Kako hakeri prevare mobilne telefone da misle da su povezani na pravog operatera: IMSI catcher, smishing i nova prevara u Srbiji
U decembru 2025. MUP Srbije je razbio organizovanu kriminalnu grupu koja je koristila improvizovani IMSI catcher, uređaj koji se ponaša kao lažna mobilna bazna stanica. Njegov jedini cilj: preusmeravanje mobilnih telefona građana i slanje lažnih SMS poruka u ime operatora, državnih institucija i velikih kompanija — kako bi žrtve ostavile podatke o svojim platnim karticama.
Ovaj slučaj je šokantan, ali nije izuzetak. Slične prevare već godinama postoje u SAD, Nemačkoj, Francuskoj i regionu — ali je ovo jedan od retkih primera da su počinioci uhvaćeni sa opremom u pokretu, tačnije u vozilu, dok su navodno putovali kroz Srbiju i aktivirali svoju lažnu baznu stanicu.
U nastavku analiziramo kako je ova prevara funkcionisala, da li je tehnologija zaista tako sofisticirana, koliko je lako prevariti mobilne telefone i može li se ovo ponoviti u Srbiji.
Šta se dogodilo: Lažna bazna stanica u gepeku automobila
MUP Srbije je u zvaničnom saopštenju potvrdio:
- Pronađena je improvizovana IMSI catcher oprema u vozilu kojim su upravljali kineski državljani.
- Oprema je služila kao lažna mobilna bazna stanica.
- Napad je korišćen za slanje smishing poruka (SMS phishing).
- Žrtve su navučene da ostave podatke o platnim karticama koje su kasnije korišćene u inostranstvu.
Ključna stvar: Kriminalci nisu hakovali mobilne operatere — oni su prevarili korisničke uređaje. Mobilni telefon ne zna automatski da li je bazna stanica prava ili lažna. Ako lažna stanica emituje jači signal, telefon će se zakčiti na nju.
Kako funkcioniše IMSI catcher?
IMSI catcher (International Mobile Subscriber Identity catcher) je uređaj čija je svrha da:
- Glumi legitimnu baznu stanicu mobilnog operatera (A1, MTS, Yettel).
- Privuče mobilne telefone koji su u dometu jačim signalom.
- Prikupi njihove IMSI identifikatore — jedinstvene brojeve korisnika.
- Po potrebi šalje lažne poruke ili čak preusmerava saobraćaj.
Da li IMSI catcher mora biti sofisticiran?
Ne nužno. Postoje tri kategorije ovih uređaja:
| Vrsta uređaja | Cena | Opis |
|---|---|---|
| Profesionalni vojni/policijski | 100.000–500.000 € | Napredne funkcije, presretanje poziva, dešifrovanje |
| Komercijalni polu-legalni | 5.000–30.000 € | Dostupni kroz “sive” online kanale |
| Improvizovani (SDR) | 500–2.000 € | Rađen od SDR uređaja, laptopa i open-source softvera |
Termin „improvizovani uređaj“ koji koristi MUP sugeriše da su hakeri koristili treću kategoriju – jeftinu opremu dostupnu online, koja je sasvim dovoljna za slanje lažnih SMS-ova.
Kako su hakeri iz automobila napadali korisnike?
Prema informacijama, oprema je bila u automobilu. To je tehnika poznata kao „War-driving“.
Hakeri uključe uređaj dok se voze kroz prometne delove grada. Uređaj automatski privlači sve telefone u dometu (100–500 metara). Dok su telefoni kratkotrajno povezani na lažnu stanicu, stižu im poruke tipa:
- „Vaš broj je suspendovan, kliknite za reaktivaciju…“
- „Dobili ste povraćaj Poreza…“
- „Blokirana Vam je kartica, potvrdite podatke…“
Dok korisnik pročita poruku, automobil je već odmakao, telefon se vratio na pravu mrežu, ali lažna poruka ostaje u telefonu kao mamac.
Zašto je moguće predstavljati se kao mobilni operater?
Zato što mobilne mreže, posebno stariji 2G protokoli, imaju „rupu“ u sistemu poverenja. Autentifikacija je jednostrana: telefon mora da dokaže mreži ko je, ali mreža ne mora uvek da dokaže telefonu da je prava.
Napadači često koriste ometače da nateraju moderne telefone da se spuste sa bezbednog 5G signala na ranjivi 2G signal, gde je ovakav napad trivijalan.
Može li se ovo ponovo desiti u Srbiji?
Nažalost, da. Ovo nije izolovan incident. SDR uređaji su sve jeftiniji, a softver za izradu lažnih stanica (poput OpenBTS-a) je dostupan na internetu. Slični slučajevi su zabeleženi u Hrvatskoj, BiH, Mađarskoj i Rumuniji. Kriminalne grupe se brzo adaptiraju i često se sele iz države u državu.
Relevantni linkovi
Često postavljana pitanja (FAQ)
P: Da li hakeri mogu da ukradu novac samo povezivanjem na moj telefon?
O: Ne direktno. Povezivanje na lažnu stanicu im omogućava samo da vam pošalju lažnu poruku. Novac gubite tek ako vi sami kliknete na link u toj poruci i unesete podatke sa kartice.
P: Da li mogu da vidim da li sam bio meta lažne bazne stanice?
O: Veoma teško. Jedini znak može biti nagli prelazak telefona na 2G mrežu (slovo ‘E’ ili ‘G’ pored signala) u zoni gde inače imate dobar 4G signal, ili brže pražnjenje baterije.
P: Kako da se zaštitim od ovoga?
O: Najbolja tehnička zaštita je da u podešavanjima telefona isključite 2G mrežu (postavite na ‘LTE/4G/5G only’). Takođe, nikada ne unosite podatke kartice na linkove koji stignu SMS-om.
P: Da li banke refundiraju novac u ovakvim prevarama?
O: U većini slučajeva da, ako odmah prijavite prevaru i blokirate karticu. Međutim, banka može odbiti refundaciju ako proceni da je korisnik bio izuzetno nepažljiv ustupanjem PIN-a ili OTP kodova.
Izvori: MUP Srbije, Blic, Nova.rs, Alo, TechCrunch
