Konec oktobra je policija javno opozorila na lažna elektronska sporočila, ki so jih spletni kriminalci razpošiljali številnim slovenskim pravnim osebam, uporabnicam spletnih bančnih storitev. V najmanj desetih podjetjih prevare niso opazili in so postali žrtev phishing napada. Premoženjska škoda je presegla milijon evrov, je sporočila policija.
Doslej še neodkriti kriminalci so bili prebrisani. Izbrali so lažno identiteto podjetja Halcom. V tujini so registrirali domene Halcom-finance.com, Halcom-finservis.com in Halcom-podpora.com. Halcom je eno najpomembnejših slovenskih podjetij na področju digitalnega bančništva, plačilnih sistemov in elektronskega podpisovanja. Razvija rešitve za banke in velika podjetja s področja digitalnega bančništva, elektronskih podpisov in kvalificiranih digitalnih potrdil, procesiranja plačil in avtentikacijskih sistemov. Halcomove storitve uporabljajo skoraj vse večje banke v Sloveniji in številne banke v regiji. Uradna spletna stran družbe Halcom, d. d., je www.halcom.com/sl/.
Najprej poslali mail, potem poklicali, nazadnje izpraznili račun
Spletni goljufi so izkoristili informacijo, da je začela veljati nova evropska uredba o takojšnjih plačilih, ki je obvezna za vse banke v območju SEPA. Prejemnikom so v imenu Halcoma sporočili, da morajo nujno posodobiti svoje aplikacije. Priložili so povezavo do nevarne spletne domene, ki je posnemala videz spletne strani za storitve elektronskega bančništva MultiPay Halcom. S klikom na povezavo se je odprla napadalčeva spletna stran, ki je zahtevala vnos e-pošte in telefonske številke.
Po vnosu podatkov je sledilo lažno obvestilo, da bo prejemnika kontaktirala tehnična podpora. Spletni goljufi so dejansko poklicali in se izdajali za tehnično službo. Oškodovance so prepričali, da na računalnik namestijo aplikacijo za oddaljen dostop (običajno AnyDesk). Aplikacija je omogočila storilcem upravljanje z računalnikom oškodovancev. Ko so vstavili kartico s certifikatom in se prijavili v spletno banko, so spletni goljufi z aplikacijo zatemnili zaslon in izpraznili bančni račun.
Več kot dva tedna po obvestilu policije je sporočilo za javnost objavilo tudi Združenje bank Slovenije. Članice – banke in hranilnice – je ponovno opozorilo na porast poskusov spletnih goljufij, v katerih se napadalci lažno predstavljajo v imenu podjetja Halcom. Objavili so primer sporočila, ki je bilo 12. novembra poslano z naslova info@halcom-varnost.com: »Spoštovani, po zadnji nadgradnji sistema windows je prišlo do napake pri podpisovanju plačil. Napako odpravite s namestitvijo datoteke po navodilih na varni povezavi. Datoteko namestite izključno iz aplikacije Hal E-Bank. Namestitev iz drugih virov lahko pomeni zlorabo. Lep pozdrav, Halcom podpora.« Sporočilo je vsebovalo še povezavo do ponarejene spletne strani Halcoma, ki posnema videz uradnega spletnega mesta.
Težje je blokirati domeno.com kot.si
V opisanem kriminalnem početju, ki se je nadaljevalo tudi po javnem opozorilu policije, se postavlja več vprašanj o (pravočasnem) ukrepanju Halcoma. Med drugim, zakaj po razkritjih policije ni blokiral vseh lažnih »halcom« domen. Pa tudi, kdo prevzema odgovornost za gospodarsko škodo, ki je nastala po tistem, ko je policija že opozorila na dogajanje in je bil Halcom podrobno obveščen, da kriminalci zlorabljajo ime družbe za izvajanje napadov.
»Gre za usklajeno phishing/vishing kampanjo in socialni inženiring (lažna e-pošta, lažni telefonski klici, lažne spletne strani), pri kateri napadalci zlorabljajo ime Halcom, grafično podobo in videz uporabniških vmesnikov, da bi uporabnike zavedli v posredovanje podatkov ali omogočanje oddaljenega dostopa,« uvodoma poudari Gregor Pelhan, izvršni direktor Halcoma.
