CERT RSS

GÉANT-ova kampanja za kibernetičku sigurnost nastavlja se uz webinar: The PDCA Approach to Cybersecurity Awareness.

Prijavite se klikom na poveznicu: The PDCA approach to cybersecurity awareness

U današnjem kompleksnom okruženju kibernetičke sigurnosti, jednokratne kampanje za podizanje svijesti često nisu dovoljne. Prava, održiva promjena ponašanja zahtijeva strukturiran i iterativan pristup. Na ovom webinaru, Rosanne Pouw predstavit će praktičan model kojeg su razvila nizozemska sveučilišta, a koji omogućuje učinkovitije ugrađivanje svijesti o kibernetičkoj sigurnosti u kulturu vaše organizacije.

Temeljen na Plan-Do-Check-Act (PDCA) modelu, ovaj pristup pomaže institucijama da umjesto jednokratnih kampanja krenu prema izgradnji sveobuhvatnog programa podizanja svijesti, temeljen na podacima, koji s vremenom raste i prilagođava se.

• Zašto PDCA model uvjerava upravu i dionike da ulažu u podizanje svijesti
• Razliku između kibernetičke sigurnosti povezane s ljudskim faktorom i samog podizanja svijesti
• Ključne komponente koje podupiru značajnu promjenu ponašanja
• Kako strukturirati i uskladiti postojeće napore podizanja svijesti unutar PDCA okvira

Rosanne Pouw je Product Manager Awareness & Training u nizozemskom sektoru obrazovanja i istraživanja. Pomaže institucijama u jačanju svijesti o sigurnosti i privatnosti među studentima, nastavnicima i osobljem. S iskustvom u socijalnoj psihologiji i više od 10 godina iskustva u kibernetičkoj sigurnosti i privatnosti, Rosanne promiče multidisciplinarni pristup podizanju svijesti. Sudjeluje u publikacijama nizozemskog NCSC-a te je aktivna članica radne skupine za ljudski faktor u istraživanjima kibernetičke sigurnosti u Nizozemskoj. Trenutno vodi razvoj Cybersave Yourself Toolkita, koji organizacijama pruža praktične alate za poboljšanje otpornosti na prijetnje usmjerene na ljudski faktor.

Pridružite se webinaru i otkrijte kako PDCA model može pretvoriti fragmentirane napore u koherentnu strategiju koja odjekuje kod vodstva, uključuje dionike i podržava dugoročnu otpornost. Napravite sljedeći korak prema učinkovitijoj strategiji podizanja svijesti o kibernetičkoj sigurnosti.

The post [Webinar] PDCA pristup podizanju svijesti o kibernetičkoj sigurnosti first appeared on CERT.hr.

Pročitajte ovaj zanimljivi tekst o potrebi promjene tradicionalnog trenigna podizanja svijesti za prepoznavanje socijalnog inženjeringa.

Socijalni inženjering je uobičajena metoda koju kibernetički kriminalci koriste za ciljanje ljudi. Nema ništa novo u ovom obliku manipulacije – ali pojava generativne umjetne inteligencije značajno je pogoršala situaciju.

Samo savjetovanje ljudima da paze na lošu gramatiku i loše logotipe malo pomaže u zaštiti od phishing. Danas napadači mogu uvjerljivo oponašati komunikacijski stil, glasove i lica pojedinaca iz osobnog ili profesionalnog kruga mete, uz minimalan napor.

Organizacije moraju hitno preispitati svoje obrambene strategije – odmaknuti se od tradicionalne obuke o sigurnosnoj svijesti i usmjeriti se na jačanje sposobnosti zaposlenika da prepoznaju i odupru se manipulaciji.

Uspon generativne umjetne inteligencije učinio je ciljane napade društvenog inženjeringa preciznijima, automatiziranijima i znatno težima za otkrivanje. Dobrodošli u eru duboke sumnje (kako je WIRED to napisao u naslovu) u kojoj je sve teže razlikovati što je stvarno od što je lažno.

Kibernetički kriminalci sada koriste DeepFake i glasove generirane umjetnom inteligencijom kako bi stvorili vrlo uvjerljive imitacije. Štoviše, generativna umjetna inteligencija može se koristiti za stvaranje lica koja se ne razlikuju od stvarnih – i, što je još gore, doživljavaju se kao uvjerljivija.

Zbog toga su uobičajene metode obmane mnogo učinkovitije i teže ih je otkriti: u Hong Kongu je zaposlenica prevarena da prebaci oko 20 milijuna funti prevarantima koji su se predstavljali kao viši dužnosnici njezine tvrtke putem lažnog video poziva.

Konvencionalna obuka o podizanju svijesti obično se usredotočuje na poznate obrasce napada društvenim inženjeringom – posebno na tipične pokušaje krađe identiteta putem e-pošte. Od zaposlenika se često traži da slijede stroga pravila i da obraćaju veliku pozornost na detalje.

