S hitro rastjo uporabe informacijsko-komunikacijskih tehnologij se povečujejo tuddi možnosti zlorab osebnih podatkov. Pri tem je ena ključnih varovalk večja osveščenost posameznikov, zato želimo z opisi nekaterih pasti in priporočili za varno uporabo prispevati k večji skrbi in boljšemu varovanju lastnih (osebnih) podatkov.

1. Ribarjenje podatkov (angl. phishing)
2. “Pharming” napadi
3. Nezaželena elektronska sporočila (angl. spam) in slovenska zakonodaja
4. Prijavna točka za otroško pornografijo in sovražni govor – SPLETNO OKO.SI

Ribarjenje podatkov (»phishing«)

Izraz ribarjenje podatkov (angl. phishing) izvira iz angleških besed za geslo (password) in ribarjenje (fishing). Spletni goljufi želijo s pomočjo lažnih spletnih strani in elektronskih sporočil od vas na takšen ali drugačen način izvabiti vaše osebne podatke, kot so: številke kreditnih kartic, uporabniška imena in gesla, digitalna potrdila in ostale osebne podatke. Pri tem uporabljajo različne tehnike, ki spadajo v domeno t.i. socialnega inženiringa, s tem da poskušajo od uporabnika na zvit način izvabiti osebne podatke. Praviloma najprej postavijo lažno spletno stran, ki je zelo podobna pravi, nato pa od vas z lažnim elektronskim sporočilom poskušajo izvabiti bodisi obisk te strani ali kar takoj pridobiti vaše podatke z vašim odgovorom na to sporočilo. Primer zavajajočega sporočila je na voljo tukaj.

Za uporabnika, ki takšni goljufiji nasede, so posledice lahko relativno majhne (odtujijo vam npr. račun brezplačne elektronske pošte), lahko pa tudi zelo velike (npr. kraja večjih vsot denarja iz bančnih računov). Ogroženost zaradi ribarjenja podatkov se še vedno povečuje, svetu namreč dnevno nastane med 100 in 200 novih strani za ribarjenje podatkov, v enem zadnjih bolj odmevnih primerov januarju 2007 pa je 250 uporabnikov neke švedske banke izgubilo skupaj 850.000 EUR.

Glede na visoko uporabo interneta s strani mladostnikov, ki v Sloveniji že presega 90%, je zelo pomembno, da se tudi mlade uporabnike novih tehnologij čim prej seznani z možnimi nevarnostmi. V ta namen priporočamo ogled strani z nasveti za varno uporabo interneta projekta SAFE-SI, v nadaljevanju pa podajamo nekaj osnovnih priporočil za obrambo pred ribarjenjem podatkov.

Priporočila za obrambo pred ribarjenjem podatkov

1. Naučite se prepoznavati e-pošto, ki je namenjena prevari oz. ribarjenju podatkov.

Značilnosti takšnih sporočil so :
– uporaba imena in znanih oblikovnih elementov prave organizacije (banke, podjetja)
– uporaba navidez resničnih imen zaposlenih in oddelkov v tej organizaciji
– uporaba imen domen, ki so podobna pravemu naslovu domene
– grožnja z izgubo podatkov, brisanjem računa ali podobnimi škodljivimi posledicami, če ne bi izvršili tistega, kar od vas želijo (npr. “…če nam v roku x dni ne boste sporočili vašega uporabniškega imena, bomo vaš račun smatrali za neaktiven ali odtujen in ga bomo prisiljeni zaprti…”).
Upoštevajte, da veljajo navedene tehnike tako za manj škodljive zadeve, kot je pridobitev podatkov za dostop do računa brezplačne spletne pošte, do potencialno zelo resnih, kot je pridobitev podatkov za nepooblaščeni dostop do vašega bančnega računa.

