Tvrtke i ljudi su mjesecima dobivali phishing mailove, mailove koji izgledaju dovoljno ozbiljno da ih čovjek otvori, u kojima su bili sakriveni programi za krađu podataka. Kad bi osoba otvorima mail koji, primjerice, izgleda kao da je od policije ili knjigovodstva, a nije, programi bi automatski skinuli brojeve kartica i bankovnih računa, šifre za pristup društvenim mrežama i mailu, financijske i pravne dokumente, sve što je zanimalo 49-godišnjeg Nikolu D. Da se osigura da će se mailovi koje je slao otvoriti, često bi u predmet maila stavio 'ODMAH', 'HITNO', 'DUGUJETE', itd.

- Policijski službenici Odjela kibernetičke sigurnosti Policijske uprave zagrebačke dovršili su kriminalističko istraživanje nad 49-godišnjim hrvatskim državljaninom, za kojeg se sumnja da je počinio više od 60 kibernetičkih napada. Sumnjiči ga se da je izrađivao mrežne stranice koje su vizualno, a ponekad i nazivom domene, oponašale legitimne stranice koje su koristile oštećene osobe.

Oštećenim građanima i trgovačkim društvima je također slao „phishing“ elektroničke poruke u kojima su se nalazili zlonamjerni računalni programi tipa Exela Stealer, key.exe i PureHVNC. Ti programi služe za prikupljanje korisničkih imena, lozinki, bankovnih podataka i drugih osjetljivih informacija, kao i za neovlašteni pristup putem protokola za udaljeni pristup računalima i informacijskim sustavima - kažu iz policije.

Već mu se sudi

Nikola D. bi potom koristio podatke koje je ukrao, bilo da je riječ o poslovnim tajnama ili privatnim fotografijama i informacijama za ucjenu ljudi i tvrtki kojima je 'provalio' u računala. Iz policije su priopćili da je napravio više od 60 kibernetičkih napada, a 24sata doznaje da je službeno osumnjičen za 56 kaznenih djela zbog kojih mu je u utorak određen istražni zatvor u Remetincu u trajanju od 30 dana zbog opasnosti od ponavljanja djela. I to nije sve, već mu se sudi za hakiranje računala odvjetničkih ureda koje bi potom ucjenjivao podacima koje je prikupio.

Njegov digitalni otisak je poprilično oskudan, uspjeli smo naći da je kao freelancer nudio svoje usluge i bavio se telefonskom prodajom, no tvrtka s kojom je povezan ne posluje dobro. Nazvali smo broj telefona koji je vezan uz tvrtku, a mobitel je isključen. Također, jedno vrijeme se bavio trgovanjem kriptovalutama, fan je boksa, na svom Facebook profilu kao prijatelje ima sumnjiv broj stvarnih žena koje su u zadnjih godinu dana doživjele da su im profili ili messenger hakirani. Prati i lokalnog blogera koji se bavi pisanjem o hakiranju, sprječavanju prevara i phishinga, ali i čileansku stranicu specijaliziranu za davanje savjeta i alata za hakiranje.

Kako rade programi koje je koristio?

Exela Stealer, key.exe i PureHVNC pripadaju različitim vrstama zlonamjernog softvera čiji je zajednički cilj neovlašten pristup tuđim podacima ili sustavima. Kad se Exela Stealer potajno instalira na računalo, prikuplja osjetljive informacije poput lozinki, kolačića preglednika, sustavnih podataka i pohranjenih korisničkih podataka. Pritom radi tiho u pozadini te ukradene informacije šalje hakeru. Key.exe je program koji prikuplja šifre tako da prati koje tipke osoba pritišće kad se ulogirava u laptop, mail, društvene mreže. Nekad radi i snimke zaslona i onda to sve šalje osobi koja ga je postavila, odnosno u ovom slučaju Nikoli D. PureHVNC je nešto sofisticiraniji, on stvori paralelnu virtualnu radnu površinu koju žrtva ne vidi. Tako je Nikola D. mogao u potpunosti upravljati sustavom, pokretati programe, pristupati datotekama ili manipulirati internetskim sesijama, dok žrtve nisu ništa primjećivale.

Preporuke policije

Prije otvaranja poruka e-pošte ili drugih poruka važno je zastati i razmisliti. Ne treba otvarati privitke poput .exe, .zip, .rar, .iso i sličnih datoteka niti klikati na poveznice iz poruka koje niste očekivali, čak i ako izgledaju kao da dolaze od banke, pošte, telekoma ili državne institucije. Posebno treba biti oprezan s porukama koje stvaraju osjećaj žurbe, pozivaju na hitnu reakciju, tvrde da se račun zatvara ili da nešto dugujete, kao i s onima koje traže da se prijavite putem priložene poveznice ili da upišete lozinku, PIN ili kodove za internet bankarstvo. Ako vam je poruka sumnjiva, nemojte odgovarati, ne otvarajte privitke i ne klikajte na poveznice. Najbolje je samostalno nazvati banku ili instituciju na broj koji već poznajete: s kartice, službenog računa ili s njihove web-stranice i provjeriti je li poruka doista stvarna.

Napadači često izrađuju lažne web-stranice koje izgledaju poput pravih stranica banaka, poštanskih službi, društvenih mreža ili drugih servisa. Zato uvijek treba pažljivo provjeriti adresu u pregledniku i uvjeriti se da je ispravno napisana. Nikad se ne treba prijavljivati putem poveznica dobivenih u e-poruci ili u porukama na društvenim mrežama, nego adresu treba samostalno upisati u preglednik ili koristiti ranije spremljenu oznaku stranice. Treba provjeriti i koristi li stranica HTTPS i ima li simbol lokota. Iako to nije apsolutna garancija sigurnosti, izostanak HTTPS-a znak je da stranicu treba izbjegavati.

