Javni Zavod za gradbeništvo je bil v spletni prevari oškodovan za 234 tisoč evrov. Prevaro preiskujejo policisti v več državah.
Zavod za gradbeništvo (ZAG), ki je v državni lasti, je v letnem poročilu za lansko leto poročal, da je bil novembra lani žrtev spletne prevare. 234 tisoč evrov, ki bi jih moral nakazati makedonskemu partnerju pri evropskem projektu, je zaradi lažne elektronske pošte nakazal na transakcijski račun na Švedsko.
“Ni mogoče preveriti lastništva računa”
ZAG je koordinator evropskega projekta Cinderela, ki je namenjen razvoju krožnega gospodarstva v gradbeništvu. Lani se je v projekt vključil makedonski inštitut za civilni inženiring (CEIM), zato je bil upravičen do nakazila 234 tisoč evrov prek ZAG. “Partner je poslal obvestilo, da imajo nov bančni račun, zato jih je ZAG pozval, da izpolnijo potrdilo o lastništvu bančnega računa, ki ga mora podpisati banka,” piše v letnem poročilu. Dokazilo z vsemi žigi in podpisi je partner dostavil, zato je ZAG 17. novembra lani nakazal denar na račun pri švedski banki Nordea. “Pri nakazilih v tujino se lahko preko neodvisnih institucij preveri le obstoj TRR, ne pa tudi lastništvo,” so razložili.
Po dveh tednih je CEIM obvestil ZAG, da denarja še niso prejeli. Pri preverjanju elektronske pošte obeh institucij se je izkazalo, da je bil ZAG žrtev spletne prevare. “Oba partnerja sta bila deležna prestrezanja elektronske pošte in dalj časa trajajoče komunikacije iz lažne elektronske pošte (tako imenovani “fake mail”),” so pojasnili na ZAG. Isti dan, ko so prevaro ugotovili, so podali prijavo na policijo, ki je nato obvestila Interpol, na nacionalni odzivni center za kibernetsko varnost SI-CERT ter na upravo za javna plačila (UJP) pri ministrstvu za finance.
Švedi preiskujejo račun
UJP je obvestil Banko Slovenije, ta pa je še isti dan izvedla preklic nakazila na banki Nordea. “Banka je sporočila, da ne morejo vrniti sredstev, ker je bančni račun predmet preiskave švedskih oblasti,” je poročal ZAG in dodal, da ima neuradne informacije, da je na tem računu še nekaj denarja. ZAG smo vprašali, ali zato pričakujejo vračilo vseh sredstev, vendar na naša vprašanja še niso odgovorili.
Preiskava, ki je bila izvedena skupaj s SI-CERT, naj bi pokazala, da ni bilo vdora v strežnike ZAG. Najverjetneje je bil zlorabljen sistem CEIM, ki je tretjim osebam omogočal nepooblaščeno pošiljanje in prejemanje elektronskih sporočil v njihovem imenu, je poročal ZAG. “S pomočjo prestrezanja te komunikacije je bila izvedena prevara,” so ocenili.
Preiskava naj bi še vedno potekala v Sloveniji, na Švedskem in v Severni Makedoniji. CEIM uporablja strežnike Pošte Makedonije, za pregled katerih je potrebna sodna odredba, je sporočil ZAG.
O prevari je ZAG obvestil tudi Evropsko komisijo oziroma odgovorno osebo za nadzor projekta Cinderela v Bruslju. “Obvestili so nas, da ’izgubljena’ sredstva niso upravičena, so pa omogočili, da vsebinsko spremenimo projekt in s tem olajšamo izvedbo projekta za ZAG in CEIM,” piše v letnem poročilu.
Iz javnih podatkov UJP je razvidno, da je ZAG januarja, februarja in junija letos nakazal skupno 180 tisoč evrov na makedonski bančni račun CEIM.
Še en poskus prevare
Mesec dni po prevari je bil ZAG ponovno tarča poskusa prevare, ki pa je bil pravočasno zaznan in preprečen. Spet se je vdrlo v računalniški sistem enega od poslovnih partnerjev, piše v letnem poročilu. Kako so prevaro zaznali, niso razkrili.
Po prevari je ZAG med drugim vzpostavil preverjanje vsakega novega podatka o bančnih računih prek telefona. Za preprečevanje incidentov so tudi izvedli neodvisni varnostni pregled informacijskega sistema ter izobraževanje zaposlenih o spletni varnosti in simulacijo napada. Poleg tega so nadgradili nekatere varnostne komponente informacijske sistema ter prilagodili interna pravila poslovanja pri ključnih uporabnikih.
Prošnjo za več pojasnil smo včeraj poslali na ZAG, policijo, SI-CERT in CEIM. Odgovorov nismo prejeli.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje