FUP otkrio detalje: Kako hakeri napadaju bh. firme i kako kradu njihov novac

Radiosarajevo.ba
FUP otkrio detalje: Kako hakeri napadaju bh. firme i kako kradu njihov novac
Arhiv / Ilustracija
Federalnoj upravi policije (FUP) se u prethodnom periodu javio veliki broj fizičkih i pravnih lica koji su prijavili brojne napade na internetu.

"Prijave se odnose na zloupotrebu informacionih sistema, prvenstveno pravnih subjekata, upotrebom tehnika napada na internetu koje imaju za cilj prevare korisnika u smislu promjene instrukcija za plaćanje roba i usluga, instaliranja malicioznih kodova u informacioni sistem korisnika i preuzimanje sesija internet bankarstva, te kriptovanja računara korisnika i zahtijevanja uplate otkupnine u svrhu deskripcije sadržaja.

Na opisani način je fizičkim i pravnim licima s teritorije Bosne i Hercegovine, pričinjena do sada neutvrđena materijalna šteta koja se ogleda u nedostupnosti podataka", navode iz FUP-a.

"U navedenim primjerima, u dijelu koji se odnosi na tzv. e-mail prevare, napadač vrši istu na način da metodama phisinga ili kompromitacije e-mail servera, obavlja nadzor nad e-mail korespondencijom njemu interesantnih osoba, najčešće pravnih subjekata koji vrše poslovnu korespondenciju sa inostranstvom, a potom predstavljajući se kao ino dobavljač, koristeći obilježja istog, u fakturama vrši promjenu načina plaćanja, odnosno pod izgovorom navodnih promjena banke, navodi nove instrukcija za plaćanje i korespondentnu banku koja ne odgovara stvarnim podacima, nakon čega oštećeni ne sumnjajući izvrši uplatu na dostavljeni račun, kojom prilikom je fizičkim i pravnim licima sa teritorije BiH pričinjena materijalna šteta u novčanom iznosu od više stotina hiljada KM."

"Nadalje, u drugom primjeru preuzimanja kontrole nad online bankarstvom, napadač uz korištenje metoda tzv. phisinga, šalje e-mail žrtvi, najčešće pravnom licu, predstavljajući se kao npr. Porezna uprava, u konkretnom primjeru @poreznauprava.com umjesto poreznauprava.ba, a potom aktiviranjem priloga uz e-mail poruku, npr. pdf dokumenta, žrtva u svoj sistem instalira maliciozni program koji za svrhu ima preuzimanje udaljene kontrole nad računarom, što naposljetku za posljedicu ima, u određenom trenutku obavljanje neovlašteno preuzimanje sesije internet bankarstva, nakon čega izvrše neovlaštene novčane transakcija u ime legalnog korisnika na prethodno pripremljene bankovne račune kriminalnih lica, “finansijske mule”, kom prilikom je u prethodnom periodu, pravnim licima sa teritorije Bosne i Hercegovine, gradova Posušje, Tomislav Grad, Tuzla, Orašje, Banja Luka, u vremenskom periodu od sredine 2016. godine, pričinjena materijalna šteta u novčanom iznosu više od 900.000,00 KM", saopćeno je iz FUP-a.

U primjeru enkripcije računara, dodaje se u informaciji, žrtva najčešće zaprima e-mail poruku sa malicioznim programom u prilogu iste, nakon kojih radnji se vrši enkripcija podataka s informacionog sistema, uz zaprimanje poruke o plaćanju otkupnine podataka u virtualnoj valuti BitCoin.

"U svim naprijed navedenim primjerima od strane napadača, osim lakovjernosti legalnog internet korisnika iskorišteni su i sigurnosni propusti tipa, korištenja nelicenciranih operativnih sistema, korištenja neodgovarajućih ili nepostojanje antivirusnih programa, slabe ili nepostojanje sigurnosne politike korištenja informacionih tehnologija u firmama, ne postojanje permanentne edukacije uposlenika o opasnostima na internetu/kompjuterskoj sigurnosti i dr", poručuju iz Uprave policije.

Preporuke:

U cilju preventivnog djelovanja, policijski službenici Odsjeka za borbu protiv kompjuterskog kriminala FUP-a, smatraju da bi sljedeće preporuke uveliko doprinijele smanjenju krivičnih djela iz oblasti kompjuterskog kriminala:

• procjena rizika i kreiranje pravilnika/sigurnosne politike u vezi s korištenju informacionih sistema u firmama,
• korištenje licenciranih operativnih sistema, redovan update istih,
• korištenje antivirusnih programa i redovan update istih,
• kontinuiran nadzor mrežnih događaja od strane administratora i prijavljivanje anomalija na istom,
• obraćanje pažnje na instalaciju računalnih programa,
• poštivanje protokola upotrebe elektronskog bankarstva,
• prilikom “on-line” plaćanja, uključivanje dodatnih mjera autentikacije, (npr. novi klijent, prva transakcija, obavezna dodatna autentikacija),
• redovna provjera analitičke kartice kretanja po računu, provjera sumnjivih transakcija,
• pažnja prilikom ostavljanja ličnih podataka na internetu,
• provjera izvora pošiljaoca e-mail poruka, redovno ažuriranje postavki e-mail korisničkog računa, servera,
• kreiranje tzv.”back-up” podataka u skladu sa politikom sigurnosti firme, ( na trećim lokacijama i si.),
redovna edukacija privatnih  korisnika  i  uposlenih  u firmama  u vezi  sa mogućnostima zloupotrebom informacionih tehnologija, odnosno prijetnjama na internetu.

Radiosarajevo.ba pratite putem aplikacije za Android | iOS i društvenih mreža Twitter | Facebook | Instagram, kao i putem našeg Viber Chata.

/ Najčitanije

/ Povezano

/ Najnovije