(E Magazin) Krađe na internetu - u poslednje vreme popularna su dva sistema za elektronsku krađu novca: "pharming" i "phishing"

„PECAROŠI“ VREBAJU NA INTERNETU


U poslednje vreme veoma su popularna dva sistema za elektronsku krađu novca, poznata kao „pharming“ i „phishing“


U Srbiji, tačnije staroj Jugoslaviji, upotreba platnih kartica počela je 1969. godine. U to vreme to je značilo tržište od 23 miliona korisnika. Sve do 1991. godine ova oblast se neprekidno razvijala, a onda je kriza koja je usledila prepolovila tržište. Period od 1992. do 1996. doveo je do gubitka poverenja građana u platne kartice i do nestanka njihove upotrebe. Prema podacima Dušana Sikimića, predsednika Foruma za prevenciju zloupotrebe platnih kartica, u to vreme broj izdatih kartica bio je – nula!

Forum za prevenciju zloupotrebe platnih karica osnovan je septembra 2004. godine na inicijativu industrije kartičarstva. Direktan je naslednik Grupe za razvoj platnih kartica osnovane godinu dana ranije. Potreba za ovim organizacijama nametnula se sama s obzirom na rast zloupotrebe „plastičnog“ novca.


Lidija Komlen Nikolić
Specijalni tužilac za visokotehnološki kriminal


Nema zakona

„Nakon sloma bankarskog sistema, revitalizacija i rapidan rast beleže se tek od 2002. godine. Ovaj proces, nažalost, nije pratio nikakav zakonik za kontrolu zloupotreba, niti saradnja sa predstavnicima policije ili pravosuđa. Najveći broj ljudi koji se bavi zloupotrebom i falsifikovanjem platnih kartica dolazi iz Bugarske i Rumunije i većina njih je emigrirala u zapadne zemlje. I mi smo bili na njihovoj meti tako da je potreba za Forumom bila očigledna“, ističe Sikimić.

On dodaje da se falsifikovanje naših kartica meri u promilima jer su na meti uglavnom strane. Tako je „skiming“ metodom, odnosno uređajem za skidanje magnetnog zapisa sa kartica koji se postavlja na bankomate samo u Velikoj Britaniji 1995. godine ukradeno 600 miliona funti. Sikimić ističe da u 99 odsto slučajeva troškove u slučaju zloupotrebe snosi banka izdavalac, osim u slučaju neprijavljivanja krađe kartice.

U poslednje vreme veoma su popularna dva dodatna sistema za elektronsku krađu novca, poznata kao „pharming“ i „phishing“. Funkcionisanje ove druge metode, takozvanog „pecanja“, za e magazin je objasnio Aleksandar Filip, IT konsultant Inet Internet provajdera. On ističe da su virusi suštinski problemi Interneta. To naravno pogađa i sve vrsta elektronskih transakcija.


Aleksanar Filip


Kako se postaje žrtva?

„Početak phishing prevare može biti lažno obaveštenje na vašem e-mailu o izmišljenom incidentu sa računarom. Tada dobijete i link koji naravno u panici aktivirate, a koji vas vodi do kopije web stranice vaše banke, na primer. Na njoj, kao što ste navikli, unesete sve podatke koji se zahtevaju...“, objašnjava Filip.

On dodaje da je glavni problem još uvek postojanje straha od tehnologije. Nepoverenje izaziva paniku i tipičnu reakciju kod većine ljudi – „znao sam da nešto neće biti u redu sa elektronskim računom“. U ovakvim slučajevima poražavajuća je činjenica da ne postoji način da se ukradeni novac vrati. Zato treba pojačati prevenciju jer se u „phishing“ slučaju zaštita svodi na proveru i vrlo je jednostavna. Naime, kako ističe Filip dovoljno je samo proveriti režim web stranice, odnosno da li postoji simbol „katanca“. Takođe, postoje i posebni alati koji potvrđuju validnost pristupa. S obzirom na to da po njemu elektronskom plaćanju tek predstoji ekspanzija u Srbiji, a za „phishing“ prevaru je kriv pojedinac, građani se moraju edukovati iz ove oblasti.