2. Preverite vir prejetih sporočil.

Predvsem banke vas zelo verjetno nikoli ne bodo nagovarjale preko navadne pošte, predvsem pa od vas na ta način ne bodo zahtevali vaših osebnih podatkov, kot so uporabniška imena in gesla oziroma vas pozivali k izvozu digitalnega potrdila. Če dvomite v resničnost prejetega sporočila, lahko še vedno uporabite telefon ali drug način kontakta z banko in se prepričate, ali je sporočilo verodostojno.

3. Ne klikajte na povezave v elektronski pošti, ki se zdijo kot prava povezava do vaše banke.

Raje uporabite vaše zaznamke oz. bližnjice (angl. bookmarks ali favourites), ki ste si jih predhodno shranili v vaš brskalnik. Preberite si tudi prispevek o t.i. pharming-u.

4. Preverite, ali se nahajate na pravi strani.

Predvsem preverite, ali je povezava do spletnega mesta varovana s t.i. varnim http protokolom – v tem primeru se ime domene začne z https:\\…, v vrstici stanju na dnu okna v brskalniku pa mora biti prikazana zaklenjena ključavnica. Pri tem bodite pozorni na ostala priporočila, saj vam v primeru, da se na vašem računalniku nahaja nevarna programska oprema, tudi ta korak ne more zavarovati pred izgubo podatkov in ostalimi posledicami. Razlika med pravo in lažno stranjo je lahko minimalna, poleg tega pa za nekatere organizacije obstaja poleg prave domene tudi več deset zelo podobnih registriranih domen (npr. spletnabanka.com, spletna-banka.com, login-spletnabanka.com…). Na tem mestu velja opozorilo, da vas v primeru okužbe z nevarnimi trojanskimi konji tudi preverjanje varnosti povezave in zaklenjene ključavnice ne bo obvarovalo pred zlorabo podatkov (nekateri trojanski konji npr. pravo okno neopazno prekrijejo z lažnim), zato je ključno redno posodabljanje protivirusnih programov in nameščanje varnostnih popravkov.

5. Redno preverjajte vaše bančne izpiske.

Bodite pozorni tako na transakcije, ki ste jih izvršili prek spleta, a niso zavedene na vašem izpisku kot na tiste, ki jih niste izvedli, a so prikazane na vašem izpisku.

6. Poskrbite za varnost vašega računalniškega sistema.

Predvsem redno nameščajte varnostne popravke operacijskega sistema, uporabljajte in redno posodabljajte protivirusne programe, ne nameščajte programov s sumljivih spletnih mest in ne odpirajte sporočil neznanih pošiljateljev, zlasti ne tistih s priponkami izvršljivih programov (kot so npr. .exe. ali .bat datoteke).

7. Ribarjenje nikakor ni več vezano na angleško govoreči svet.

Tudi slovenske organizacije so v zadnjem času doživele primere ribarjenja podatkov svojih uporabnikov. Sporočila so v tem primeru v slovenščini in na prvo oko delujejo kot verodostojna.

8. Uporabljajte zadnje verzije brskalnikov z zadnjimi varnostnimi popravki.

Najpogosteje uporabljani brskalniki, kot so Internet Explorer 7 , Mozilla Firefox 2, Opera 9.1 ipd., vsebujejo določene tehnologije, ki vas ščitijo pred ribarjenjem podatkov.

Uporabne povezave:

Wikipedia – [en.wikipedia.org]
SAFE-SI – [www.safe.si]

SI-CERT – [www.arnes.si]

