Slavko Troha, pročelnik za financije grada Đakova u srpnju je dobio e-mail u kojem ga gradonačelnik Đakova Marin Mandarić traži da se na jedan inozemni račun hitno uplati 50 tisuća eura. Ovaj je to, ništa ne sumnjajući, učinio. Ispostavilo se kasnije da o toj isplati gradonačelnik nije imao pojma, a novac, gotovo 370 tisuća kuna, završio je na računu izvjesnog Johna Smitha (Ivana Horvata, Pere Perića u hrvatskoj inačici). Troha, inače iskusan ekonomist bio je žrtva tzv. CEO prijevare, odnosno direktorskog maila.
- Korisnici najčešće dobiju mail s lažne adrese u kojoj im se lažno obraća neka od nadređenih osoba, najčešće direktor ili predsjednik uprave. Značajka takvih mailova je što sadrže isključivo tekst i jednu od metoda socijalnog inženjeringa, odnosno, unose strah nadređene osobe kako bi se aktivnost izvršila – objasnio nam je Alen Delić, ekspert za informacijsku sigurnost iz zagrebačke tvrtke Diverto.
ISTRAŽIVAČKI SPECIJAL: ONLINE PRIJEVARE. KAKO SE ZAŠTITITI
CEO mailovi relativno su nova pojava i tek zadnji u nizu prijevara preko e-maila. Svatko je za vrijeme svog informatičkog života, dobio barem jedan mail od dalekog rođaka s Aljaske koji mu ostavlja nasljedstvo ili od nigerijskog princa koji traži pomoć pri preseljenju svojeg bogatstva. Direktorska e-poruka nije ništa drugačija, a zadnjih godina najviše se pojavljuju u SAD-u i Zapadnoj Europi. Kriminalci ciljaju većinom tvrtke koje posluju s inozemstvom, banke odredišta koje primaju uplate naivnih zaposlenika, očekivano, najčešće su u Kini.
Iako zvuči blesavo, a svatko misli da se njemu to sigurno neće dogoditi, valja spomenuti da su na tu foru pale i velike svjetske korporacije. Naime, časopis Fortune je u travnju otkrilo da su Facebook i Google, dvije najveće tehnološke kompanije na svijetu, CEO mailovima oštećene za više od 100 milijuna dolara. Iza prijevare navodno je stajao 48-godišnji Litvanac Evaldas Rimasauskas. Predstavljao se kao kineski proizvođač i mailove slao zaposlenicima Facebooka i Googla, a između 2013. i 2015. bilo je barem deset milijunskih transakcija, potvrdili su iz State Deparmenta. Naravno, javnost je za to saznala tek nekoliko godina poslije jer su tehnološki divovi to pokušali zataškati.
Na pitanje kako prevaranti točno dolaze do svojih žrtava, naime, moraju pronaći čovjeka imenom i prezimenom, kako direktora, tako i osobu koja je zaposlena u računovodstvu, Delić kaže iz otvorenih izvora ili čak i sa samih web stranica tvrtki i agencija. Također, podaci se skupljaju s društvenih mreža i tvrtkinih web stranica, presretanjem pošte koja dolazi u tvrtku. Čak i prisluškivanjem razgovora u kafiću u kojem se zaposlenici tvrtke-žrtve okupljaju u stankama za ručak ili poslije posla. Ono što je zabrinjavajuće jest da su danas ti mailovi puno napredniji. Kako kaže Delić, ti mailovi sada jedva da imaju gramatičku pogrešku, a odašilju se diljem svijeta.