Čak i ako smo mi, kao zaposlenici, sposobni ispravno identificirati domenu URL-a, nemamo urođenu sposobnost ili fokus da uočimo svaku pojedinu tipografsku pogrešku – posebno kada je naš posao odgovoriti na 300 (vanjskih) poruka što je brže moguće svaki dan.

Istodobno, tradicionalni trening podizanja svijesti o kibernetičkoj sigurnosti temelji se na zastarjeloj pretpostavci da se ljudi uvijek mogu osloniti na svoje analitičke vještine i kritičko razmišljanje u odlučujućim trenucima.

Zapravo, mnoge odluke – posebno one brze koje vode do konkretnih svakodnevnih radnji – daleko su češće određene emocijama i intuitivnim razmišljanjem nego racionalnom analizom. Bihevioralna ekonomija, koju su oblikovali istraživači poput Daniela Kahnemana, Richarda Thalera i Cassa Sunsteina, istražuje upravo ovo područje napetosti između intuicije i intelekta. Do sada su pokušaji promjene ponašanja u kibernetičkoj sigurnosti uglavnom bili osmišljeni bez razmatranja ovog pristupa. U budućnosti bismo se trebali manje usredotočiti na podučavanje novih tehničkih metoda detekcije, a više na podizanje svijesti o – u biti netehničkoj – metodi napada u cjelini i kako se od nje možemo zaštititi.

Napadači namjerno iskorištavaju klasične principe uvjeravanja kako ih je opisao autor bestselera Robert Cialdini – poput autoriteta („Izvršni direktor želi da se ovo odmah plati!“), društvenog dokaza („Svi upravo sada ulažu u ovu kriptovalutu!“) i lajkanja („Svidjela mi se vaša prezentacija!“). Iako su ove tehnike uobičajene u marketingu i prodaji, one se također pojavljuju na forumima darkneta kao alati za usavršavanje taktika društvenog inženjeringa. Učenjem prepoznavanja ovih psiholoških strategija možemo postati svjesniji pokušaja manipulacije i bolje se zaštititi.

Učinkovita obrana igra ključnu ulogu. Jedna od ključnih strategija zaštite je osvještavanje vlastitih emocionalnih reakcija – posebno u situacijama visokog pritiska koje zahtijevaju brzu akciju. Trebali bismo biti posebno oprezni kada osjetimo da emocionalni pritisak raste. Korisne tehnike uključuju pauziranje, razmišljanje o situaciji („Kako se osjećam upravo sada? Je li ovo vjerodostojan zahtjev?“), traženje drugog mišljenja, traženje od nekoga da dvaput provjeri zahtjev i njegovu provjeru putem alternativnog komunikacijskog kanala.

U području kiberpsihologije, trenutna istraživanja istražuju koncept kibernetičke svjesnosti – sposobnost svjesnijeg usmjeravanja pažnje u digitalnim okruženjima. Ova praksa potiče promišljeno donošenje odluka umjesto impulzivnih reakcija i pomaže u izgradnji veće otpornosti na napade socijalnog inženjeringa.

Razumijevanje manipulacije i obmane ne zahtijeva tehničku stručnost – ove taktike postoje otkad ljudi komuniciraju. Ali u doba generativne umjetne inteligencije, društveni inženjering postao je skalabilniji, uvjerljiviji i puno teži za otkrivanje. U organizacijama više nije dovoljno uočiti očite phishing e-poruke; moramo biti u stanju prepoznati i sofisticiranu manipulaciju u obliku realističnih glasova, lica ili poruka. Tradicionalna obuka o podizanju svijesti, koja se često usredotočuje na tehničke detalje i kruta pravila, više nije dovoljna. Umjesto toga, potrebno nam je dublje razumijevanje načina na koji napadi funkcioniraju – na psihološkoj ili ‘meta’ razini – i obuka u kibernetičkoj svjesnosti: učenje otkrivanja i prekidanja emocionalnih okidača prije nego što dovedu do impulzivnih radnji. Ovaj pristup već je u fokusu trenutnih istraživanja i obećava izgradnju otpornijeg ponašanja suočenog s modernim prijetnjama.

The post Otpornost na socijalni inženjering u doba umjetne inteligencije first appeared on CERT.hr.

Sažetak 

CVE-2025-20333

CVSS – 9.9

Ranjivost u VPN web poslužitelju Cisco Secure Firewall Adaptive Security Appliance  (ASA) i Cisco Secure Firewall Threat Defense (FTD) softvera mogla bi omogućiti autentificiranom udaljenom napadaču izvršavanje proizvoljnog kôda na ranjivom uređaju. 

