Izvor: Politika, 10.Mar.2011, 23:23 (ažurirano 02.Apr.2020.)
Udar na platne kartice
,,Pecanje” izgleda ovako: na elektronsku poštu korisnika banke stiže poruka da se preuređuje baza podataka i da primalac treba da unese podatke na ,,link banke”
Glavni cilj većine internet stranica elektronskih prodavnica je prodaja proizvoda i usluga. Ovi internet sajtovi su uglavnom interaktivni. Kontrola nad njima se preuzima na mnogo načina kako bi se kompromitovale baze podataka radi pribavljanja informacija o klijentima. Najčešći i najopasniji su napadi tzv. SQL >> Pročitaj celu vest na sajtu Politika << injekcijama, kada se u bazu ubacuje nekoliko podataka ili programski kod koji istražuje slabosti u zaštiti same baze, da bi se one zatim nesmetano zloupotrebile radi krađe podataka o platnim karticama.
Godine 2008. jedno preduzeće sa teritorije Srbije koje vodi uspešnu elektronsku prodavnicu na Internetu podnelo je krivičnu prijavu zbog osnovane sumnje da je neidentifikovani izvršilac izvršio krivično delo falsifikovanja i zloupotrebe platnih kartica (čl. 225 KZ) i računarske prevare (čl. 301 KZ). Posle provera je utvrđeno da je izvršilac navedenih krivičnih dela pribavio elektronske podatke o platnim karticama i identitetu njihovih vlasnika upotrebom ,,SQL injekcija” koje je koristio za napade na slabo zaštićene baze podataka na serverima elektronskih prodavnica – sa područja Australije. Pored podataka o brojevima platnih kartica, tipu kartice, imenu i prezimenu korisnika, izvršilac krivičnog dela je pribavio i druge informacije (prebivalište i elektronska adresa vlasnika, svojstvo na osnovu kojeg se ime korisnika nalazi u bazi podataka elektronske prodavnice). Bio je u mogućnosti i da sazna ukupan broj platnih kartica čiji se podaci nalaze u samoj ,,SQL bazi” elektronske prodavnice.
Fišing (Rhishing) je takođe jedan od čestih vidova pribavljanja poverljivih ličnih, finansijskih i drugih podataka. Reč je o aktivnostima kojima neovlašćene osobe korišćenjem lažnih elektronskih poruka preko elektronske pošte i lažnih internet stranica finansijskih institucija navode korisnike Interneta na otkrivanje poverljivih podataka kao što su jedinstveni matični broj, korisničko ime i lozinka, PIN broj kartice, broj kreditne kartice i slično. Za ovakve napade koriste se elektronske poruke kao što su: 1. lažna upozorenja banaka da će doći do gašenja računa ako klijent ne ažurira podatke, 2. lažne poruke administratora u kojima se traže korisnički podaci, npr. lozinka, 3. poruke u kojima se poziva na bezbednost i zahteva od korisnika otkrivanje ličnih podataka radi otklanjanja otkrivenog bezbednosnog propusta, 4. poruke kojima se korisnik obaveštava da je ,,dobio na lutriji”, zbog čega treba da dostavi lične podatke.
Da bi se klijent ,,upecao” često se koriste linkovi koji po nazivu liče na prave adrese banaka, a zapravo se nalaze na sasvim drugoj adresi, dok izgled internet prezentacije u potpunosti odgovara pravoj internet stranici banke.
U principu, ,,pecanje” izgleda ovako: na elektronsku poštu korisnika određene banke šalje se poruka da se npr. preuređuje baza podataka banke i da je potrebno da primalac unese svoje podatke na ,,link banke”. Link je, naravno, lažan, tj. vodi na lažnu stranicu banke.
Oprez korisnika usluga banaka, kad je o ,,pecanju” reč, danas je veća, pa su i izvršioci krivičnih dela primorani da upotrebe nove tehnike.
Tokom 2009. godine nekoliko preduzeća sa teritorije Srbije podnelo je krivične prijave za krivična dela falsifikovanje i zloupotreba platnih kartica (čl. 225 KZ) i računarska prevara (čl. 301 KZ), protiv neidentifikovanih izvršilaca. Utvrđeno je u jednom slučaju da je izvršilac preko Interneta pribavio podatke o više desetina elektronskih adresa klijenata Vestern union banke koja je bila postavljena na server pod njegovom kontrolom, a on je zatim slao ,,spam” poruke u kojima je od korisnika banke tražio da preko lažnog linka posete navodne stranice Vestern union banke radi ažuriranja podataka. Tako su klijenti banke nesvesno slali svoje podatke direktno izvršiocu krivičnog dela.
U Srbiji su registrovani i ,,fišing” napadi na korisnike usluga Interneta preko ,,spam” poruka u kojima su se izvršioci krivičnih dela predstavljali kao ,,internet provajderi” i tražili podatke radi ,,ažuriranja baze podatka”.
Ovakvih i sličnih slučajeva bilo je i u 2010. godini, a sve češće žrtve prevaranata su i naši državljani koji plaćaju preko Interneta.
Problematika o kojoj je ovde reč veoma je specifična, a neukost građana može imati nesagledive posledice po njihovu privatnost i imovinu.
**Kriminalističko-policijska akademija
*Odeljenje MUP za borbu protiv visokotehnološkog kriminala
Zvonimir Ivanović**
Vladimir Urošević*
objavljeno: 11.03.2011.
