Znano mi je, da je naslov, na katerega je bilo sporočilo poslano, že dlje časa na vseh mogočih spam seznamih, in ker tedaj še nisem imel PayPal računa, mi je bilo takoj jasno, da gre za lažno sporočilo. Hkrati pa razumem, da ga včasih ni tako enostavno prepoznati. Besedilo je napisano korektno, dovolj uniformirano, da možgani takoj pomislijo na uradni dopis, na katerega se morajo odzvati. Alarm pa nam bi moral zazvoniti, ko pogledate naslovnika, predvsem njegovo domeno za afno. Dvomim, da bi uradni dopis poslal nekdo s poštnim predalom @paypalx.com. To je že en od kazalcev, da gre za lažno sporočilo. Drugih pa v samem sporočilu ni. V sporočilu je povezava, ki jo mora uporabnik klikniti, da pride na stran, kjer nato izvede tisto, kar kriminalec od njega želi.

V konkretnem primeru je bila prevara že zaznana, zato uporabnik dobi sporočilo, da gre verjetno za ribarjenje. Ni pa mi jasno, zakaj sistem vseeno dopušča, da na lastno odgovornost uporabnik nadaljuje na lažno stran.

Vendar je podobnosti dovolj, da se ujamejo naivni uporabniki. Na žalost nekateri uporabniki ne posvečajo dovolj pozornosti vstopni strani v storitev, in tudi če že opazijo, da je nekaj drugače, mislijo, da gre bodisi za stran, ki je namenjena (v tem primeru) osvežitvi podatkov oziroma temu, kar sporočilo od njih zahteva, ali pa da se je stran oblikovno spremenila od tedaj, ko so jo zadnjič obiskali. Prav tako ne pogledajo naslovne vrstice, ali je naslov pravi. In to ves naslov, tudi ali se začne s https, kot je to običaj s stranmi, ki resno in varno ponujajo nekaj, kar bi utegnilo biti zanimivo za spletne kriminalce. Napačen naslov, čreva v naslovni vrstici, drugačno oblikovanje strani, celo minimalne razlike se moramo naučiti opaziti, kajti to postaja osnova spletne varnosti.

S tem, ko smo vstopili na lažno stran, si v večini primerov še nismo naredili škode. Če pa bi nadaljevali in se registrirali s svojim pravim uporabniškim imenom in geslom, potem bi vrag odnesel šalo. Kriminalci bi dobili pravo geslo in bi lahko prevzeli storitev. V konkretnem primeru, takoj ko vpišete ime in geslo (seveda izmišljeno), na zaslonu zagledate spletni obrazec, v katerega naj bi vpisali vse mogoče osebne podatke, med drugim tudi plačilne kartice. Obrazec je prazen, če bi bili na pravi strani, bi bili stari podatki vanj že vpisani. Kdor pa po vsem tem vpiše še te podatke, je pa res brezbrižen in mu je popolnoma vseeno za spletno varnost.

Spletni kriminalci nimajo poštnih naslovov uporabnikov neke storitve. Razen če prej vdrejo v njen sistem in ukradejo bazo uporabnikov. Tak napad pa težko ostane skrit, v medijih se pojavi novica. Spremljanje novic, kaj se dogaja na spletu, je tudi ena od varnostnih preventiv. Če se na primer pojavi novica, da so vdrli v sistem storitve, vi pa kmalu po tem dobite poštno sporočilo, v katerem vas 'obveščajo', da morate nujno preveriti svoje podatke, ste lahko prepričani, da gre za lažno sporočilo. Taki dogodki pa so sorazmerno redki. Primer lažnega sporočila PayPala kaže na običajno pot širjenja lažnih sporočil. Kriminalci imajo ali pa kupijo seznam naslovov, več ko jih je, bolje, na katere nato razpošljejo spam. Popolnoma nepomembno je, da so med naslovniki osebe, ki nimajo nič z 'napadeno' storitvijo, računajo na delež naslovnikov, ki so uporabniki oziroma natančneje na majhen odstotek oseb, ki so dovolj naivne, da nasedejo. Uspeh kriminalcev je odvisen od števila poslanih sporočil in hitrosti, torej da se uporabniki odzovejo prej, kot varnostna podjetja zaznajo prevaro in se ustrezno odzovejo. Dobra praksa je torej tudi, da ko prejmete takšno sporočilo in niste prepričani, ali je pravo oziroma lažno, nekaj dni počakate z odzivom. V vsakem primeru pa po prejetju lažnega sporočila ne kliknete na povezavo, ki vam jo ta predlaga, temveč v naslovno vrstico brskalnika ročno vnesete naslov storitve ter preverite, ali storitev od vas res nekaj zahteva.

Pametni nasvet. Pri registraciji na storitev, kje vas lahko zaradi njene narave oškodujejo, kar z lahkoto storijo, če vam vdrejo v račun PayPala, morate biti pametnejši od spletnih kriminalcev. Ker so ti odvisni od seznamov znanih poštnih naslovov, morate narediti vse, da se vaš naslov ne znajde na takem seznamu. Kar je težko, če ne nemogoče, pri splošnem naslovu, ki ga uporabljate za dnevno poštno komunikacijo. Kaj storiti? Omislite si več poštnih predalov. Ali praktično. Recimo, da želite odpreti PayPal račun. Pri postopku registracije storitev od vas zahteva vpis vašega poštnega naslova. Namesto svojega obstoječega naslova le v ta namen oblikujte nov naslov v na primer spletni pošti Gmail. Lahko tudi v kakšni drugi. Googlova storitev je dobra izbira, saj je Google močno odvisen od spleta in zadovoljstva svojih uporabnikov, veliko vlaga v varnost svojih storitev, zato je manj verjetno, da bodo vdrli v Gmail in ukradli podatke o vseh uporabnikih. Le kot primer. Odprli smo poštni predal jozica.placilo1@gmail. Še bolje bi bilo, če bi bil naslov manj intuitiven in težje uganljiv. Tega naslova ne uporabljajte v noben drug namen kot zgolj za registracijo storitve, njeno aktivacijo in pozneje za komunikacijo z njo. Če se boste tega držali, je zelo malo verjetno, da bo naslov 'prišel' na spam sezname, in veliko bolj gotovi ste lahko, da je sporočilo, ki ga dobite na ta naslov, pravo, in ne lažno. Prav tako pa je pomembno, da za vstop v ta poštni predal oblikujete unikatno lastno geslo (ne uporabljajte enega gesla za več storitev).