Do ranjivosti dolazi zbog nepravilne provjere korisničkog unosa u HTTP(S) zahtjevima. Napadač s važećim VPN korisničkim vjerodajnicama mogao bi iskoristiti ovu ranjivost slanjem posebno oblikovanih HTTP zahtjeva ranjivom uređaju. Uspješno iskorištavanje ranjivosti moglo bi napadaču omogućiti izvršavanje proizvoljnog kôda s root ovlastima, što može rezultirati potpunom kompromitacijom pogođenog uređaja. 

Cisco je objavio softverske nadogradnje koje otklanjaju ovu ranjivost. Cisco preporučuje korisnicima nadogradnju na zakrpanu verziju softvera kako bi se ranjivost uklonila. Ne postoje privremena rješenja koja rješavaju ovu ranjivost. 

Ovaj savjet je dostupan na sljedećoj poveznici: 
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB 

Za više informacija o ranjivosti opisanoj u ovom savjetu pogledajte: Cisco Event Response: Continued Attacks Against Cisco Firewall Platforms. 

 
Ranjivi proizvodi 

Ova ranjivost utječe na Cisco uređaje ako koriste ranjivu verziju Cisco Secure Firewall ASA softvera ili Cisco Secure FTD softvera te imaju jednu ili više ranjivih konfiguracija navedenih u sljedeće dvije tablice. 

Za informacije o tome koje verzije Cisco softvera su ranjive, pogledajte odjeljak Zakrpani Software u ovom savjetu. 

Ranjive konfiguracije Cisco Secure Firewall ASA softvera 

U sljedećoj tablici, lijevi stupac navodi značajke Cisco Secure Firewall ASA softvera koje su potencijalno ranjive. Desni stupac pokazuje osnovnu konfiguraciju značajke iz show running-config CLI naredbe, ako ju je moguće odrediti. Ove značajke mogu uzrokovati i da SSL listen socket-i budu omogućeni. 

Ranjive konfiguracije Cisco Secure Firewall FTD softvera 

U sljedećoj tablici, lijevi stupac navodi značajke Cisco Secure Firewall FTD softvera koje su potencijalno ranjive. Desni stupac pokazuje osnovnu konfiguraciju značajke iz show running-config CLI naredbe, ako ju je moguće odrediti. Ove značajke mogu uzrokovati da SSL listen socket-i budu omogućeni. 

Značajke Remote Access VPN omogućuju se putem Devices > VPN > Remote Access u Cisco Secure Firewall Management Center (FMC) softveru ili putem Device > Remote Access VPN u Cisco Secure Firewall Device Manager (FDM). 

Proizvodi za koje je potvrđeno da nisu ranjivi 
Samo proizvodi koji su navedeni u odjeljku Ranjivi proizvodi ovog savjeta mogu biti pogođeni ovom ranjivošću. 

Cisco je potvrdio da ova ranjivost ne utječe na Cisco Secure FMC softver. 
 
Ne postoje privremena rješenja koja uklanjaju ovu ranjivost. 
 
Za potpuno uklanjanje ove ranjivosti i sprječavanje buduće izloženosti, kako je opisano u ovom savjetu, Cisco snažno preporučuje korisnicima nadogradnju na zakrpanu verziju softvera. 
 
Dodatne preporuke 

Nakon instalacije zakrpane verzije softvera, preporučuje se da korisnici pregledaju odjeljak Configure Threat Detection for VPN Services u Cisco Secure Firewall ASA Firewall CLI Configuration Guide.  

Cisco Product Security Incident Response Team (PSIRT) je svjestan pokušaja iskorištavanja ove ranjivosti. Cisco i dalje snažno preporučuje korisnicima nadogradnju na zakrpanu verziju softvera kako bi se uklonila ranjivost. 

#SurfajSigurnije

The post Cisco Secure Firewall Adaptive Security Appliance softver i Secure Firewall Threat Defense softver – ranjivost VPN web poslužitelja na udaljeno izvršavanje kôda first appeared on CERT.hr.

Drago nam je što možemo najaviti početak GÉANT-ove kampanje za podizanje svijesti o kibernetičkoj sigurnosti 2025.

Ovogodišnje izdanje usredotočeno je na temu: kibernetička svjesnost kao alat za obranu od prijetnji uzrokovanih umjetnom inteligencijom.

S napretkom generativne umjetne inteligencije, zlonamjerni akteri stječu nove mogućnosti manipuliranja pojedincima putem tehnika kao što su deepfakeovi, kloniranje glasa, phishing poruke generirane umjetnom inteligencijom i krađa identiteta.

Trenutna istraživanja i statistike pokazuju da ove prijetnje često ciljaju ljudske emocije poput ljubavi, straha, srama ili tjeraju na brzu reakciju kako bi onemogučili ​​racionalno donošenje odluka. U okruženju u kojem brzina često ide u korist napadača, ovogodišnja kampanja potiče drugačiji pristup: usporavanje, svjesnost i donošenje promišljenijih odluka.

The post GÉANT-ova kampanja povodom Europskog mjeseca kibernetičke sigurnosti 2025.: Kibernetička svjesnost u doba umjetne inteligencije first appeared on CERT.hr.

Za mnoge iznajmljivače i druge djelatnike u turizmu, ljetna sezona je najprofitabilniji dio godine. Nakon mjeseci dočeka gostiju, održavanja objekata i pružanja kvalitetne usluge, zadovoljstvo je vidjeti kako se trud pretvara u zaradu. Razumljivo je da mnogi žele dio zarađenog novca dalje investirati. Nažalost, upravo u tom trenutku često se pojavljuju prevaranti.

Investicijske prijevare su jedan od najčešćih uzroka krađe novca nakon uspješne sezone. Prevaranti znaju da mnogi nakon sezone raspolažu većim iznosom novca i da žele dodatno zaraditi. Nudeći lažne prilike, iskorištavaju vaše povjerenje, neiskustvo s investicijama ili želju da se ostvari dodatna dobit prije mirnijih mjeseci. Posljedice mogu biti štetne  — ne samo financijski, već i emocionalno, jer se žrtve često osjećaju krivima.

Prevaranti koriste različite taktike kako bi njihove ponude izgledale vjerodostojno:

• Lažni autoritet – predstavljaju se kao investicijski savjetnici, predstavnici poznatih financijskih institucija ili čak državnih programa.
• Hitnost odluke i puno poziva – zovu mnogo puta i stvaraju osjećaj da morate reagirati odmah, jer ćete inače propustiti „jedinstvenu priliku“.
• Lažna dokumentacija – kreiraju lažne ugovore, izvještaje i web stranice profesionalnog izgleda, kako bi se doimali legitimnima.
• Nerealna obećanja – jamče veliku zaradu uz minimalan rizik. To je gotovo  uvijek znak prijevare.

1. Neželjeni/neočekivani kontakt – ako vas netko nepoznat kontaktira pozivom, e-mailom ili putem društvenih mreža s investicijskom ponudom, budite oprezni.

Prijevaru je potrebno prepoznati na početku! Nastavkom komunikacije dovodite se u opasnost!

2. Pritisak i utjecaj na emocije – napadači koriste pritisak i snažno nagovaranje na ulaganje. Uzmite si vremena i razmislite! Bolje je propustiti priliku nego nasjesti na prijevaru!

Ne djelujte u afektu i pod utjecajem emocija!

3. Svaki poziv s drugog broja – prevaranti koriste lažiranje broja kako bi prekrili svoj trag. Broj može biti domaći ili strani.
4. Traženje povjerljivih podataka – budite oprezni ako netko traži vaše bankovne podatke (podatke bankovne kartice, broj tokena), OIB ili lozinke.

Napadači često za „isplatu dobiti“ od vas traže broj tokena mobilnog bankarstva! NE dajte im ga!

Tako žele ostvariti kontrolu nad vašim računom i ukrasti sav novac koji imate! Za uplatu novca potreban je samo IBAN.

5. „Drugi su se već obogatili“ – prevaranti često pokazuju lažna svjedočanstva ili tvrde da su „drugi već uspješno investirali“.
6. Morate platiti naknadu za isplatu dobiti – ne uplaćujte naknade i „porez“ na nepoznate račune i putem sumnjivih stranica. To je recept za gubitak novca.

• Detaljno istražite – samostalno provjerite sve informacije. Istražite tko vam zapravo nudi uslugu.
• Posavjetujte se sa stručnjacima ili osobama od povjerenja – prije ulaganja, pitajte za savjet financijskog savjetnika, obratite se svom računovođi ili osobi od povjerenja s iskustvom u investiranju.
• Koristite provjerene institucije i platforme – s ciljem prijevare napadači mogu izraditi cijeli sustav (web stranicu, mobilnu aplikaciju) koji će izgledati legitimno i čak vam prikazivati rast dobiti. Takve prijevare je teško prepoznati i mogu dovesti do gubitaka životne ušteđevine.
• Ne žurite – uzmite si vremena za razmišljanje. Snažne emocije i uzbuđenje umanjuju sposobnost kritičkog razmišljanja. Prevaranti žele da brzo djelujete kako ne biste prepoznali opasnost.
• Vjerujte instinktima – ako nešto djeluje sumnjivo i predobro da bi bilo istinito, odmaknite se. Pritisak i nejasnoće uvijek su znakovi upozorenja.
• Zaštitite svoje podatke – koristite jake lozinke, ne otvarajte nepoznate poveznice i nikada ne dijelite financijske podatke putem e-maila ili telefona s neprovjerenim osobama.

