Šiandieniniai išmanieji telefonai tapo kur kas daugiau nei tik ryšio priemone – tai mūsų asmeniniai bankai, darbo įrankiai ir skaitmeninių tapatybių saugyklos. Nors daugelis mūsų jau išmoko atpažinti įtartinus elektroninius laiškus ir vengia spausti ant neaiškių nuorodų kompiuteryje, trumposios SMS žinutės vis dar sukelia nepagrįstą saugumo jausmą. Būtent šia spraga vis dažniau naudojasi piktavaliai. Gaunamas pranešimas apie neva blokuotą banko sąskaitą, nesumokėtą mokesčių skolą ar sulaikytą pašto siuntą gali priversti sunerimti net ir patį atsargiausią vartotoją. Sukčiai nuolat tobulina savo metodus, pritaikydami juos prie aktualijų ir manipuliuodami natūraliomis žmogaus emocijomis – baime prarasti pinigus arba smalsumu. Suprasti, kaip veikia šios schemos ir į ką būtina atkreipti dėmesį, yra pirmasis bei svarbiausias žingsnis siekiant apsaugoti savo asmeninius duomenis ir sunkiai uždirbtas santaupas.
Ilgą laiką buvo manoma, kad kibernetiniai nusikaltėliai taikosi tik į dideles korporacijas ar itin turtingus asmenis, tačiau šiandieninė realybė yra visiškai kitokia. Masinio sukčiavimo kampanijos per SMS žinutes yra pigus ir efektyvus būdas pasiekti tūkstančius potencialių aukų vienu metu. Net jeigu tik vienas procentas gavėjų patikės žinute ir paspaus joje esančią nuorodą, nusikaltėliams tai atneš didžiulį pelną. Todėl kiekvienas išmaniojo įrenginio savininkas turi tapti savo paties kibernetinio saugumo ekspertu, gebančiu kritiškai vertinti kiekvieną gaunamą informaciją.
Kas yra „Smishing“ ir kaip veikia šis apgaulės būdas?
Kibernetinio saugumo pasaulyje apgaulingos SMS žinutės yra vadinamos terminu „Smishing“ (angl. SMS phishing). Tai socialinės inžinerijos ataka, kurios metu nusikaltėliai siunčia trumpąsias žinutes, apsimesdami patikimomis institucijomis, bankais, valstybinėmis įstaigomis ar siuntų pristatymo tarnybomis. Pagrindinis šios atakos tikslas – išvilioti iš aukos jautrią informaciją, pavyzdžiui, elektroninės bankininkystės prisijungimo duomenis, mokėjimo kortelių numerius, asmens kodą ar priversti vartotoją patvirtinti netikras operacijas naudojant „Smart-ID“ ar „Mobile-ID“ priemones.
Vienas pavojingiausių „Smishing“ aspektų yra siuntėjo tapatybės klastojimas (angl. Spoofing). Naudodamiesi specifinėmis technologijomis, sukčiai gali manipuliuoti telekomunikacijų tinklais taip, kad jūsų telefono ekrane siuntėjo vardas būtų rodomas kaip „Bankas“, „VMI“, „Lietuvos pastas“ ar bet koks kitas žinomas pavadinimas. Dėl šios priežasties jūsų išmanusis telefonas gali priskirti apgaulingą žinutę prie jau egzistuojančio, autentiško susirašinėjimo su ta įstaiga. Tai sukuria stiprią iliuziją, kad pranešimas yra visiškai legalus ir saugus, todėl net ir budrūs vartotojai dažnai praranda budrumą ir seka žinutėje pateiktais nurodymais.
Pagrindiniai požymiai, išduodantys netikrą SMS žinutę
Nors iš pirmo žvilgsnio sukčių žinutės atrodo įtikinamai, atidžiau panagrinėjus visuomet galima pastebėti tam tikrų neatitikimų, kurie išduoda klastą. Gebėjimas identifikuoti šiuos raudonus signalus yra jūsų pagrindinis skydas nuo finansinių nuostolių.
