Phishing s .hr domena: tko štiti korisnike?

Phishing s .hr domena otvara pitanje tko obavještava vlasnika domene kada se njegova infrastruktura koristi za prijevaru.

Autor: Ivan Vohrić

Phishing s .hr domena: kada građanin vidi prijevaru prije sustava

Urednička napomena:
U tekstu se ne navodi konkretna domena preko koje je zaprimljena phishing poruka, jer nije utvrđeno je li vlasnik domene žrtva, tehnički kompromitirani korisnik ili nešto treće. Cilj teksta nije javno prozivanje pojedinačnog korisnika, nego upozorenje građanima i otvaranje pitanja odgovornosti hosting davatelja, registrara, CERT-a i nadležnih službi kada se phishing širi preko korisničke infrastrukture.

Na e-mail adrese korisnika sve češće stižu poruke koje izgledaju kao službene obavijesti hosting tvrtki, banaka, dostavnih službi, državnih institucija ili poznatih digitalnih servisa.

Poruka je uredna. Ima logo. Ima upozorenje. Ima rok. Ima gumb za prijavu. Ima prijetnju obustavom usluge ili gubitkom pristupa računu.

Upravo tako izgleda moderna phishing prijevara.

Cilj nije samo poslati neželjenu poštu. Cilj je navesti korisnika da klikne, upiše lozinku, podatke kartice, pristupne podatke za hosting, webmail, cPanel ili neki drugi korisnički račun.

U jednom od takvih primjera poruka se predstavljala kao obavijest Plus Hostinga o neplaćenom računu. Vizualno je izgledala uvjerljivo. Imala je logo, službeni ton, upozorenje o mogućoj obustavi usluge i gumb za prijavu na korisnički račun.

No tehničko zaglavlje poruke pokazalo je ono što običan korisnik najčešće ne vidi: poruka nije došla sa službene domene hosting davatelja čiji se identitet zloupotrebljava, nego preko druge hrvatske domene.

Drugim riječima, problem nije bio samo u lažnom predstavljanju. Problem je bio u tome što se za slanje phishing poruka koristila infrastruktura ili identitet jednog korisnika domene.

Konkretna domena u ovom tekstu nije važna, jer vlasnik domene može biti i žrtva. Važan je obrazac: phishing poruke koje zloupotrebljavaju ime hosting davatelja, koriste povjerenje korisnika i otvaraju pitanje tko obavještava vlasnika kompromitirane domene kada on sam ne zna da se njegova infrastruktura koristi za prijevaru.

A tu počinje pravo pitanje.

Tko reagira kada vlasnik domene ni ne zna da se preko njegove domene šalju phishing poruke?

Vlasnik domene može biti žrtva

Kada se phishing poruka tehnički povezuje s nekom domenom, to ne znači automatski da je vlasnik domene počinitelj.

Moguće je da je kompromitiran njegov e-mail račun.

Moguće je da je ukradena SMTP lozinka.

Moguće je da je provaljeno u webmail, cPanel ili hosting račun.

Moguće je da je kompromitirana web-stranica, primjerice WordPress instalacija, pa se pošta šalje preko zlonamjerne skripte.

Moguće je da je računalo vlasnika domene zaraženo zlonamjernim softverom.

Moguće je da korisnik uopće ne zna da se nešto događa.

U tom slučaju vlasnik domene nije počinitelj, nego žrtva. Ali njegova domena, njegov mail sustav ili njegova hosting usluga postaju sredstvo za napad na druge građane.

Ako ga nitko ne obavijesti, phishing se može nastaviti.

Poruke mogu odlaziti satima, danima ili tjednima. Netko će kliknuti. Netko će upisati podatke kartice. Netko će izgubiti pristup e-mailu. Netko će kompromitirati vlastitu web-stranicu. Netko će pretrpjeti stvarnu financijsku štetu.

Zato je opasno kada se prijava građanina dočeka rečenicom: neka se javi vlasnik domene.

Jer vlasnik domene možda uopće ne zna da je žrtva.

A što ako vlasnik domene nije žrtva?

Postoji i druga mogućnost, neugodnija, ali sigurnosno jednako važna.

Što ako vlasnik domene nije žrtva?

Što ako je počinitelj?

Što ako svjesno sudjeluje u prijevari?