Vaša sezonska zarada rezultat je truda, dugih radnih sati i predanosti gostima. Nemojte dopustiti da prevaranti iskoriste trenutak vaše nepažnje i ukradu ju na brzinu. Budite oprezni prema neočekivanim ponudama, sjetite se da „zajamčena“ dobit ne postoji i svako ulaganje nosi određeni rizik. Uvijek provjeravajte s kim imate posla. Kombinacijom opreza, stručnog savjeta i sigurnih financijskih praksi možete zaštititi svoj novac od sve češćih investicijskih prijevara.

The post Upozorenje djelatnicima u turizmu: Meta ste prevaranata! first appeared on CERT.hr.

Natjecanje u obliku CTF-a (Capture the Flag) namijenjeno je srednjoškolskim timovima. Natjecanjem se proširuje svijest o važnosti primjene sigurnosnih mjera te izbjegavanju i ispravljanju mogućih sigurnosnih propusta u programskom kôdu, postavkama ili nekoj drugoj komponenti računalnog sustava.

Hacknite natjecanje je dio kvalifikacija za nacionalni tim koji će predstavljati Hrvatsku na European Cyber Security Challenge – ECSC natjecanju.

Prijavite svoje timove i pokažite znanje iz kibernetičke sigurnosti u dosad najzanimljivijem Hackniteu!

Natjecanje će se održati od 17. listopada 2025. (petak) u 20:00 sati do 19. listopada 2025. (nedjelja) u 20:00 sati.

Pravo sudjelovanja imaju svi učenici srednjih škola u Republici Hrvatskoj uz mentorstvo svojih profesora kao prijavitelja timova.

Za sudjelovanje u nagradnom natjecanju potrebno je, tijekom prijavnog razdoblja (od 12. rujna do zaključno 12. listopada 2025.), pristupiti prijavnom obrascu organizatora u kojem prijavitelj navodi članove svojih timova (prijavitelj i pet članova tima – ukupno šest osoba) uz originalan i kreativan naziv tima.

Možete prijaviti više timova, a timovi mogu biti sastavljeni od učenika različitih škola.

Za sudjelovanje u nagradnom natjecanju potrebno je:

• ispuniti prijavni obrazac za svoj tim
• upoznati se s Pravilima natjecanja
• popuniti sva polja obrasca za prijavu istinitim osobnim i kontakt podacima
• prihvatiti Pravila postavljanjem kvačice na polje “Potvrđujem da sam upoznat/a i suglasan/na s pravilima ovog natjecanja”
• prihvatiti GDPR suglasnost opisanu na stranicama cert.hr i carnet.hr

Sva dodatna pitanja možete postaviti slanjem upita na adresu elektroničke pošte ecsm@cert[.]hr!

Pravilnik natjecanja je dostupan na poveznici: HACKNITE PRAVILA

The post Otvorene su prijave za Hacknite 2025 first appeared on CERT.hr.

Prema trenutnim informacijama pozivi dolaze sa strani brojevi, ali nije isključeno da se prikaže i hrvatski pozivni broj. Osobe komuniciraju na engleskom jeziku. 

Građani javljaju kako su zaprimili pozive u kojima ih se obavještava da je:

• njihova osobna iskaznica iskorištena za kriminalne radnje
• izdana tjeralica na njihovo ime  

Nakon poruke traže od vas da pritisnete broj 1.

Time vas usmjeravaju na javljanje jednom od „operatera/agenata”. 

• Javlja se osoba koja se predstavlja kao zaposlenik hrvatske policije. 

Ovakav tip prijevare se koristi za krađu osobnih podataka, a potencijalno i krađu financijskih sredstava. 

Savjeti za građane: 

• Hrvatska policija s vama neće započeti razgovor automatiziranom porukom na engleskom jeziku
• Prekinite komunikaciju čim prepoznate prijevaru
• NE dijelite osobne podatke s nepoznatim osobama
• NE slikajte osobne dokumente i ne šaljite ih nepoznatim osobama
• NE uplaćujte novac nepoznatim osobama za sumnjive usluge ili ucjene
• Prijavite pokušaj prijevare i podijelite informaciju s drugima kako oni ne bi postali žrtve

The post UPOZORENJE! Građani opet zaprimaju pozive u kojima se napadač predstavlja kao policija first appeared on CERT.hr.

Europska agencija za kibernetičku sigurnost (ENISA) i Hrvatska akademska i istraživačka mreža – CARNET, s partnerima Hrvatskim institutom za kibernetičku sigurnost i Sveučilišnim centrom za kibernetičku sigurnost na Sveučilištu Sjever organiziraju drugu međunarodnu konferenciju o podizanju razine svijesti javnosti o važnosti kibernetičke sigurnosti pod nazivom „Empowering the Human Element”.

Događaj će se održati 27. studenog 2025. u Zagrebu i okupiti stručnjake iz cijele Europe s ciljem jačanja ljudske dimenzije kibernetičke sigurnosti i razmjene znanja o inovativnim pristupima podizanja svijesti javnosti.

