Istražitelji pokušavaju da rasvijetle phishing prevaru koja hara Balkanom
Ljudi širom Balkana postali su meta koordinisane SMS phishing prevare zasnovane na lažnim obavještenjima o poštanskoj dostavi
Profesorka književnosti iz Jagodine u centralnoj Srbiji, Danica Đokić, je 21. januara ove godine primila SMS poruku o pošiljci.
Đokić je čekala paket od prijatelja iz Japana. U poruci je navedeno da je adresa za dostavu unijeta pogrešno i da paket nije mogao biti dostavljen. Đokićeva je smatrala da je moguće da je njen prijatelj, Japanac, pogrešno napisao njenu adresu u Jagodini.
"Upravo zbog toga mi u početku nije djelovalo sumnjivo i zato sam brzo kliknula na link", kazala je ona. "Nijesam obratila pažnju na neobični telefonski broj".
Link je otvorio internet sajt sa logom Pošte Srbije, na kojem se od Đokićeve tražilo da plati naknadu od 49 dinara (oko 30 centu) i unese svoje podatke za plaćanje, uključujući CVC kod sa zadnje strane bankovne kartice.
"Odmah sam shvatila da nije trebalo da unesem CVC kod. Pošta to nikada ne bi tražila", kazala je Đokićeva.
Nakon što je shvatila da je pogriješila, ispraznila je bankovni račun koji je povezan sa karticom, blokirala karticu i naručila novu. Nekoliko dana kasnije, iz banke su joj prijavili sumnjivu narudžbinu za iznajmljivanje automobila iz Tokija.
Stotine ljudi u Srbiji, Hrvatskoj, Sjevernoj Makedoniji i Bosni i Hercegovini primili su slične phishing poruke tokom posljednjih nekoliko godina. Izgleda da je stopa porasla tokom ove i prošle godine, ali srpski tužioci kažu da nijesu pokrenuli niti primili bilo kakav zahtjev za regionalnu saradnju u pokušaju istraživanja onoga što izgleda kao koordinisani, simultani sajber-napad.
Nijesu svi imali sreće kao Danica Đokić da prođu bez posljedica. Počinioci još nijesu identifikovani.
BIRN je identifikovao nekoliko slučajeva u kojima su, poput Đokićeve, žrtve zaista očekivale pakete, što je povećalo vjerovatnoću da nasjednu na prevaru.
Mnogi slučajevi vjerovatno nijesu prijavljeni
Iz Nacionalnog regulatornog tijela za elektronske komunikacije i poštanske usluge Srbije (CERT) navode da je phishing jedna od pet najvažnijih vrsta sajber-napada, sa brojem slučajeva koji rapidno raste, od oko 17.000 u 2021. godini do više od 63.000 u 2023. godini
Poruke phishinga koje navodno dolaze od službi za dostavu takođe su u porastu. Iz CERT-a su saopštili da je u 2023. godini prijavljeno 306 takvih slučajeva.
"Ovo su incidenti povezani sa navodnom nemogućnošću isporuke paketa zbog nepotpunih adresa građana", kazali su iz CERT-a za BIRN.
Iz tog regulatornog tijela upozorili su na takve prevare još od 2021. godine, ali su vlasti tek početkom 2023. počele da sprovode istragu.
Ekspertkinja za digitalna prava, Nevena Ružić, kazala je da su javne institucije često prespore u obavještavanju javnosti kada pretrpe sajber-napad. Kada su državna preduzeća Elektroprivreda Srbije (EPS) i katastarska uprava pretrpjele curenja podataka, javnost je o tome saznala tek iz medijskih izvještaja.
Ružić je istakla da javne institucije često preferiraju da ne govore ništa osim ako nijesu primorane da reaguju.
"Oni (EPS i katastarska uprava) nijesu izašli u javnost sve dok se nije podigla velika prašina", kazala je Ružić za BIRN. "Kao da je bila mantra da ćute".
Kao odgovor na phishing prevare vezane za dostavne usluge, Pošta Srbije je obustavila standardna obavještenja o dostavi putem SMS-a i napravila aplikaciju koja, kako kažu, treba da poboljša komunikaciju sa korisnicima.
U anonimnoj anketi koju je BIRN u junu sproveo u Srbiji, BiH i Sjevernoj Makedoniji, većina od skoro 70 ispitanika prijavilo je da su primali phishing poruke u više navrata.
Prema medijskim izvještajima, takve prevare su skupo koštale žrtve, u jednom slučaju oko 2.000 eura.
Posebno tužilaštvo za visokotehnološki kriminal u Srbiji (PTVK) primilo je stotine krivičnih prijava vezanih za prevarantske poruke; međutim pravi broj žrtava je vjerovatno mnogo veći budući da se ne prijavljuju svi slučajevi.
Trenutno su u fazi istrage dva slučaja: jedan iz 2023. godine koji uključuje lažne poruke od srpske pošte, i drugi iz ove godine u kojem su poruke navodno stigle od giganta za dostavu paketa DHL-a.
"U slučaju DHL-a, otkrivena je jedna osoba koja je povezana sa nekoliko osoba iz inostranstva, tako da se trenutno radi na postupku pružanja međunarodne pravne pomoći", rekao je Boris Majlat, tužilac za visokotehnološki kriminal u Srbiji.
