Апстракт: Посматрано из историјске перспективе, пара- лелно са развојем информационо-комуникационих технологија (ИКТ) развијају се и начини њихове злоупотребе. Злонамерни ак- тери континуирано проналазе нове методе за злоупотребу ових технологија које су засноване на рањивостима ИКТ система, би- ло да је реч о техничким или рањивостима везаним за људски фактор. У раду су описани феномени тзв. социјалног инжењеринга и фишинга, као начина извршења кривичних дела преваре и рачу- нарске преваре, којима се незаконито прикупљају и користе пода- ци корисника ИКТ система како би се они довели у заблуду или одржали у њој и услед тога поступили на штету сопствене или туђе имовине, уз намеру стицања противправне имовинске корис- ти од стране учиниоца. Савремени фишинг напади су веома со- фистицирани, прилагођени потенцијалној жртви и усклађени са њеним афинитетима. Прикупљање информација о потенцијалној жртви најчешће се спроводи путем друштвених мрежа. Стога је у раду описан процес планирања преварних радњи и објашњене су две најзаступљеније технике прикупљања података – путем дру- штвених мрежа и путем нелегалног преузимања контроле над рутером жртве. Посебан акценат је стављен на кривичноправни третман ових феномена у законодавству Републике Србије као и на појмов- но разјашњење терминолошких недоумица у вези са преварним радњама у српском и англосаксонском језику. Аутори представ- љају хетерогене облике испољавања социјалног инжењеринга и фишинга у ИКТ системима, тј. сајбер простору, и разматрају да ли се и у којим случајевима њиховим вршењем испуњавају законс- ка обележја поменутих кривичних дела. Кључне речи: високотехнолошки криминалитет, кривично дело преваре, кривично дело рачунарске преваре, социјални инже- њеринг, фишинг, сајбер простор. Увод Технике обмањивања старе су колико и сам људски род. Међутим, са развојем савремених информационо-комуникацион- их технологија (ИКТ) и прогресивном информатизацијом друштва појавиле су се нове, специфичне, преварне технике које имају за циљ обмањивање корисника ових технологија. За те технике се у српском језику користи појам преварне радње, док се у англосаксонском говорном подручју користи појам социјални инжењеринг. Сајбер напад који има за циљ остваривање неауторизова- ног приступа заштићеном ИКТ систему није једноставно спровес- ти. Самом чину извршења напада мора претходити детаљно пла- нирање акције. Може се рећи да је то, у суштини, дуготрајан про- цес, који се одвија кроз одређене фазе.
Неки од ових корака су аутоматизовани и извршавају се коришћењем малициозних програма или других инструмената који се могу лако набавити у глобалној мрежи. Други кораци пак захтевају коришћење преварних радњи (у реалном или виртуелном простору) које су усмерене ка лицима која опслужују информационе системе, са циљем откривања њи- хових приступних креденцијала неопходних нападачу за неопа- жен приступ систему који је на мети напада.
Професионални нападачи приликом планирања и изврше- ња напада најчешће користе комбиновани приступ који подразу- мева примену софистицираних и персонализованих информатичких алата, с једне стране, и преварних радњи, с друге стране. Ефе- кти софистицираних алата су тешко опажљиви од стране струч- њака на пољу сајбер безбедности (Мандић, Путник, Милошевић, 2017).
На теоријској равни се може разликовати пет фаза сајбер напада: препознавање и преоперативни надзор; анализа (scanni- ng); приступ; одржавање приступа и прикривање трагова (Skoudis, 2002). У првој фази нападач се детаљно упознаје са информација- ма које ће му олакшати приступ информационом систему који на- мерава да нападне. Преварне технике показују се као неопходне већ у овој фази, како би се од особе блиске систему добиле осет- љиве информације (као што су бројеви телефона, органиграми ор- ганизације, подаци о приступним налозима и лозинкама итд.). Појам, врсте и карактеристике преварних радњи у сајбер простору Сада већ давне 1997. године скован је појам социјални ин- жењеринг, под којим је подразумеван вид манипулације поједин- цима како би се они навели да испуне одређене захтеве нападача који су, по правилу, у супротности са процедуралним, правним и/или етичким нормама. Иако се некоме може чинити да појам социјални инжење- ринг није научно етаблиран, приметно је да је он у англосаксон- ском говорном подручју у све чешћој употреби, и у научној и у стручној литератури. Он се користи увек када је потребно указати на манипулацију људима, како у физичком тако и у виртуелном простору, и под њега се подводе специфичне технике обмањива- ња корисника информационо-комуникационих система, као што су фишинг, вишинг и друге. У том смислу, можемо тврдити да је овај појам у стручној и научној литератури временом стекао свој садржај и опсег, те да је данас попримио прилично јасну и одређе- ну денотацију (Мандић, Путник, Милошевић, 2017).