Što ako dopušta korištenje svoje infrastrukture?

Što ako je riječ o organiziranom obrascu slanja phishing poruka?

Hoće li se tada sam prijaviti?

Naravno da neće.

Upravo zato prijavu phishinga ne smije moći podnijeti samo vlasnik domene. Primatelj poruke često je prvi koji vidi napad. On ima dokaz. Ima e-mail. Ima zaglavlje. Ima vrijeme zaprimanja. Ima phishing poveznicu. Ima trag.

U kriminalističkom i sigurnosnom radu počinitelji se ne otkrivaju čekanjem da se sami prijave.

Otkrivaju se prijavom, evidencijom, analizom, logovima, IP adresama, obrascima slanja, usporedbom više slučajeva i koordiniranim postupanjem nadležnih službi.

Ako prijava građanina ne pokreće barem osnovnu provjeru, tada sustav ne štiti korisnike. Tada samo prebacuje odgovornost.

Hosting zna za phishing kampanje — ali što se događa kada se napad šalje preko korisnika?

Plus Hosting se o ovoj temi javno oglasio na svojoj mrežnoj stranici i upozorio korisnike na phishing i spoofing poruke. To je dobro i korisno. Korisnike treba educirati. Treba ih upozoriti da ne klikaju na sumnjive poveznice, da provjeravaju domenu, da ne unose podatke na lažnim stranicama i da budu oprezni kod poruka koje stvaraju pritisak i hitnost.

Ali upozorenje korisnicima nije dovoljno.

Ključno pitanje glasi: što se događa kada se phishing ne šalje samo prema korisnicima hosting usluge, nego preko infrastrukture, mail računa ili domene nekog korisnika?

Drugim riječima, ako se zloupotrebljava identitet poznatog hosting davatelja, a istodobno se poruke šalju preko kompromitiranih korisničkih računa ili domena, tada problem nije samo edukativni. Tada problem postaje operativni i sigurnosni.

Hosting davatelj možda nije autor prijevare. Možda nije izvor phishing kampanje. Možda je i sam žrtva zloupotrebe vlastitog brenda. Ali ako se dio problema odvija kroz korisničke mail račune, hosting pakete, web-aplikacije ili poslužitelje koje taj davatelj održava, tada se postavlja legitimno pitanje:

tko mora zaustaviti slanje?

Tko mora provjeriti logove?

Tko mora obavijestiti korisnika?

Tko mora privremeno ograničiti kompromitirani račun?

Tko mora reći vlasniku domene: vaša usluga se možda koristi za phishing?

Phishing s .hr domena nije samo tehnički problem, nego i pitanje povjerenja u domaći internetski prostor.

DNS nije poštar, ali tragovi postoje

Tehnički treba biti precizan.

E-mail se ne šalje “s DNS servera”. DNS služi za prevođenje domena, usmjeravanje prometa i objavu zapisa poput MX, SPF, DKIM i DMARC postavki. Ti zapisi pomažu mail sustavima da provjere tko smije slati poštu za određenu domenu i je li poruka tehnički vjerodostojna.

Ali stvarno slanje poruka događa se preko mail servera, SMTP sustava, hosting računa, webmaila, skripti ili vanjskih servisa koji imaju pravo slati poštu za neku domenu.

Upravo zato hosting ili mail provider ima ključnu ulogu. On može vidjeti ono što običan građanin ne može:

s kojeg je računa poruka poslana;

je li korišten webmail, SMTP ili skripta;

s koje IP adrese je izvršena prijava;

je li bilo neobičnog broja poslanih poruka;

je li račun kompromitiran;

je li lozinka zloupotrijebljena;

postoji li zlonamjerna skripta na web-hostingu;

je li potrebno blokirati slanje, promijeniti lozinke ili obavijestiti korisnika.

Zato se kibernetička sigurnost ne može svesti samo na savjet korisniku: ne klikajte.

To je važno, ali nije dovoljno.

Ako se phishing šalje preko kompromitirane infrastrukture, netko mora reagirati na izvoru.

Tko obavještava vlasnika domene?

To je najvažnije pitanje.

Ako vlasnik domene ne zna da se njegova domena, e-mail račun ili hosting usluga koriste za phishing, tko ga obavještava?

Građanin koji je primio poruku?

Hosting davatelj?