Mnogo ozbiljnija prevara od ove je takozvani „pharming“, jer u tom slučaju nije odgovoran korisnik. Ovde je reč o „presretanju“ podataka i u Srbiji još uvek nije zabeležen nijedan takav slučaj. Koncept prevare je da vas „na putu“ do web sajta koji ste ukucali na računaru, presretne klonirani sajt na koji sa punim poverenjem ukucate svoje podatke. Zaštita u ovom slučaju isključivo zavisi od onoga ko pravi bazu podataka. Takođe, kako ističe Filip, treba znati da „provalnici“ obično napadaju bazu kartica, a ne pojedince, odnosno pre će napasti online prodavnicu koja radi sa određenom bankom, a ne samu banku koja po pravilu ima bolju zaštitu. „Provala“ uspeva samo ukoliko je prodavnica bila neoprezna i sačuvala kompletne podatke o karticama. Uobičajeno je da se čuvaju samo poslednje četiri cifre.




Šta propisuje standard?

Najveći broj zabeleženih „elektronskih incidenata“, kako krađe identiteta tako i zloupotrebe elektronskih informacija desio se u SAD. Ova zemlja je ujedno i predvodnik u zaštiti identiteta. Sistemi zaštite su svakim danom sve složeniji i bolji, ali je i dalje najosetljivija karika – čovek. Zato je uvođenje standarda, donošenje, sprovođenje i kontrola pravila preduslov i činilac koji znatno može podići nivo zaštite.

Kako objašnjava Vladimir Vučinić, direktor preduzeća Romsym Data d.o.o., standard ISO 27001 ustanovljen je krajem 2005. godine kao usklađena verzija BS7799-2 standarda sa ISO 9001 i 14001 standardima.

„Sve je počelo još 1992. godine kada je deo britanske vlade zadužen za trgovinu i industriju objavio „kod za informatičku sigurnost menadžmenta“ (Code of Practice for information security Management) koji je vrlo brzo preuzeo britanski Institut za standarde i 1995. godine objavio kao BS7799 standard. Ubrzo su usledila unapređenja standarda. Naš zavod za standardizaciju je sredinom 2006. godine objavio standard JUS ISO¬-IEC 17799 „Informacione tehnologije – Tehnike sigurnosti – Pravila prakse za upravljanje sigurnošću informacija. Pomenuti standard ISO 27001 nastao je kao zamena standarda BS7799-2“, objašnjava Vučinić.



ISO 27001 „Informacione tehnologije – sistemi upravljanja sigurnošću informacija – Zahtevi“ propisuje sistem za upravljanje sigurnošću informacija i definiše zahteve za Sistem za upravljanje sigurnošću informacije (ISMS) to jest, grubo rečeno, opisuje kako menadžment može da nadgleda i upravlja sigurnošću preduzeća, dok ISO 27002, koji se trenutno još uvek zvanično zove ISO 17799, definiše skup pravila i procedura kojima se postiže određeni nivo sigurnosti. Vučinić kaže da je HDL Design House prvo preduzeće u Srbiji koje ima ISO 270001:2005 sertifikat koji su dobili u decembru 2006. godine.

„Interesovanje o ovim i srodnim standardima raste, ali je još uvek skromno. Mislim da se malo pažnje poklanja segmentu elektronskog poslovanja i bezbednosti informacija uopšte. Naši podaci, lični pre svega, svuda su više-manje dostupni i sa njima se uglavnom postupa na neodgovarajući način, bilo da su u pitanju zdravstvene ustanove, razne vrste registara i organizacija ili preduzeća. U većini slučajeva ne postoje striktno definisana pravila postupanja sa informacijama niti njihova klasifikacija“, kaže Vučinić.

On ipak smatra da je sa bankama i mobilnim operaterima malo bolja situacija. „Elektronski problemi“ još uvek nisu nerešivi jer smo i dalje u tehnološkom zaostatku u odnosu na svet. Međutim, ističe on, kako budemo hvatali korak sa svetom i kako naši podaci budu pohranjivani u razne IT sisteme, tako će i realne pretnje od zloupotrebe elektronskih informacija postajati bitnije, akutnije i aktuelnije. Tada će bezbednost elektronskih informacija postati prioritet.




Ko je kriv?

Neke od najopasnijih elektronskih prevara su takozvani „phishing“ i „pharming“. U prvom slučaju, ako se „upecate“ sami ste krivi jer je odgovrnost na vama što niste proverili validnost sajta na kome ste ostavili svoje podatke. U drugom, žrtva ste prevare za koju ne snosite odgovornost jer vas je presreo klonirani sajt kome ste „poverili“ svoj broj platne kartice i ostale podatke. Kako ističe Dušan Sikimić, predsednik Foruma za prevenciju zloupotreba platnih kartica, još nijedan ovakav slučaj nije zabeležen u Srbiji.