Upozorenje o sofisticiranoj phishing kampanji i pokušaju financijske prijevare

Zavod za sigurnost informacijskih sustava (ZSIS) zaprimio je prijavu sofisticirane phishing kampanje koja je usmjerena prema državnim tijelima. Cilj kampanje je neovlašteni prijenos financijskih sredstava na bankovni račun pod kontrolom napadača.

Za razliku od uobičajenih phishing kampanja koje se najčešće odvijaju isključivo putem elektroničke pošte, ova kampanja obuhvaća dva komunikacijska kanala: elektroničku poštu i telefonsku komunikaciju.

Kampanja najčešće započinje telefonskim pozivom iz inozemstva prema posebno odabranom djelatniku koji je u mogućnosti provesti financijsku transakciju (najčešće zaposlenici u odjelu računovodstva i financija). Pozivatelj se najčešće predstavlja kao zaposlenik globalnog odvjetničkog ureda koji govori u ime visokopozicionirane osobe u organizaciji (npr. predsjednik uprave, ravnatelj, ministar, glavni tajnik ili osoba na drugoj rukovodećoj poziciji) te od djelatnika zahtijeva njegovu adresu elektroničke pošte (poslovnu ili privatnu) kako bi mu proslijedio navodne povjerljive dokumente.

Nedugo nakon telefonskog poziva (a ponekad i prije samog poziva), napadači na adresu elektroničke pošte djelatnika šalju lažnu poruku elektroničke pošte kojoj je navodni pošiljatelj visokopozicionirana osoba iz organizacije djelatnika. Adresa pošiljatelja najčešće nije lažirana, već se radi o korisničkom računu stvorenom na besplatnim i javnim servisima elektroničke pošte (npr. ime.prezime@mail.com, ime.prezime@gmail.com). U poruci navodni pošiljatelj obavještava djelatnika da će ga kontaktirati osoba iz inozemstva povodom tajne, žurne i vrlo osjetljive financijske transakcije koja se mora provesti u što kraćem roku.

Djelatnik također može zaprimiti druge poruke elektroničke pošte u kratkom vremenskom razdoblju od navodnog odvjetničkog ureda, čime napadači žele stvoriti osjećaj žurnosti i ozbiljnosti situacije, stvarajući djelatniku dojam da se doista radi o više uključenih entiteta i legitimnoj operaciji.

Posebno je važno istaknuti da su napadači skloni stvarati pritisak prema djelatniku – ako djelatnik ne odgovara na poruke i pozive dovoljno brzo ili ako počne sumnjati u identitet pošiljatelja, navodna visokopozicionirana osoba sklona je diskreditirati djelatnika te provedbu financijske transakcije „povjerava drugoj osobi“ jer u djelatnika više „nema povjerenja“, što može potaknuti djelatnika da, usprkos svojim sumnjama, ipak pristane na provedbu transakcije.

ZSIS savjetuje poduzimanje sljedećih koraka:

  • Obavijestite svoje zaposlenike o opisanoj kampanji, koja uključuje standardne poruke elektroničke pošte, ali i telefonske pozive. Osobitu pozornost posvetite zaposlenicima koji imaju mogućnost provedbe financijskih transakcija
  • Ukažite svojim zaposlenicima da prije provedbe bilo kakvog naputka primljenog putem elektroničke pošte ili telefonskim putem, moraju obavezno provjeriti identitet pošiljatelja/pozivatelja i autentičnost poziva ili primljene poruke
    • Potrebno je biti posebno oprezan kod zahtjeva za akcijama koje su neočekivane, neuobičajene, žurne ili tajne
    • Obratite pozornost na pravopisne, gramatičke i druge pogreške u primljenim porukama elektroničke pošte. Iako napadači koriste hrvatski jezik, korišteni izrazi često su evidentno prevedeni korištenjem javno dostupnih servisa te su pojedine riječi u poruci vidljivo izvan konteksta
  • Provjeru identiteta i autentičnost poruke/poziva provedite izravnim upitom navodnom pošiljatelju poruke korištenjem alternativnog komunikacijskog kanala – usmenim putem ili telefonskim pozivom
    • Nemojte uzvraćati telefonske pozive, pozivati brojeve koji su navedeni u sumnjivim porukama, niti odgovarati na adrese elektroničke pošte s kojih su inicijalni upiti pristigli! Visokopozicioniranu osobu, odnosno nalogodavca transakcije, kontaktirajte uobičajenim komunikacijskim kanalom u vašoj organizaciji (poziv na interni broj) ili usmenim putem