Zagrebačka policija dovršila je istragu nad 49-godišnjim hrvatskim državljaninom kojeg sumnjiče da je počinio više od 60 kibernetičkih napada na građane i trgovačka društva. Kako navode iz Policijske uprave zagrebačke, osumnjičeni je izrađivao lažne mrežne stranice koje su vizualno i nazivima domena oponašale legitimne internetske stranice, čime je dovodio žrtve u zabludu.

Oštećenima je slao takozvane “phishing” poruke koje su sadržavale zlonamjerne programe poput Excel Stealera, key.exe i PureHVNC, a koji služe za krađu korisničkih imena, lozinki, bankovnih podataka i drugih osjetljivih informacija te za neovlašteni udaljeni pristup računalima.

Na taj je način ostvarivao neovlašten pristup računalnim sustavima i elektroničkoj pošti oštećenih, preuzimajući njihovu poslovnu i privatnu dokumentaciju, uključujući financijske podatke, pravne spise, elektroničku korespondenciju i privatne fotografije.

Prikupljene podatke koristio je za ucjenjivanje, zahtijevajući novac kako ne bi javno objavio informacije koje bi mogle nanijeti štetu ugledu i poslovanju žrtava.

Osumnjičeni je predan pritvorskom nadzorniku, a protiv njega je podnesena kaznena prijava nadležnom državnom odvjetništvu zbog 62 kaznena djela, među kojima su zlouporaba naprava, neovlašteni pristup, oštećenje računalnih podataka i neovlašteno presretanje računalnih podataka.

Kaznena djela počinjena su na štetu 45 fizičkih i pravnih osoba.

Policija je objavila i savjete za građane:
 
E-pošta i poruke - prije klika, zastanite

• Ne otvarajte privitke (.exe, .zip, .rar, .iso i slično) i poveznice iz poruka e-pošte koje niste očekivali, čak i ako izgleda kao da poruka dolazi od banke, pošte, telekoma ili državne institucije.
• Budite posebno oprezni s porukama koje:

- stvaraju osjećaj žurbe ("ODMAH", "HITNO", "račun se zatvara", "dugujete"),
- traže da kliknete na poveznicu za "prijavu",
- traže da upišete lozinku, PIN ili kodove za internet bankarstvo.

• Ako vam je poruka sumnjiva, nemojte odgovarati, ne klikajte na poveznice i ne otvarajte privitke.
• Umjesto toga, sami nazovite banku ili instituciju na broj koji već poznajete (s kartice, računa ili službene web stranice) i provjerite je li poruka stvarna.

 
Provjera web-stranice (lažne stranice)

• Napadači izrađuju stranice koje izgledaju kao "prava" banka, pošta, društvena mreža ili drugi servis.
• Uvijek gledajte internetsku adresu (URL) u pregledniku:

- mora biti točno napisana (npr. "www.moja-banka.hr", a ne "www.moja-banka-login.com" ili "moja-banka-security.xyz").

• Nemojte se prijavljivati preko poveznica dobivenih u e-poruci ili porukama na društvenim mrežama.
• Adresu službene stranice sami upišite u preglednik ili koristite oznaku stranice (bookmark) koju ste ranije spremili.
• Provjerite postoji li HTTPS i simbol lokota; to nije apsolutna garancija da je stranica sigurna, ali stranice bez toga treba izbjegavati.

Lozinke i dodatna zaštita

• Za svaki važan račun (e-poštu, društvene mreže, internet bankarstvo, državne e-usluge i slično) koristite snažne lozinke: dovoljno duge, s kombinacijom slova, brojeva i znakova.
• Trudite se da lozinke budu različite za različite servise.
• Uključite dvofaktorsku autentifikaciju (2FA) gdje god je dostupna, kako bi prijava zahtijevala dodatnu potvrdu preko SMS-a ili aplikacije.
• Nikada ne upisujte lozinku, PIN ili token kodove na stranicu do koje ste došli putem poveznice iz poruke e-pošte ili iz nenajavljene poruke.

 
Računala i mobilni uređaji

• Redovito ažurirajte operativni sustav (Windows, Android, iOS i drugi), internetski preglednik i ostale programe.
• Koristite antivirusni program i redovito ga ažurirajte.
• Ne pokrećite datoteke s neuobičajenim ili sumnjivim nazivima (primjerice "Qusar.exe", "Clients.exe") ili bilo koju .exe datoteku koje ste dobili putem e-pošte ili drugih poruka.

Što učiniti ako sumnjate da ste napadnuti

• Ako mislite da ste kliknuli na nešto sumnjivo ili upisali lozinku na lažnoj stranici - odmah isključite internet,

- na drugom, sigurnom uređaju promijenite lozinke za e-poštu, banku i druge važne račune,
- uključite ili provjerite 2FA na tim računima.

• Obavijestite svoju banku ako ste unosili podatke o kartici, računu ili drugim financijskim uslugama.
• Ako se računalo ponaša neuobičajeno (postalo je vrlo sporo, otvaraju se prozori sami od sebe, datoteke su zaključane ili preimenovane), nemojte sami nasumično instalirati razne "čistače" s interneta, nego potražite pomoć stručne osobe ili servisa.

Policija je objavila i savjete za tvrtke i organizacije
 
Ovaj tip napada često cilja poslovnu dokumentaciju, financijske podatke, pravne spise, elektroničku poštu, kao i osobne podatke zaposlenika i klijenata. Zbog toga je potrebno kombinirati edukaciju zaposlenika i tehničke mjere zaštite.
 
