Štiri odstotke incidentov več kot leto prej so v nacionalnem odzivnem centru za kibernetsko varnost Si-Cert obravnavali lani (4280), prevaranti pa so v različnih spletnih goljufijah ustvarili za skupno 27,5 milijona škode. Največ, kar 13 milijonov, v kriptoinvesticijskih prevarah, največji porast pa so opazili v kategoriji smishing napadov.
»Obravnavali smo kar 216 primerov tovrstnih prevar, kar je skoraj petkrat več kot leta 2022. Gre za sporočila SMS, prek katerih se skušajo goljufi dokopati do finančnih podatkov, predvsem številk kreditnih kartic in avtentikacijskih podatkov za dostop do spletne/mobilne banke,« razlagajo na Si-Certu. Posameznike skušajo zavesti v obisk lažnega spletnega mesta banke, pošte, spletne trgovine, da bi tam »posodobili podatke« za storitev, v resnici pa geslo pošljejo goljufom, ki ga zlorabijo. Ti so si lani na tak način napolnili žepe s 3,5 milijona evrov. Največji val lažnih sporočil so opazili avgusta, ugotovili pa so, da so jih pošiljali z naprav s SIM-karticami, kupljenimi v Sloveniji. Policija je takrat v Mariboru aretirala štiri Romune, ki so denar dvigovali na bankomatih in opravljali tudi nakupe na drug način. Na tak način so dobili najmanj 18.000 evrov.
Nekatere ogoljufajo dvakrat
Denar z računov nepridipravi kradejo tudi s pomočjo kriptoinvesticijskih prevar. Lani jim je uspelo pretentati vsaj 150 ljudi (toliko prijav so zabeležili na Si-Certu), skupno so ustvarili za 13 milijonov škode, največji znesek, ki so ga izmaknili posamezniku, pa je bil 140.000 evrov. »Kriptoprevare so vse bolj personalizirane in prilagojene posamezni žrtvi. Napadalci jo pokličejo po telefonu ali stik vzpostavijo prek zasebnega sporočila na viberju ali telegramu. Za prepričevanje in pojasnila si vzamejo veliko časa. Za prepričljivejšo krinko napadalci organizirajo spletne seminarje, snemajo videonavodila, upravljajo zaprte podporne skupine, ki zahtevajo veliko vloženega truda,« modus operandi goljufov opisujejo v Si-Certu. V centru so sicer zabeležili več primerov dodatnih oškodovanj. »Ko ugotovijo, da so bile prevarane, skušajo žrtve na spletu najti informacije, kako povrniti ukradeni denar. Pri tem zelo hitro naletijo na spletne strani, ki se agresivno oglašujejo prek različnih ponudnikov, da lahko žrtvam prevar pomagajo do izgubljenih sredstev. A se je pogosto izkazalo, da te storitve in investicijske prevare vodijo ista kriminalna združenja. Seveda je njihov cilj tudi prek teh 'storitev pomoči' ukrasti še dodatna sredstva,« so še opozorili v centru.
Napad na HSE
Če so bili posamezniki največkrat izpostavljeni smishing napadom, pa so bila podjetja tarče tako direktorskih prevar kot vrivanja v poslovno komunikacijo (tako imenovana BEC-prevara). Lani so obravnavali 73 primerov direktorske prevare, povprečno oškodovanje je znašalo 42.000 evrov. »Značilen primer je pošiljanje elektronskega sporočila na naslov računovodstva z zahtevo po nujnem plačilu izmišljene fakture na neki tuji bančni račun, pri čemer gre za zneske v višini nekaj deset tisoč evrov,« so navedli v Si-Certu ter opisali nov scenarij, ki so ga napadalci začeli lani uporabljati v tej prevari. Na naslov računovodstva pošljejo lažno sporočilo enega od zaposlenih, češ da želi nakazilo plače na drug račun. Zneski oškodovanja so sicer v tem primeru manjši, po nakazilu pa je možnost povrnitve sredstev ukradenega denarja zelo majhna.
Izpostavljajo še goljufijo vrivanja v poslovno komunikacijo podjetij. Slovenska policija je leta 2023 naštela 51 takih primerov, v katerih so slovenskim podjetjem povzročili za nekaj manj kot osem milijonov evrov škode. »Najodmevnejši dogodek preteklega leta je bil gotovo napad z izsiljevalskim virusom na Holding Slovenske elektrarne (HSE). Ob hitrem ukrepanju strokovnih služb HSE je napadalcem uspelo zašifrirati le manjši del sistemov in pridobiti dostop do podatkov, ki niso imeli posebne vrednosti. Na holdingu so vse sisteme ponovno postavili iz varnostnih kopij in ob dodatnih varnostnih ukrepih,« še dodajajo v poročilu.