“Pharming” napadi

Napadi “pharming” (gre za skovanko med angleškima besedama farming in pharmacy, navezuje pa se na tehniko genetskega inženiringa, v svetu interneta pa bi lahko govorili o inženiringu naslovov spletnih mest) so verjetno bolj nevarni za uporabnika, saj jih je nekoliko težje prepoznati. Glavna razlika je v tem, da gre pri »pharmingu« za bolj tehnični napad kot za tehniko socialnega inženiringa, na katerih temelji ribarjenje podatkov ozirom phishing. Praviloma gre pri pharming napadih bodisi za neposreden napad na DNS strežnike bodisi za napad na določeno datoteko, ki se nahaja na računalniku uporabnika (gre za t.i. datoteko o gostiteljih oz. host file, kjer se nahajajo podatki o URL-jih in domenah). Uporabnik je v teh primerih prepričan, da se nahaja na pravi strani, saj je vtipkal pravi URL naslov strani, v resnici pa ga je eden od omenjenih načinov napada preusmeril na lažne strani, ne da bi se pri tem spremenil URL naslov v oknu brskalnika. Uporabnik je seveda v tem lažnem zaupanju dovolj samozavesten, da vnaša svoje osebne podatke v obrazce, ki se nahajajo na takšnih straneh.

Več o delovanju DNS strežnikov in prikaz delovanja pharming napada je na voljo tukaj (.pdf, 2.07MB).

Uporabne povezave:

Wikipedia – [en.wikipedia.org]

Nezaželena elektronska sporočila (angl. spam) in slovenska zakonodaja

Področje neposrednega trženja s pomočjo elektronskih komunikacij (in posledično področje neželenih elektronskih sporočil in nenaročene oglasne pošte) v Sloveniji urejajo štirje zakoni, trije specialni (Zakon o elektronskih komunikacijah, Zakon o varstvu potrošnikov in Zakon o elektronskem poslovanju na trgu), ter sistemski zakon (Zakon o varstvu osebnih podatkov):

* Zakon o elektronskih komunikacijah (ZEKom-UPB1)
* Zakon o varstvu potrošnikov (ZVPot-UPB2),
* Zakon o elektronskem poslovanju na trgu (ZEPT),
* Zakon o varstvu osebnih podatkov (ZVOP-1).

Osnovna načela glede neposrednega trženja, ki so predpisana v naštetih zakonih, bi lahko na hitro povzeli z naslednjimi točkami:

* pošiljatelj mora predhodno pridobiti soglasje vsakega naslovnika,
* naslovnik ima pravico kadarkoli zavrniti nadaljno uporabo svojega elektronskega naslova,
* pošiljatelj mora pri obdelavi osebnih podatkov upoštevati Zakon o varstvu osebnih podatkov.

Podrobnejšo razlago si lahko preberete na spletni strani SI-CERT.

Besedilo je bilo pripravljeno v sodelovanju s SI-CERT, Agencijo za pošto in elektronske komunikacije in Tržnim inšpektoratom RS.

Prijavna točka za otroško pornografijo in sovražni govor – SPLETNO OKO.SI

SPLETNO-OKO.SI je slovenska spletna prijavna točka, kjer lahko anonimno prijavite otroško pornografijo in sovražni govor na internetu.
Spletno-oko.si deluje v okviru komunitarnega programa Varnejši internet plus in organizacije INHOPE. Kot člani svetovalnega telesa pri projektu sodelujejo tudi Vrhovno državno tožilstvo Slovenije in Policija ter predstavniki medijev in ostalih organizacij, ki aktivno delujejo na področju varovanja pravic otrok.

Sodelovanje podobnih točk v Evropi se je izkazalo za učinkovit ukrep v boju za zmanjšanje nezakonitih vsebin na internetu. Slovenski uporabniki interneta lahko zdaj tudi sami z anonimnim poročanjem o obstoju potencialno nezakonitih ter škodljivih vsebin prispevajo k varnejšemu internetu.

Informacijski pooblaščenec v luči prizadevanj za varstvo osebnih podatkov na internetu in varnejši internet na sploh, pozdravlja vzpostavitev spletne prijavne točke SPLETNO-OKO.SI.

Prijavna točka Spletno oko je zaradi narave projekta za javnost dosegljiva izključno na internetu, in sicer na spletni strani http://www.spletno-oko.si.

Za več informacij pa lahko pišete na info(at)spletno-oko.si.

VIR: INFORMACIJSKI POOBLAŠČENEC