Na „akciji“ od 20 do 100 dolara: Na prodaju mejl nalozi povezani sa EPS-om, Carinom, fakultetima

Iz CERT-a, nacionalne agencije za elektronsku komunikaciju koja je i nadležna za praćenje ovakvih pretnji, kažu za Danas da su upoznati sa ovim slučajem i da postoji „osnovana sumnja“ da su određeni mejl nalozi kompromitovani, te da je reagovano u skladu sa tim.

Ako maliciozni prodavci su zaista imali ili i dalje imaju podatke o šiframa i korisničkim imenima, to znači da mogu da pristupe mejlu određenih zaposlenih u državnim preduzećima, vide njihovu prepisku ali i koriste njihov mejl za dalje slanje poruka. Na ovaj način potencijalno mogu biti ugroženi i podaci građana.

Šta se desilo?

Prošle nedelje stručnjak za bezbednost Ivan Marković objavio je na društvenim mrežama informaciju o prodaji mejl naloga na malicioznim forumima. Ista informacija objavljena je i na forumu Bezbedan Balkan, čiji je Marković jedan od osnivača.

U razgovoru za Danas Marković kaže da postoje razni onlajn forumi i portali na kojima maliciozni akteri prodaju naloge za pristup raznim resursima na internetu uključujući pristupe za imejl, servere, razne servise, sajtove.

– Ovi podaci prikupljeni su naravno nelegalnim metodama. Mi smo na formu Bezbedan Balkan identifikovali da na jednom od tih malicioznih foruma se prodaju mejl adrese sa naših područja, između ostalih i mejl adrese državnih institucija. Radi se o tome da je neko uspeo da prikupi šifre i korisnička imena za razne naloge odnosno mejl adrese, i za pristupe serverima direktno – navodi Marković.

On objašnjava da to konkretno znači da bi neko mogao da kupi podatke potrebne za pristup mejlu zaposlenog recimo u EPS-u i tako vidi i njegovu prethodnu prepisku ali da koristi dalje njegov mejl nalog.

Upitan da li sa sigurnošću možemo da znamo da prodavci koji nude ove podatke te podatke zaista i imaju sagovornik Danasa kaže da je uvek moguće da se radi o prevari, ali da je to u ovom slučaju jako malo verovatno.

Sa druge strane iz CERT-a navode da oni imaju “osnovanu sumnju” da je došlo do kompromitovanja određenih naloga.

– Vreme u kome živimo je takvo da možemo smatrati da su sajber napadi svakodnevna pojava. Upravo iz tog razloga Nacionalni CERT kontinuirano prati dostupne informacije o pretnjama i sarađuje sa ostalim institucijama koje se bave informacionom bezbednošću u našoj zemlji. Kroz ove kanale Nacionalni CERT je i u konkretnoj situaciji došao do saznanja o gorepomenutim pretnjama – navodi se iz CERT-a.

Dalje se ističe da je “Nacionalni CERT na osnovu dostupnih informacija o pretnjama identifikovao konkretne naloge elektronske pošte za koje postoji osnovana sumnja da su kompromitovani”.

– CERT je obavestio institucije kojima nalozi pripadaju i dao preporuke kako postupiti u slučaju kompromitovanih naloga – dodaje se u pisanim odgovorima.

Ako su nalozi zaista kompromitovani, to bi onda bila velika pretnja a lista stvari koju napadači mogu da učine je duga i opasna.

Bojan Perkov iz Šer fondacije objašnjava za Danas šta sve maliciozni akteri mogu da urade sa ovakvim podacima.

– Ako su objavljeni kredencijali zaista tačni, odnosno ako se njima može pristupiti velikom broju službenih mejlova, to zaista predstavlja veliki problem koji se mora adresirati kao pitanje najvišeg prioriteta. Neovlašćenim pristupanjem mejl nalozima može se prouzrokovati značajna šteta, ne samo u smislu pristupa poverljivim prepiskama već i za lažno predstavljanje, pristup drugim sistemima koji su povezani sa mejl adresama i tako dalje – navodi Perkov.

Kako je došlo do curenja podataka za mejlove?

Curenje podataka koji su prikupljeni na nelegalan način nije neuobičajna pojava na internetu i postoje raniji primeri takvih incidenata i u Srbiji i u svetu.

