Nedavno nam je jedna korisnica prosledila poruku za koju je htela da potvrdi da li je phishing. Pohvalno je što je bila oprezna, ali hajde da zajedno prođemo kroz ovu poruku i vidimo koliko je crvenih zastavica sadržala, jer bi svako ko je prošao awareness obuku trebalo da ih prepozna odmah.

Poruka koju je korisnica primila

Od: Полиција Републике Србије <policijarepublikesrbijee@gmail.com>

Пажња:

Полиција Републике Србије овим вас, са тренутним ефектом, овлашћује да одговорите на приложени позив у року од 72 сата. Уколико не будемо добили ваш одговор након истека рока, нећемо имати другог избора него да покренемо правни поступак против њега.

С поштовањем, Генерал Драган Васиљевић

U prilogu je bio PDF dokument koji je izgledao kao zvanično policijsko obaveštenje, osim što su logotipi i pečati bili neuverljivi.

Red flags — zašto je ovo očigledan phishing

Ova poruka sadrži gotovo sve klasične elemente phishing napada, i to u jednoj poruci:

1. Gmail adresa državne institucije

Policija Republike Srbije koristi zvanične državne domene (.gov.rs), ne @gmail.com. Pored toga, u adresi se vidi greška: policijarepublikesrbijee - dvostruko slovo "e" na kraju, klasičan trik da se imitira legitimna adresa.

2. Lažni autoritet i zastrašivanje

Poruka odmah uvodi pritisak pozivanjem na autoritet (direktor policije) i pretnjom krivičnim gonjenjem. Ovo je tehnika poznata kao autoritet + strah i jedan je od najstarijih i najprepoznatljivijih trikova socijalnog inženjeringa.

3. Kratak rok

Rok koji stvara osećaj hitnosti ("odgovorite odmah ili...") je gotovo obavezan element phishing poruka. Cilj je da isključi racionalno razmišljanje i natera žrtvu na brzu reakciju.

4. Gramatičke i stilske greške

"нећемо имати другог избора него да покренемо правни поступак против њега" - žrtva se odjednom pominje u trećem licu. Ovako se ne pišu zvanični dopisi, ni pravni akti.

5. PDF prilog sa optužbama za teška krivična dela

Priloženi dokument nabraja teška krivična dela (uključujući dečju pornografiju, trgovinu ljudima, drogu) uz konkretne "zakonske članove" i novčane kazne. Ovo je tehnika shock and shame, a cilj je toliko uznemiriti primaoca da ne razmišlja kritički, već reaguje iz straha ili panike.

6. Privatni kanal umesto zvaničnog

Poruka napominje da vas kontaktiraju "privatno", što je direktno u suprotnosti s tim kako funkcioniše zvanična komunikacija državnih organa. Policija ne vodi istrage putem emaila, niti traži "obrazloženje".

7. Pretnje medijima i registrima

Upozorenje da će vas "prijaviti medijima" i "registrovati kao seksualnog prestupnika" nema pravne osnove, ovo je čist psihološki pritisak.

Zaključak o poruci

Ovo je primer scareware phishinga (poznatog i kao police/law enforcement scam), internacionalno raširene prevare koja se oslanja isključivo na paniku i sramotu žrtve, bez ikakve tehničke sofisticiranosti. Ne traži lozinke direktno, nego reakciju, tj. odgovor, klik, ili novac.

Svaki od gore navedenih elemenata sam za sebe bio bi dovoljan razlog za sumnju. Zajedno, čine ovu poruku školskim primerom phishinga koji bi trebalo da bude odmah prepoznatljiv nakon bilo koje osnovne awareness obuke.

Ali zašto je korisnica ipak prosledila poruku?

I tu dolazimo do zanimljivijeg pitanja.

Korisnica nije "pala" na prevaru. Nije odgovorila, nije kliknula, nije platila. Prepoznala je da nešto nije u redu. Ipak, umesto da poruku obriše (što bi, u ovom slučaju, bila sasvim ispravna reakcija), prosledila ju je security timu na proveru.

Zašto se to dešava? Postoji nekoliko mogućih razloga:

Obuka koja podiže svest, ali ne gradi samopouzdanje

Dobra awareness obuka uči ljude da postoje pretnje. Loša obuka tu i staje. Ako korisnik nauči "ima phishinga svuda" ali ne i kako da donese samostalnu odluku, prirodna posledica je hiperopreznost - osećaj da svaka sumnjiva poruka zahteva eksperta. Korisnik postaje svestan sopstvene nesigurnosti, što ga paradoksalno čini manje samostalnim.

Prenos odgovornosti kao strategija

U organizacijama gde se greške kažnjavaju, a dobre odluke ne nagrađuju, korisnici uče da minimizuju lični rizik. "Prosleđujem security timu" je ponašanje koje prepoznajemo u okruženju gde je važnije da ne budem ja kriv/a, nego da budem u pravu . Ovde se ne radi o slabosti karaktera, nego o adaptaciji na organizacionu sredinu.

Dunning-Kruger efekat u obrnutom smeru

Klasični Dunning-Kruger opisuje ljude koji malo znaju ali misle da znaju mnogo. Nakon obuke, dešava se suprotno: korisnici postaju svesni kompleksnosti problema i precenjuju sopstvenu nesposobnost da ga reše. Rezultat je gubitak samopouzdanja koji izgleda kao opreznost.

Nejasna politika prijavljivanja

Ako korisnik nije siguran kada nešto treba da prijavi, a kada da obriše, prijaviće sve. Tako da nije samo problem u korisniku, nego i u nepostojanju jasnih kriterijuma.

Šta možemo uraditi bolje?

• Obuka treba da uči i kada nije phishing - jednako kao što uči kada jeste. Primeri false positiva treba da budu deo obuke, a ne samo poznavanje pretnji.
• Jasnija uputstva - jednostavan vizualni vodič koji korisnika vodi kroz pitanja: "Da li adresa odgovara domenu? Da li postoji veštački rok? Da li traži novac ili lozinku?" - i na kraju odgovarajuća reakcija: "Obriši / Prijavi / Ignoriši."
• Pozitivna reakcija - kada korisnik tačno identifikuje phishing sam, pohvaliti odluku. Kada je nepotrebno eskalirao, to isto pohvaliti, ali objasniti zašto nije bilo potrebno, bez osude.
• Psihološka bezbednost - korisnici moraju znati da greška u proceni nije disciplinski problem. Ako to ne znaju, eskaliraće sve, zauvek.