CERT?

Registrar?

CARNET?

Policija?

U uređenom sustavu odgovor ne bi smio biti nejasan.

Građanin koji zaprimi phishing poruku mora moći prijaviti slučaj. Prijava mora sadržavati cijelu poruku, tehničko zaglavlje, vrijeme zaprimanja i sumnjivi URL. Ta prijava mora biti zaprimljena, evidentirana i proslijeđena onome tko može tehnički reagirati.

Ako je riječ o domeni ili mail sustavu korisnika hosting usluge, hosting davatelj mora provjeriti logove i kontaktirati korisnika.

Ako postoji sumnja na širu phishing kampanju, treba uključiti Nacionalni CERT.

Ako postoji sumnja na kazneno djelo, krađu podataka, pokušaj prijevare ili organizirano djelovanje, tada stvar prelazi i u nadležnost policije.

Ali ono što ne smije biti odgovor jest: neka se javi vlasnik domene.

Jer vlasnik domene možda ne zna.

A ako je počinitelj, neće se javiti.

Što građanin treba učiniti kada primi ovakvu poruku?

Prvo: ne klikati na poveznicu.

Drugo: ne upisivati korisničko ime, lozinku, broj kartice ili bilo koji drugi osobni podatak.

Treće: ne koristiti gumb za odjavu iz poruke ako je poruka sumnjiva. Kod phishinga takva “odjava” može samo potvrditi da je adresa aktivna.

Četvrto: provjeriti stvarnu domenu poveznice. Ako se poruka predstavlja kao hosting, banka ili dostavna služba, poveznica mora voditi na službenu domenu te tvrtke. Slične, skraćene, čudne ili nepoznate domene znak su za oprez.

Peto: spremiti originalnu poruku i njezino zaglavlje. Bez zaglavlja se gubi važan tehnički trag.

Šesto: prijaviti phishing hosting davatelju čiji se identitet zloupotrebljava.

Sedmo: prijaviti phishing Nacionalnom CERT-u, osobito ako se koristi hrvatska domena, hrvatski IP prostor ili je meta korisnik u Hrvatskoj.

Osmo: ako je netko već upisao podatke kartice, lozinku ili pristupne podatke, odmah treba kontaktirati banku, promijeniti lozinke i prijaviti slučaj policiji.

Ako se phishing s .hr domena ne prijavljuje, ne evidentira i ne obrađuje, tada sustav nema ni osnovu za prepoznavanje šireg obrasca.

Što bi hosting davatelj morao učiniti kod phishing s .hr domena?

Hosting davatelj ne može spriječiti svaku phishing poruku na internetu. To nitko razuman ne očekuje.

Ali kada dobije prijavu da se preko korisničke domene, mail računa ili hosting paketa šalju phishing poruke, mora postojati jasan postupak.

Provjeriti zaglavlje poruke.

Provjeriti mail logove.

Provjeriti SMTP prijave.

Provjeriti webmail pristupe.

Provjeriti postoji li neuobičajeno slanje većeg broja poruka.

Provjeriti web-stranicu korisnika na zlonamjerne skripte.

Privremeno ograničiti slanje ako postoji osnovana sumnja na kompromitaciju.

Obavijestiti korisnika da je njegov račun možda zloupotrijebljen.

Zatražiti promjenu lozinki.

Predložiti uključivanje dvofaktorske autentifikacije gdje je dostupna.

Uputiti korisnika na provjeru računala i web-aplikacija.

Ako postoji šira kampanja, prijaviti ili proslijediti slučaj CERT-u.

To nije luksuz. To je osnovna sigurnosna higijena.

Korisnik hosting usluge nije stručnjak za kibernetičku sigurnost. On plaća uslugu i očekuje da netko barem minimalno nadzire zloupotrebu infrastrukture koju mu pruža.

Upravo zato phishing s .hr domena mora biti tretiran kao sigurnosni signal, a ne kao obična neželjena pošta.

Gdje prestaje edukacija, a počinje odgovornost?

Danas se mnogo govori o edukaciji korisnika. I to je važno.

Građani moraju znati prepoznati phishing. Moraju provjeravati poveznice. Moraju biti oprezni. Moraju znati da službene poruke ne smiju voditi na čudne domene i da ih nitko ne smije tjerati na brzoplet unos podataka.

