Policijski službenici Odjela kibernetičke sigurnosti Policijske uprave zagrebačke dovršili su kriminalističko istraživanje nad 49-godišnjim hrvatskim državljaninom, za kojeg se sumnja da je počinio više od 60 kibernetičkih napada. Sumnjiči ga se da je izrađivao mrežne stranice koje su vizualno, a ponekad i nazivom domene, oponašale legitimne stranice koje su koristile oštećene osobe.
Oštećenim građanima i trgovačkim društvima je također slao „phishing“ elektroničke poruke u kojima su se nalazili zlonamjerni računalni programi tipa Exela Stealer, key.exe i PureHVNC. Ti programi služe za prikupljanje korisničkih imena, lozinki, bankovnih podataka i drugih osjetljivih informacija, kao i za neovlašteni pristup putem protokola za udaljeni pristup računalima i informacijskim sustavima.
Na taj je način ostvarivao neovlašten pristup računalnim sustavima i elektroničkoj pošti oštećenih te preuzimao njihovu poslovnu i osobnu dokumentaciju, uključujući financijske podatke, pravne spise, elektroničku korespondenciju, privatne fotografije i druge podatke. Prikupljene podatke potom je koristio za iznude, od oštećenih tražeći novac kako u javnost ne bi iznio poslovne i osobne informacije koje bi mogle naštetiti njihovu ugledu i redovnom poslovanju pravnih osoba.
Policijski službenici su osumnjičenog muškarca predali pritvorskom nadzorniku, a nadležnom državnom odvjetništvu su ponijeli kaznenu prijavu zbog osnovane sumnje da je počinio 62 kaznena djela (kaznena djela Zlouporaba naprava, Neovlašteni pristup, Oštećenje računalnih podataka, Neovlašteno presretanje računalnih podataka), počinjena na štetu 45 oštećenih fizičkih i pravnih osoba.
Savjeti za građane:
- E-pošta i poruke - prije klika, zastanite
- Ne otvarajte privitke (.exe, .zip, .rar, .iso i slično) i poveznice iz poruka e-pošte koje niste očekivali, čak i ako izgleda kao da poruka dolazi od banke, pošte, telekoma ili državne institucije.
- Budite posebno oprezni s porukama koje: stvaraju osjećaj žurbe ("ODMAH", "HITNO", "račun se zatvara", "dugujete"); traže da kliknete na poveznicu za "prijavu"; traže da upišete lozinku, PIN ili kodove za internet bankarstvo.
- Ako vam je poruka sumnjiva, nemojte odgovarati, ne klikajte na poveznice i ne otvarajte privitke.
- Umjesto toga, sami nazovite banku ili instituciju na broj koji već poznajete (s kartice, računa ili službene web stranice) i provjerite je li poruka stvarna.
Provjera web-stranice (lažne stranice)
Napadači izrađuju stranice koje izgledaju kao "prava" banka, pošta, društvena mreža ili drugi servis.
Uvijek gledajte internetsku adresu (URL) u pregledniku:
- mora biti točno napisana (npr. "www.moja-banka.hr", a ne "www.moja-banka-login.com" ili "moja-banka-security.xyz").
Nemojte se prijavljivati preko poveznica dobivenih u e-poruci ili porukama na društvenim mrežama.
Adresu službene stranice sami upišite u preglednik ili koristite oznaku stranice (bookmark) koju ste ranije spremili.
Provjerite postoji li HTTPS i simbol lokota; to nije apsolutna garancija da je stranica sigurna, ali stranice bez toga treba izbjegavati.
Lozinke i dodatna zaštita
Za svaki važan račun (e-poštu, društvene mreže, internet bankarstvo, državne e-usluge i slično) koristite snažne lozinke: dovoljno duge, s kombinacijom slova, brojeva i znakova.
Trudite se da lozinke budu različite za različite servise.
Uključite dvofaktorsku autentifikaciju (2FA) gdje god je dostupna, kako bi prijava zahtijevala dodatnu potvrdu preko SMS-a ili aplikacije.
Nikada ne upisujte lozinku, PIN ili token kodove na stranicu do koje ste došli putem poveznice iz poruke e-pošte ili iz nenajavljene poruke.
Računala i mobilni uređaji
Redovito ažurirajte operativni sustav (Windows, Android, iOS i drugi), internetski preglednik i ostale programe.
Koristite antivirusni program i redovito ga ažurirajte.
Ne pokrećite datoteke s neuobičajenim ili sumnjivim nazivima (primjerice "Qusar.exe", "Clients.exe") ili bilo koju .exe datoteku koje ste dobili putem e-pošte ili drugih poruka.
Što učiniti ako sumnjate da ste napadnuti
Ako mislite da ste kliknuli na nešto sumnjivo ili upisali lozinku na lažnoj stranici - odmah isključite internet,
- na drugom, sigurnom uređaju promijenite lozinke za e-poštu, banku i druge važne račune,
- uključite ili provjerite 2FA na tim računima.
Obavijestite svoju banku ako ste unosili podatke o kartici, računu ili drugim financijskim uslugama.
Ako se računalo ponaša neuobičajeno (postalo je vrlo sporo, otvaraju se prozori sami od sebe, datoteke su zaključane ili preimenovane), nemojte sami nasumično instalirati razne "čistače" s interneta, nego potražite pomoć stručne osobe ili servisa.
Savjeti za tvrtke i organizacije
Ovaj tip napada često cilja poslovnu dokumentaciju, financijske podatke, pravne spise, elektroničku poštu, kao i osobne podatke zaposlenika i klijenata. Zbog toga je potrebno kombinirati edukaciju zaposlenika i tehničke mjere zaštite.
Edukacija zaposlenika
Uvedite redovite, kratke edukacije na kojima zaposlenicima objašnjavate:
- kako izgleda phishing poruka,
- zašto se ne smiju otvarati nepoznati privitci i poveznice,
- primjere lažnih stranica za prijavu.
Jasno naglasite zaposlenicima da:
- nikada ne šalju lozinke, PIN-ove ni token kodove putem e-pošte ili drugih nesigurnih kanala,
- u slučaju sumnje odmah kontaktiraju IT odjel ili osobu zaduženu za sigurnost, umjesto da sami "istražuju" i klikaju dalje.
Pravila za e-poštu i privitke
U organizaciji definirajte jednostavno pravilo: "Ako poruku e-pošte niste očekivali, tretirajte je kao potencijalnu prijetnju dok ne provjerite."
IT odjel treba:
- koristiti spam i phishing filtere,
- jasno označavati poruke koje dolaze izvan organizacije,
- blokirati ili stavljati u karantenu privitke s rizičnim ekstenzijama (primjerice .exe, .bat, .js i slično).
Zaštita računalnog sustava
Na svim računalima i poslužiteljima koristite antivirusna ili naprednija EDR rješenja.
Redovito ažurirajte operativne sustave, poslovne aplikacije, e-mail klijente i internetske preglednike.
Ograničite korisnička prava: zaposlenici bi trebali imati samo onoliko ovlasti koliko im je potrebno za obavljanje posla, a administratorske ovlasti treba svesti na minimum.
Upravljanje lozinkama
Uvedite obveznu uporabu snažnih lozinki i dvofaktorske autentifikacije (2FA) barem za:
- račune elektroničke pošte,
- VPN pristup,
- administrativne panele, ERP, CRM i druge ključne sustave.
Umjesto dijeljenja lozinki putem e-pošte ili pohrane u nezaštićenim dokumentima, koristite provjereni upravitelj lozinki (password manager).
Svaki zaposlenik treba imati svoj korisnički račun; lozinke i računi ne smiju se dijeliti.
Remote pristup i alati za pomoć na daljinu
Napadači često pokušavaju uspostaviti neovlašteni daljinski pristup računalima i poslužiteljima.
Dozvolite samo odobrene alate za remote pristup i zaštitite ih:
- dvofaktorskom autentifikacijom,
- ograničavanjem pristupa na određene IP adrese ili pristup isključivo putem VPN-a.
Zaposlenicima jasno recite da:
- nikada ne instaliraju programe za daljinski pristup na zahtjev nepoznate osobe ili na temelju nenajavljenog telefonskog poziva,
- IT podrška uvijek koristi dogovorene, službene kanale i poznate alate.
Sigurnosne kopije (backup) - zaštita od zaključavanja podataka
Redovito radite sigurnosne kopije važnih podataka:
- proces neka bude automatiziran,
- barem jedan dio sigurnosnih kopija treba biti pohranjen na lokaciji ili mediju koji nije stalno spojen na mrežu (offline backup).
Povremeno testirajte povrat podataka iz sigurnosnih kopija kako biste bili sigurni da backup zaista radi.
Plan reagiranja na incident
Izradite jednostavan, jasan plan kako postupati u slučaju sumnje na kibernetički incident:
- odredite tko je prva kontakt-osoba kada zaposlenik posumnja na napad,
- opišite kako se kompromitirano računalo ili račun izolira (isključenje s mreže, privremeno blokiranje pristupa),
- definirajte tko kontaktira banku, partnere, nadležni CERT, policiju i druge nadležne institucije.
Vodite evidenciju o incidentima: što se dogodilo, koje je sustave ili račune napad zahvatio, koji su podaci mogli biti ugroženi.
Čuvajte zapise (logove) i druge relevantne podatke, umjesto da odmah brišete sve tragove; to može biti važno za istragu i eventualni kazneni postupak.
Pozivamo građane, poduzetnike i zaposlenike u tvrtkama da odvoje vrijeme i upoznaju se s besplatnim i jednostavnim izvorima savjeta i time povećaju svoju sigurnost u digitalnom okruženju:
Portal No More Ransom https://www.nomoreransom.org/cro/index.html namijenjen je svima koji su postali žrtve ransomwarea ili se žele na vrijeme zaštititi. Građani i tvrtke ondje mogu pronaći jednostavno objašnjene korake što učiniti ako im podaci budu šifrirani, alate za prepoznavanje vrste ransomwarea te mogućnosti besplatnog dešifriranja podataka, kao i preporuke kako podešavanjem sigurnosnih kopija i zaštitnog softvera smanjiti rizik od napada.
Kampanja Web heroj https://webheroj.hr/ nudi praktične savjete kako prepoznati najčešće internetske prijevare, zaštititi osobne podatke te sigurno koristiti društvene mreže, e-poštu i online usluge. Građani mogu naučiti na što posebno paziti pri klikovima na poveznice i oglasima, dok su za tvrtke pripremljene preporuke za sigurniju uporabu službenih računala i mobitela, educiranje zaposlenika te uvođenje osnovnih sigurnosnih pravila u svakodnevni rad.
Servis CERT iffy https://iffy.cert.hr/ omogućuje provjeru internetskih trgovina prije kupnje. Dovoljno je upisati adresu web trgovine kako bi korisnik dobio informaciju je li riječ o pouzdanom ili potencijalno lažnom prodajnom mjestu. Uz to, dostupni su i savjeti kako sigurno kupovati na internetu te na koje detalje obratiti pozornost kako bi se izbjegla krađa osobnih i financijskih podataka. Ovaj je servis posebno koristan za građane i poduzeća koja često kupuju putem interneta.
Prevencija, pravovremena provjera i informiranost najvažniji su koraci u zaštiti od kibernetičkog kriminala.