Израз социјални инжењеринг данас се најчешће користи да опише технику напада на штићени информациони систем, где на- падач покушава да путем комуникације наведе (убеди) жртву да прекрши безбедносне норме или процедуре и открије податке за приступ циљаном систему, а да притом не примети да је изманипулисана. Према томе, социјални инжењеринг има за циљ прику- пљање корисних информација за приступ мрежи или систему жр- тве − оних информација које нису лако доступне сајбер нападима техничког типа (Путник, 2009). Нарочито се примењује у случаје- вима када је информациони систем жртве заштићен јаким безбед- носним мерама. Социјални инжењеринг се заснива на констатацији да људ- ски фактор, као централни елемент у архитектури информационе безбедности (не постоје рачунари или мреже који се не заснивају на учешћу човека), уједно представља и њену најслабију компоне- нту. С обзиром на то да је човек неопходан за рад рачунара, јасно је да слабост овог елемента информационе безбедности јесте и из- вор универзалне рањивости информационих система: онај ко има приступ било којем делу система, физички или електронски, пред- ставља потенцијалну претњу за безбедност тог система (Rittingho- use, Hancock, 2003).
За разлику од осталих напада на рачунаре, социјални инже- њеринг не мора да се односи на технолошку манипулацију и ко- ришћење рањивости хардвера или софтвера и, поред тога, не зах- тева посебне техничке вештине и знања. Ова врста напада експло- атише људске слабости, као што су немарност или жеља за коопе- ративношћу, како би се добио приступ легитимним документима који се налазе у дигиталном формату (Shinder, 2002). Управо због тога је најтеже одбранити се од напада социјалним инжењерин- гом, јер га не могу зауставити самостално ни хардвер ни софтвер (Mathew, 2004).
Основни циљ социјалног инжењеринга јесте да се задобије неовлашћен приступ рачунарским системима или осетљивим ин- формацијама. Након што је добио приступ жељеној информацији, нападач је може употребити за планирање или извршење других напада у физичком или виртуелном свету. Лица која користе со- цијални инжењеринг најчешће циљају на организације које распо- лажу великим базама података у дигиталном формату, као што су провајдери телефонских услуга, мултинационалне компаније, фи- нансијски ентитети, болнице и војска (Janczewski, Colarik, 2008).
Постоје три основна начина извршења социјалног инжење- ринга: контактом (личним контактом, телефоном, преко друштве- них мрежа), без контакта (употребом малициозног софтвера, постављањем интернет адресе, подметањем преносног меморијског медијума) и приступом који комбинује претходно наведене (Ман- дић, Путник, Милошевић, 2017). Једна од најзаступљенијих техника социјалног инжењерин- га, која се углавном извршава без контакта (најчешће преко елек- тронске поште и телефоном), позната је под именом фишинг (енг. phishing). Реч фишинг означава намерно погрешно написану реч пецање (енг. fishing). Највероватније потиче од израза password harvesting fishing (пецање на плантажама лозинки). Фишинг је об- лик социјалног инжењеринга у којем нападач покушава да прева- ром дође до поверљивих информацијa од жртве, лажно се предс- тављајући као трећа страна од поверења (Jagatic et al., 2005).
Термин фишинг користи се да опише поступак илегалног прикупљања осетљивих информација, добијених обманом у сај- бер простору, при којем се нападач представља као неко вредан поверења ко има право и потребу да таквим информацијама рас- полаже. Традиционални фишинг подразумева стварање лажних интернет страница које су визуелно идентичне оригиналима, а чи- ја је сврха преузимање поверљивих личних података. У такве по- датке убрајају се најчешће корисничко име и лозинка, али и ПИН код банкарских картица и слично (Мандић, Путник, Милошевић, 2017).
Фишинг сајтови су екстремно софистицирани и обично их је тешко разликовати од правог сајта, сем по адреси на којој се на- лазе. Корисницима линкови до ових страница могу бити подмет- нути путем електронске поште, друштвених мрежа, форума – пра- ктично кроз све облике комуникације на интернету.
Напад најчешће започиње тако што нападач настоји да усмери жртву ка одређеној веб-страници, дизајнираној тако да имитира визуелни идентитет легитимне организације. Не сумња- јући у аутентичност веб-странице, жртва на њој оставља властите поверљиве податке. У следећем кораку нападач користи прикуп- љене личне податке жртве, тј. преузима њен идентитет како би из- вршио незаконите финансијске трансакције. На тај начин жртве могу претрпети значајне финансијске губитке или, у озбиљнијим случајевима, чак и губитак сопственог „електронског идентитета“ који бива искоришћен за криминалне циљеве (Мандић, Путник, Милошевић, 2017).
