Zaštita od hakerskih napada - 10 koraka za firme
Zaštita od hakerskih napada u 10 koraka: MFA, ažuriranja, backup i edukacija koji štite vašu firmu od ransomwarea i phis
Pročitaj
Sigurnost e-maila je skup tehničkih i organizacijskih mjera koje sprječavaju da napadač zloupotrijebi poštanski sandučić, lažira pošiljatelja ili navede zaposlenika na štetnu radnju. Najopasnija prijetnja danas je BEC prevara (Business Email Compromise), u kojoj se napadač predstavlja kao direktor, dobavljač ili kolega i traži uplatu ili promjenu bankovnih podataka. Obrana se gradi u dva sloja: tehničke kontrole poput SPF-a, DKIM-a, DMARC-a i višefaktorske autentifikacije, te jasne interne procedure za potvrdu svake financijske transakcije.
Naše rješenje
SOC usluga 24/7 - 24/7 nadzor koji zaustavlja prijetnje na vrijeme. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Što je BEC prevara i zašto je opasnija od običnog phishinga
BEC (Business Email Compromise) je oblik ciljane prevare u kojoj napadač ne pokušava ubaciti zlonamjerni softver, nego manipulira ljudima da sami obave radnju koja koristi napadaču. Najčešće je to uplata novca ili otkrivanje povjerljivih podataka. Za razliku od masovnog phishinga koji se šalje na tisuće adresa, BEC je usmjeren, dobro pripremljen i često ne sadrži nijedan privitak ni link, pa ga klasični antivirusni alati teško prepoznaju.
Napadač obično prvo prouči firmu: tko je direktor, tko vodi računovodstvo, koji su dobavljači i kako izgleda interna komunikacija. Te informacije lako se prikupe s web stranice, LinkedIna i javnih registara. Kada zna kontekst, napadač sastavlja poruku koja zvuči uvjerljivo: hitnu, autoritativnu i naizgled potpuno legitimnu. Upravo zato BEC prevare pogađaju i mala i velika preduzeća, od obrta u Mostaru do firmi s uredima diljem regije.
Najčešći scenariji BEC prevare
- Prevara s lažnim direktorom (CEO fraud): poruka stiže "od direktora" računovođi s molbom da se hitno izvrši uplata na novi račun, uz napomenu da je riječ o povjerljivom poslu o kojem se ne smije razgovarati telefonom.
- Lažna faktura dobavljača: napadač presretne ili oponaša komunikaciju s pravim dobavljačem i pošalje fakturu s izmijenjenim brojem bankovnog računa.
- Kompromitirani sandučić: napadač stvarno preuzme kontrolu nad poštanskim sandučićem zaposlenika (najčešće preko ukradene lozinke) i šalje poruke iz pravog naloga, što je posebno teško otkriti.
- Prevara s plaćom i HR podacima: lažni zahtjev zaposlenika da se njegova plaća preusmjeri na novi račun.
Tehnička osnova: SPF, DKIM i DMARC
Tri DNS zapisa čine temelj sigurnosti e-maila jer otežavaju lažiranje vaše domene. Bez njih napadač može slati poruke koje izgledaju kao da dolaze s vaše adrese, a primatelji ih neće prepoznati kao lažne. S njima drastično smanjujete mogućnost da netko zloupotrijebi ime vaše firme.
| Mehanizam | Što radi | Što sprječava |
|---|---|---|
| SPF | Definira koji poslužitelji smiju slati poštu u ime vaše domene | Lažiranje pošiljatelja s neovlaštenih servera |
| DKIM | Digitalno potpisuje poruke kriptografskim ključem | Izmjenu sadržaja poruke i lažiranje potpisa |
| DMARC | Govori primateljima što učiniti kada SPF/DKIM ne prođu, i šalje izvještaje | Spoofing domene i daje uvid u zloupotrebe |
Ključ je u tome da sva tri mehanizma rade zajedno. SPF i DKIM su provjere, a DMARC je politika koja povezuje rezultate tih provjera s identitetom u vidljivoj adresi pošiljatelja. Mnoge firme imaju postavljen SPF i DKIM, ali DMARC ostave u načinu p=none, što znači da se ništa ne blokira, samo se prikupljaju izvještaji. To je dobar prvi korak, ali stvarna zaštita dolazi tek kada se politika pooštri na p=quarantine ili p=reject, naravno tek nakon analize izvještaja da legitimna pošta ne bude pogrešno odbijena.
