Prevaranti u akciji

Kriminalci pokušali izvući novac od riječkog Vodovoda i kanalizacije, spriječila ih jedna provjera

Vladimir Mrvoš

Damir Togunjac / Foto Marko Gracin

Damir Togunjac / Foto Marko Gracin

Prevarant se lažno predstavio kao poslovni partner i zatražio uplatu na novi IBAN



RIJEKA – Dok posljednjih mjeseci tvrtke diljem Hrvatske zbog lažnih e-mailova gube desetke tisuća pa i milijune eura, KD Vodovod i kanalizacija Rijeka uspio je prepoznati identičan pokušaj prijevare i spriječiti isplatu novca na račun kriminalaca.


Poslovne prijevare putem kompromitacije elektroničke pošte (BEC i phishing napadi) posljednjih su godina postale jedna od najvećih prijetnji gospodarstvu. Scenarij je gotovo uvijek isti – kriminalci presretnu komunikaciju ili kompromitiraju e-mail račun dobavljača, a potom računovodstvu tvrtke pošalju uvjerljivu poruku o promjeni poslovnog računa, odnosno IBAN-a. Takve prijevare nerijetko završavaju milijunskim štetama. Prema podacima MUP-a, nedavno je jedna riječka tvrtka ostala bez više milijuna eura nakon što je zaposlenica, dovedena u zabludu, izvršila uplate na račune pod kontrolom prevaranata. Druga je tvrtka nasjela na lažni e-mail banke i izgubila desetke tisuća eura.


Provjera zahtjeva


Takav pokušaj prijevare nedavno je zabilježen i u riječkom Komunalnom društvu Vodovod i kanalizacija, no za razliku od brojnih drugih slučajeva, završio je bez financijske štete. Zahvaljujući poštivanju internih sigurnosnih protokola i dodatnoj provjeri zahtjeva, djelatnici su na vrijeme prepoznali pokušaj prevare.




KD ViK zaprimio je e-poruku u kojoj se pošiljatelj lažno predstavio kao dugogodišnji poslovni partner te zatražio da se buduće uplate preusmjere na novi IBAN. Budući da je zahtjev pobudio sumnju, djelatnici nisu izvršili uplatu, već su putem neovisnog komunikacijskog kanala kontaktirali poslovnog partnera. Potvrđeno je da on takvu poruku nije poslao te da je riječ o pokušaju krađe novca.


Tijek događaja prokomentirao je Damir Togunjac, direktor ViK-a.


– Informacijska i kibernetička sigurnost u našem se društvu temelji na kombinaciji naprednih tehničkih sigurnosnih rješenja i kontinuirane edukacije zaposlenika. Koristimo sustave za detekciju anomalija, automatsku analizu poruka, provjere autentičnosti pošiljatelja te mehanizme za blokiranje sumnjivih sadržaja. Međutim, svjesni smo da tehnička zaštita sama po sebi nije dovoljna. Najveći rizik ostaje neoprezan ili needuciran pojedinac, kaže Togunjac.


Togunjac objašnjava kako su napadi danas toliko uvjerljivi jer poruke mogu stići i sa stvarnih, ali prethodno hakiranih adresa dobavljača, što obmanu čini težom za prepoznati.


– Upravo zato provodimo redovite edukacije zaposlenika kako bismo povećali njihovu razinu sigurnosne svijesti. Učimo ih prepoznati neuobičajene zahtjeve, lažirane pošiljatelje, sumnjive poveznice i hitne poruke tipične za phishing. U ovom slučaju, djelatnik se striktno pridržavao uputa i provjerio e-poruku putem službenog, neovisnog kanala partnera. U planu nam je i implementacija simuliranih phishing kampanja, a trenutno uvodimo i dodatne alate sukladno europskoj NIS2 direktivi za kibernetičku sigurnost, zaključio je direktor Togunjac.


Već šest prijava


Tijekom 2025. godine na području Policijske uprave primorsko-goranske evidentirane su tri internetske prijevare na štetu pravnih osoba, pri čemu ukupna materijalna šteta iznosi oko 102.000 eura. U prvih šest mjeseci ove godine policija je zaprimila već šest prijava kaznenih djela računalne prijevare u kojima su tvrtke oštećene za znatne novčane iznose.


Počinitelji podatke o poslovnim odnosima najčešće prikupljaju iz javno dostupnih izvora, poput Elektroničkog oglasnika javne nabave, ali i neovlaštenim pristupom računalnim mrežama tvrtki, odnosno presretanjem elektroničke pošte.


Iz policije upozoravaju da računovođe, financijski djelatnici i menadžeri posebnu pozornost trebaju obratiti na nekoliko upozoravajućih znakova. Ne preporučuje se otvaranje privitaka i poveznica iz elektroničke pošte neprovjerenih pošiljatelja, a prilikom postavljanja i obnove lozinki poželjno je koristiti dvofaktorsku autentifikaciju (2FA). Također, potrebno je pažljivo provjeriti adresu pošiljatelja elektroničke pošte, osobito kada se u poruci traži uplata na novi bankovni račun ili kada se pošiljatelj predstavlja kao direktor ili druga odgovorna osoba u tvrtki.