Ali edukacija korisnika ne može biti izgovor za pasivnost sustava.

Ne može se sve prebaciti na građanina.

Ne može se reći: korisnik je trebao znati.

Pitanje je i što je sustav trebao učiniti.

Što je trebao učiniti hosting?

Što je trebao učiniti registrar?

Što je trebao učiniti CERT?

Što je trebala učiniti služba koja zaprimi prijavu?

Kibernetička sigurnost nije plakat. Nije obavijest na web-stranici. Nije kampanja u listopadu. Nije samo savjet “ne klikajte”.

Kibernetička sigurnost je postupanje.

Ako građanin prijavi phishing, prijava mora nekamo otići.

Ako postoji trag, mora ga netko analizirati.

Ako se domena zloupotrebljava, vlasnika mora netko obavijestiti.

Ako je račun kompromitiran, slanje se mora zaustaviti.

Ako postoji sumnja na kazneno djelo, mora se uključiti policija.

Sve drugo je digitalna kulisa.

Ovo pitanje nije izolirano samo na phishing i hosting usluge. Ono se uklapa u širi problem povjerenja građana u institucije, o kojem smo već pisali u analizi “Komentar tjedna: Kada građani više ne vjeruju institucijama”. Kada građanin ima dokaz, ali ne zna kome ga sustav želi zaprimiti, tada se ne gubi samo vrijeme — gubi se povjerenje.

Sličan problem javlja se i u širem odnosu građana prema digitalnom dobu. U tekstu “HRT pristojba u digitalnom dobu: plaćamo li javni servis ili porez na tehnologiju?” otvorili smo pitanje koliko su javni sustavi sposobni pratiti promjene tehnologije. Phishing s .hr domena pokazuje drugu stranu istog problema: tehnologija se mijenja brzo, a procedure često kasne.

Phishing s .hr domena kao test lanca odgovornosti

Ovdje nije cilj prozvati pojedinog vlasnika domene. On može biti žrtva. Upravo zato konkretna domena nije bitna.

Nije cilj ni tvrditi da je hosting davatelj autor prijevare. Može biti i sam oštećen jer mu se zloupotrebljava ime, logo i povjerenje korisnika.

Ali jest cilj postaviti pitanje odgovornosti.

Ako hosting davatelj zna da se njegovo ime koristi u phishing kampanjama, ako javno upozorava korisnike na takve poruke, tada se mora otvoriti i drugo pitanje: što se poduzima kada se takve poruke šalju preko korisničkih domena, mail računa ili kompromitirane infrastrukture?

Jer nije dovoljno reći korisnicima da budu oprezni.

Treba zaustaviti izvor kada je moguće.

Treba obavijestiti vlasnika domene kada možda ne zna.

Treba imati evidenciju prijava.

Treba povezivati slučajeve.

Treba razlikovati slučajnu kompromitaciju od mogućeg organiziranog slanja.

Treba imati osoblje koje zna što učiniti kada građanin prijavi phishing.

U protivnom se cijeli sustav svodi na prebacivanje odgovornosti.

Građanin neka pazi.

Vlasnik domene neka se javi.

Hosting neka objavi upozorenje.

CERT neka zaprimi samo ono što mu netko pravilno dostavi.

Policija neka postupa tek kad šteta već nastane.

A phishing neka ide dalje.

Pitanja koja zaslužuju odgovor

Tko obavještava vlasnika domene ako se s njegove domene šalju phishing poruke, a on to ne zna?

Imaju li hosting davatelji jasnu obvezu nadziranja neuobičajenog slanja pošte s korisničkih računa?

Postoji li automatsko upozorenje korisniku kada njegov mail račun pošalje neuobičajeno velik broj poruka?

Postoji li privremena blokada slanja kod sumnje na kompromitaciju?

Koliko se phishing prijava evidentira?

Koliko ih se tehnički obradi?

Koliko se vlasnika domena obavijesti?

Koliko se slučajeva proslijedi CERT-u?

Koliko slučajeva dođe do policije?

I najvažnije: što se događa s prijavom građanina koji nije vlasnik domene, ali je prvi zaprimio phishing poruku i posjeduje tehnički dokaz?

Ako odgovor nije jasan, onda nije jasan ni sustav.