Напади фишингом се ослањају на комбинацију техничке преваре и праксе социјалног инжењеринга. У већини случајева на- падач мора убедити жртву да намерно изврши низ радњи које ће му обезбедити приступ поверљивим информацијама (Ollmann, 2004). Ако томе додамо да је крајњи циљ социјалног инжењерин- га долажење до одређене информације, што је и циљ фишинга, увиђамо да постоји и сличност између ова два појма. Суштинска разлика није у циљу коме се тежи, већ у томе што социјални ин- жењеринг, користећи разне технике, наводи мету напада да уради нешто што иначе не би урадила, односно, у случају фишинга, да посети лажни сајт и на тај начин компромитује своје информације (Мандић, Путник, Милошевић, 2017). Један од нових појавних облика фишинга је директни фи- шинг (spear phishing), где се циљано напада тачно и увек унапред дефинисана мета. Јасно је да је та техника много опаснија од тра- диционалног фишинга јер се унапред дефинише мета напада, што значи да унапред дефинисан циљ условљава и технику напада. Кривичноправни оквир Кривичноправни оквир за супротстављање тзв. сајбер кри- миналитету у Србији почео је да се изграђује доношењем Закона о изменама и допунама Кривичног закона Србије, 2003. године (ЗИ- ДКЗ, 2003), када је кривично законодавство измењено увођењем кривичних дела против безбедности рачунарских података, систе- матизованих у засебну главу закона. Пресудан утицај на наше за- конодавство имале су Конвенција Савета Европе о сајбер крими- налу, усвојена 2001. године у Будимпешти (ступила на снагу 2004. године), и њен Додатни протокол о кажњавању аката расизма и ксенофобије учињених путем компјутерских система из 2003. го- дине, коју је Државна заједница Србије и Црне Горе потписала 2005. године.
Пре доношења те конвенције, у периоду од 1989. до 2000. године, усвојен је низ инструмената међународног права у облас- ти криминалитета везаног за компјутере (Препорука Савета Евро- пе о криминалитету везаном за компјутере, 1989; Резолуција Уједињених нација о компјутерском криминалитету, 1990; Резолуција Међународног удружења за кривично право везана за компјуте- рски криминалитет, 1992; Директива Европске уније о електронс- ком пословању из 2000. године, и др.), али је неспорно да је тек њено ступање на снагу означило прекретницу у борби против ове савремене и сложене форме криминалног деловања (Стојановић, Делић, 2015: 283).
Иако се уочава извесна временска дискрепанца између ра- тификације Конвенције и мењања домаћег кривичног законодавс- тва, наша држава је углавном на адекватан начин испунила обаве- зе преузете усвајањем овог међународноправног акта. Кривични законик Србије из 2005. године (КЗ, 2005) задржао је посебну гла- ву (Глава 27) под називом „Кривична дела против безбедности ра- чунарских података“ уз одређене измене у односу на одредбе пре- тходно важећег кривичног закона.
Ипак, вреди нагласити да је појам високотехнолошког кри- минала у нашем законодавству шири од опсега кривичних дела против безбедности рачунарских података. Према члану 2 став 1 Закона о организацији и надлежности државних органа за борбу против високотехнолошког криминала ова врста криминалитета обухвата вршење кривичних дела код који се као „објекат или средство извршења кривичних дела јављају рачунари, рачунарски системи, рачунарске мреже, рачунарски подаци, као и њихови производи у материјалном или електронском облику“ (Закон о ор- ганизацији и надлежности државних органа за борбу против висо- котехнолошког криминала, 2005). Изменама и допунама закона из 2009. године прецизирана су кривична дела за чије се откривање, гоњење и суђење примењују одредбе овог прописа, чиме је, барем у законском смислу, етаблирано значење термина високотехноло- шки криминал (члан 3 Закона о организацији и надлежности др- жавних органа за борбу против високотехнолошког криминала).
Кривично дело рачунарске преваре уведено је поменутим изменама и допунама из 2003. године и у готово истоветном обли- ку је опстало до данас. Законски опис из члана 186г Кривичног за- кона Србије (КЗС, 1977) практично је истоветан са оним из члана 301 Кривичног законика (КЗ, 2005) осим разлике у новчаним из- носима штете који чине квалификаторне околности (тежи и најте- жи облик кривичног дела). Дело из члана 301 КЗ има основни, два квалификована и привилеговани облик. Биће основног облика кривичног дела садр- жи радњу и последицу, а имплицитно су садржани средство извр- шења и објекат радње као објективна обележја, док субјективни супстрат дела чине умишљај и одговарајућа намера. Постојање намере као субјективног обележја одређује да је дело могуће учи- нити једино са директним умишљајем, док је евентуални умишљај искључен.
Радња основног облика састоји се у предузимању делатно- сти (комисивних или омисивних) којима се прикривају или лажно приказују подаци. Законодавац експлицитно наводи две радње – уношење нетачног податка и избегавање да се унесе тачан пода- так, али додаје и широку формулацију „или на други начин лажно прикаже или прикрије податак“, што представља правни стандард и омогућава релативно екстензивно тумачење.
Последица кривичног дела састоји се у утицању на резул- тат процеса електронске обраде и преноса података. Делатности извршиоца треба да доведу до одређене промене у аутоматској об- ради и преносу која се испољава у произвођењу другачијег резул- тата обраде у односу на очекивани, то јест резултат који би насту- пио да су унети параметри били аутентични. За постојање дела се захтева и наступање имовинске штете по другог, што представља за нијансу другачију формулацију у односу на кривично дело пре- варе из члана 208 КЗ („и тиме га наведе да овај на штету своје или туђе имовине нешто учини или не учини“).