Edukacija zaposlenika

• Uvedite redovite, kratke edukacije na kojima zaposlenicima objašnjavate:

- kako izgleda phishing poruka,
- zašto se ne smiju otvarati nepoznati privitci i poveznice,
- primjere lažnih stranica za prijavu.

• Jasno naglasite zaposlenicima da:

  - nikada ne šalju lozinke, PIN-ove ni token kodove putem e-pošte ili drugih nesigurnih kanala,
  - u slučaju sumnje odmah kontaktiraju IT odjel ili osobu zaduženu za sigurnost, umjesto da sami "istražuju" i klikaju dalje.
 
Pravila za e-poštu i privitke

• U organizaciji definirajte jednostavno pravilo: "Ako poruku e-pošte niste očekivali, tretirajte je kao potencijalnu prijetnju dok ne provjerite."
• IT odjel treba:

- koristiti spam i phishing filtere,
- jasno označavati poruke koje dolaze izvan organizacije,
- blokirati ili stavljati u karantenu privitke s rizičnim ekstenzijama (primjerice .exe, .bat, .js i slično).
 
Zaštita računalnog sustava

• Na svim računalima i poslužiteljima koristite antivirusna ili naprednija EDR rješenja.
• Redovito ažurirajte operativne sustave, poslovne aplikacije, e-mail klijente i internetske preglednike.
• Ograničite korisnička prava: zaposlenici bi trebali imati samo onoliko ovlasti koliko im je potrebno za obavljanje posla, a administratorske ovlasti treba svesti na minimum.

 
Upravljanje lozinkama i pristupima

• Uvedite obveznu uporabu snažnih lozinki i dvofaktorske autentifikacije (2FA) barem za:

- račune elektroničke pošte,
- VPN pristup,
- administrativne panele, ERP, CRM i druge ključne sustave.

• Umjesto dijeljenja lozinki putem e-pošte ili pohrane u nezaštićenim dokumentima, koristite provjereni upravitelj lozinki (password manager).
• Svaki zaposlenik treba imati svoj korisnički račun; lozinke i računi ne smiju se dijeliti.

 
Remote pristup i alati za pomoć na daljinu

• Napadači često pokušavaju uspostaviti neovlašteni daljinski pristup računalima i poslužiteljima.
• Dozvolite samo odobrene alate za remote pristup i zaštitite ih:

- dvofaktorskom autentifikacijom,
- ograničavanjem pristupa na određene IP adrese ili pristup isključivo putem VPN-a.

• Zaposlenicima jasno recite da:

  - nikada ne instaliraju programe za daljinski pristup na zahtjev nepoznate osobe ili na temelju nenajavljenog telefonskog poziva,
  - IT podrška uvijek koristi dogovorene, službene kanale i poznate alate.
 
Sigurnosne kopije (backup) - zaštita od zaključavanja podataka

• Redovito radite sigurnosne kopije važnih podataka:

  - proces neka bude automatiziran,
  - barem jedan dio sigurnosnih kopija treba biti pohranjen na lokaciji ili mediju koji nije stalno spojen na mrežu (offline backup).

• Povremeno testirajte povrat podataka iz sigurnosnih kopija kako biste bili sigurni da backup zaista radi.

Plan reagiranja na incident

• Izradite jednostavan, jasan plan kako postupati u slučaju sumnje na kibernetički incident:

- odredite tko je prva kontakt-osoba kada zaposlenik posumnja na napad,
- opišite kako se kompromitirano računalo ili račun izolira (isključenje s mreže, privremeno blokiranje pristupa),
- definirajte tko kontaktira banku, partnere, nadležni CERT, policiju i druge nadležne institucije.

• Vodite evidenciju o incidentima: što se dogodilo, koje je sustave ili račune napad zahvatio, koji su podaci mogli biti ugroženi.
• Čuvajte zapise (logove) i druge relevantne podatke, umjesto da odmah brišete sve tragove; to može biti važno za istragu i eventualni kazneni postupak.

 
Pozivamo građane, poduzetnike i zaposlenike u tvrtkama da odvoje vrijeme i upoznaju se s besplatnim i jednostavnim izvorima savjeta i time povećaju svoju sigurnost u digitalnom okruženju:
Portal No More Ransom  https://www.nomoreransom.org/cro/index.html namijenjen je svima koji su postali žrtve ransomwarea ili se žele na vrijeme zaštititi. Građani i tvrtke ondje mogu pronaći jednostavno objašnjene korake što učiniti ako im podaci budu šifrirani, alate za prepoznavanje vrste ransomwarea te mogućnosti besplatnog dešifriranja podataka, kao i preporuke kako podešavanjem sigurnosnih kopija i zaštitnog softvera smanjiti rizik od napada.

Kampanja Web heroj https://webheroj.hr/ nudi praktične savjete kako prepoznati najčešće internetske prijevare, zaštititi osobne podatke te sigurno koristiti društvene mreže, e-poštu i online usluge. Građani mogu naučiti na što posebno paziti pri klikovima na poveznice i oglasima, dok su za tvrtke pripremljene preporuke za sigurniju uporabu službenih računala i mobitela, educiranje zaposlenika te uvođenje osnovnih sigurnosnih pravila u svakodnevni rad.  

Servis CERT iffy https://iffy.cert.hr/ omogućuje provjeru internetskih trgovina prije kupnje. Dovoljno je upisati adresu web trgovine kako bi korisnik dobio informaciju je li riječ o pouzdanom ili potencijalno lažnom prodajnom mjestu. Uz to, dostupni su i savjeti kako sigurno kupovati na internetu te na koje detalje obratiti pozornost kako bi se izbjegla krađa osobnih i financijskih podataka. Ovaj je servis posebno koristan za građane i poduzeća koja često kupuju putem interneta.