Удар на платне картице

Главни циљ већине интернет страница електронских продавница је продаја производа и услуга. Ови интернет сајтови су углавном интерактивни. Контрола над њима се преузима на много начина како би се компромитовале базе података ради прибављања информација о клијентима. Најчешћи и најопаснији су напади тзв. SQL инјекцијама, када се у базу убацује неколико података или програмски код који истражује слабости у заштити саме базе, да би се оне затим несметано злоупотребиле ради крађе података о платним картицама.

Године 2008. једно предузеће са територије Србије које води успешну електронску продавницу на Интернету поднело је кривичну пријаву због основане сумње да је неидентификовани извршилац извршио кривично дело фалсификовања и злоупотребе платних картица (чл. 225 КЗ) и рачунарске преваре (чл. 301 КЗ). После провера је утврђено да је извршилац наведених кривичних дела прибавио електронске податке о платним картицама и идентитету њихових власника употребом ,,SQL инјекција” које је користио за нападе на слабо заштићене базе података на серверима електронских продавница – са подручја Аустралије. Поред података о бројевима платних картица, типу картице, имену и презимену корисника, извршилац кривичног дела је прибавио и друге информације (пребивалиште и електронска адреса власника, својство на основу којег се име корисника налази у бази података електронске продавнице). Био је у могућности и да сазна укупан број платних картица чији се подаци налазе у самој ,,SQL бази” електронске продавнице.

Фишинг (Рhishing) је такође један од честих видова прибављања поверљивих личних, финансијских и других података. Реч је о активностима којима неовлашћене особе коришћењем лажних електронских порука преко електронске поште и лажних интернет страница финансијских институција наводе кориснике Интернета на откривање поверљивих података као што су јединствени матични број, корисничко име и лозинка, ПИН број картице, број кредитне картице и слично. За овакве нападе користе се електронске поруке као што су: 1. лажна упозорења банака да ће доћи до гашења рачуна ако клијент не ажурира податке, 2. лажне поруке администратора у којима се траже кориснички подаци, нпр. лозинка, 3. поруке у којима се позива на безбедност и захтева од корисника откривање личних података ради отклањања откривеног безбедносног пропуста, 4. поруке којима се корисник обавештава да је ,,добио на лутрији”, због чега треба да достави личне податке.

Да би се клијент ,,упецао” често се користе линкови који по називу личе на праве адресе банака, а заправо се налазе на сасвим другој адреси, док изглед интернет презентације у потпуности одговара правој интернет страници банке.

У принципу, ,,пецање” изгледа овако: на електронску пошту корисника одређене банке шаље се порука да се нпр. преуређује база података банке и да је потребно да прималац унесе своје податке на ,,линк банке”. Линк је, наравно, лажан, тј. води на лажну страницу банке.

Опрез корисника услуга банака, кад је о ,,пецању” реч, данас је већа, па су и извршиоци кривичних дела приморани да употребе нове технике.

Током 2009. године неколико предузећа са територије Србије поднело је кривичне пријаве за кривична дела фалсификовање и злоупотреба платних картица (чл. 225 КЗ) и рачунарска превара (чл. 301 КЗ), против неидентификованих извршилаца. Утврђено је у једном случају да је извршилац преко Интернета прибавио податке о више десетина електронских адреса клијената Вестерн унион банке која је била постављена на сервер под његовом контролом, а он је затим слао ,,спам” поруке у којима је од корисника банке тражио да преко лажног линка посете наводне странице Вестерн унион банке ради ажурирања података. Тако су клијенти банке несвесно слали своје податке директно извршиоцу кривичног дела.

У Србији су регистровани и ,,фишинг” напади на кориснике услуга Интернета преко ,,спам” порука у којима су се извршиоци кривичних дела представљали као ,,интернет провајдери” и тражили податке ради ,,ажурирања базе податка”.

Оваквих и сличних случајева било је и у 2010. години, а све чешће жртве превараната су и наши држављани који плаћају преко Интернета.

Проблематика о којој је овде реч веома је специфична, а неукост грађана може имати несагледиве последице по њихову приватност и имовину.

**Криминалистичко-полицијска академија

*Одељење МУП за борбу против високотехнолошког криминала

Звонимир Ивановић**