Овде се може поставити питање да ли имовинска штета представља објективни услов инкриминације или је, заједно са утицањем на резултат електронске обраде и преноса података, по- следица кривичног дела. У првом случају имовинска штета не би морала да буде обухваћена умишљајем учиониоца, те ово предс- тавља и важно фактичко питање. С обзиром да је рачунарска пре- вара специјалан случај преваре, питање треба решавати уз узима- ње у обзир законског описа дела из члана 208 КЗ.
Према мишљењу заступљеном у литератури, код кривич- ног дела преваре штета по имовину другог треба заиста да насту- пи како би дело било довршено (Стојановић, 2012; Ђорђевић, 2014; Стојановић, Делић, 2015). На основу тога закључујемо да би и формулацију законодавца код кривичног дела рачунарске преваре било исправно тумачити тако да наступање имовинске штете представља последицу кривичног дела, те је њено наступање нуж- но да би се дело сматрало свршеним, а умишљај учиниоца мора да обухвати и свест о наступању имовинске штете. Дакле, кривично дело рачунарске преваре је довршено када се предузимањем радње оствари такав утицај на резултат електро- нске обраде и преноса података да услед њега наступи имовинска штета по другог.
Овде се основано поставља питање разликовања објектив- них обележја рачунарске преваре од основног облика дела из чла- на 208 КЗ. Код „класичног“ кривичног дела преваре извршилац лажним приказивањем или прикривањем чињеница пасивног суб- јекта доводи или одржава у заблуди и тиме га наводи да нешто учини или не учини на штету своје или туђе имовине. Дакле, па- сивни субјект је истовремено и предмет радње, то јест објект кри- вичног дела. С друге стране, биће кривичног дела рачунарске преваре конструисано је тако да пасивни субјект није у потпуности поду- даран са предметом радње, јер се радња врши у оквиру рачунар- ске обраде података, а последица наступа како на самом процесу обраде и преноса података тако и на имовини пасивног субјекта. Радња се првенствено предузима на рачунару или рачунарској мрежи, а имовина пасивног субјекта бива оштећена због промење- ног резултата процеса електронске обраде и преноса података ко- ји се одвија у оквиру система или мреже.
Ипак, у пракси се разликовање та два кривична дела може показати као тешко. Примера ради, кривично дело преваре може се извршити посредством фалсификоване исправе или лажног представљања, па исто тако и коришћењем рачунара. Питање је да ли се рачунарском преваром може назвати сваки случај преваре у ком се као средство извршења користе рачунари, рачунарски сис- теми или мреже.
Нама се чини да је одговор негативан. Наиме, рачунарска превара свакако подразумева да су рачунари или рачунарске мре- же средство извршења кривичног дела и то обележје је неспорно. Међутим, суштинска разлика у односу на дело из члана 208 КЗ је- сте то што се рачунари или рачунарске мреже, односно свака ау- томатизована електронска обрада или пренос података, појављују и као објект радње, а не само као средство извршења. Суштински, кривично дело преваре би постојало када би се као средство извр- шења користио рачунар, под условом да предмет радње није било утицање на електронску обраду и пренос података већ стварање погрешне представе код оштећеног услед које он нешто предузи- ма на штету своје или туђе имовине.
У том смислу, слање мејлова који би садржали превару по- знату као „нигеријска“ (један од најпознатијих видова фишинга) услед којих би потенцијална жртва била наведена да себи нанесе имовинску штету због лажних чињеница изнетих у тексту елек- тронске поруке које су је навеле да поступи противно својим ма- теријалним интересима, представљало би кривично дело из члана 208 КЗ, без обзира што је изведено уз помоћ рачунара и рачунарс- ке мреже. Треба имати у виду да ширина појма „високотехнолош- ки криминал“ омогућава да се и то дело открива, гони и суди схо- дно Закону о организацији и надлежности државних органа за бо- рбу против високотехнолошког криминала (члан 3 Закона), али оно свакако остаје квалификовано као дело преваре, а не рачунар- ске преваре.
Тако, можемо закључити да бројне интернет преваре често не могу да се квалификују као рачунарске преваре, већ сходно од- редби члана 208 КЗ, јер не постоји засебно кривично дело интер- нет преваре, различито од дела из члана 301 и дела из члана 208 КЗ (Вилић, 2016; Мирић, 2018).
Рачунарска превара постојала би у случају да извршилац успе да утиче на аутоматску обраду података тако да она пружи лажан резултат. Уколико бисмо отварањем интернет везе (линка) дошли на лажну страницу банке, изабрали опцију за плаћање пре- ко интернет мреже и тиме уплатили новац на рачун на који нисмо желели, јер су подаци о трансакцији измењени, онда би била реч о рачунарској превари (традиционални начин извршења фишинга).
