obuzima financijske internet transkacije potrebno je da korisnici preduzmu određene mehanizme kako bi se zaštitili. Tako sledeći opisani mehanizmi su preventivne prirode i uključuju: zaštitu na strani poslužitelja i aplikacija davatelja usluga, edukaciju korisnika, snažnu autentikaciju korisnika, siguran razvoj Web aplikacija, sigurnost mail poslužitelja, antivirusnu zaštitu i opreznost korisnika.

Ukoliko se već desio „phishing“ napad i želite da ostvarite svoja prava potrebno je procjeniti štetu, štetne posljedice i utvrditi doprinos za nastanak štete, koji se razmatra u svakom konkretnom slučaju. Dakle,  kada je riječ o daljim koracima i ostvarivanju prava na osnovu navedenog potrebno je analizirati sve bitne činjenice od kojih je posebno relevantan trenutak „phishing“ napada. U zaključku, još uvijek ne postoji adekvatna pravna zaštita i relevantni pravni okvir u aktima Bosne i Hercegovine jer je riječ o vrsti sajber kriminala koji je relativno novi pojam za nadležne institucije i koji je tek na meti istraživanja i proučavanja.

Ostale novosti

Change language