Za pravu cijenu: Pristupni podaci za e-poštu iz srpskih državnih institucija prodavani online

Stručnjaci za sajber sigurnost tvrde da državna tijela i javna preduzeća u Srbiji ne preduzimaju korake na osnovu indicija da se na darknetu prodaju pristupni podaci a e-poštu njihovih zaposlenika. Krajem prošle godine, pojavili su se izvještaji na online forumu ‘Bezbjedan Balkan’ koji se odnose na crnotržišnu prodaju akreditiva za e-poštu povezanu s nizom državnih institucija i javnih preduzeća u Srbiji.

Iz više izvora” prijavljen je ovaj fenomen, izjavio je Ivan Marković, stručnjak za sajber sigurnost i suosnivač foruma.

“To znači da je neko, za odgovarajuću cijenu, mogao pročitati zvaničnu komunikaciju javnog preduzeća Elektroprivreda Srbije ili Srbijagas, ili poslati poruku pretvarajući se da piše ispred Nacionalne službe za zapošljavanje”, rekao je Marković za BIRN.

Kada su Marković i njegove kolege dublje istraživali, otkrili su da su akreditivi za e-poštu nekoliko javnih preduzeća i državnih institucija kompromitovani već više od godinu dana i prodavani za 100 dolara ili manje.

E-mail nalozi sadržavali su informacije o ugovorima, obavještenjima o smanjenju radne snage, bankovnim izvodima, javnim nabavkama i sindikalnim sastancima. Oglasi za prodaju uključivali su snimke e-pošte kao dokaz za potencijalne kupce.

Ipak, skoro sva pomenuta tijela su demantovala izvještaje, tvrdi BIRN.

Prema Markoviću i drugim stručnjacima za sajber sigurnost, izostanak reakcije sa njihove strane samo pogoršava stvari.

Platforme crnog tržišta zavise od svoje vjerodostojnosti i obično ne prodaju lažne podatke; oni prodavci koji to čine brzo budu sankcionisani“, rekao je on. “Ono što je opasnije jeste da se ovi podaci prodaju više puta različitim zlonamjernim grupama.

Inbox jednog od naloga koji se prodaju na darknet marketu

Nevoljni da prijave

Od januara prošle godine, prema Markoviću, e-mail nalozi koji se odnose na Elektroprivredu Srbije, EPS, kompromitovani su najmanje 15 puta.

Ali iz EPS su demantovali ove navode.

Državni telekomunikacioni provajder Telekom Srbija također tvrdi da su e-mail nalozi njihovih zaposlenika sigurni, kao i Nacionalna služba za zapošljavanje. Srbijagas nije odgovorio na zahtjev da prokomentiraju ove tvrdnje.

Samo operator mreže Elektromreža Srbije potvrdio je incident u vezi sa kompromitovanim korporativnim e-mail nalogom.

Upoznat od strane državnog CERT-a – regulatornog tijela za elektronske komunikacije i poštanske usluge – s slučajem phishinga, iz Elektromreža Srbije su izjavili da su “blokirali nalog, pregledali aktivnosti na sistemu kompromitiranog korisnika, promijenili lozinke i pokrenuli dodatnu obuku o informacionoj sigurnosti i potencijalnim prijetnjama”.

Međutim, CERT nema ovlaštenje za praćenje primjene ovih sigurnosnih mjera. To je u nadležnosti Ministarstva informacija i telekomunikacija, koje ima samo jednog inspektora posvećenog ovom zadatku.

Prošle godine, vodeća sajber sigurnosna firma Kaspersky pratila je postove na darknetu koji nude pristup kompromitiranim korporativnim podacima i pronašla je oko 260.000 lozinki, PIN brojeva i drugih biometrijskih podataka koji pripadaju korisnicima u Srbiji, ali bez identifikacije specifičnih kompanija.

Prema Kasperskom, samo pojavljivanje korporativne e-mail adrese na mračnom internetu, čak i bez lozinke, već stavlja pod upitnik sigurnost organizacije.

Površina napada unutar infrastrukture se povećava kako raste broj potencijalno ranjivih meta“, rekao je Kaspersky BIRN-u. “Javna dostupnost korporativnih e-mail adresa može privući pažnju sajber kriminalaca i pokrenuti rasprave na resursima mračnog interneta kao što su forumi, messengeri, onion sajtovi i drugi, u vezi s potencijalnim napadima na organizaciju. Također, korporativna e-mail adresa se češće koristi u svrhu phishinga i socijalnog inženjeringa.