Po njegovih besedah registracija domen (zlasti.com) poteka pri tujih registrarjih in jo lahko zlorabijo tretje osebe brez vednosti imetnika znamke. Blokada oziroma onemogočanje takšnih domen vključuje več korakov. »Halcom je po prvih zaznanih primerih nemudoma sprožil postopke za omejevanje širjenja in škode. Takega postopka pa žal ni mogoče izvesti instantno, ampak lahko v praksi traja več tednov. Če bi prevaranti uporabljali domene.si, bi lahko blokado domene izvedli bistveno hitreje. Zagotovo je ravno dolžina postopka odstranitve spletne domene razlog, da prevaranti uporabljajo domene tujih registrarjev.« Kaže opozoriti, da tudi Halcom sam uporablja domeno.com.
Strokovnjak: Obstajajo orodja za sprotni nadzor domen
Strokovnjak s področja informacijske varnosti meni, da bi Halcom vendarle lahko bil bolj pozoren na to, ali se v spletu registrirajo domene z njihovim imenom. »V spletu danes že obstajajo orodja, s katerimi je mogoče sproti spremljati registriranje 'vrhnjih' domen, v katerih se pojavlja določena beseda,« opozarja Boštjan Kežmah, preizkušeni revizor informacijskih sistemov ter sodni izvedenec in cenilec za informatiko in programsko opremo. V to skupino spadajo tudi Halcom-finance.com, Halcom-finservis.com, Halcom-podpora.com in Halcom-varnost.com. Težje pa je spremljati registriranje poddomen, denimo Halcom.podpora.com in podobno.
Po Kežmahovih besedah ima omejen nadzor nad zlorabo domen zgodovinsko ozadje, in sicer je povezan s primerom Snowden. Leta 2013 je žvižgač Edward Snowden razkril, da ameriške obveščevalne agencije izvajajo množični nadzor nad komunikacijo milijonov ljudi. »Veliki ponudniki spletnih storitev – denimo Google – so zatem začeli opozarjati na nujnost šifriranja podatkov med prenosom. Za to pa je bilo treba kupiti certifikat, ki je do takrat tudi omogočal preverjanje lastništva. Leta 2015 pa je bila ustanovljena neprofitna organizacija Let's Encrypt, ki je omogočila brezplačna potrdila za šifriranje povezave (HTTPS) brez preverjanja identitete njenega lastnika. Let's Encrypt je odprl Pandorino skrinjico, certifikati so izgubili funkcijo dajanje zaupanja. S tem smo izgubili vse tehnične možnosti za preverjanje ponudnikov storitev,« razloži Kežmah.
Halcom: Za varnost in zaščito sredstev so odgovorne banke
Direktor Halcoma zagotavlja, da varnost obravnavajo prednostno. Poleg obstoječih varnostnih in nadzornih praks so po prvih zaznanih napadih dodatno okrepili koordinacijo z deležniki ter izvajanje protiukrepov, med drugim v sodelovanju s policijo, SI-CERT in drugimi institucijami.
Z natančnim obsegom povzročene premoženjske škode niso seznanjeni, konkretnih primerov pa ne komentirajo zaradi interesa preiskave. Glede odgovornosti in zaupanja Pelhan pravi, da obžalujejo vsak primer, ko so uporabniki utrpeli škodo. Na vprašanje, kdo prevzema odgovornost za gospodarsko škodo, odgovarja, da sta varnost in zaščita sredstev na bančnih računih v domeni bank. Halcom z napadi ni povezan, temveč sodeluje pri preprečevanju zlorab, odzivanju na incidente in obveščanju. »Na podlagi dosedanjih ugotovitev govorimo o kampanji zlorab identitete in socialnega inženiringa, ne pa o vdoru v Halcomove sisteme. Kljub temu situacijo obravnavamo z najvišjo stopnjo resnosti in ukrepe nenehno nadgrajujemo.«