Glavne teme konferencije:

• uloga umjetne inteligencije u aktivnostima podizanja svijesti
• mjerenje učinka i rezultata aktivnosti podizanja svijesti
• igrifikacija kao način za dugoročno poticanje angažmana i promjene ponašanja

Ovo događanje je namijenjeno stručnjacima za kibernetičku sigurnost i edukaciju, predstavnicima institucija i industrije, akademskoj zajednici, nevladinim organizacijama i kreatorima politika, kao i menadžerima i donositeljima odluka koji u svojim organizacijama oblikuju strategije podizanja svijesti.

Konferencija pruža priliku za jačanje europske suradnje i razvoj novih suradnji u području kibernetičke sigurnosti. Uskoro će biti objavljen cjelovit program kao i registracija sudionika.

Više informacija potražite na poveznici https://www.enisa.europa.eu/events/2nd-cybersecurity-awareness-raising-conference-empowering-the-human-element

The post CARNET suorganizator druge ENISA konferencije o podizanju svijesti o kibernetičkoj sigurnosti first appeared on CERT.hr.

U tijeku je prijevara u kojoj napadači imitiraju izgled stranica HZZO-a kako bi ukrali osobne podatke građana.  

Upozorite druge, a posebno građane starije životne dobi. 

Napad započinje slanjem SMS-a u kojem pod izlikom kako je potrebno ažurirati podatke zdravstvene iskaznice, napadači žele građane preusmjeriti na web stranicu s formom za unos podataka. 

SMS poruka: 

Sučelje izgledom oponaša stranicu HZZO-a, zbog čega je prijevaru teže prepoznati.  

Savjeti za zaštitu građana: 

• Provjerite s koje adrese ili broja je poslana poruka  

• Institucije vas neće kontaktirati putem stranog broja 

• Obavijesti za ažuriranje podataka koje se tiču samo vas neće biti poslane u grupni razgovor 

• Uvijek dodatno provjerite zahtjeve u kojima se traže vaši osobni podaci ili plaćanje 

• Sve radnje u kojima se od vas traži unos osobnih podataka ili plaćanje vršite putem računala. Na većem ekranu lakše ćete vidjeti adresu stranice i prepoznati prijevaru 

• Sami na internetu provjerite postoje li takvi zahtjevi HZZO-a 

• Ne klikajte sumnjive i skrivene poveznice 

• Proučite poveznicu i usporedite ju sa službenom poveznicom HZZO-a (https://hzzo.hr/) 

• Ako ste unijeli svoje podatke, obratite dodatnu pažnju na poruke i pozive koji vam dolaze jer vaši kontakt podaci mogu biti iskorišteni za daljnje prijevare kao što su investicijske prijevare, romantične prijevare i sl. 

Pogledajte kako izgleda zlonamjerna stranica: 

Forma za krađu podataka:

#SurfajSigurnije

The post Upozorenje: lažne HZZO stranice first appeared on CERT.hr.

U suradnji s Hrvatskom gospodarskom komorom, Nacionalno koordinacijsko središte za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti (NKS) organizira Info dan posvećen Pozivu na dostavu projektnih prijedloga – Unapređenje kibernetičke sigurnosti mikro, malih i srednjih poduzeća.

Info dan održat će se u ponedjeljak, 15. rujna 2025. godine, s početkom u 9 sati, u Vijećnici HGK, Rooseveltov trg 2, Zagreb, a događanje će biti moguće pratiti  i online.

Bit će predstavljeni ključni elementi poziva, proces prijave i odabira projekata.

Ovaj Poziv, ukupne vrijednosti 1,97 milijuna eura, objavljen je 1. rujna 2025., a rok za prijavu projektnih prijedloga je 21. studenoga 2025. u 17 sati (CET).

Poziv obuhvaća tri grupe aktivnosti: certificiranje i usklađivanja sustava, edukacije i sigurnosna testiranja. Stopa financiranja iznosi 50 % ukupnih prihvatljivih troškova.

Poziv će predstaviti Vlatka Marčan, pomoćnica ravnatelja za Nacionalno koordinacijsko središte (NKS).

Sudjelovanje je potrebno potvrditi prijavom putem poveznice POZIV NKS do 11. rujna 2025.

U prijavi je obavezno u napomeni naznačiti način praćenja radionice.

Poveznica za sudionike koji se odluče na online praćenje događanja bit će dostavljena u petak, 12. rujna 2025.

Sudjelovanje je besplatno.

Preporučujemo svim sudionicima i potencijalnim prijaviteljima da se pravovremeno i temeljito informiraju o Pozivu kako bi mogli pripremiti potencijalna pitanja i komentare, te u konačnici što kvalitetnije izraditi projektne prijedloge. Detaljne informacije o Pozivu nalaze se na mrežnim stranicama https://nks.hr/poziv/

The post NKS – predstavljanje Poziva na dostavu projektnih prijedloga – Unapređenje kibernetičke sigurnosti mikro, malih i srednjih poduzeća, 15. rujna 2025., HGK, Zagreb first appeared on CERT.hr.

