M.M.Lj. [ Gradski portal ]

ZA GODINU I PO

Prijavljeno deset pokušaja zloupotrebe novca sa računa

Centralnoj banci (CBCG) ove godine se obratilo šest klijenata, a prošle četiri, koji su ukazivali na zloupotrebu platnih instrumenata, odnosno takozvani fišing, saopštili su iz te institucije.

Oni su objasnili da je "fišing" vrsta napada koji se koristi kako bi se od klijenata banaka, na prevaran način, saznali lični podaci - korisnička imena, lozinke, brojevi kreditnih kartica i druge povjerljive informacije.

"Fišing" podrazumijeva pripremu napada, prikupljanje podataka i njihovu zloupotrebu. Nakon što napadač izabere metu, odnosno pojedinca ili grupu, on se žrtvi lažno predstavlja kao poznati i pouzdani subjekt - banka, društvena mreža, kolega ili prijatelj, koristeći slične ili klonirane imejl adrese, sajtove, logotipe i dizajn“, rekli su Gradskom portalu predstacnici CBCG.

Napad se može izvesti preko različitih sredstava komunikacije, a najčešće napadač šalje mejl, tražeći od primaoca da klikne na link ili preuzme prilog.

„Takvi linkovi obično vode do lažnih internet stranica koje izgledaju identično kao prave i žrtve unose svoje podatke, ne shvatajući da je u pitanju prevara. Pored toga, za obmanu se mogu koristiti i SMS poruke ili čak telefonski pozivi u kojima se napadač može predstaviti kao na primjer, službenik banke. Nakon što prikupi osjetljive podatke od žrtve, napadač će obično pokušati lično da ih zloupotrijebi ili da ih proda“, rekli su iz CBCG.

Banka je, shodno Zakonu o platnom prometu, dužna da prije izvršenja elektronske transakcije identifikuje klijenta na osnovu dva različita faktora zaštite.

„Ukoliko je do prevare došlo i pored toga što je banka, prije izvršenja elektronske transakcije identifikovala klijent upotrebom kombinacije tih faktora, banka može imati jaku argumentaciju da je do prevare došlo zbog krajnje nepažnje klijenta ili postupanja klijenta sa namjerom prevare, i u tim situacijama koje mogu biti predmet dokazivanja, nije dužna da nadoknadi štetu. Ukoliko banka ne dokaže da je klijent autorizovao transakciju u smislu navedenog zakona, dužna je da mu nadoknadi štetu“, saopštili su iz CBCG.

Centralna banka, prema riječima njenih predstavnika, ne raspolaže informacijama o procesuiranim ""fišing"" prevarama, niti o visini iznosa koji je otuđen na taj način.

Kada su u pitanju načini prevare, najčešće je prevarno slanje poruka radi transakcija koje korisnik, inače, ne namjerava da izvrši ili radi neovlašćene digitalizacije kartice. Takođe, korisniku može da stigne SMS poruka da ga u pošti čeka pošiljka za koju je potrebno uplatiti određeni, obično sitni iznos, manji od jednog EUR.

„Poruka sadrži link koji vodi na lažni sajt pošte ili neke druge institucije. Od korisnika se traži unos podataka sa kartice. Unošenjem tih podataka prevarant pristupa banci korisnika i od banke traži slanje OTP koda (jednokratne šifre) ili aktivacionog koda. Banka zatim šalje OTP ili aktivacioni kod pravom korisniku, na korisnikov registrovani broj telefona i, ako korisnik taj podatak unese na lažnu stranicu koju je kreirao prevarant, doći će do prenosa sredstava na račun treće strane ili do aktivacije platne kartice u e-walletu prevaranta. U posljednjem slučaju, prevarant dalje nesmetano koristi sredstva sa kartice bez ikakve naknadne autorizacije“, objasnili su iz CBCG.

Oni su dodali da je novi vid provjere autentičnosti korisnika, koji bi trebalo da značajno umanji rizik od takvih vidova prevara, na snazi od 8. aprila, te da će se za takve vidove transakcija, pored OTP, tražiti i drugi faktor autentifikacije, kao što je jedinstveni PIN kod koji korisnik treba da aktivira kod banke, token ili sličan mehanizam, zavisno od opcije za koju se banka odluči.

Iz CBCG su saopštili da "fišing" poruke i internet stranice često sadrže gramatičke greške, neobične linkove, hitne zahtjeve za akciju i od korisnika traže lične informacije.

„Hakeri sve više koriste vještačku inteligenciju kako bi kreirali vjerodostojne kopije orginalnih mejlova i internet stranica. Naglašavamo da su, u skladu sa važećim propisima, sve banke dužne da uspostave i sprovode procese za podizanje svijesti korisnika platnih usluga o sigurnosnim rizicima povezanim sa tim uslugama, kao i da im pruže pomoć u vezi sa svim pitanjima, i prijavama nepravilnosti. Takođe, banke su dužne da sprovode niz mjera radi onemogućavanja i ograničavanja zloupotrebe podataka ukradenih kroz fišing napade“, naveli su iz CBCG.

Neke od tih mjera su upotreba kombinacije dva različita faktora za potvrdu identiteta osobe koja je incirala elektronsku platnu transakciju, definisanje limita potrošnje za platne transakcije koje se izvršavaju određenim platnim instrumentom na zahtjev klijenta, kao i obavezna ponuda usluge upozorenja o iniciranju i/ili neuspješnim pokušajima iniciranja platnih transakcija klijentima.

„Regulativa u vezi pružanja platnih usluga se, između ostalog i iz ovog razloga kontinuirano mijenja, pa se mogu očekivati česte izmjene i crnogorskih propisa“, rekli su iz CBCG.

Stručnjaci, ipak, naglašavaju da potpuna zaštita ne postoji i da je kontinuirana edukacija od ključnog značaja.

Iz CBCG su savjetovali građane da budu oprezni i redovno prate uputstva svojih banaka, kao i da vode računa o sadržaju poruka koje im stižu, posebno ako oni sadrže linkove koji naizgled stižu od Pošte, banke ili sličnih institucija. Takođe, oni upozoravaju, da bi trebalo detaljno proučiti OTP kod koji se dobija od banke.