Praktični redoslijed uvođenja
- Postavite SPF zapis s popisom svih legitimnih izvora pošte (vlastiti server, marketinški alat, ERP, fakturni sustav).
- Uključite DKIM potpisivanje na svim sustavima koji šalju poštu u vaše ime.
- Dodajte DMARC zapis s
p=nonei adresom za izvještaje. - Nekoliko sedmica analizirajte izvještaje i identificirajte sve legitimne pošiljatelje.
- Postupno pooštrite politiku na
quarantinepareject.
Ljudski sloj: zašto tehnika nije dovoljna
SPF, DKIM i DMARC štite vašu domenu od lažiranja, ali ne pomažu kada napadač koristi sličnu domenu (npr. neob1t.ba umjesto neobit.ba) ili stvarno kompromitirani nalog. Tu na scenu stupa ljudski faktor, koji je u BEC prevarama gotovo uvijek presudna karika. Zaposlenik koji zna prepoznati neobičan zahtjev vrjedniji je od bilo kojeg filtera.
Znakovi upozorenja koje treba prepoznati
- Hitnost i pritisak: "treba odmah", "prije kraja radnog dana", "ne mogu razgovarati telefonom".
- Promjena bankovnih podataka: svaki zahtjev za izmjenu računa dobavljača mora biti potvrđen neovisnim kanalom.
- Neobičan kanal ili stil: direktor koji inače zove sada piše mail s privatne adrese, ili koristi drugačiji jezik nego obično.
- Sitne razlike u adresi: zamijenjeno slovo, dodana riječ ili druga domenska ekstenzija.
- Tajnovitost: molba da se o transakciji ne razgovara s kolegama.
Procedura potvrde "u četiri oka"
Najučinkovitija pojedinačna mjera protiv BEC prevare je pravilo da se svaka uplata iznad određenog iznosa i svaka promjena bankovnih podataka potvrđuje drugim, neovisnim kanalom. Ako zahtjev stigne mailom, potvrda se traži telefonom na broj koji već imate u evidenciji, nikada na broj naveden u sumnjivoj poruci. Ovo pravilo mora biti zapisano, poznato svima u računovodstvu i primjenjivati se bez iznimke, čak i kada "direktor" inzistira na hitnosti.
Razlika između lažirane i "slične" domene
Korisno je razumjeti dvije tehnike koje napadači koriste, jer protiv njih djeluju različite obrane. Kod spoofinga vlastite domene napadač u adresi pošiljatelja upisuje vašu pravu domenu, ali poruku šalje sa svog servera. Upravo to zaustavljaju ispravno postavljeni SPF, DKIM i DMARC. Kod slične (lookalike) domene napadač registrira domenu koja na prvi pogled izgleda kao vaša: zamijenjeno slovo, dodana riječ poput "-grupa" ili drugačija ekstenzija (.com umjesto .ba). Tehnički, ta je domena potpuno ispravna i prolazi sve provjere jer pripada napadaču, pa je jedina obrana pažljivo oko primatelja i, po mogućnosti, blokiranje poznatih varijanti na razini poštanskog sustava. Zato edukacija zaposlenika nije zamjena za tehničke kontrole, nego njihova nužna nadopuna.
Dodatne tehničke kontrole koje vrijedi uvesti
Osim DNS zapisa i edukacije, niz konkretnih postavki dodatno podiže sigurnost e-maila u svakoj firmi:
- Višefaktorska autentifikacija (MFA): obavezna na svim poštanskim nalozima. Ukradena lozinka tako više nije dovoljna za preuzimanje sandučića.
- Vizualno označavanje vanjske pošte: automatska oznaka "VANJSKI POŠILJATELJ" na vrhu svake poruke izvan organizacije pomaže zaposlenicima da uoče lažnog "kolegu".
- Pravila protiv preusmjeravanja: napadači često postave skriveno pravilo koje preusmjerava poštu na vanjsku adresu; treba ih nadzirati i ograničiti.
- Nadzor prijava: upozorenja na prijave s neobičnih lokacija ili nemogućih putovanja (login iz dvije udaljene zemlje u kratkom roku).
- Registracija sličnih domena: proaktivno zauzimanje najočitijih varijanti vaše domene smanjuje prostor za prijevaru.
- Ograničenje slanja velikih iznosa: dodatna odobrenja za transakcije iznad praga smanjuju štetu i kada prevara prođe.
