WhatsApp „pecanje“: kako se sačuvati od onlajn prevara

Onlajn prevara koja se masovno širila početkom ove godine, a ponovo je aktuelna, fokusirana je na WhatsApp. Napadači su putem četova slali poruke sa linkovima za navodno glasanje na lažnim sajtovima koji su zahtevali „autorizaciju“ naloga. Cilj prevare je zapravo bio da se generiše jednokratni WhatsApp kod za povezivanje dodatnih uređaja, koji je neophodan u slučaju kada se WhatsApp koristi na računaru ili kroz brauzer. Kada bi prevareni korisnici poslali kod putem lažnog sajta za glasanje, njihovi WhatsApp nalozi bi na taj način bili preuzeti i prevara bi mogla da se širi dalje, ovog puta mnogo uverljivije jer bi molbe za glasanje dolazile od legitimnih kontakata. 

Kompromitovani nalozi se mogu povratiti pokušajem ponovne registracije putem SMS-a, jer su WhatsApp nalozi povezani za brojeve telefona. Ipak, dodatni problem može da nastane jer Meta u ovakvim slučajevima zna da blokira WhatsApp, na šta je potrebno uložiti žalbu kako bi Meta reaktivirala nalog. Da bi se ubuduće sprečila kompromitacija naloga, Meta savetuje uključivanje dvofaktorske autentifikacije na WhatsApp-u i dodavanje mejl adrese za povraćaj naloga. Takođe, korisnici nikada nikome ne bi trebalo da prosleđuju sigurnosne kodove niti da ih unose bilo gde osim u WhatsApp.

Prethodnih dana kružio je i SMS koji šalje „Ministarstvo saobraćaja Republike Srbije“ da ste napravili saobraćajni prekršaj, sa brojem predmeta i popustom od 50 posto ako kaznu za prekršaj platite u roku od 24 sata. U poruci koja je na ćirilici takođe se nalazi link ka „portalu za plaćanje“ i nudi se mogućnost da odgovorite na poruku ako želite da dobijete link sa fotografijom prekršaja i lokacijom. Ovakve prevarne poruke prethodnih dana dobijaju građani Srbije, na šta je upozorio i MUP. 

Iako sadrže naizgled uverljive informacije, na primer o umanjenju novčane kazne za 50 posto kako je predviđeno Zakonom o prekršajima ukoliko se kazna plati u roku od osam dana, ove poruke su uglavnom pune nelogičnosti i propusta dovoljnih da se uoči prevara. Broj sa kog je poslata poruka u prikazanom primeru, počinje sa +63, što je međunarodni pozivni kod za Filipine. Primećeno je više varijanti domena i linkova u prevarnim SMS-ovima koji vode na sajtove koji po izgledu podsećaju na portal eUprava i od „kažnjenih“ građana traže da karticom izvrše uplatu.  

Međutim, građani iz panike, neznanja ili straha od pravnih posledica često „izvrše uplatu“ putem krivotvorenog sajta, sa koga napadači preuzmu podatke o platnim karticama i zatim ih koriste da vrše onlajn plaćanja i izvlače novac sa računa prevarenih. Dok se kartica ne blokira telefonskim pozivom korisničkom centru banke ili preko mobilne aplikacije, pričinjena šteta može biti u desetinama ili stotinama hiljada dinara. 

Opisana tehnika onlajn manipulacije čiji je cilj da od prevarenih osoba izvuče poverljive informacije, poput podataka sa platnih kartica ili kredencijala za naloge, naziva se fišing (phishing). Postoji više podvrsta ove prevare, ali ona koja koristi SMS i čet poruke za targetiranje potencijalnih meta je smišing, što je izraz nastao kombinacijom reči SMS i fišing. 

Sličnih kampanja usmerenih na Srbiju je bilo mnogo, a naročito u poslednjih pet i više godina kako su sve više počeli da se koriste digitalizovani državni servisi poput eUprave i kako su državne institucije aktivnije ulazile u direktno obaveštavanje građana elektronskim putem. Na primer, tokom kovid-19 pandemije, građani su dobijali SMS poruke sa terminima vakcinacije za koju su se prijavljivali preko eUprave. U takvim okolnostima, kada su građani naviknuti ili očekuju zvaničnu komunikaciju sa državnim organima putem SMS poruka ili mejlova, mogućnosti za osmišljavanje prevara su brojne. Prošlog leta, kao i u januaru i martu ove godine bilo je aktuelno više prevara sa lažnim kaznama za prekoračenje brzine i saobraćajnim prekršajima, kada je zloupotrebljen vizuelni identitet Puteva Srbije, javnog preduzeća u čijoj nadležnosti nije naplata saobraćajnih kazni.

SMS i čet prevare sve su više sofisticirane, ali njihova suština je ista – navesti metu da klikne na link i postupi po instrukcijama. U pogledu prevencije, obazrivost sa porukama koje dolaze od naizgled legitimnih izvora, kao što su banke, pošta, policija, tehnička podrška i tome slično, i dalje je najbolja strategija. Brojevi telefona, način komunikacije, linkovi, sajtovi i domeni – sve što je neuobičajeno može biti znak prevare. Ako vam od prijatelja ili drugih poznatih kontakata stigne molba da im uplatite novac na račun ili pošaljete podatke sa kartice – kontaktirajte ih na alternativni način (poziv, društvene mreže i sl) i potvrdite identitet za slučaj da im je kompromitovan nalog na čet aplikacijama.

Alati za digitalnu bezbednost SHARE Fondacije – kako reagovati u različitim scenarijima onlajn prevara
Fišing testovi – proverite koliko prevara možete da prepoznate na srpskom i engleskom