Duomenų išviliojimas, dar vadinamas fišingu, – vienas populiariausių sukčiavimo internetu būdų.
Nors kibernetinio saugumo specialistai nuolat perspėja, kad jautrius duomenis – asmens kodą, slaptažodžius ir banko prisijungimo kodus – sukčiams dažniausiai atskleidžia patys nukentėjusieji, nusikaltėlių pinklės tampa vis sunkiau atpažįstamos.
Į spąstus pateko ir 39 metų Loreta, kuri taip ir nesuprato, kada atskleidė sukčiams savo duomenis ir leido ištuštinti banko sąskaitą banke.
„Skaitau pranešimus apie sukčiavimą ir patarimus, kaip apsisaugoti. Iš karto trinu žinutes telefone ir laiškus, kuriuose prašoma paspausti neaiškią nuorodą, bet vis tiek netekau pinigų“, – stebėjosi pašnekovė.
Loreta perkratė galvoje situacijas, per kurias galbūt galėjo atskleisti sukčiams prisijungimo prie savo kredito kortelės kodus.
Ji spėjo, kad tai galėjo įvykti tada, kai gavo pranešimą, jog reikėtų atnaujinti interneto televizijos paskyros duomenis.
Toks prašymas vilnietei nesukėlė įtarimų, juolab kad asmens duomenis, atrodė, suvedė į tokią pat paskyrą, kokią buvo mačiusi anksčiau.
„Nežinau kito varianto, kada dar manimi galėjo pasinaudoti sukčiai. To man negalėjo paaiškinti nei bankas, nei policija, į kurią kreipiausi dėl pinigų ir duomenų vagystės. Laimė, kad kredito suma kortelėje nedidelė, o santaupas laikau kitoje sąskaitoje, tad nepraradau visų pinigų“, – guodėsi Loreta, kuri nebesitiki atgauti prarastos sumos.
Duomenų išviliojimas jau ne vienus metus pasaulyje siejamas su organizuotu nusikalstamumu, kai veikiama didelėmis grupėmis.
Tobulėjant dirbtiniam intelektui nusikaltėliai tuo taip pat naudojasi siekdami apgauti ne tik pavienius asmenis, bet ir dideles įmones, kurios daug investuoja į kibernetinį saugumą, nors pinigų pervedimo operacijas tvirtina darbuotojai.
„Sukčiai nesirenka, iš ko vogti duomenis ir pinigus – asmens ar įmonės. Jie žvejoja visus iš eilės ir laukia, ar kas nors užkibs. Vis dėlto įmonių nuostoliai dažniausiai būna didesni“, – tvirtino Nacionalinio kibernetinio saugumo centro (NKSC) direktoriaus pavaduotojas Antanas Aleknavičius.
Pavogtos sumos – įspūdingos
Viena didžiausių sumų, kurią pastaraisiais metais sukčiai pasisavino iš fizinio asmens Lietuvoje, – 165 tūkst. eurų.
Vilniaus rajono gyventoja tiek prarado per pusmetį nenustatytam asmeniui pervesdama pinigus per tikrą internetinę investavimo platformą.
JAV technologijų bendrovės „Google“ atstovu telefonu prisistatęs nusikaltėlis spalio pradžioje iš vilniečio išviliojo beveik 15 tūkst. eurų, o Klaipėdoje gyvenanti moteris rugsėjį tokiam apsimetėliui atidavė 23 tūkst. eurų.
Kaunietis dar vasarą neteko daugiau kaip 22 tūkst. eurų, kai juos pervedė patikėjęs, kad telefonu kalbasi su banko darbuotoju ir policijos atstovu.
Spalio pradžioje į Panevėžio policiją kreipėsi vienos įmonės buhalterė, irgi užkibusi ant „Google“ ir banko atstovais telefonu prisistačiusių sukčių jauko ir iš bendrovės sąskaitos pervedusi beveik 75 tūkst. eurų.
Viena Klaipėdos įmonė neteko daugiau kaip 192 tūkst. eurų, kai bendrovės buhalterė patikėjo, kad pasikeitė užsienio partnerių rekvizitai, ir didelę sumą pervedė į nusikaltėlių nurodytą sąskaitą.
Pinigų plovimo prevencijos kompetencijų centro „Norstat“ užsakymu atlikta apklausa rodo, kad vien per pirmąjį šių metų pusmetį sukčiai iš Lietuvos gyventojų išviliojo beveik 8 milijonus eurų.
Atakos telefonu – vienas populiariausių sukčių naudojamų apgavystės būdų. Juolab kad nusikaltėliai klastoja ne tik telefono numerį, bet ir, padedami dirbtinio intelekto, pažįstamo žmogaus balsą. Kibernetinio saugumo specialistai įspėja, kad negalima pasitikėti net ir vaizdo skambučiu.
„Vienos įmonės direktorius tariamai vaizdo skambučiu paskambino buhalterei ir ji pervedė pinigus, nors tai buvo apgaulė.
Šis pavyzdys rodo, kaip žmonės pasiduoda įtakai ir nebūtinai laikosi standartinių procedūrų. Jei buhalterei užtenka tik vadovo nurodymo ir ji pinigus perveda be sąskaitos faktūros, nemanau, kad įmonėje yra tinkama finansinė kontrolė“, – paaiškino A.Aleknavičius.
Išvengti didelių nuostolių bendrovėms gali padėti ne tik skaidri veikla, kai visoms finansinėms operacijoms atlikti reikia sąskaitos faktūros, bet ir, tarkime, apsidraudimas, kad didesnes operacijas gali patvirtinti ne vienas, o bent du vadovai.
„Taip sumažinama rizika. Jeigu sukčiai atakuotų, jiems tektų suklastoti ne vieną vaizdo skambutį“, – teigė A.Aleknavičius.
Veikia ir pavojingos svetainės
NKSC per pirmus devynis šių metų mėnesius Lietuvoje užfiksavo pustrečio karto daugiau duomenų išviliojimo atvejų (1600) nei per tą patį laikotarpį pernai (629).
Duomenų išviliojimo statistikos grafose didėjantys skaičiai nebūtinai reiškia, kad dabar nuo sukčių internete nukenčia daugiau žmonių nei anksčiau. Tai gali reikšti ir tai, kad nukentėję asmenys dažniau praneša apie nusikaltėlių atakas.
NKSC sukūrė nemokamą sistemą, į kurią galima įkelti sukčių elektroniniu paštu ar trumpąja SMS žinute atsiųstą nuorodą, kurią paspaudus viliojami duomenys.
„Gavę pranešimą apie bandymą sukčiauti tą svetainę ištiriame. Nustatę, kad ji pavojinga, nuorodą įtraukiame į specialią duomenų bazę ir svetainė, kurioje sukčiaujama, Lietuvos gyventojams tampa nebeprieinama.
Vis dėlto net ir tuomet matome, kiek žmonių bando į ją patekti, – pasitaiko apie 5–7 tūkst. paspaudimų. Tai reiškia, kad tiek asmenų dar galėjo prarasti savo duomenis“, – sakė kibernetinio saugumo specialistas.
Siūlo stabtelėti ir pagalvoti
Sukčiai greitai reaguoja į besikeičiančias aplinkybes ir ieško vis naujų būdų, kaip kenkti patikliems interneto vartotojams.
NKSC specialistams jau teko girdėti apie nusikaltėlius, kurie skambindami žmonėms aiškina, kaip pakeisti kompiuterio nustatymus ir patekti į kenkėjiškas sistemas, kurias užblokavo NKSC.
„Sukčiai pasitelkia ir socialinę inžineriją, kuri padeda daryti poveikį. Vis dėlto apgaulės būdai jau daug metų yra panašūs, kai nusikaltėliai prisistato pažįstamais, banko ar didelės įmonės darbuotojais ir prašo atlikti tam tikrus veiksmus, kuriais paprastai siekiama išvilioti duomenis.
Žmonės patys sukčiams atiduoda elektroninio pašto adresus, slaptažodžius ir net dviejų veiksnių autentifikaciją. Tai įvyksta, pavyzdžiui, tuomet, kai kalbant telefonu sukčiai atsiunčia nuorodą, kurią paspaudus suvedami jautrūs duomenys“, – įspėjo A.Aleknavičius.
Ant nusikaltėlių jauko dažnai pakliūva ir daiktus pardavinėjantys žmonės, kai pirkėju prisistatęs sukčius atsiunčia greito atsako kodą (QR) prašydamas patvirtinti, kad pinigai pasiekė pardavėjo sąskaitą.
Nuskenavęs tą kodą pardavėjas patenka į suklastotą elektroninį banką imituojantį puslapį, kuriame suveda prisijungimo duomenis. Tuo pat metu apgavikai duomenis naudoja prisijungti prie tikrojo banko, o žmogus, prisijungimą tvirtindamas dviejų veiksnių autentifikacija, jį patvirtina ne sau, o sukčiui.
„Visi nori operacijas internetu atlikti greitai, tačiau tas greitis turi ir trūkumų, nes prarandamas budrumas.
Tačiau internete privalome būti ne tik budrūs, bet ir šiek tiek įtarūs, ypač jei tai susiję su mūsų pinigais.
Nei bankai, nei „Google“ ar Valstybinės mokesčių inspekcijos (VMI) atstovai neskambinėja klientams ir neprašo suvedinėti asmens duomenų. VMI tikrai nesuteikia kam nors privilegijų teigdama, kad greičiau grąžins mokesčių permoką, jei tik asmuo suskubs suvesti savo duomenis į atsiųstą nuorodą.
Tačiau sukčiai yra įgudę naudotis žmonių emocijomis ir net silpnybėmis, kai aukos raginamos veikti greitai, nes kitaip esą kyla grėsmė jų pinigams“, – pabrėžė A.Aleknavičius.
Pinigai yra vienas jautriausių dalykų, tad baimindamiesi juos prarasti ar tikėdamiesi jų gauti daugiau žmonės ir pakliūva į apgavikų pinkles.
