Šiandieniniame skaitmeniniame amžiuje išmanusis telefonas yra ne tik pagrindinė ryšio priemonė, bet ir asmeninis bankas, skaitmeninė piniginė bei jautriausių asmens duomenų saugykla. Tobulėjant išmaniosioms technologijoms ir stiprėjant bankų apsaugos sistemoms, nusikaltėliai vis rečiau bando laužtis į pačias informacines sistemas. Vietoj to jie taikosi į silpniausią saugumo grandį – patį žmogų. Viena sparčiausiai augančių ir didžiausią žalą vartotojams Lietuvoje ir visame pasaulyje darančių kibernetinių grėsmių yra trumposiomis SMS žinutėmis vykdomas sukčiavimas. Kibernetinio saugumo specialistų terminologijoje šis reiškinys žinomas kaip smishing (angl. SMS phishing). Šių atakų tikslas yra labai paprastas, tačiau itin destruktyvus: priversti jus atskleisti prisijungimo prie internetinės bankininkystės duomenis, mokėjimo kortelių informaciją, asmens kodą arba išgauti patvirtinimus per išmaniąsias autentifikavimo programėles. Nors visuomenės informuotumas kasmet auga, sukčių naudojamos taktikos tampa vis subtilesnės, maskuojamos po gerai žinomų prekių ženklų vardais, o atpažinti apgaulę darosi vis sudėtingiau.
Nusikaltėliai puikiai supranta šiuolaikinio žmogaus įpročius. Dauguma vartotojų šiais laikais ignoruoja įtartinus elektroninius laiškus, nes pašto paslaugų tiekėjai yra įdiegę itin pažangius šlamšto bei virusų filtrus. Tuo tarpu SMS žinutės neturi tokių griežtų automatinių filtrų. Jos pasiekia gavėją tiesiogiai, sukelia telefono vibraciją ar garsinį signalą, todėl statistiškai yra atidaromos per kelias minutes ar net sekundes. Būtent šis betarpiškumas, nuolatinis pasiekiamumas ir žmogaus instinktas nedelsiant perskaityti gautą asmeninį pranešimą yra pagrindiniai ginklai, kuriais manipuliuoja SMS sukčiai. Norint apsaugoti savo sunkiai uždirbtus pinigus, būtina ne tik žinoti bazines saugumo taisykles, bet ir suprasti psichologinius mechanizmus, kuriuos nusikaltėliai naudoja siekdami palaužti jūsų budrumą.
Dažniausiai pasitaikantys ir pavojingiausi sukčių žinučių scenarijai
Norint sėkmingai atpažinti sukčių pinkles, pirmiausia reikia žinoti, kaip jos atrodo. Nusikaltėliai nuolat atnaujina savo scenarijus, pritaikydami juos prie aktualijų – švenčių laikotarpių, mokesčių deklaravimo sezonų ar net pasaulinių krizių. Visgi, dauguma atakų remiasi keliais laiko patikrintais ir labai efektyviais šablonais.
- Siuntų pristatymo tarnybų klastotės: Tai ypač populiaru prieš didžiąsias metų šventes ar išpardavimų metu. Gaunate žinutę neva iš DPD, Omniva, LP Express ar Lietuvos pašto, kurioje teigiama, kad jūsų siuntos pristatymas sustabdytas, nes trūksta adreso duomenų arba reikia sumokėti nedidelį muito ar pristatymo mokestį (pavyzdžiui, 1,99 EUR). Pridėta nuoroda veda į identiškai atrodantį, bet netikrą kurjerių puslapį, kur prašoma suvesti banko kortelės duomenis.
- Pranešimai iš bankų: Tai bene pavojingiausias scenarijus, nes tiesiogiai taikosi į jūsų banko sąskaitą. Žinutė, neva siunčiama jūsų komercinio banko (Swedbank, SEB, Luminor ir kt.), informuoja apie „blokuojamą sąskaitą“, „įtartiną pervedimą“ arba „būtinybę atnaujinti Smart-ID paskyrą“. Kad išvengtumėte blokavimo, prašoma skubiai paspausti nuorodą ir prisijungti prie sistemos.
- Valstybinių institucijų (VMI, Sodros) pranešimai: Dažniausiai suaktyvėja pavasarį, pajamų deklaravimo metu. Sukčiai siunčia žinutes apie neva priskirtą mokesčių permoką, kurią galima atsiimti paspaudus nuorodą, arba, atvirkščiai, gąsdina apie susidariusią skolą valstybei, kurią reikia nedelsiant padengti, antraip bus areštuotos sąskaitos.
- Telekomunikacijų bendrovių vardu siunčiamos žinios: Pranešama apie neva laimėtą naujausią išmanųjį telefoną arba gąsdinama, kad jūsų telefono numeris bus užblokuotas dėl neapmokėtos sąskaitos, jei nepaspausite prisegtos nuorodos.
Psichologinis manipuliavimas: baimės ir godumo faktoriai
Ekspertai pabrėžia, kad sukčiavimo esmė yra ne technologijos, o psichologija. Kiekviena apgaulinga žinutė yra sukurta taip, kad iššauktų stiprią emocinę reakciją. Dažniausiai naudojami du kraštutinumai: baimė ir godumas. Baimė sukeliama gąsdinant prarastais pinigais, blokuota kortele ar teisinėmis pasekmėmis (skola VMI). Godumas skatinamas siūlant lengvus pinigus, netikėtus laimėjimus, vertingus prizus ar didžiules nuolaidas. Be to, visos šios žinutės turi bendrą vardiklį – skubos jausmą. Sukčiai naudoja tokius žodžius kaip „skubiai“, „nedelsiant“, „per 12 valandų“, kad žmogus neturėtų laiko racionaliai apgalvoti situacijos, pasitarti su artimaisiais ar paskambinti į tikrąją instituciją ir patikrinti informaciją.