Вреди напоменути да је кривично дело преваре уз кориш- ћење информационо-комуникационих технологија, имајући у ви- ду хетерогене појавне облике, могуће подвести и под друге пра- вне квалификације, које такође представљају специјалне случајеве преваре, али их је законодавац уздигао на ранг посебних кривич- них дела. Ту мислимо на кривична дела: превара у обављању при- вредне делатности (члан 223 КЗ); превара у осигурању (члан 223а КЗ) и превара у служби (члан 363 КЗ). Свако од наведених криви- чних дела може се извести тако да средство извршења буду ин- формационо-комуникационе технологије, тако да, феноменолош- ки гледано, коришћење информационо-комуникационих техноло- гија за вршење преварних радњи може да задобије различите кри- вичноправне облике, односно правне квалификације.
Посебно треба размотрити и могућност да правно лице бу- де извршилац неког од кривичних дела преваре (општег из 208 или наведених посебних случајева преваре, укључујући рачунарс- ку). Међутим, примена Закона о одговорности правних лица за кривичнa дела у Србији (Закон о одговорности правних лица за кривична дела, 2008) од његовог доношења до данас је била изу- зетно ретка. Основ одговорности правног лица за кривично дело могао би бити испуњен приликом предузимања радње неког од наведених кривичних дела, јер је лако замисливо да се радња вр- ши у склопу обављања послова одговорног лица уз постојање на- мере да се противправна имовинска корист стекне, макар и дели- мично, и за правно лице (Милошевић, 2012; Милошевић, 2012а; Милошевић, Симовић, 2018).
Субјективни елемент кривичног дела рачунарске преваре осим директног умишљаја, који подразумева свест и вољу о свим законским обележјима кривичног дела, обухвата и намеру да се „себи или другом стекне противправна имовинска корист“ (члан 301 КЗ). Привилеговани облик дела постоји када учинилац има искључиву намеру да другоме нанесе имовинску штету. Ту, дакле, извршилац тежи да другог оштети, а не и да себи или неком тре- ћем лицу прибави имовинску корист. У том случају дело је довр- шено без обзира на то да ли је штета наступила или не, јер је она део субјективног елемента овог облика кривичног дела, а не и ње- гово објективно обележје (Стојановић, 2012).
Тежи и најтежи облик се од основног облика не разликују по субјективном елементу, већ по објективном обележју – тежини последице, односно висини имовинске штете која је наступила. Код тежег облика износ штете треба да пређе 450.000 динара, док код најтежег он износи преко 1.500.000 динара.
Код основног облика запрећена је новчана казна или зат- вор до три године, код првог тежег облика казна је од једне до осам година затвора, док је код најтежег облика она прописана у распону од две до десет година. Лакши облик кривичног дела се кажњава новчаном казном или затвором до шест месеци (Мандић, Путник, Милошевић, 2017). Могућности откривања идентитета жртве на друштвеним мрежама у циљу прикупљања података за извршење директног фишинг напада Посматрано из феноменолошке перспективе, можемо при- метити да се континуирано изналазе нови начини за извршење преварних радњи које се одвијају уз коришћење информационо- комуникационих технологија. Међу разноврсним појавним обли- цима тих радњи фишинг напади су доминантни, превасходно ус- лед своје ефикасности. Један од разлога њихове учинковитости лежи у томе што фишинг мејлови нису униформни већ су специ- фични, прилагођени потенцијалној жртви и усклађени са њеним афинитетима (политичком, верском, идеолошком и сексуалном оријентацијом, преференцијама и слично).
Злонамерни актери често прикупљају информације о жрт- ви путем друштвених мрежа. Наравно, успех те прикупљачке ак- тивности зависи од више фактора. Један од њих је, свакако, при- сутност потенцијалне жртве на друштвеним мрежама. Други фак- тори се тичу присутности жртве у сајбер свету уопште – броја и врста база података у којима су ускладиштени подаци о њој, међу- собне повезаности база (њиховог такозваног међусобног „линко- вања“) као и врста података који су ускладиштени (текст, слика, видео-запис). Успех прикупљања података зависи и од употреб- љивости оних података којима злонамерни актер иницијално располаже.
У намери да осветле међусобну повезаност тих фактора, те могућности за прикупљање података неопходних за спровођење фишинг напада путем друштвених мрежа, истраживачи једне од најпознатијих компанија за заштиту ИКТ система Касперски лаб (Kaspersky Lab), у фебруару 2019. године спровели су пилот-ис- траживање. Циљ истраживања је био да се на основу малог броја почетних података, користећи јавно доступне алате за претрагу, на друштвеним мрежама открије идентитет (профил) пет особа које су пристале да буду предмет обраде података (How cybercri- minals harvest information for spear phishing, 2019).
Резултати истраживања су показали да фотографија није најзахвалнији нити најчешћи полазни основ за претраживање (от- кривање нечијег онлајн идентитета), те да поседовање фотографи- је потенцијалне жртве тешко да може нападача довести до њеног профила на друштвеној мрежи.
