Opcije pristupačnosti Pristupačnost

Računalna sigurnost

Računalnu sigurnost Fakulteta hrvatskih studija osim sustava ustrojenog sukladno dobroj (sigurnosnoj) praksi čini i informiranost njegovih djelatnika o računalnim sigurnosnim ugrozama, što je danas dio informatičke pismenosti.

 

Socijalni inženjering

 

"Socijalni je inženjering niz tehnika pomoću kojih pojedinac, iskorištavanjem ljudskih pogrešaka i slabosti, utječe na drugog pojedinca kako bi ga naveo da učini nešto što nije u njegovom interesu."

Socijalni inženjering (u Hrvatskoj) širi se prvenstveno e-poštom, u drugim državama postoji i neki drugi načini napada (npr. sustavi automatiziranih telefonskih poziva).

Navodimo dva češća primjera socijalnog inženjeringa:

1. Dobili ste e-poštu, tvrdi se da će vam isteći trajnost računa neke internetske usluga (npr. e-pošte, internetskog bankarstva), ako se ne prijavite na tu uslugu u nekom kratkom roku (od 24 sata do najviše tjedan dana). Iako poruka izgleda stvarno (npr. ima logotip vaše banke), najčešće je relativno lako ustanoviti da se radi o prijevari:

- Premisa računalnog napada je očito lažna: Internetsko bankarstvo ne može "isteći", ono će prestati raditi ako ga ne platite, odnosno ako nemate novaca na računu. 

Premisa računalnog napada je generička, varijanta 1.: Računalni napad kojem su cilj korisnici jedne banke šalje se na adrese ljudi koji nemaju račun u toj banci. Ne možete se prijaviti i "produljiti" internetsko bankarstvo u banci gdje nemate račun.

Premisa računalnog napada je generička, varijanta 2.: Poslana poruka je očito prevedena uporabom računalnog prevoditelja, jer tekst poruke očito nije napisan na hrvatskome jeziku, nego je napisan nekim nemuštim jezikom kakav ne bi rabilo ni dijete, ni stranac, nego je iskusnijem oku lako uočiti banalne, besmislene pogrješke tipične za računalne prevoditelje.

- Računalni napad je očito lažan: E-adresa s koje se šalje poruka očito nije adresa tvrtke ili ustanove koja se navodno zastupa, primjer su npr. poruke kojima vas informiraju u prispjeću paketa kurirskom službom DHL, dok adresa s koje je poruka poslana nije nešto@dhl.com  ili nešto@dhl.hr.

Zadnji korak je provjeriti kamo vodi poveznica, koja je krajnji cilj računalnog napada, ako vodi na neku adresu koja očito nije adresa vaše banke, onda je jasno riječ o prijevari.

Važno je uočiti, vidljivi tekst poveznice i to kamo ona vodi može se razlikovati:

Tekst poveznice i ona sama su isti:  /www.hrstud.unizg.hr/

Tekst poveznice i kamo ona vodi nisu isti (identični): /mzo.gov.hr/

 

2. Dobili ste e-poštu, u kojoj vam se prijeti da će vam se nanijeti šteta, ako ne platite neki iznos, koji je obično u rasponu od 1.000 do 10.000 eura, dolara ili britanskih funti. Način plaćanja je uvijek u bitcoinima, zato jer je regulacija tržišta elektroničkog novca još u nastajanju.

 
Postupak u slučaju dobivanja neželjene pošte

Obrišite poruku. 

Dodatno, možete poslati prijavu e-poštom na adresu incident@cert.hr, pri tome prijava mora sadržavati:

  • originalne log datoteke (sa poslužitelja ili mrežnih i sigurnosnih uređaja) iz kojih se vide neželjene mrežne aktivnosti te o kojoj se vrsti incidenta radi
  • vaš opis incidenta
  • datum, točno vrijeme (po mogućnosti u minutu i sekundu) i vremenska zona
  • IP adresa i/ili ime računala koje je napadnuto
  • IP adresa i/ili ime računala koje je izvor napada
  • ako je uz incident vezana poruka e-pošte, URL zloćudne stranice ili nešto drugo, tada je potrebno priložiti i te podatke. Poruku e-pošte priložite uz prijavu zajedno s cjelokupnim zaglavljem (headerom) – dodatne upute potražite ovdje.

Po prijavi incidenta dobit ćete odgovor potvrde da je vaša prijava zaprimljena.

 

Više informacija:  /www.cert.hr/socijalni_inzenjering/