Edukacija i simulirane vježbe
Tehničke postavke uvedete jednom, ali svijest zaposlenika treba obnavljati. Najbolje rezultate daje kombinacija kratkih, konkretnih treninga i povremenih simuliranih phishing kampanja u kojima firma sigurno i bez prozivanja mjeri tko bi nasjeo na lažnu poruku. Cilj nije kazniti zaposlenike, nego identificirati gdje treba dodatno objašnjenje i potvrditi da procedure stvarno funkcioniraju pod pritiskom. Posebnu pažnju zaslužuju odjeli koji rukuju novcem i podacima, dakle računovodstvo, nabava i uprava, jer su oni najčešća meta BEC prevara. Redovita, kratka podsjećanja djeluju bolje od jednog dugog godišnjeg treninga koji se brzo zaboravi.
Što učiniti ako je prevara već u tijeku
Brzina reakcije presudna je za povrat sredstava. Ako sumnjate da je uplata izvršena na lažni račun, postupite odmah:
- Kontaktirajte svoju banku i zatražite hitno povlačenje (recall) transakcije; svaki sat se računa.
- Promijenite lozinke i poništite aktivne sesije na potencijalno kompromitiranom nalogu.
- Provjerite i uklonite sva sumnjiva pravila za preusmjeravanje pošte.
- Sačuvajte dokaze (originalne poruke s punim zaglavljima, logove) za istragu.
- Prijavite incident nadležnim tijelima i, ako je potrebno, uključite stručnjake za odgovor na incidente.
Upravo zbog ovog koraka vrijedi unaprijed znati kome se obratiti. NeoBit tim za incident response i SOC nadzor pomaže firmama u Mostaru i cijeloj regiji da ograniče štetu i rekonstruiraju kako je do upada došlo.
Kako provjeriti gdje vaša firma trenutno stoji
Mnoge firme pretpostavljaju da su zaštićene jer imaju antivirus i spam filter, ali sigurnost e-maila ovisi o detaljima koje treba izmjeriti, a ne pretpostaviti. Provjerite je li DMARC u načinu koji stvarno blokira lažnu poštu, je li MFA uključen na baš svim nalozima i znaju li zaposlenici prepoznati zahtjev za promjenu bankovnog računa. Konkretnu sliku stanja daje strukturirana procjena, a brz početak je NeoBit upitnik za penetracijsko testiranje kroz koji definiramo opseg i prioritete za vašu organizaciju.
Sigurnost e-maila nije jednokratan projekt nego proces koji se održava i provjerava. Kombinacija ispravno postavljenih SPF, DKIM i DMARC zapisa, dosljedne višefaktorske autentifikacije i zaposlenika koji znaju zastati pred sumnjivim zahtjevom čini razliku između firme koja je laka meta i one koju napadači zaobiđu. Ako želite neovisnu procjenu i konkretan plan, javite se NeoBit timu.
Često postavljana pitanja
Po čemu se BEC prevara razlikuje od običnog phishinga?
Klasični phishing je masovan i obično sadrži link ili privitak kojim se kradu podaci ili instalira zlonamjerni softver. BEC prevara je ciljana, pažljivo pripremljena i najčešće ne sadrži nijedan link. Napadač se predstavlja kao osoba od povjerenja i navodi žrtvu da sama izvrši uplatu ili otkrije podatke, zbog čega ga tehnički filteri teško zaustave.
Štite li SPF, DKIM i DMARC od svih BEC napada?
Ne. Ti mehanizmi sprječavaju lažiranje vaše vlastite domene, ali ne pomažu kada napadač koristi sličnu (lookalike) domenu ili stvarno kompromitirani nalog. Zato se tehničke kontrole moraju kombinirati s višefaktorskom autentifikacijom i internim procedurama potvrde transakcija.
Koja je najučinkovitija pojedinačna mjera protiv BEC prevare?
Pravilo da se svaka promjena bankovnih podataka i svaka veća uplata potvrđuje neovisnim kanalom, najčešće telefonom na već poznati broj. Ta jednostavna procedura zaustavlja većinu prevara s lažnim direktorom i lažnim fakturama, neovisno o tome koliko je poruka uvjerljiva.
Trebaju li i male firme u BiH ulagati u sigurnost e-maila?
Da. Napadači ne biraju mete po veličini nego po lakoći upada, a manja preduzeća često imaju slabije kontrole i manje provjera. Osnovne mjere, DMARC, MFA i jasna procedura za uplate, relativno su jeftine i postavljaju se brzo, a sprječavaju gubitke koji za malu firmu mogu biti pogubni.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Zaštita od hakerskih napada - 10 koraka za firme · Ransomware zaštita: kako zaštititi firmu od napada