Постоји више апликација које се могу користити за ту на- мену. На пример, може се користити бесплатни Гуглов (Google) претраживач за претраживање по задатим фотографијама, који по- стоји и у облику додатка основном веб-претраживачу. Та аплика- ција, дакле, омогућава претрагу на основу задате фотографије. Она, међутим, „упарује“ само оне фотографије које су већ објав- љене на интернету, па би била бескорисна нападачу који распола- же фотографијом жртве (у физичкој или електронској форми) која није претходно објављена и индексирана на интернету.
Постоје и друге апликације и сервиси које се могу користи- ти за ову намену, али они нису бесплатни. У фебруару 2016. годи- не појавила се, тада бесплатна, онлајн платформа Фајндфејс (Find- Face). Она је на основу неколико квалитетних фотографија циља- не жртве могла брзо да пронађе њене налоге на друштвеним мре- жама. Међутим, од 1. септембра 2018. године овај сервис више није доступан обичним корисницима јер су се његови креатори усмерили ка развоју те услуге за потребе државних органа и кор- порација. Према наводима креатора сервиса, његове могућности су много веће од онога што је било видљиво у јавно доступној верзији (https://findface.ru/).
Истраживање компаније Касперски је, према томе, показа- ло да је мало вероватно да су криминалци у стању да повежу пос- тојећу фотографију жртве у физичком свету са профилном сликом на друштвеним мрежама, уколико не употребе неки од скупих он- лајн сервиса за препознавање лица чије потенцијално коришћење, притом, оставља и форензичке трагове. Па ипак, могућност откри- вања нечијег идентитета на друштвеним мрежама помоћу задате фотографије не би требало олако одбацити, будући да су крими- налци често спремни да улажу финансијска средства и употребе додатне ресурсе, у складу са циљем који желе да постигну.
Претрага на основу имена и презимена, као задатих крите- ријума, много је успешнија. Проналажење одређене особе која има уобичајено и често име (нпр. Петар Петровић) може да буде тежак задатак, док особу са ретким именом и презименом Гугл проналази прилично брзо (How cybercriminals harvest information for spear phishing, 2019).
Претрага на основу имејл адресе и броја телефона као зада- тих критеријума такође је прилично успешна, показује истражива- ње. Значајну помоћ у претраживању могу пружити агрегаторски софтвери, који аутоматски сакупљају потребне податке. Међу њи- ма је најполуларнији Пипл (Pipl), који може пронаћи линкове до корисничких страница на друштвеним мрежама на основу броја телефона или имејл адресе, и дати кратку биографију корисника, укључујући место рођења, студија, и запослења. Према наводима креатора сервиса, Пипл има информације о више од три милијар- де људи (https://pipl.com/corp/blog). Истраживачи компаније Кас- перски су, користећи ову услугу, добили линк за пет од десет уче- сника експеримента, за најмање један кориснички налог, а у не- ким случајевима су чак дошли и до онлајн надимка или кориснич- ког имена (How cybercriminals harvest information for spear phishi- ng, 2019).
У рукама сајбер криминалаца свако корисничко име може се искористити за стицање додатних информација о циљаној жр- тви. Претраживање на основу корисничког имена може се спро- вести помоћу алата као што су namechk (https://namechk.com/) или knowem (https://knowem.com/). Први може да пронађе име налога на више од 100 различитих сервиса. Други проверава више од 500 ресурса. Наравно, ако је корисничко име веома често, не постоји гаранција да ће конкретна особа бити пронађена. Па ипак, овакви алати су веома корисни преварантима у сајбер простору. Често су корисници ИК технологија склони да употребљавају само једно корисничко име за личне и корпоративне адресе електронске поште, као и за налоге на друштвеним мрежама, што је свакако непромишљено и потенцијално веома опасно.
Преузимање контроле над рутером као алтернативна техника извршења директног фишинг напада Фишинг напади се могу заснивати на различитим техника- ма извршења. Традиционална и најзаступљенија техника, видели смо, подразумева употребу имејл порука за спровођење обмане. Алтернативне технике извршења подразумевају употребу телефо- на (тзв. „вишинг“, енг. vishing – кованица настала спојем речи voi- ce и phishing) или комбиновање различитих техника (нпр. употре- ба телефона и аудио-записа који се током разговора пуштају са рачунара). Једна од најновијих техника подразумева тајно преузи- мање контроле над рутером жртве (његову отмицу). Преузимање контроле над рутером жртве може се оствари- ти на два начина. Први приступ подразумева злоупотребу фабрич- ки дефинисаних креденцијала (корисничко име и лозинка) за при- ступ рутеру. Будући да сваки рутер има фабрички дефинисане креденцијале за приступ администраторском панелу рутера, а да већина корисника услед недостатка безбедносне културе те креде- нцијале не мења приликом инцијалног подешавања уређаја, зло- намерни актери могу лако остварити приступ рутеру (Phishing without borders, or why you need to update your router, 2019).