Završna riječ

Phishing nije samo problem nepažljivog korisnika.

Phishing je test cijelog sustava.

Testira građane, jer moraju prepoznati prijevaru.

Testira hosting davatelje, jer moraju prepoznati zloupotrebu vlastite infrastrukture ili korisničkih računa.

Testira registre i registrare, jer domenski prostor ne smije biti prostor bez odgovornosti.

Testira CERT, jer prijave moraju biti zaprimljene, evidentirane i koordinirane.

Testira policiju, jer iza phishinga često stoje stvarni počinitelji, stvarna šteta i stvarni kazneni interes.

Ali najviše testira ono što u Hrvatskoj najčešće zakaže: lanac odgovornosti.

Ako vlasnika domene nitko ne obavijesti, ako hosting ne reagira, ako prijava građanina ostane bez jasnog postupanja, tada kibernetička sigurnost prestaje biti sustav i postaje slučajnost.

Ovisi o tome hoće li neki građanin prepoznati prijevaru.

Hoće li znati izvući zaglavlje poruke.

Hoće li sam pronaći vlasnika domene.

Hoće li znati kome prijaviti slučaj.

Hoće li naići na osobu koja zna što treba učiniti.

To nije sigurnosni sustav.

To je lutrija.

A u digitalnom prostoru, gdje jedna phishing poruka može otvoriti vrata krađi identiteta, financijskoj šteti, kompromitaciji poslovnih računa i širenju novih prijevara, lutrija nije prihvatljiv model zaštite.

Kibernetička sigurnost počinje jednostavnim pitanjem:

što se događa kada građanin prijavi phishing?

Ako sustav na to pitanje nema jasan odgovor, onda problem nije samo u prevarantima.

Problem je i u sustavu koji ih ne zaustavlja na vrijeme.

Izvori i poveznice

RPP-001 Plus Hosting Spoofing i phishing – što trebate znati Otvori izvor

Poveznica vodi na službeno upozorenje Plus Hostinga o spoofing i phishing porukama. Ovaj izvor pokazuje da se ne radi o izoliranom dojmu korisnika, nego o obrascu prijevara na koji je i sam hosting davatelj javno upozorio svoje korisnike.

RPP-002 Nacionalni CERT Često postavljena pitanja – prijava phishinga Otvori izvor

Poveznica vodi na stranicu Nacionalnog CERT-a s često postavljenim pitanjima. Korisna je za razumijevanje osnovnih pojmova vezanih uz phishing, prijavu incidenata i postupanje korisnika kada zaprime sumnjivu poruku.

RPP-003 Nacionalni CERT Kako izvući zaglavlje e-mail poruke Otvori izvor

Poveznica vodi na upute Nacionalnog CERT-a o tome kako izvući zaglavlje e-mail poruke. To je važan tehnički trag jer bez zaglavlja nije moguće ozbiljno analizirati odakle je poruka došla i kojim putem je prošla.

RPP-004 Nacionalni CERT Kako prijaviti računalno-sigurnosni incident Otvori izvor

Poveznica vodi na službene upute Nacionalnog CERT-a za prijavu računalno-sigurnosnog incidenta. Ovaj izvor važan je jer pokazuje da prijava phishinga ne bi smjela ostati samo na usmenom razgovoru, nego mora sadržavati konkretne tehničke podatke.

RPP-005 CARNET O CARNET-u Otvori izvor

Poveznica vodi na službeni opis CARNET-a. U članku se CARNET spominje zbog njegove uloge u hrvatskom internetskom prostoru, obrazovanju, digitalnoj infrastrukturi i sustavu povezanom s nacionalnim domenama.

RPP-006 MUP RH Prijava kaznenog djela Otvori izvor

Poveznica vodi na službene upute MUP-a o prijavi kaznenog djela. Važna je zato što phishing ne mora biti samo tehnički incident, nego može predstavljati pokušaj prijevare, krađe podataka ili drugo kazneno djelo.

RPP-007 Narodne novine Zakon o kibernetičkoj sigurnosti Otvori izvor

Poveznica vodi na Zakon o kibernetičkoj sigurnosti objavljen u Narodnim novinama. Ovaj izvor daje širi pravni okvir za pitanje kibernetičke sigurnosti, odgovornosti subjekata i postupanja u slučaju sigurnosnih incidenata.