Psichologinis spaudimas ir dirbtinė skuba
Nusikaltėliai žino, kad žmogus, turintis laiko pagalvoti ir patikrinti informaciją, greičiausiai neatiduos savo pinigų. Todėl beveik kiekviena apgaulinga žinutė yra sukonstruota taip, kad sukeltų streso ar panikos reakciją. Žinutėse dažnai naudojami tokie žodžiai kaip „skubu“, „jūsų sąskaita blokuojama“, „paskutinis įspėjimas“ arba „jūsų siunta bus grąžinta siuntėjui“. Taip bandoma priversti jus veikti impulsyviai, išjungiant loginį mąstymą. Tikros institucijos niekada nereikalauja atlikti saugumo veiksmų per kelias minutes ir negrasina staigiu sąskaitos uždarymu vienoje SMS žinutėje.
Įtartinos, užmaskuotos arba sutrumpintos nuorodos
Pats svarbiausias sukčių tikslas – priversti jus paspausti žinutėje esančią nuorodą, kuri nuves į suklastotą interneto puslapį. Šie puslapiai dažnai būna identiškos tikrų bankų ar įstaigų svetainių kopijos. Kad nuoroda neatrodytų per daug įtartina, sukčiai naudoja kelis triukus. Jie gali naudoti nuorodų trumpinimo paslaugas (pavyzdžiui, bit.ly) arba registruoti domenus, kurie vizualiai labai panašūs į tikruosius, pavyzdžiui, swedbank-lt.com, seb-saugumas.info ar lietuvospastas-siunta.net. Visada atkreipkite dėmesį į tai, ar nuoroda tikrai veda į oficialų įstaigos domeną.
Netaisyklinga kalba ir nelogiškas turinys
Nors modernūs vertimo įrankiai padėjo sukčiams žymiai pagerinti savo žinučių kokybę, jose vis dar dažnai pasitaiko gramatikos, sintaksės ar logikos klaidų. Gali trūkti lietuviškų raidžių, sakinių konstrukcijos gali skambėti nenatūraliai, tarsi būtų tiesiogiai išverstos iš kitos kalbos. Taip pat verta atkreipti dėmesį į kreipinį – oficialios įstaigos, kuriose esate registruoti, dažniausiai kreipiasi į jus vardu, tuo tarpu masinio siuntimo atveju kreipinys būna abstraktus, pavyzdžiui, „Gerbiamas kliente“.
Dažniausiai pasitaikantys sukčių scenarijai Lietuvoje
Norint sėkmingai atpažinti pavojų, naudinga žinoti populiariausius scenarijus, kuriuos piktavaliai šiuo metu aktyviausiai naudoja prieš Lietuvos gyventojus. Šie scenarijai kinta priklausomai nuo sezoniškumo, pavyzdžiui, mokesčių deklaravimo laikotarpio ar didžiųjų metų švenčių, kai padaugėja siunčiamų siuntų.
- Apsimetimas Valstybine mokesčių inspekcija (VMI): Gyventojai gauna žinutes apie neva paskirtą baudą, nesumokėtus mokesčius arba, atvirkščiai, apie jiems priklausantį mokesčių grąžinimą. Žinutėje prašoma paspausti nuorodą ir prisijungti per elektroninę bankininkystę, kad būtų galima „patvirtinti tapatybę“ ir atsiimti pinigus.
- Siuntų pristatymo tarnybų (Lietuvos pašto, Omniva, DPD) klastotės: Tai ypač populiaru šventiniu laikotarpiu. Žinutėje nurodoma, kad siunta sulaikyta terminale, nes trūksta adreso informacijos arba reikia sumokėti nedidelį muito ar pristatymo mokestį (pavyzdžiui, 1,99 EUR). Paspaudus nuorodą, atidaromas netikras puslapis, kuriame prašoma suvesti mokėjimo kortelės duomenis. Vos tik juos suvedate, nusikaltėliai nuskaito kur kas didesnes sumas.
- Bankų pranešimai apie saugumo grėsmes: Sukčiai siunčia žinutes banko vardu, teigdami, kad prie jūsų sąskaitos bando prisijungti pašaliniai asmenys arba iš jos atliekamas įtartinas pervedimas. Norint „atšaukti“ operaciją, reikalaujama paspausti nuorodą ir suvesti „Smart-ID“ ar „Mobile-ID“ PIN kodus. Iš tiesų, suvesdami kodus, jūs patvirtinate sukčių inicijuotą pinigų pervedimą iš jūsų sąskaitos.
