23.03.2017. – Stručni osvrt na kompjuterski kriminal

Policijski službenici Federalne uprave policije, Odjeljenja za borbu protiv organizovanog kriminala i korupcije, Odsjeka za borbu protiv kompjuterskog kriminala, su u prethodnom periodu zaprimili više prijava fizičkih i pravnih lica sa teritorije Federacije Bosne i Hercegovine, a koje se odnose na zloupotrebu informacionih sistema, prvenstveno pravnih subjekata, upotrebom tehnika napada na internetu koje imaju za cilj prevare korisnika u smislu promjene instrukcija za plaćanje roba i usluga, instaliranja malicioznih kodova u informacioni sistem korisnika i preuzimanje sesija internet bankarstva, te kriptovanja računara korisnika i zahtijevanja uplate otkupnine u svrhu deskripcije sadržaja. Na opisani način je fizičkim i pravnim licima sa teritorije Bosne i Hercegovine, pričinjena do sada neutvrđena materijalna šteta koja se ogleda u nedostupnosti podataka.

U navedenim primjerima, u dijelu koji se odnosi na tzv. “e-mail prevare”, napadač vrši istu na način da metodama “phisinga” ili kompromitacije e-mail servera, obavlja nadzor nad e-mail korespondencijom njemu interesantnih osoba, najčešće pravnih subjekata koji vrše poslovnu korespondenciju sa inostranstvom, a potom predstavljajući se kao ino dobavljač, koristeći obilježja istog, u fakturama vrši promjenu načina plaćanja, odnosno pod izgovorom navodnih promjena banke, navodi nove instrukcija za plaćanje i korespondentnu banku koja ne odgovara stvarnim podacima, nakon čega oštećeni ne sumnjajući izvrši uplatu na dostavljeni račun, kojom prilikom je fizičkim i pravnim licima sa teritorije Bosne i Hercegovine pričinjena materijalna šteta u novčanom iznosu od više stotina hiljada konvertibilnih maraka.

Nadalje, u drugom primjeru preuzimanja kontrole nad on-line bankarstvom, napadač uz korištenje metoda tzv. “phisinga”, šalje e-mail žrtvi, najčešće pravnom licu, predstavljajući se kao npr. Porezna uprava, u konkretnom primjeru @poreznauprava.com umjesto poreznauprava.ba, a potom aktiviranjem priloga uz e-mail poruku, npr. pdf dokumenta, žrtva u svoj sistem instalira maliciozni program koji za svrhu ima preuzimanje udaljene kontrole nad računarom, što naposljetku za posljedicu ima, u određenom trenutku obavljanje neovlašteno preuzimanje sesije internet bankarstva, nakon čega izvrše neovlaštene novčane transakcija u ime legalnog korisnika na prethodno pripremljene bankovne račune kriminalnih lica, “finansijske mule”, kom prilikom je u prethodnom periodu, pravnim licima sa teritorije Bosne i Hercegovine, gradova Posušje, Tomislav Grad, Tuzla, Orašje, Banja Luka, u vremenskom periodu od sredine 2016. godine, pričinjena materijalna šteta u novčanom iznosu više od 900.000,00 KM.

U primjeru enkripcije računara, žrtva najčešće zaprima e-mail poruku sa malicioznim programom u prilogu iste, nakon kojih radnji se vrši enkripcija podataka sa informacionog sistema, uz zaprimanje poruke o plaćanju otkupnine podataka u virtualnoj valuti “BitCoin”.

 U svim naprijed navedenim primjerima od strane napadača, osim lakovjernosti legalnog internet korisnika iskorišteni su i sigurnosni propusti tipa, korištenja nelicenciranih operativnih sistema, korištenja neodgovarajućih ili nepostojanje antivirusnih programa, slabe ili nepostojanje sigurnosne politike korištenja informacionih tehnologija u firmama, ne postojanje permanentne edukacije uposlenika o opasnostima na internetu/kompjuterskoj sigurnosti i dr.

U cilju preventivnog djelovanja, odnosno smanjenja mogućih zloupotreba informacionih sistema fizičkih i pravnih lica u Bosni i Hercegovini, policijski službenici Odsjeka za borbu protiv kompjuterskog kriminala ove Uprave, smatraju da bi slijedeće preporuke uveliko doprinijele smanjenju krivičnih djela iz oblasti kompjuterskog kriminala:

  • procjena rizika i kreiranje pravilnika/sigurnosne politike u vezi sa korištenju informacionih sistema u firmama,
  • korištenje licenciranih operativnih sistema, redovan update istih,
  • korištenje antivirusnih programa i redovan update istih,
  • kontinuiran nadzor mrežnih događaja od strane administratora i prijavljivanje anomalija na istom,
  • obraćanje pažnje na instalaciju računalnih programa,
  • poštivanje protokola upotrebe elektronskog bankarstva,
  • prilikom “on-line” plaćanja, uključivanje dodatnih mjera autentikacije, ( npr. novi klijent, prva transakcija, obavezna dodatna autentikacija ),
  • redovna provjera analitičke kartice kretanja po računu, provjera sumnjivih transakcija,
  • pažnja prilikom ostavljanja ličnih podataka na internetu,
  • provjera izvora pošiljaoca e-mail poruka, redovno ažuriranje postavki e-mail korisničkog računa, servera,
  • kreiranje tzv.”back-up” podataka u skladu sa politikom sigurnosti firme, ( na trećim lokacijama i si.),
  • redovna edukacija privatnih  korisnika  i  uposlenih  u firmama  u vezi  sa mogućnostima zloupotrebom informacionih tehnologija, odnosno prijetnjama na internetu.

Naprijed navedeni sadržaj ima za cilj preventivno djelovanje i podizane svijesti kako kod pravnih tako i fizičkih lica u Bosni i Hercegovini.

FEDERALNA UPRAVA POLICIJE