Google je u objavio novi set sigurnosnih ažuriranja za Chrome kojima rješavaju šest ranjivosti, uključujući jednu koja se iskorištava u praksi.

Ranjivost nultog dana (zero-day), oznake CVE-2025-6558, opisana je kao netočna validacija nepouzdanog inputa u ANGLE i GPU komponentama preglednika.

ANGLE (Almost Native Graphics Layer Engine) se koristi kao zadani WebGL backend u Chromeu i Firefoxu na Windowsima, a Chrome prvenstveno koristi GPU za prikaz grafike i video sadržaja na internetskim stranicama.

Najnovija verzija Chromea sada je dostupna kao verzije 138.0.7204.157/.158 za Windows i macOS te kao verzija 138.0.7204.157 za Linux.

Korisnicima se savjetuje da što prije ažuriraju svoje preglednike.

Izvor: https://www.securityweek.com/chrome-update-patches-fifth-zero-day-of-2025/
Više: https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html

The post Peta zero-day ranjivost Chrome preglednika od početka godine first appeared on CERT.hr.

Nacionalni CERT je zaprimio prijave građana koji su primili pozive od nepoznatih osoba koje se predstavljaju kao agenti trgovačkih platformi ili financijskih institucija.  

Prevaranti tvrde da su građani ostvarili zaradu trgovanjem kriptovalutama — iako ti građani nikada nisu ulagali u njih. 

Ako niste ulagali u kriptovalute, nitko vam ne može isplatiti dobit — takav poziv je siguran znak prijevare. 

Kako prijevara funkcionira: 

1. Neočekivan poziv ili e-mail – navodni agent kaže da imate znatan dobitak na računu platforme za trgovanje kriptovalutama. 

2. Zahtjev za podatke – traže vaše osobne podatke, broj računa, token mobilnog bankarstva, kopiju osobne iskaznice ili kartice. 

3. Uplata troškova – tvrde da morate uplatiti “porez” ili “proviziju” kako bi vam mogli isplatiti novac. 

4. Gubitak novca  – nakon uplate ili odavanja bankovnih podataka osoba se prestaje javljati, a novac je ukraden. 

Savjeti za zaštitu: 

• Nikada ne dijelite osobne ili bankovne podatke putem telefona ili e-maila. 
  Prevaranti žele ukrasti vaš novac, a u slučaju odavanja broja tokena mobilnog bankarstva preuzet će kontrolu nad njime i prebaciti novac na strane račune. 

• Ne uplaćujte novac nepoznatim osobama ili na sumnjive račune.

• Provjerite vjerodostojnost poziva – pretražite naziv tvrtke, broj telefona i recenzije.

• Ako ste prevareni hitno nazovite banku kako biste poduzeli sve potrebne radnje za zaštitu računa, a slučaj prijavite policiji na adresu policija@mup[.]hr ili u najbližoj policijskoj postaji.

• Broj poziva prijavite HAKOM-u i vašem teleoperateru, a poveznice na koje vas napadač navodi proslijedite na incident@cert[.]hr.

Upozoravamo građane i na oblik prijevare koji napadači koriste nakon ovakvih kampanja, a riječ je o prijevari u kojoj nude pomoć s povratnom ukradenog novaca. Više o ovoj prijevari pročitajte na poveznici: https://www.cert.hr/upozorenje-prevaranti-opet-nude-pomoc-s-povratom-novca/

The post Upozorenje: prevaranti zovu i uvjeravaju građane da su zaradili na trgovanju kriptovalutama first appeared on CERT.hr.

Otkriveno je desetak zlonamjernih proširenja s više od 1.7 milijuna preuzimanja iz Google Chrome web trgovine. Ova proširenja mogu  pratiti korisnike, ukrasti njihove podatke ili ih preusmjeriti na zlonamjerne internetske adrese.

Većina proširenja pruža funkcionalnosti koje reklamiraju (alati za odabir boja, pojačavanje zvuka, VPN, emoji tipkovnice…) te su preuzeta putem službene Google Chrome internetske trgovine.

Provjerite koristite li koje od navedenih proširenja:

• Color Picker, Eyedropper — Geco colorpick
• Emoji keyboard online — copy&paste your emoji
• Free Weather Forecast
• Video Speed Controller — Video manager
• Unlock Discord — VPN Proxy to Unblock Discord Anywhere
• Dark Theme — Dark Reader for Chrome
• Volume Max — Ultimate Sound Booster
• Unblock TikTok — Seamless Access with One-Click Proxy
• Unlock YouTube VPN
• Unlock TikTok
• Weather

Zlonamjerna proširenja su prijavljena Googleu, ali neka od njih su i dalje dostupna za preuzimanje.

