U središtu

Phishing kao jedan od najčešćih oblika računalne prijevare

11.11.2022 Sve brži razvoj informatičke i komunikacijske tehnologije donio je i nove izazove u borbi protiv kibernetičkog kriminala. Pojavile su nove, sofisticirane metode napada kao što je phishing, kao i tehnologije koje otežavaju istragu ovih djela. Svaki dan smo svjedoci ovih kaznenih djela, stoga autorica u članku piše o phishingu kao o jednom od najčešćih oblika računalne prijevare.

Kaznena djela koja su povezana s računalnim kriminalom u Republici Hrvatskoj kao i u Europi su u stalnom porastu što je posljedica razvoja tehnologije, prodiranje tih tehnologija u sve aspekte djelovanja, kao i rastom e-ekonomije. Vijeće Europe je 2001. godine potpisalo Konvenciju o kibernetičkom kriminalu koja prvi međunarodni ugovor o kaznenim djelima počinjenim putem interneta. Cilj Konvencije je bio ponajprije da se uskladi domaće kazneno materijalno pravo, elementi djela i povezanih odredbi u području kibernetičkog kriminaliteta, pružanje ovlasti za domaće kazneno procesno pravo nužne za istragu i progon tih kaznenih djela, kao i druga djela počinjena pomoću računalnog sustava ili dokaza u elektroničkom obliku, postavljanje brzog i djelotvornog režima međunarodne suradnje.1 U Kaznenom zakonu Republike Hrvatske u Glavi XXV. su navedena kaznena djela protiv računalnih sustava, programa i podataka.

Republika Hrvatska je također 2015. godine donijela Nacionalnu strategiju kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti čiji je cilj zaštita svih korisnika elektroničkih usluga u javnom i gospodarskom sektoru. Nacionalni CERT radi na provedbi mjera iz akcijskog plana a osnovan je na temelju Zakona o informacijskoj sigurnosti (Poglavlje V. Nacionalni CERT). CERT se bavi incidentom ako se ako sigurnosni incident dogodi u .hr domeni ili u hrvatskom IP adresnom prostoru. CERT u okviru svog djelovanja obavlja proaktivne (sigurnosne preporuke, praćenje računalno-sigurnosnih tehnologija, diseminacija informacija i unapređenje svijesti o značaju informacijske sigurnosti, obavlja edukacije i obuke iz informacijske sigurnosti, radi provjeru ranjivosti i sigurnosna testiranja te izdaje sigurnosne certifikate za ustanove koje su članice CARNET-a)  i reaktivne mjere (sigurnosna upozorenja, postupa s računalno-sigurnosnim incidentima te koordinira rješavanje incidenata).2 Prema statistici koju vodi Nacionalni CERT, tijekom 2021. godine je zaprimio i obradio ukupno 1211 prijava koje se mogu klasificirati kao računalno-sigurnosni incidenti u njihovoj nadležnosti, a 3Kako je listopad bio mjesec kibernetičke sigurnosti Nacionalni CERT je izvijestio da je do kraja rujna 2022. godine 42 % prijavljenih napada iz njihove nadležnosti bilo iz kategorije phishinga.4

Phishing je oblik socijalnog inženjeringa. Socijalni inženjering predstavlja niz tehnika pomoću kojih pojedinac, iskorištavanjem ljudskih pogrešaka i slabosti, utječe na drugog pojedinca kako bi ga naveo da učini nešto što nije u njegovom interesu.5 Napadači se često služe tom tehnikom jer za uspješan napad nije potrebno složeno probijanje sigurnosne zaštite.  Tehnika socijalnog inženjeringa je obmana koja omogućava razvijanje lažnog scenarija i odnosa sa žrtvom.

Phishing se koristi u svrhu otkrivanja povjerljivih informacija od pojedinca ili dobivanja pristupa nekim drugim resursima do kojih napadač inače ne bi mogao doći. Povjerljiva informacija je svaka informacija koja omogućava napadaču da si prisvoji neki oblik dobiti (ne mora to biti osobni podatak, može biti i npr. IP adresa, lozinka, ustroj tvrtke, plaće, tehničke mjere zaštite itd). Krivotvorenje e mail adrese je najčešći oblik phishinga, a te e mail adrese izgledaju kao da su ih poslale legitimne institucije gdje se od potencijalne žrtve traže određene akcije koje ih mogu oštetiti6, primjerice da upišu broj kartice ili PIN. Tehnika phishinga je opisana prvi put 1987. godine. Prvi napad tehnikom phishinga bio je zabilježen 2001. godine u SAD-u dok je 2004. godine phishing bio prepoznatljiv oblik gospodarskog kriminala.7 Najčešći uzroci zbog kojih su građani i tvrtke žrtve phishinga su propusti i needuciranost. Poseban oblik phishinga je spearphishing koji je u biti ciljani napad u kojem se napada točno jedna određena osoba ili organizacija. Pošiljatelj e maila je netko s kim potencijalna žrtva inače komunicira ili bi mogla komunicirati a sadržaj je nešto što se odnosi na posao, nadležnost ili interese potencijalne žrtve. Spearphishing napadi su sofisticirani, koriste napredne tehnike koje zahtijevaju više resursa, prikupljanje podataka o meti, poznavanje konteksta te se tako povećava i mogućnost uspjeha napada.8

Najčešće korištene metode phishinga su:

-          jednostavni zahtjev

-          lažne poveznice u e-mail porukama  

-          lažna web sjedišta

-          lažni (“pop up”) prozor na legitimnim web sjedištima

-          „tabnabbing9

Jednostavnim zahtjevom se od korisnika traži da pošalje svoje podatke elektroničkom poštom zbog održavanja sustava ili neke jednostavne provjere. Tu kao primjer možemo navesti lažno predstavljanje gdje se napadači predstavljaju kao administratori nekih poznatih stranica – sigurno su svi bar nekad primili phishing mail od Microsofta, DHL-a, Amazona koji su poslani s lažnih e mail adresa. Većina e mail servisa prepoznaje ovakve mailove pa većinom završe u bezvrijednoj pošti.  Lažne poveznice vode korisnika na zloćudnu stranicu gdje se zahtjeva od korisnika da upiše svoje korisničko ime i lozinku ili druge osjetljive podatke. Lažna web sjedišta su takva da se korisnika navodi da klikne na poveznicu koja vodi na web poslužitelja koji izmijeni stvarni URL svog sjedišta i postavi legitimni, čime napadači obmanjuju korisnika koji misli da je na legalnoj stranici i tako skupljaju podatke ih korisnik unosi. Tabnabbing je novitet u phishing napadima gdje se koristi činjenica da korisnici preglednika obično imaju otvoreno nekoliko prozora istovremeno te se jedan od neaktivnih tabova osvježi, ali sa zloćudnim sadržajem koji imitira neku stvarnu stranicu. Tu se računa na nepažnju korisnika, odnosno da korisnik ne primijeti novu adresu.

Phishing kao kazneno djelo bi se mogao klasificirati kao oblik Računalne prijevare iz članka 271. Kaznenog zakona Republike Hrvatske koje je opisano u stavku 1. navedenog članka:

(1)    Tko s ciljem da sebi ili drugome pribavi protupravnu imovinsku korist unese, prenese, izmijeni, izbriše, prikrije, ošteti, učini neuporabljivim ili nedostupnim računalne podatke ili ometa ili sprječava rad računalnog sustava i na taj način prouzroči štetu drugome, kaznit će se kaznom zatvora od šest mjeseci do pet godina…

Glavni problem kod ovog kaznenog djela je u činjenici da takva djela uglavnom imaju međunarodni karakter te se prijevare teže otkrivaju ako je počinitelj iz druge države što ova kaznena djela čini i primamljivima počiniteljima. Cyber kriminalcima je bez međunarodne pomoći skoro pa nemoguće ući u trag. Ako pogledamo Statistički pregled za 2021. godinu MUP-a Republike Hrvatske10 na stanici 57. možemo vidjeti Statistiku za kibernetički kriminalitet. Najviše prijava je imalo kazneno djelo Računalne prijevare, čak 1.158 prijava, od čega je riješeno 651 kazneno djelo (56,2 %). Također se u statistici može vidjeti trend porasta ove vrste kaznenih djela u odnosu na prethodnu godinu.

Možemo zaključiti da su phishing i spearphishing jedne od najvećih prijetnji građanima i  organizacijama danas. Svaki dan čitamo u medijima da je netko prevaren te većina nas na dnevnoj bazi dobije i po nekoliko phishing mailova. Postavlja se  pitanje kako se zaštiti od phishinga? Naime sigurnost ne staje s tehnologijom jer je glavni cilj tehnika kao što je phishing ljudski faktor. Najbitnija je stvar stalno podizati svijest ljudi te redovito obrazovati cjelokupnu javnost. Na stranicama Nacionalnog CERT-a imamo redovita upozorenja kao što je ovo https://www.cert.hr/upozorenje-nova-ucjenjivacka-kampanja-u-tijeku/ da je neka phishing kampanja u tijeku, a često takva upozorenja možemo vidjeti na stranicama  Policijskih uprava, kao i na stranicama banaka, osiguravajućih društava kao i po medijima. Zato se trebamo stalno educirati i biti oprezni.

Zorica Stojanović, mag. iur.^ 1 Čizmić, J., Boban, M., Elektronički dokazi u sudskom postupku i računalna forenzička analiza, Zbornik Pravnog fakulteta u Rijeci (1991) v. 38., br. 1, 2017., str. 33., dostupno na: https://hrcak.srce.hr/file/262451

^ 2 https://www.cert.hr/onama/

^ 3 https://www.cert.hr/wp-content/uploads/2022/03/CERT-godisnje-izvjesce-2021.pdf

^ 4 https://www.portofon.com/novosti/uoceno-je-povecanje-phishing-i-ransomware-napada-na-razini-cijele-eu

^ 5 https://www.cert.hr/socijalni_inzenjering/

^ 6 https://repozitorij.fpz.unizg.hr/islandora/object/fpz%3A1695/datastream/PDF/view

^ 7 Miroslav Bača, Jasmin Ćosić, Pervencija računalnog kriminaliteta, Polic. sigur. (Zagreb), godina 22. (2013), broj 1, str. 155, dostupno na: https://hrcak.srce.hr/file/155396

^ 8 https://www.cert.hr/wp-content/uploads/2018/05/phishing.pdf

^ 9 https://www.cert.hr/phishing/

^ 10 https://mup.gov.hr/UserDocsImages/statistika/2022/Statisticki_pregled_2021_Web.pdf