Ivan Marković kaže da postoje razni načini na koje maliciozni akateri skupljaju ovakve informacije.

– Oni mogu direktno da kompromituju resurs, odnosno da preuzmu kontrolu na serveru. Drugi način je da prikupe adrese sa nekih drugih sajtova, što se dešava u situacijama kada se ljudi na raznim sajtovima registruju sa mejl adresama državne institucije. I to je veliki problem jer ljudi koriste svoje službene adrese za privatne stvari – kaže Marković.

Iz CERT-a takođe navode slične mogućnosti.

– Do kompromitacije naloga elektronske pošte može doći na različite načine. Korisnici često ostavljaju svoju imejl adresu i lozinku korišćenu za pristup nalogu elektronske pošte prilikom registracije na drugim sajtovima koji u nekom trenutku mogu biti kompromitovani. Napadači mogu sprovesti direktan napad na imejl server institucije, a danas postoji i posebna vrsta malicioznog softvera koja sa zaraženih računara može neovlašćeno preuzeti ovu vrstu podataka – kažu iz CERT-a.

Oni nisu direktno odgovorili na pitanje šta se desilo konkretno u ovom slučaju odnosno kako su procurele informacije o mejl adresama.

Bojan Perkov na kraju podseća na primer kada su procureli podaci o korsinicima sajta za upoznavanje “Ešli Medison” a koji su koristili službene naloge pri registraciji.

– Imajući u vidu da je curenje podataka sa raznih sajtova i platformi postala svakodnevica, analize procurelih podataka mogu da pokažu da su službene mejl adrese državnih organa i privatnih kompanija korišćene za registraciju odnosno prijavu na razne sajtove, što su po pravilu nedozvoljene svrhe. Jedan takav primer je curenje podataka o korisnicima sajta za upoznavanje „Ešli Medison“, gde je pronađen veliki broj službenih mejl adresa koje pripadaju državnim organima – navodi Perkov.

Poverenik: Nemamo ranija saznanja o ovom slučaju
Povodom curenje podataka o mejl nalozima državnih institucija Danas je uputio pitanja i Kabinetu Poverenika za informacije od javnog značaja. U pisanim odgovorima koje smo dobili navedeno je da Poverenik nije imao prethodna saznanja u vezi sa ovim slučajem, “bilo da se radi o saznanju iz medija, upućene predstavke ili saznanja na osnovu dostavljenog Obaveštenja o povredi podataka o ličnosti od strane rukovaoca, koje su saglasno članu 52. Zakona o zaštiti podataka o ličnosti rukovaoci u slučaju povrede podataka u obavezi da dostave Povereniku.”. Iz Kabineta su naveli da je Poverenik postupao ranije u određenom broju slučajeva kada su “hakovani” sereveri koji sadrže podatke o ličnosti. “Ti slučajevi su se u najvećem broju odnosili na dostavljena Obaveštenja o povredi podataka o ličnosti u kojima su rukovaoci shodno članu 52. ZZPL dužni da dokumentuju povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.”. Odgovarajući na pitanje da li Poverenik može da ispita tačnost informacija o curenju podataka o mejl adresama te šta se može učiniti tim povodom, Danasu je rečeno da “Poverenik nema tehničke mogućnosti utvrđivanja tačnosti navoda izvesnog Ivana Markovića o kome ste nas obavestili, te preventivnog delovanja, odnosno pružanja tehničke pomoći u konkretnom slučaju”. “Preduzimanje istražnih radnji u cilju otkrivanja počinilaca potencijalnih krivičnih dela putem sredstava elektronskih komunikacija u nadležnosti je Posebnog odeljenju za borbu protiv viskokotehnološkog kriminala Višeg javnog tužilaštva u Beogradu”, zaključuje se u odgovorima.

Isto i u BiH
Na istom forumu gde su ponuđeni podaci za mejl adrese državnih preduzeća u Srbiji mogu se naći i podaci za javne institucije iz BiH, uključujući i one povezane sa Vladom BiH. Takođe među ponuđenim nalozima mogli su se pronaći i podaci za mejlove povezane sa privatnim kompanijama u region.

O načinima na koji može doći do kompromitovanja elektronske pošte i šta raditi u takvim situacijama može se više pročitati u publikaciji CERT-a