U proteklih godinu dana nekolicina firmi u BiH oštećena je za više od 900.000 KM i to tako što su se, između ostalog, hakeri predstavljali kao uposlenici Porezne uprave. Oštećene su firme iz Banje Luke, Tuzle, Posušja, Tomislavgrada, i Orašja, saznaje Fokus.ba u Federalnoj upravi policije (FUP).
U ovom konkretnom slučaju riječ je o prevarama odnosno preuzimanju kontrole nad on-line bankarstvom.
“Napadač uz korištenje metoda tzv. ‘spear phisinga’, šalje e-mail žrtvi, najčešće pravnom licu, predstavljajući se kao npr. Porezna uprava, u konkretnom primjeru @poreznauprava.com umjesto @poreznauprava.ba, a potom aktiviranjem priloga uz e-mail poruku, npr. pdf dokumenta, žrtva u svoj sistem instalira maliciozni program koji za svrhu ima preuzimanje udaljene kontrole nad računarom. To naposljetku za posljedicu ima, u određenom trenutku obavljanje neovlaštenog preuzimanja sesije internet bankarstva. Nakon toga se izvrše neovlaštene novčane transakcije u ime legalnog korisnika na prethodno pripremljene bankovne račune kriminalnih lica, ‘finansijske mule’, naveli su za Fokus.ba iz FUP-a.
U BiH su u proteklim mjesecima zabilježeni i drugi slučajevi on-line kriminala. Odsjek za borbu protiv kompjuterskog kriminala pri FUP-u u prethodnom periodu zaprimio je više prijava fizičkih i pravnih lica sa teritorije FBiH. Prijave su se odnosile na zloupotrebu informacionih sistema, prvenstveno pravnih subjekata, upotrebom tehnika napada na internetu koje imaju za cilj prevare korisnika u smislu promjene instrukcija za plaćanje roba i usluga.
Dolazilo je i do instaliranja malicioznih kodova u informacioni sistem korisnika i preuzimanje sesija internet bankarstva, te kriptovanja računara korisnika i zahtijevanja uplate otkupnine u svrhu deskripcije sadržaja.
“Na opisani način je fizičkim i pravnim licima sa teritorije Bosne i Hercegovine pričinjena do sada neutvrđena materijalna šteta koja se ogleda u nedostupnosti podataka”, ističu iz FUP-a.
U navedenim primjerima, u dijelu koji se odnosi na tzv. “e-mail prevare”, napadač vrši prevaru na način da metodama “phisinga i spoofinga” ili kompromitacije e-mail servera, obavlja nadzor nad e-mail korespondencijom njemu interesantnih osoba.
“Najčešće je riječ o pravnim subjektima koji vrše poslovnu korespondenciju sa inostranstvom, a potom predstavljajući se kao ino dobavljač haker, koristeći obilježja istog, u fakturama vrši promjenu načina plaćanja, odnosno pod izgovorom navodnih promjena banke, navodi nove instrukcija za plaćanje i korespondentnu banku koja ne odgovara stvarnim podacima, nakon čega oštećeni ne sumnjajući izvrši uplatu na dostavljeni račun, U ovim slučajevima je fizičkim i pravnim licima sa teritorije Bosne i Hercegovine pričinjena materijalna šteta u novčanom iznosu od više stotina hiljada konvertibilnih maraka”, naglasili su iz FUP-a.
U primjeru enkripcije računara, žrtva najčešće zaprima e-mail poruku sa malicioznim programom u prilogu maila. Nakon tih radnji se vrši enkripcija podataka sa informacionog sistema, uz zaprimanje poruke o plaćanju otkupnine podataka u virtualnoj valuti “BitCoin”.
“U svim navedenim primjerima od strane napadača, osim lakovjernosti legalnog internet korisnika iskorišteni su i sigurnosni propusti tipa: korištenja nelicenciranih operativnih sistema, korištenja neodgovarajućih ili nepostojanje antivirusnih programa, slabe ili nepostojanje sigurnosne politike korištenja informacionih tehnologija u firmama, nepostojanje permanentne edukacije uposlenika o opasnostima na internetu i drugo”, istakli su iz FUP-a.
U cilju preventivnog djelovanja, odnosno smanjenja mogućih zloupotreba informacionih sistema fizičkih i pravnih lica u Bosni i Hercegovini, FUP navodi niz preporuka za kompanije odnosno pravna lica.
– Procjena rizika i kreiranje pravilnika/sigurnosne politike u vezi sa korištenjem informacionih sistema u firmama.
– Korištenje licenciranih operativnih sistema i redovan update istih.
– Korištenje antivirusnih programa i redovan update istih.
– Kontinuiran nadzor mrežnih događaja od strane administratora i prijavljivanje anomalija na istom.
– Obraćanje pažnje na instalaciju računalnih programa.
– Poštivanje protokola upotrebe elektronskog bankarstva.
– Prilikom “on-line” plaćanja, uključivanje dodatnih mjera autentifikacije, (npr. novi klijent, prva transakcija, obavezna dodatna autentifikacija).
– Redovna provjera analitičke kartice kretanja po računu, provjera sumnjivih transakcija.
– Pažnja prilikom ostavljanja ličnih podataka na internetu.
– Provjera izvora pošiljaoca e-mail poruka, redovno ažuriranje postavki e-mail korisničkog računa, servera.
– Kreiranje tzv.”back-up” podataka u skladu sa politikom sigurnosti firme, (na trećim lokacijama i siično).
– Redovna edukacija privatnih korisnika i uposlenih u firmama u vezi sa mogućnostima zloupotrebe informacionih tehnologija, odnosno prijetnjama na internetu.
