Zaštita dece na internetu: akcija „Klikni bezbedno” (8)

Krađa identiteta nije nastala na Internetu, ali je priroda svetske mreže učinila da se metode za krađu ličnih podataka razviju i na njoj. Rezultat razvoja: 13 odsto korisnika Interneta moglo je da upozna svoje „drugo ja”...

Ako bismo delili po težini, krađa identiteta mogla bi da se razvrsta na lakše i teže oblike. Na primer, lakši oblik, za koji vam nije potrebno mnogo, jeste otvaranje lažnog Facebook naloga pod tuđim imenom. Nije čak potrebna ni fotografija – lažni nalog na Facebooku, Twitteru i drugim servisima očas posla je kreiran. Odličan primer za to su lažni nalozi poznatih ličnosti, političara; u Nemačkoj, osim kancelarke Angele Merkel, nijedan ministar nije otvorio svoj Facebook nalog, ali nalozi postoje, naravno, lažni. Ovakva vrsta prevare može da vas košta vremena i živaca, ali je u praksi manje-više rešiva.

Daleko teže slučajeve beležimo kod krađe ličnih podataka (lozinki, PIN kodova iz banke i ostalih vitalnih podataka). U prošlom broju objasnili smo kako se putem phishinga neiskusna osoba ubedi da sama pošalje te podatke. „Nuliranje” računa u banci, koje smo tada pominjali, čak je i najmanje što može da vas snađe. Jer ukoliko „odate” i neku lozinku, eto mogućnosti da se lopov na Internetu pretvori u vas – da ukrade vaš virtuelni identitet.

Nekoliko puta u ranijim tekstovima pominjali smo da se lozinka ne odaje ni prijatelju. Zašto? Zato što, ako prestane da vam bude prijatelj, na Facebooku i Twitteru će pisati u vaše ime, možda će pisati emailove u vaše ime, možda će četovati u vaše ime i namerno vam zagorčati život. Ovo je naročito izraženo kod tinejdžera, koji se krađom virtuelnog identiteta svete svojim bivšim drugovima – otkrivaju tajne, ugovaraju „sastanke” i slično. A stvar može da se preokrene i bude mnogo ozbiljnija, i to nosi naziv spoofing.

Osoba od poverenja

Spoofing u širem smislu znači da ste dobili poruku u nekom internet obliku od osobe u koju imate poverenja. Zapravo, dobili ste poruku od osobe koja je na neki način ukrala virtuelni identitet vaše „osobe od poverenja”. Tipičnim lažnim predstavljanjem lopov od vas izvlači vitalne podatke koje može da zloupotrebi – najočitiji je PIN u banci, uz „nulovan” račun očas posla.

Postoje tri tipa spoofinga na Internetu, pa ćemo priču početi od najčešćeg: email spoofinga. Relativno prostim menjanjem hedera (zaglavlja) email poruke, pošiljalac se trudi da vas navede da email poruku pročitate. Sama promena hedera email poruke moguća je jer se u SMTP-u (protokol za email) najčešće ne koristi autentifikacija. Kada pročitate poruku, ukoliko je pozajmljeni virtuelni identitet onaj „pravi”, vi ćete se „upecati” i poslati vitalne podatke. Tipičan primer za to je spam. Više od 80 odsto emailova na Internetu čini spam. Primer: korisniku stiže elektronska pošta koja izgleda kao da ju je poslao administrator računarske mreže u firmi. U njoj se traži da se promeni lozinka (nekog računara, na serveru i slično) u neki niz znakova koji je dat u poruci, inače će korisnikov nalog biti izbrisan.

Druga vrsta je IP (Internet Protocol) spoofing. To je znatno složenije za izvođenje, ali i za objašnjenje. Sve što vi pošaljete ili primate preko Interneta stiže u nekakvim paketima. Svaki paket, da bi kompjueter znao ko mu ga šalje, nosi adresu svog pošiljaoca. Ideja „loših momaka” sastoji se u tome da se stvore IP paketi sa lažnom adresom izvora. Tako kompjuter stvara i beleži lažnu informaciju o pošiljaocu paketa. Ova sofisticiranija metoda koristi se prilikom napada na mrežnu infrastrukturu, gde se pokušava da se zavara operativni sistem računara primaoca i njegovi sistemi za autentifikaciju kako bi napadači preuzeli kontrolu nad računarima i lokalnom mrežom.

Treća i najsofisticiranija metoda, koja je inače najbliža korisnicima, jeste URL spoofing. Ona se sastoji od pokušaja da se adresa lažne web stranice (URL – Universal Resource Locator) prikaže kao URL prave stranice. Najčešće se za ovu metodu koriste sigurnosne rupe u browserima. Zato uvek skidajte najnoviju verziju browsera. Da bi prevarena strana saznala i iskoristila lažnu web adresu, ova lažna najčešće stiže kroz email poruke.

Kako se zaštititi

Iako sve ovo izgleda vrlo kriptično, zaštita je u sva tri slučaja vrlo prosta i svodi se na ono što smo u prethodnom nastavku rekli za phishing, naravno, uz nekoliko tehničkih dodataka: softver koji koristite za rad na Internetu (browser, email klijent, IM klijent...) mora da bude najsvežiji mogući, jer nove verzije, sem poboljšanja, donose i zakrpe za sigurnosne rupe koje omogućavaju spoofing. Ukoliko možete, upotrebljavajte digitalni potpis, sigurnosne sertifikate ili kriptografske potpise poput PGP-a (Pretty Good Provacy) i tražite da se administrator pobrine da uključi autentifikaciju na SMTP protokolu. Međutim, ove tehničke stvari i nisu toliko bitne koliko vaša sumnjičavost, opreznost i sve ono što smo naveli kada smo pričali o phishingu.

• • •

Ovim smo došli gotovo do samog kraja akcije „Klikni bezbedno”, mada ona nikada ne može i ne sme da se završi. O akciji, ovom i prošlim tekstovima pišite nam i šaljite svoje utiske i komentare na adresu kliknibezbedno@sk.rs.

S.K.