Kaip apsaugoti savo pinigus ir asmeninius duomenis?
Kibernetinis saugumas prasideda nuo kritinio mąstymo ir ramybės išlaikymo. Sukčiai manipuliuoja jūsų emocijomis, tačiau techniškai jie negali pavogti jūsų pinigų be jūsų pačių aktyvaus įsitraukimo. Vadovaukitės šiais pagrindiniais saugumo principais, kad užkirstumėte kelią finansiniams nuostoliams.
- Niekada nespauskite nuorodų, gautų SMS žinutėmis. Net jeigu žinutė atrodo atėjusi iš patikimo šaltinio, venkite spausti joje esančias nuorodas. Jeigu abejojate ir manote, kad informacija gali būti teisinga, atidarykite savo interneto naršyklę, patys ranka įveskite oficialų įstaigos adresą (pavyzdžiui, banko svetainės adresą) ir prisijungę patikrinkite, ar turite kokių nors asmeninių pranešimų.
- Atidžiai skaitykite, ką patvirtinate su „Smart-ID“ ar „Mobile-ID“. Tai yra jūsų skaitmeninis parašas, turintis lygiai tokią pat juridinę galią kaip ir jūsų ranka padėtas parašas ant popieriaus. Niekada neveskite PIN1 ar PIN2 kodų, jeigu patys tuo metu neinicijavote jokio veiksmo. Ypač svarbu atkreipti dėmesį į PIN2 kodą – jis skirtas tik pavedimams arba dokumentams tvirtinti. Jeigu jums skambina ar rašo „banko darbuotojas“ ir prašo suvesti PIN2 kodą „tapatybės patvirtinimui“ arba „operacijos atšaukimui“, tai yra 100 procentų sukčių ataka.
- Kritiškai vertinkite prašymus pateikti jautrią informaciją. Atminkite vieną auksinę taisyklę: nei bankai, nei policija, nei jokios kitos oficialios valstybinės įstaigos niekada neprašo padiktuoti ar kur nors suvesti jūsų prisijungimo slaptažodžių, pilnų mokėjimo kortelės numerių ar saugumo (CVV) kodų. Jeigu sulaukėte tokio prašymo – su jumis bendrauja nusikaltėliai.
- Neskubėkite ir pasitarkite. Gavę nerimą keliančią žinutę, padėkite telefoną į šalį bent penkioms minutėms. Emocijoms atslūgus, perskaitykite ją dar kartą. Jei vis dar abejojate, paskambinkite oficialiu banko ar įstaigos telefonu, nurodytu jų interneto svetainėje, arba pasitarkite su technologiškai raštingesniais šeimos nariais.
Dažniausiai užduodami klausimai (DUK)
Ar galiu užsikrėsti virusu vien atidaręs ir perskaitęs netikrą SMS žinutę?
Pats SMS žinutės atidarymas ir perskaitymas jūsų išmaniajam telefonui jokio pavojaus nekelia. Pavojus kyla tik tada, kai pradedate atlikti žinutėje prašomus veiksmus – spaudžiate nuorodas, atsisiunčiate prisegtus failus ar suvedate savo asmeninius duomenis atidarytose netikrose svetainėse. Jeigu tiesiog perskaitėte įtartiną žinutę, jums nieko nenutiks. Saugiausias žingsnis tokiu atveju yra nedelsiant tą žinutę ištrinti ir užblokuoti siuntėjo numerį.
Kaip sukčiai sužino mano asmeninį telefono numerį?
Sukčiai telefono numerius gauna iš įvairių šaltinių. Dažniausiai tai būna nutekėjusios didžiulės duomenų bazės iš įvairių internetinių parduotuvių, forumų ar paslaugų teikėjų, kuriose jūs kada nors esate registravęsi. Taip pat egzistuoja specialios programos, kurios automatiškai generuoja atsitiktines skaičių kombinacijas ir siunčia žinutes tūkstančiams atsitiktinių numerių iš eilės. Tai, kad gavote žinutę, nereiškia, jog sukčiai žino konkrečiai jūsų asmenybę – dažniausiai tai tiesiog aklas šaudymas, tikintis, kad kažkas užkibs.
