Skoči na vsebino

Lažna elektronska sporočila v imenu SURS ciljajo slovenska podjetja

Na SI-CERT-u smo v zadnjih dneh zaznali kampanjo lažnih elektronskih sporočil, v katerih se napadalci predstavljajo kot Statistični urad Republike Slovenije (SURS). Sporočila so namenjena predvsem podjetjem ter organizacijam, zlasti pa računovodskim in finančnim službam.

Napadalci v elektronskem sporočilu navajajo izmišljene zahteve, da gre za obvezno statistično poročanje (v povezavi z Eurostatom), prejemnike pa pozivajo k izpolnitvi priloženih obrazcev z informacijami o predvidenih transakcijah, odprtih terjatvah in obveznostih do tujih poslovnih partnerjev. Sporočilom so priloženi lažni dopisi in excelove datoteke oz. obrazci, ki posnemajo uradno dokumentacijo SURS. Priložene datoteke ne vsebujejo zlonamernih elementov. Elektronski naslovi prejemnikov so bili po vsej verjetnosti pridobljeni iz javno dostopnih evidenc in drugih javno objavljenih kontaktnih podatkov podjetij.

 

Primer lažnega sporočila v imenu SURS, ki poziva k posredovanju podatkov o poslovnih partnerjih
Primer lažnega sporočila v imenu SURS, ki poziva k posredovanju podatkov o poslovnih partnerjih
Primer priložene datoteke, katere namen je zbiranje podatkov o povezanih poslovnih partnerjih
Vsebina priložene datoteke, katere namen je zbiranje podatkov o povezanih poslovnih partnerjih

Pripravljalna faza napada

Lažna sporočila predstavljajo pripravljalno fazo ciljanih napadov, pri kateri napadalci zbirajo informacije o poslovanju podjetij in njihovih poslovnih partnerjih. Takšni podatki se pogosto uporabijo pri kasnejšem izvajanju t.i Business Email Compromise (BEC) prevar, direktorskih prevar (CEO fraud) ali prevar s spremembo bančnih podatkov poslovnih partnerjev.

Druga faza napada

V drugi fazi napada napadalci koordinirano kontaktirajo oba poslovna partnerja, in sicer:

  • tujega poslovnega partnerja kontaktirajo iz email naslova, ki vsebuje ime slovenskega poslovnega partnerja (npr. podjetje@accounting-office.eu) ter zahtevajo preusmeritev plačil odprtih računov na nove bančne račune, ki so v upravljanju napadalcev;
  • slovensko podjetje kontaktirajo iz email naslova, ki vsebuje ime njihovega poslovnega partnerja, se predstavljajo v njihovem imenu ter zahtevajo posodobitev ter posredovanje podatkov o bančnih računih.

Hi,

We're finishing up an audit reconciliation on our end and need to confirm the current outstanding balance.

If you could send that over as soon as possible, that'd be really helpful.
Primer elektronskega sporočila, ki ga napadalec pošlje v drugem koraku
Primer elektronskega sporočila, ki ga napadalec pošlje v drugem koraku

Bistvo prevare je, da tuje podjetje nakaže znesek fakture na bančni račun, ki je pod nadzorom napadalcev.

Kako ravnati?

  • Ne odgovarjajte na tovrstna sporočila in ne posredujte zahtevanih podatkov.
  • Bodite pozorni na domeno pošiljatelja. Ne zanašajte se zgolj na prikazano ime pošiljatelja, temveč preverite celoten elektronski naslov. V konkretnem primeru je bilo sporočilo poslano z domene gp-surs.eu, ki ni uradna domena SURS. Domena je bila registrirana pred nekaj dnevi, kar je pogost pokazatelj lažnih kampanj. Uradne kontaktne naslove vedno preverite na spletnih straneh organizacij.
  • Če prejmete zahtevo za statistično poročanje, preverite, ali ustreza uradnim načinom komunikacije in poročanja SURS-a. V primeru dvoma, pristnost zahteve preverite neposredno pri SURS prek njihovih kontaktnih kanalov.
  • Če ste na sporočilo že odgovorili in posredovali podatke, o tem čim prej obvestite odgovorne osebe v podjetju ter bodite posebej pozorni na morebitne nadaljnje zahteve za plačila, spremembe bančnih računov ali druge nenavadne poslovne zahteve. Obvestite tudi vaše poslovne partnerje, ki ste jih navedli v seznamu, o zlorabi identitete in preusmerjanju plačil.
  • Vso morebitno komunikacijo, ki bi se lahko nanašala na drugo fazo napada, posredujete pristojni CSIRT skupini (cert@cert.si ali cert@gov.si). Na SI-CERT-u v sodelovanju z URSIV izvajamo ustrezne ukrepe za zamejitev negativnega učinka.
  • V primeru, da je že prišlo do nakazila na drug bančni račun, nemudoma kontaktirajte banko za sprožitev t.i. SEPA Recall postopka, ter oškodovanje prijavite na najbližji policijski postaji.

Indikatorji zlorabe (IOC)

Lažni email:

  • Zadeva: Zahteva za podatke za uradno statistično analizo
  • Iz: “Statisticni urad RS” <porocanje@gp-surs.eu>

Domene:

  • gp-surs.eu
  • accounting-office.eu

Datoteke (SHA256):

315246d2a9dc08dfbdd124f5623e102a7c3847873fcd7a913877d7910b96183c SURS_Obvestilo_o_zahtevi_za_podatke.pdf
d7277c36b0c0c318bd8240a804cd0873c9b3f58e3776f593912aebbe73a6b61f SURS_predloga_za_obveznosti_do_tujine.xlsx
2af68531e464f6f8a54a64b0e92c391ff77aed91ffb6685472bed4d91ed451d5 SURS_predloga_za_terjatve_do_tujine.xlsx

Več o tovrstnih prevarah

https://www.cert.si/nove-preobleke-direktorske-prevare/
https://www.cert.si/podjetja-pozor-ce-vam-poslovni-partner-sporoci-drugo-stevilko-bancnega-racuna-gre-lahko-za-goljufijo/
https://www.varninainternetu.si/direktorska-prevara/

Preberite tudi

Srečanje ALiEnS-SOC konzorcija

Konzorcij projekta ALiEnS-SOC se je 9. junija 2026 zbral na svojem drugem plenarnem srečanju v Ljubljani. Srečanje je gostil projektni partner Smartis v Kristalni palači, udeležili pa so se ga …
Več

Konzorcij projekta INTERCEPT pred dosego ključnega mejnika

Projekt INTERCEPT vstopa v pomembno fazo izvajanja. Konec junija 2026 bo projekt uradno dosegel svojo prelomnico, saj je že na polovici izvajanja, kar predstavlja pomemben mejnik vsakega evropskega projekta. Ta …
Več

Odtekanje in zlorabe rezervacijskih podatkov v phishing napadih

Kraja podatkov o rezervacijah namestitev Na SI-CERT smo prejeli več prijav slovenskih ponudnikov nastanitev glede varnostnega incidenta pri hrvaškem ponudniku rezervacijskih sistemov PHOBS. Incident so potrdili tudi pri podjetju. Rezervacijske storitve …
Več