Istraga Kasperskog također je otkrila zabrinjavajući nedostatak spremnosti i tendenciju da se negiraju tvrdnje da su njihove zaštite kompromitirane.

To je također dokumentirao i Državni revizorski sud Srbije, koji je izvijestio prošle godine da su javna preduzeća i državna uprava nevoljna prijavljivati incidente CERT-u. Nedostatak svijesti o tome kome se obratiti i strah od štete po ugled kompanije su neki od razloga za to.

To je zabrinjavajuće, kaže Bojan Perkov, koordinator digitalne politike SHARE Fondacije, koja radi na promociji i zaštiti digitalnih prava.

Neovlašten pristup e-mail nalozima i njihova zloupotreba može biti ulazna tačka za mnogo ozbiljnije napade“, rekao je Perkov za BIRN.

Ako se ista kombinacija pristupnih podataka – recimo e-mail, korisničko ime ili lozinka – koristi za više naloga, od kojih neki sadrže izuzetno osjetljive informacije, kao što je velika baza podataka sa podacima o građanima, to može izazvati veliku štetu. Napadač također može nastaviti zloupotrebljavati e-mail adresu za phishing i socijalno inženjerstvo kako bi dobio daljnji pristup sistemu.

Phishing za zaposlenike

Ovo nije samo problem kompanija koje ne žele priznati kompromitaciju sajber sigurnosti. Zaposlenici također često ne žele priznati da su nesvjesno kompromitovali svog poslodavca.

Jedan zaposlenik je rekao da je primio e-mail, ali ga nije otvorio. Ali na njenom računaru su svijetlile lampice“, rekao je jedan zaposlenik u IT odjelu javnog preduzeća u Srbiji, govoreći pod uslovom anonimnosti.

U pitanju je bio slučaj phishinga. Bot se predstavio kao administrator nekom zaposleniku, a e-mail koji je primila sadržavao je link koji navodno vodi do promjene lozinke.

Trebalo nam je mjesec dana da riješimo problem“, rekao je zaposlenik IT-a. “Prvo, Outlook fajl, gdje su se e-mailovi pohranjivali, počeo se duplicirati. Kada smo to popravili, odjednom nije mogla primati e-mailove, zatim su se portovi pomiješali, konfiguracija koju sam postavio bi se isključila. Mislio sam da možemo jednostavno popraviti fajl, ali na kraju smo morali skinuti cijeli sistem s njenog računara.

Korištenje zvanične e-mail adrese u privatne svrhe jedna je od najčešćih grešaka koje zaposlenici u javnim preduzećima i institucijama prave, rekao je CERT za BIRN.

Ovo ih posebno čini ranjivim na phishing napade i socijalno inženjerstvo. Također, slanje osjetljivih i privatnih podataka putem aplikacija za trenutne poruke, kao što su Viber i WhatsApp, može imati slične nepoželjne posljedice.

Većina e-mail naloga srpskih javnih preduzeća koji su prodavani na crnom tržištu koristili su Outlook Web App.

Problem s ovim, ili bilo kojom drugom webmail aplikacijom pristupljenoj putem preglednika, nastaje kada korisnik odabere opciju pamćenja lozinke“, rekao je drugi zaposlenik IT-a u srpskoj javnoj instituciji, koji je također govorio pod uslovom anonimnosti.

Preglednik na računaru ili laptopu nema dodatnu zaštitu kada neko pristupa svom računu putem zapamćenih akreditiva”, rekao je on. Kada se računar zarazi virusom, podaci postaju dostupni. I pošto se većina institucija trudi povezati sve svoje računare u mrežu, virus se brzo širi unutar sistema i može prikupiti njihove naloge.

U slučaju EPS-a, Marković je obavijestio vlasti o kompromitovanim e-mailovima, ali samo povjerenik za informacije od javnog značaja i zaštitu podataka o ličnosti preduzeo je neke akcije, rekao je on. Sa ograničenjima u pogledu inspekcije, povjerenik također nije pronašao nikakav problem.

Na osnovu ovog ishoda, možemo samo reći da se ovaj problem ignoriše“, rekao je Marković.

(Izvor: https://balkaninsight.com/2023/07/27/for-the-right-price-email-credentials-from-serbian-state-bodies-sold-online/)

You May Also Like

More From Author

+ There are no comments

Add yours