Други приступ подразумева искоришћавање рањивости фирмвера рутера, који омогућава злонамерном актеру да преузме контролу над рутером без икакве лозинке. Након преузимања рутера, нападач модификује његове по- ставке. То је мала, неприметна промена која подразумева промену адресе DNS (Domain Name System) сервера који рутер користи за решавање имена домена. DNS заправо служи као „именик“ интер- нета, повезујући IP адресе и домене. Његова функција је да прево- ди адресу веб-сајта из људски читљивог облика у своју нумеричку IP адресу и да је, након тога, саопшти прегледачу (Šta je DNS i ko- ji je najbrži DNS?, 2018).
У ситуацији када је рутер отет и адресе жртвиног DNS сер- вера промењене, сви упити са претраживача упућују се на злона- мерни DNS сервер који контролише нападач. Због тога злонамер- ни сервер враћа претраживачу фалсификовану IP адресу, уместо IP адресе сајта који је жртва желела да посети. Притом, жртва не сумња у легитимност странице која је учитана, нити рачунар може да региструје ову врсту измењене комуникационе трасе. О учинковитости ове технике сведоче скорашњи напади спроведени над корисницима рутера произвођача: D-Link DSL, DSLink 260E, ARG-V4 ADSL, Secutech и Totolink, у Бразилу. Нападачи су иско- ристили безбедносне пропусте у рутерима наведених произвођа- ча, компромитовали уређаје и модификовали њихове DNS постав- ке. Када би власници отетих рутера покушали да приступе својим интернет банкарским рачунима или сајтовима провајдера, злона- мерни DNS сервер под контролом отмичара би их неприметно преусмерио на фишинг странице (које су имитирале легитимне странице бразилских финансијских институција, банака, као и веб-хостинг и клауд провајдера) дизајниране да украду њиховe креденцијале (Phishing without borders, or why you need to update your router, 2019). Закључак Најновија искуства из области заштите од преварних радњи у сајбер простору сведоче о томе да прикупљање личних и осетљивих података о потенцијалним жртвама не захтева висок ниво техничког знања, као ни приступ сложеним услугама и ску- пим сервисима за претраживање података. Стога се може очекива- ти и даље повећање учесталости кривичних дела преваре заснова- них на коришћењу информационо-комуникационих технологија, превасходно у домену директних фишинг напада.
Кривичноправна регулатива превара у сајбер простору омогућава адекватно санкционисање учинилаца и пружа правне квалификације под које се могу подвести бројна друштвено опас- на дела изведена коришћењем информационо-комуникационих технологија. Ипак, остаје питање да ли је било нужно ограничити законски опис кривичног дела рачунарске преваре на ситуације у којима се као средство извршења и објект радње појављују рачу- нари и рачунарске мреже, односно процеси електронске обраде и преноса података, или га је требало конструисати тако да се одно- си на све врсте преварног поступања употребом високих техноло- гија. Уколико се сложимо с ставом да би таква формулација могла да буде сувише уопштена, екстензивна и неодређена, остаје друга могућност – увођење засебног кривичног дела интернет преваре.
Чини нам се ипак, да правно-технички најпогодније реше- ње може да буде јединствена формулација којом би се објединила рачунарска и интернет превара, и поред потенцијалне ширине и мање одређености таквог законског описа. Наиме, верујемо да би се евентуални приговори могли отклонити стварањем прецизне али и флексибилне формулације која би била сачињена у складу са природом ове врсте инкриминисаног понашања. Мислимо да би биће кривичног дела рачунарске преваре, de lege ferenda, могло да гласи: ко унесе нетачан податак, пропусти да унесе тачан пода- так, на други начин лажно прикаже или прикрије податак или ко- ришћењем интернета или сличних платформи информационо-ко- муникационе технологије, утиче на резултат електронске обраде или преноса података, или доведе или одржава у заблуди друго лице и тиме проузрокује имовинску штету, казниће се... Наведеном инкриминацијом би се истовремено обухватили случајеви деловања на аутоматску обраду података уношењем или неуношењем података и случајеви интернет превара чији су објект радње корисници информационо-комуникационих техно- логија, чиме би се пружила потпунија и адекватнија кривичноправна заштита.