Kodėl sukčių žinutė mano telefone atsiranda toje pačioje gijoje kaip ir tikro banko pranešimai?
Taip nutinka dėl to, kad mobiliųjų tinklų protokolas (SMS) buvo sukurtas gana seniai ir jame nebuvo numatyti griežti siuntėjo tapatybės autentifikavimo mechanizmai. Sukčiai naudoja specialias užsienio SMS siuntimo platformas, kurios leidžia ranka įrašyti norimą siuntėjo vardą (pavyzdžiui, raidžių kombinaciją „Bankas“). Jūsų telefonas sistemina žinutes ne pagal realų IP adresą, o pagal matomą siuntėjo vardą. Matydamas tą patį pavadinimą, telefonas automatiškai sugrupuoja suklastotą žinutę su senomis, tikromis to paties banko žinutėmis.
Ar įmanoma susigrąžinti pinigus, jeigu vis dėlto juos pervedžiau sukčiams?
Galimybė susigrąžinti prarastus pinigus labai priklauso nuo to, kaip greitai sureaguosite ir nuo atlikto mokėjimo tipo. Jeigu patys suvedėte „Smart-ID“ kodus ir patvirtinote momentinį pervedimą į užsienio sąskaitą, pinigai gali būti negrįžtamai prarasti per kelias sekundes. Tačiau jeigu atsiskaitėte mokėjimo kortele ir laiku pastebėjote klastą, bankas kartais dar gali inicijuoti mokėjimo ginčijimo procedūrą. Bet kuriuo atveju, svarbiausia yra nedelsti nė minutės.
Neatidėliotini veiksmai, jeigu vis dėlto atskleidėte savo jautrius duomenis
Net ir patys atidžiausi žmonės kartais padaro klaidų. Stresas, nuovargis ar tiesiog prarastas budrumas gali lemti, kad netyčia paspausite nuorodą ir suvesite savo duomenis. Jeigu supratote, kad tapote sukčių auka, svarbiausia nepanikuoti, bet veikti maksimaliai greitai, nes šioje situacijoje svarbi kiekviena sekundė.
Pirmiausia, nedelsiant susisiekite su savo banku oficialiu klientų aptarnavimo telefonu, kuris nurodytas ant jūsų mokėjimo kortelės nugarėlės. Informuokite banko darbuotoją apie situaciją, kad jis galėtų operatyviai užblokuoti jūsų banko sąskaitas, atšaukti dar neįvykdytus pavedimus bei užblokuoti mokėjimo korteles. Jeigu turite galimybę ir dar nesate praradę prieigos, patys per mobiliąją programėlę nedelsiant pakeiskite elektroninės bankininkystės prisijungimo slaptažodžius ir laikinai įšaldykite korteles.
Antrasis žingsnis – išsaugokite visus įrodymus. Neskubėkite trinti apgaulingos SMS žinutės ar uždaryti netikros svetainės lango. Padarykite telefono ekrano nuotraukas (angl. screenshots), kuriose aiškiai matytųsi gauta žinutė, siuntėjo informacija, nuoroda ir laikas, kada žinutė buvo gauta. Ši informacija bus labai vertinga teisėsaugos pareigūnams tiriant nusikaltimą.
Galiausiai, apie įvykusį nusikaltimą privalote pranešti Lietuvos policijai. Tai galite padaryti greitai ir patogiai pasinaudodami elektroninių policijos paslaugų portalu epolicija.lt. Užpildykite pareiškimą ir pridėkite visus surinktus įrodymus. Nors pinigų susigrąžinimas negarantuojamas, jūsų pateikta informacija padeda teisėsaugai identifikuoti nusikaltėlių naudojamas sąskaitas, blokuoti apgaulingas interneto svetaines ir taip apsaugoti kitus visuomenės narius nuo panašių praradimų ateityje.