Potrebno je napomenuti kako otkrivena proširenja nisu imala zlonamjerni kôd prilikom inicijalne objave u Chrome trgovini već je on dodan u nadogradnji.

Osim za Chrome preglednike, zlonamjerna proširenja s više od 600 000 preuzimanja su otkrivena i u Microsoft Edge trgovini.

Preporuke:

• uklonite sva navedena proširenja
• izbrišite povijest pregledavanja i kolačiće
• provjerite sustav antivirusnim programom
• pratite račune zbog mogućih sumnjivih aktivnosti

The post Zlonamjerna proširenja za preglednike preuzeta više od 2 milijuna puta first appeared on CERT.hr.

Hrvatski predstavnici sudjelovali su na trećem izdanju International Ethical Hacking Bootcampa, koji se od 4. do 6. srpnja održao u Beču u organizaciji TU Wien Cybersecurity Centra i Cybersecurity Austria. Kamp je okupio oko 150 sudionika iz desetak europskih zemalja, među kojima su bili i mladi entuzijasti iz Hrvatske.

Trenažni kamp, koji je postao jedno od najvažnijih okupljanja mladih talenata iz područja kibernetičke sigurnosti u Europi, nudi intenzivan program radionica, predavanja i natjecanja pod vodstvom vrhunskih međunarodnih stručnjaka.

Trodnevni program obuhvatio je teme poput hakiranja hardvera i firmvera, digitalne forenzike, web sigurnosti, reverznog inženjeringa i razvoja vlastitih alata za debugiranje. Sudionici su imali priliku učiti od priznatih stručnjaka, ali i odmjeriti snage na cjelodnevnom CTF (Capture The Flag) natjecanju.

“Radionice su bile fora. Upoznao sam se malo više s drugim dijelovima cybersecuritya. Npr. radionica s forenzikom i Volatilityjem je bila zanimljiva.” – rekao je jedan od sudionika

Osim stručnog dijela, organiziran je i neformalni program upoznavanja i umrežavanja, a sve se odvijalo u prostorima Tehničkog sveučilišta u Beču (TU Wien) i okolnim lokacijama. Sudionici su bili smješteni u neposrednoj blizini centra grada, što je dodatno pridonijelo kvalitetnom iskustvu.

„CTF je bio dosta težak. Sve u svemu, zabavno iskustvo i rado bih opet išao. Pohvala za organizatore.“ – rekao je jedan od sudionika

Iz Hrvatske su na bootcampu sudjelovali studenti i mladi entuzijasti iz različitih gradova, a njihova prisutnost još je jednom potvrdila kako domaća zajednica sve ozbiljnije zauzima svoje mjesto na europskoj karti kibernetičke sigurnosti.

#SurfajSigurnije #CTF #Hacknite #Hackultet #ECSC

The post Trenažni kamp etičkog hakiranja u Beču first appeared on CERT.hr.

Google je izdao zakrpu za zero day ranjivost koju su napadači aktivno iskorištavali.

Ranjivost oznake CVE-2025-6554 otkrili su članovi Googleovog tima za analizu prijetnji, specijalizirani na obranu od državno sponzoriranih napada.

Radi se o ranjivosti zabune u tipu podataka (engl. Type Confusion Vulnerability), poznate i pod nazivom manipulacija tipom podataka (engl. type manipulation). Na ovu vrstu napada ranjivi su interpretativni programski jezici koji koriste dinamičko tipiziranje. Izvodi se tako što napadač mijenja tip varijable kako bi izazvao neželjeno ponašanje. To može dovesti do raznih vrsta zaobilaženja i ranjivosti, kao što su cross-site scripting, zaobilaženje kontrole pristupa i uskraćivanje usluge.

Ovo je četvrta zero day ranjivost koju je Google zakrpao od početka godine.

Ažurirajte svoje preglednike kako bi se zaštitili.

#SurfajSigurnije

The post Preuzmite zakrpu za ranjivost Chrome preglednika first appeared on CERT.hr.

Pročitajte novi broj Newslettera Nacionalnog CERT-a.

Tema mjeseca: Sigurnost na društvenim mrežama

U lipanjskom izdanju newslettera donosimo vam tekst o sigurnosti na društvenim mrežama. Pročitajte zašto toliko “scrollamo”, što sve odajemo i zašto je potrebno voditi brigu o svom digitalnom tragu. Također, u newsletteru se nalaze i zanimljivosti o drugom, uspješno provedenom Hackultet natjecanju.

Hvala što ste dio naše zajednice. Radujemo se što ćemo s vama dijeliti zanimljive priče i korisne informacije.

Vaš Nacionalni CERT.

#SurfajSigurnije

The post Newsletter Nacionalnog CERT-a CERT-info #6 first appeared on CERT.hr.