On je, međutim, precizirao da osoba još uvijek nije zvanično osumnjičena.
"U slučaju Pošte Srbije, izvještaj Službe za borbu protiv visokotehnološkog kriminala još uvijek nije dostavljen", dodao je.
Iz DHL-a nisu odgovorili na upite za komentar. Takođe nijesu odgovorile ni državne poštanske službe Srbije, Sjeverne Makedonije i BiH.
Bez reagionalne reakcije
U Sjevernoj Makedoniji, Nacionalni centar za reagovanje na računarske incidente (MKD-CIRT) primio je više od 100 prijava SMS prevara tokom ove godine i u vezi sa tim blokirao niz internet sajtova.
Javno tužilaštvo u Sjevernoj Makedoniji saopštilo je da ne vodi zasebnu evidenciju o SMS prevarama vezanim za dostavu, navodeći da one spadaju u širu kategoriju prevara. Uputili su BIRN na Ministarstvo unutrašnjih poslova povodom pitanja u vezi sa brojem slučajeva koji su u fazi istrage ili rezultiraju optužbama. Iz Ministarstva nisu odgovorili.
Policija i tužioci u BiH takođe nijesu odgovorili.
Vlasti i poštanske službe širom regiona upozorile su građane da ne odgovaraju na tekstualne poruke u kojima se traže lični podaci ili bankovne informacije.
Uprkos tome što je očigledno da su prevare regionalne prirode, tužilaštvo u Srbiji je saopštilo da ne sarađuje sa tužiocima iz drugih pogođenih zemalja.
"Saradnju je moguće uspostaviti samo ako postoje činjenice koje ukazuju na to da su počinioci isti (čak i ako su nepoznati)", rekao je Majlat. "To je moguće provjeriti preko Interpola, ali nam se do sada nijedna zemlja iz regiona nije obratila sa takvim zahtjevom".
"Nije moguće sa sigurnošću tvrditi da li je riječ o jednom ili više povezanih lica koji na ovaj način čine krivično djelo na štetu imovine građana, ili se radi o potpuno različitim počiniocima", rekao je Majlat za BIRN.
Na pitanje da li postoji sumnja da se možda radi o slučaju međunarodne prevare, Majlat je rekao da još uvijek nema takvih sumnji, "jer niko nije identifikovan".
Takođe je naveo da je vjerovatno da mnoge žrtve ne podnose prijave. To je bio slučaj sa Đokićevom, uprkos tome što ju je njena banka savjetovala da to učini.
"Savjetovali su nam da prijavimo policiji, ali pošto nijesmo bili oštećeni, to nijesmo učinili", rekla je.
Žrtve ciljane ili izabrane nasumično?
Za razliku od Đokićeve, Jasna, koja nije željela da joj se navodi prezime, obratila se vlastima.
Sve je počelo u decembru prošle godine kada je pokušala da pomogne kolegi iz SAD koji nije mogao da otvori poruku o paketu i proslijedio je Jasni, koja je kliknula na link.
Nakon unosa podataka o primaocu, Jasna je dobila obavještenje da treba da plati naknadu za skladištenje od 32,93 dinara, što je otprilike 25 centi.
"Unijela sam podatke sa svoje kartice i ubrzo nakon toga sam dobila obavještenje da je oko 67.000 dinara (oko 570 eura) povučeno sa mog računa", kazala je ona za BIRN.
Jasna je odmah kontaktirala svoju banku i blokirala karticu. Slučaj je prijavila Pošti Srbije, koja ju je uputila na CERT i Tužilaštvo za visokotehnološki kriminal.
Sedam mjeseci kasnije, u julu, Jasna tvrdi da nije dobila nikakvo obavještenje o napretku povodom njene prijave ili potrebnu dokumentaciju koju je tražila od tužilaštva za svoj zahtjev za osiguranje.
U slučaju Đokićeve, paket koji je očekivala iz Japana stigao je dan nakon što su prevaranti napali.
To ih je, kako je rekla, "navelo na zaključak da ljudi koji šalju te poruke možda imaju uvid u podatke srpske pošte i da ciljaju ljude koji očekuju pošiljke".
Međutim, Ružić, ekspertkinja za digitalna prava, kaže da je vjerovatnije da su žrtve odabrane nasumično.
"Rekla bih da iza toga stoji neka mašina, neki generisani brojevi, jer ove masovne prevare nijesu usmjerene na pojedince; ne ciljaju nekog pojedinačno, već svakoga", kazala je za BIRN, ističući da su korišćeni brojevi telefona navedeni u javnim registrima.
"Naši brojevi telefona su dostupni u registru; prema zakonima o elektronskim komunikacijama, svaki operater fiksne i mobilne telefonije je obavezan da ima registar pretplatnika, a osoba može biti izostavljena na zahtjev".
Majlat, tužilac, takođe je odbacio ideju da su podaci procurili iz pošte ili drugih dostavnih službi, navodeći da većina žrtava nije očekivala pošiljke.
On je kazao da je nemoguće precizno reći koliko ima žrtava ovakvih prevara, jer oni koji su prevareni za nekoliko stotina dinara možda nijesu htjeli da se zamaraju prijavom.
Azem Kurtić iz Sarajeva i Siniša Jakov Marušić iz Skoplja doprinijeli su izveštavanju za ovu priču.