Uz CEO prijevaru postoji još perfidniji tzv. spear-phishing model koji funkcionira tako da - nakon što izaberu žrtvu, pošaljuju joj e-mail s tzv. spear-phishing zloćudnim softverom. Softver je to koji dolazi kao poveznica u poruci ili kao zaražena datoteku u privitku te poruke. Klikne li žrtva na poveznicu ili datoteku kriminalac dobije pristup računalu. Nakon analize poruka elektroničke pošte haker dizajnira lažnu poruku. Ona je tako oblikovana da ju je vrlo teško razlikovati od prethodnih poruka koje su tvrtke međusobno razmijenile dogovarajući i obavljajući tu poslovnu transakciju. Kriminalci se u tim porukama predstavljaju kao osoba iz tvrtke kojoj treba platiti naručeni proizvod ili uslugu i pri tome tvrde da se promijenio broj računa i banka putem koje je potrebno izvršiti plaćanje. U poruci navode podatke o tom drugom računu, kojeg su otvorili u svrhu prijevare i žrtvu navode na uplatu novca na taj račun.
ISTRAŽIVAČKI SPECIJAL: ONLINE PRIJEVARE. KAKO SE ZAŠTITITI
1. KAKO SE OBRANITI
Obrana od ove vrste kriminalnog napada relativno je jednostavna, no zahtijeva strogo i stalno pridržavanje pravila o provjeravanju vjerodostojnosti poslovnog dopisivanja. Ljudi koji su u tvrtkama zaduženi za plaćanja ili ljudi u knjigovodstvenim servisima koje su tvrtke angažirale da za njih obavljaju i taj dio poslovanja, moraju - u svakom pojedinom slučaju u kojem zaprime poruke elektroničke pošte kojim ih trgovačka društva s kojima posluju obavještavaju da je u međuvremenu došlo do promjene banke i računa na koji je potrebno izvršiti uplatu za kupljenu robu, prije nego što izvrše uplatu - putem telefona i-ili video-konferencijskog poziva provjeriti vjerodostojnost i istinitost takve poruke. Ukoliko ustanove da je riječ o prijevari, moraju o tome odmah obavijestiti i MUP, prijavom u najbližoj policijskoj postaji.
2. KAKO SE NAPAD ODVIJA
Problem s ovim napadom je što, za sada, nije posve precizno utvrđeno kako ga kriminalci izvode. Naravno, prvo saznaju ime točno određene osobe. No, kako to rade? Najčešće, tzv. socijalnim inženjeringom: skupljanjem podataka s društvenih mreža i tvrtkinih web stranica, presretanjem pošte koja dolazi u tvrtku koja im je cilj, pa čak i prisluškivanjem razgovora u kafiću u kojem se zaposlenici tvrtke-žrtve okupljaju u stankama za ručak ili poslije posla. Nakon toga, toj osobi pošalju e-mail s tzv. spear-phishing zloćudnim softverom. Kad se taj softver aktivira (nepromišljenim klikom na poveznicu u poruci ili na zaraženu datoteku u privitku te poruke) kriminalac dobije pristup žrtvinu računalu. To je jedna varijanta takvog napada. Druga varijanta izvodi se tako što taj, potajno instalirani zloćudni softver proslijedi sve poruke iz mape s poslanim porukama - ravno do elektroničkog poštanskog sandučića kojeg je za tu svrhu kreirao napadač. Nakon analize tih poruka, kao što smo uvodno već opisali, haker dizajnira lažnu poruku tako da žrtva teško može ustanoviti kako je riječ o poruci koja nije došla od osobe s kojom inače komunicira u vezi plaćanja računa toj drugoj tvrtki. Zloćudni softver koji služi za izvedbu ovakvih napada iznimno je sofisticiran, a hakeri se oko toga trude i dodatno, obrađujući ga tako kako bi bili sigurni da ga većina antivirusnih programa neće prepoznati - ili za taj napad koriste neke druge alate (primjerice, neki od alata za udaljeno upravljanje računalima) koje antivirusni programi neće prepoznati kao prijetnju.
Prilog je napravljen u produkciji Native Ad Studija Hanza Medije i Hrvatske udruge banaka, u skladu s najvišim profesionalnim standardima Jutarnjeg