Za sve važne račune, e-poštu, društvene mreže, internet bankarstvo ili državne e-usluge, potrebno je koristiti snažne i jedinstvene lozinke te ih ne ponavljati na različitim servisima. Preporučuje se uključiti dvofaktorsku autentifikaciju kad god je moguće, tako da prijava zahtijeva dodatnu potvrdu putem SMS-a ili aplikacije. Nikada ne treba upisivati lozinku, PIN ili token kodove na stranicu do koje ste stigli klikom na poveznicu iz poruke e-pošte ili nenajavljene poruke.

Računala i mobilne uređaje treba redovito ažurirati, uključujući operativni sustav, preglednik i druge programe. Potrebno je koristiti antivirusni program i održavati ga ažurnim. Ne bi se smjele pokretati datoteke s neuobičajenim ili sumnjivim nazivima, niti bilo koje .exe datoteke dobivene putem e-pošte ili poruka.

Ako sumnjate da ste napadnuti, primjerice ako ste kliknuli na sumnjivu poveznicu ili upisali lozinku na lažnoj stranici, odmah isključite internet i zatim na nekom drugom, sigurnom uređaju promijenite lozinke za e-poštu, banku i druge važne račune. Provjerite ili uključite dvofaktorsku autentifikaciju i odmah obavijestite svoju banku ako ste unijeli podatke o kartici ili financijskim uslugama. Ako se računalo počne neuobičajeno ponašati: postane vrlo sporo, otvaraju se prozori bez vaše intervencije ili se datoteke zaključavaju i preimenuju, nemojte sami instalirati razne „čistače“ s interneta, nego potražite pomoć stručnjaka ili servisa.

U poslovnim okruženjima ovakvi napadi često ciljaju poslovnu dokumentaciju, financijske podatke, pravne spise, elektroničku poštu i osobne podatke zaposlenika i klijenata, pa je nužna kombinacija edukacije zaposlenika i tehničkih mjera zaštite. Zaposlenike treba redovito educirati o tome kako prepoznati phishing poruke, zašto se ne smiju otvarati nepoznati privitci i kako izgledaju lažne stranice za prijavu. Treba ih jasno uputiti da nikada ne šalju lozinke, PIN-ove ni token kodove i da u slučaju sumnje odmah kontaktiraju IT odjel, a ne pokušavaju sami istraživati. Organizacije bi trebale definirati jednostavno pravilo: ako poruku niste očekivali, tretirajte je kao potencijalnu prijetnju dok se ne provjeri. IT odjel treba koristiti filtre za spam i phishing, označavati poruke izvan organizacije te blokirati ili stavljati u karantenu privitke s rizičnim ekstenzijama.

Na svim računalima i poslužiteljima treba koristiti antivirusna ili naprednija EDR rješenja te redovito ažurirati operativne sustave i aplikacije. Korisnička prava treba ograničiti tako da zaposlenici imaju samo ovlasti koje su im nužne. Za račune elektroničke pošte, VPN, administrativne panele i druge ključne sustave treba uvesti obveznu uporabu snažnih lozinki i dvofaktorske autentifikacije. Umjesto dijeljenja lozinki putem e-pošte ili pohrane u nezaštićene dokumente, preporučuje se korištenje upravitelja lozinki, a svaki zaposlenik mora imati svoj račun.

Daljinski pristup treba biti ograničen na odobrene alate, zaštićene dodatnom autentifikacijom i, po mogućnosti, ograničene na određene IP adrese ili VPN. Zaposlenike treba informirati da nikada ne instaliraju programe za udaljenu pomoć na zahtjev nepoznate osobe niti na temelju nenajavljenog telefonskog poziva, jer IT podrška uvijek koristi službene kanale. Važno je i redovito raditi sigurnosne kopije podataka, pri čemu barem jedan dio treba biti pohranjen izvan mreže. Povremeno treba testirati može li se backup zaista vratiti kako bi se smanjile posljedice napada, primjerice ransomwarea.

Organizacije bi trebale imati jasan plan reagiranja na incidente, u kojem je određeno tko je prva kontakt-osoba u slučaju sumnje, kako se kompromitirano računalo izolira i tko kontaktira banku, partnere, CERT, policiju i druge institucije. Treba voditi evidenciju o incidentima i čuvati relevantne zapise kako bi se olakšala istraga i eventualni pravni postupci.

Za dodatnu edukaciju građana i poduzetnika postoje korisni i besplatni izvori informacija. Portal No More Ransom nudi alate za prepoznavanje vrste ransomwarea, načine kako pokušati dešifrirati podatke te savjete o sigurnosnim kopijama i zaštitnom softveru. Kampanja Web heroj pomaže korisnicima prepoznati internetske prijevare, zaštititi osobne podatke i sigurnije koristiti društvene mreže, e-poštu i druge online usluge, dok poduzećima pruža preporuke za sigurniju uporabu službenih uređaja i edukaciju zaposlenika. Servis CERT iffy omogućuje provjeru internetskih trgovina prije kupnje te daje savjete o sigurnoj online kupovini i zaštiti osobnih i financijskih podataka.

Prevencija, pravovremena provjera i informiranost ključni su koraci u zaštiti od kibernetičkog kriminala i mogu uvelike smanjiti rizik od prijevara i tehničkih kompromitacija.