„Sulaukęs pranešimo ar skambučio žmogus pirmiausia turėtų pagalvoti. Paprasčiausias ir itin efektyvus būdas stabdyti duomenų viliojimo atakas – padėti telefono ragelį ir perskambinti, pavyzdžiui, banko nurodytu telefonu ir su konsultantu iš naujo aiškintis, kas vyksta.
Lietuvoje atkūrus nepriklausomybę būdavo atvejų, kai policijos pareigūnais persirengę nusikaltėliai gatvėje stabdydavo automobilius ir juos užgrobdavo. Tie vairuotojai, kurie bijodavo sustoti, turėdavo nuvažiuoti į artimiausią policijos komisariatą ir ten išsiaiškinti, ar juos tikrai stabdė policininkai.
Apsisaugoti nuo interneto sukčių padeda panašus būdas: reikėtų neskubėti daryti to, ko prašoma, o patikrinti, ar tikrai su jumis susisiekė banko ar VMI atstovai“, – paaiškino A.Aleknavičius.
Informaciją naudoja nusikalstamoms veikloms
Duomenų vagystė, kurios angliškas terminas „phishing“ kilęs nuo žodžių junginio „password fishing“ (slaptažodžių žvejyba), – tai tokia sukčiavimo forma, kai pasinaudojus elektroninio pašto laiškais, SMS žinutėmis ar suklastotais interneto tinklalapiais siekiama išgauti prisijungimo prie informacinių sistemų slaptažodžius ir kitus konfidencialius duomenis.
Dažniausiai tokios atakos būna nukreiptos prieš bankų klientus siekiant sužinoti jų prisijungimo prie elektroninės bankininkystės slaptažodžius ar kredito kortelių duomenis.
Taip gauta informacija vėliau gali būti panaudota vykdant nusikalstamas veikas: neteisėtus prisijungimus prie informacinių sistemų, pinigų vagystes iš sąskaitų, elektroninėje erdvėje atsiskaitant už prekes svetimomis kortelėmis.
Elektroninių paslaugų naudotojai turėtų internete saugotis klastočių, kurios imituoja elektroninio pašto paslaugą teikiančius tinklalapius, socialinius tinklalapius, elektroninių mokėjimų sistemą „PayPal“, kitas populiarias svetaines.
Budrumo nereikėtų prarasti ir tada, kai skambinama iš pažįstamo telefono numerio. Kad skambutis nesukeltų įtarimo, programišiai naudoja mobiliojo numerio klastojimo (angl. „spoofing“) techniką, kai skambinančiojo numeris rodomas kitas. Perskambinę tokiam numeriui būsite sujungti su tikruoju numerio savininku, kuris neturės nieko bendra su įvykusia situacija.
Kitas viliojimo būdas – itin geri pasiūlymai. Gundoma didžiulėmis nuolaidomis, raginama kuo greičiau pirkti ir naudotis riboto laiko pasiūlymais. Prieš registruojantis ar apsiperkant nepažįstamoje parduotuvėje patariama peržiūrėti atsiliepimus internete, patikrinti kontaktų skiltį. Įtarimas turėtų kilti tada, jei nėra nurodyti įmonės rekvizitai, kontaktinis telefonas, oficialus elektroninis paštas.
Sukčiai taip pat kuria žinomų elektroninių parduotuvių kopijas ir leidžia reklamas socialiniuose tinkluose naudodamiesi gera prekės ženklo reputacija, todėl patariama peržiūrėti prekes reklamuojantį profilį, jo įrašų istoriją.
Būtina atkreipti dėmesį į reakcijas ir komentarus. Jei jų yra daug, jie parašyti lietuvių kalba, o autorių vardai ir pavardės yra nelietuviški, tokie komentarai yra netikri.
Vis sunkiau atpažįstamos tampa kenkėjiškos SMS žinutės. Dažniausi sukčių naudojami scenarijai yra susiję su siuntų pristatymu, pavyzdžiui, teigiama, kad kurjeriui nepavyko pristatyti siuntos, ji įstrigo muitinėje, reikia atnaujinti duomenis. Pasitaiko ir mokesčių grąžinimą arba skolą imituojančių žinučių, kuriose manipuliuojama baime prarasti pinigus.
Žinute pasitikėti neverta net tada, jei joje teisingai nurodyti vardas ar adresas, nes šiuos duomenis programišiai galėjo gauti, jei į kenkėjišką puslapį savo duomenis suvedėte praeityje.
Kenkėjišką SMS dažnai išduoda lietuviškų raidžių nenaudojimas, rašybos klaidos, raginimas veikti kuo greičiau, bandymas sukelti stresą ir nuoroda. Susidūrus su situacija, kurioje nukentėjote finansiškai, būtina nedelsiant kreiptis į savo banką, nes kai kuriais atvejais dar būna galimybė sustabdyti pinigų pervedimą sukčiams. Apie įvykį taip pat svarbu informuoti policiją, o apie įtarimą keliančią nuorodą arba sukčiavimo svetainę pranešti ir NKSC.
Projektą „Atpažink sukčių – išsaugok pinigus“ iš dalies finansuoja Medijų rėmimo fondas. Projektui skirta 5000 Eur suma.