Проф. др Младен МИЛОШЕВИЋ
Проф.др Ненад ПУТНИК Литература 1. Вилић, В. (2016). Повреда права на приватност злоупо- требом друштвених мрежа као облик компјутерског кри- миналитета, докторска дисертација. Правни факултет Универзитета у Нишу, Ниш. 2. Ђорђевић, Ђ. (2014). Кривично право – посебни део. Кри- миналистичко-полицијска академија, Београд. 3. Закон о организацији и надлежности државних органа за борбу против високотехнолошког криминала, Службени гласник Републике Србије бр. 61/05, 104/09. 4. Закон о потврђивању Конвенције о високотехнолошком криминалу, Службени гласник Републике Србије број 19/09 5. Закон о потврђивању Додатног протокола уз Конвенцију о високотехнолошком криминалу који се односи на инкрими- нацију дела расистичке и ксенофобичне природе извршених преко рачунарских система, Службени гласник Републике Србије број 19/09. 6. Закон о одговорности правних лица за кривична дела, Слу- жбени гласник Републике Србије, број 97/08. 7. Jagatic, T., Johnson, N., Jakobsson, M., Menczer, F. (2005). Social Phishing, School of Informatics, Indiana University, http://markus-jakobsson.com/papers/jakobsson- commacm07.pdf, доступан 15. 1. 2013. 8. Janczewski, L., Colarik, A. (2008). Cyber Warfare and Cyber Terrorism. Hershey, New York. 9. Knowem (2019). https://knowem.com, доступан 15. 5. 2019. 10. Кривични закон Републике Србије, Службени гласник СРС, бр. 26/77, 28/77, 43/77, 20/79, 24/84, 39/86, 51/87, 6/89 и 42/89, Службеник гласник РС, бр. 21/90, 16/90, 26/91, 75/91, 9/92, 49/92, 51/92, 23/93, 67/93, 47/94, 17/95, 44/98, 10/02, 11/02, 80/02, 39/03 и 67/03. 11. Кривични законик Републике Србије, Службени гласник РС бр. 85/2005, 88/2005 – испр., 107/2005 – испр., 72/2009, 111/2009, 121/2012, 104/2013, 108/2014 , 94/16, 35/19. 12. Мандић, Г., Путник, Н., Милошевић, М. (2017). Заштита података и социјални инжењеринг – правни, организацио- ни и безбедносни аспекти. Универзитет у Београду ˗ Фа- култет безбедности, Београд. 13. Mathew, T. (2004). Ethical Hacking and Countermeasures [EC-Council Exam 312-50] — Student Courseware. OSB Pub- lisher, International Council of Electronic Commerce Consul- tants, New York. 14. Милошевић, М. (2012). Одговорност правних лица за кри- вична дела, докторска дисертација. Правни факултет Уни- верзитета у Београду, Београд. 15. Милошевић, М. (2012а). Кривична одговорност правних лица у англоамеричком праву. Страни правни живот, 56(2): 230–251. 16. Милошевић, М., Симовић, И. (2018). Појам одговорног ли- ца у Закону о одговорности правних лица за кривична де- ла. У: Kривично законодавство и функционисање правне државе, међународна научно-стручна конференција, стр. 365–382. Требиње, 20. и 21. 04. 2018. године, Министарство правде Републике Српске, Српско удружење за кривич- ноправну теорију и праксу, Град Требиње. 17. Мирић, Ф. (2018). Интернет превара као облик компјутер- ског криминалитета. Зборник радова Правног факултета у Нишу, 57(80), 531–542. 18. Namechk (2019). https://namechk.com, доступан 15. 5. 2019. 19. Ollmann, G. (2004). The Phishing Guide, http://www- 935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf, доступан 14. 1. 2013. 20. Phishing without borders, or why you need to update your router (2019)https://www.kaspersky.com/blog/hacked-routers- dns hijacking/26802/?utm_source=facebook&utm_medium=social &utm_campaign=rs_hacked-routers-dns hijacking_ma0111_organic&utm_content=sm- post&utm_term=rs_facebook_organic_ma0111_sm- post_social_hacked-routers-dns- hijacking, доступан 14. 5. 2019. 21. Pipl (2019). https://pipl.com/corp/blog, доступан 15. 5. 2019. 22. Путник, Н. (2009). Сајбер простор и безбедносни изазови. Факултет безбедности, Београд. 23. Путник, Н., Милошевић, М. (2016). Смернице за израду по- литике безбедности информационо-комуникационих ресу- рса и њихових корисника у образовно-васпитном систему“. У зборнику (приредили: Бранислава Поповић Ћитић, Ми- лан Липовац): Безбедност у образовно-васпитним устано- вама: основна начела, принципи, протоколи, процедуре и средства. стр. 97–116. Факултет безбедности, Београд. 24. Rittinghouse, J., Hancock, W. (2003). Cybersecurity Operations Handbook. Elsevier, Burlington. 25. Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. Syngress Publishing, Inc., Rockland. 26. Skoudis, E. (2002). Counter Hack: A Step-By-Step Guide to Computer Attacks and Effective Defenses. Prentice Hall, New Jersey. 27. Стојановић, З. (2012). Коментар Кривичног законика. Службени гласник, Београд.
28. Стојановић, З., Делић, Н. (2015). Кривично право – посебни део, Правна књига, Краљево.
29. Findface (2019). https://findface.ru, доступан 19. 5. 2019.
30. How cybercriminals harvest information for spear phishing (2019). https://www.kaspersky.com/blog/spearphishers-infor- mation/25589, доступан 18. 5. 2019.
31. Šta je DNS i koji je najbrži DNS? (2018). https://balkanandroid.com/sta-je-dns-i-koji-je-najbrzi-dns, дос- тупан 14. 5. 2019.
Comments