Raudonosios vėliavėlės: kaip identifikuoti klastą per kelias sekundes
Net ir pačios tobuliausios sukčių žinutės dažniausiai turi trūkumų, kuriuos įgudusi akis gali pastebėti akimirksniu. Norint apsisaugoti, būtina atkreipti dėmesį į šiuos esminius įspėjamuosius ženklus, vadinamuosius raudonus signalus, rodančius, kad prieš jus – nusikaltėlių jaukas.
- Įtartina internetinė nuoroda (URL): Tai pats svarbiausias indikatorius. Niekada nespauskite nuorodos iškart. Įdėmiai ją perskaitykite. Sukčiai naudoja domenus, kurie tik primena originalą, pavyzdžiui, swed-bankas.lt, seb-saugumas.info, vmi-mokesciai.com arba naudoja nuorodų trumpinimo paslaugas (bit.ly, cutt.ly). Oficialios institucijos Lietuvoje visada naudoja tikslius, ilgalaikius ir patvirtintus .lt domenus be jokių brūkšnių ar papildomų žodžių.
- Nelogiškas siuntėjo numeris arba vardas: Nors sukčiai moka padirbti siuntėjo vardą (angl. SMS spoofing), kartais žinutė neva iš Lietuvos banko ateina iš užsienietiško numerio (prasidedančio +44, +33 ir pan.). Be to, atkreipkite dėmesį į ankstesnių žinučių istoriją telefone – kartais netikra žinutė nuo „banko“ įkrenta į tą patį pokalbį, kuriame anksčiau gavote žinutę nuo taksi paslaugų ar kazino, nes sukčiai naudoja tas pačias masinio SMS siuntimo platformas.
- Gramatinės, stiliaus klaidos ir nelietuviškos raidės: Nors dabar vertimo programos veikia daug geriau nei anksčiau, dažnai sukčių žinutėse pasitaiko klaidų. Trūksta nosinių raidžių, sakinių konstrukcijos skamba nenatūraliai, kreipiniai yra neasmeniniai (pvz., „Gerbiamas kliente“, užuot kreipusis vardu).
- Prašymas atskleisti slaptus duomenis: Žinutėje tiesiogiai ar netiesiogiai (per nuorodą) reikalaujama suvesti PIN kodus, slaptažodžius, mokėjimo kortelės CVV kodą ar patvirtinti operaciją Smart-ID programėlėje. Atsiminkite: niekas – nei bankas, nei policija – niekada neturi teisės prašyti jūsų PIN kodų.
Oficialių institucijų bendravimo taisyklės, kurias būtina žinoti
Kad galėtumėte lengvai atskirti pelus nuo grūdų, privalote žinoti, kaip iš tiesų su klientais bendrauja tikri Lietuvos komerciniai bankai, valstybinės įstaigos bei didžiosios įmonės. Yra griežtos komunikacijos taisyklės, kurių šios institucijos nepažeidžia niekada.
- Bankai SMS žinutėse niekada nesiunčia aktyvių nuorodų į prisijungimo puslapį. Jei bankui reikia, kad prisijungtumėte prie savo paskyros ir perskaitytumėte svarbų pranešimą, jie atsiųs informacinę žinutę be nuorodos, prašydami savarankiškai atsidaryti mobiliąją programėlę arba įvesti banko adresą interneto naršyklėje.
- Niekada neprašoma Smart-ID PIN2 kodo tiesiog norint prisijungti. PIN2 kodas yra skirtas tik operacijoms (pinigų pervedimams, sutarčių pasirašymams) patvirtinti. Jei vos paspaudus nuorodą ir atsidarius puslapiui jūsų prašo įvesti PIN2 – tai 100% sukčiavimas, nes tuo metu nusikaltėliai fone inicijuoja pinigų pervedimą iš jūsų sąskaitos.
- Oficialūs pranešimai nėra formuojami per gąsdinimus. Jei jūsų banko sąskaita tikrai būtų apribota dėl saugumo, banko darbuotojas greičiausiai jums paskambintų asmeniškai, ir net tada jis neprašytų diktuoti jokių slaptažodžių.
Ką daryti gavus įtartiną SMS žinutę savo išmaniajame telefone?
Jei jūsų telefono ekrane įsižiebė žinutė, kuri atitinka nors vieną iš anksčiau minėtų grėsmės kriterijų, svarbiausia taisyklė – nepasiduoti panikai ir skubėjimui. Jūsų ramybė yra didžiausias skydas prieš sukčių atakas. Ekspertai pataria laikytis griežto veiksmų algoritmo.
Visų pirma, visiškai ignoruokite žinutėje esančią nuorodą. Jos nespauskite net iš smalsumo, norėdami pažiūrėti, kaip atrodo netikra svetainė. Kartais vien paspaudimas ant kenkėjiškos nuorodos gali atskleisti sukčiams jūsų IP adresą, įrenginio modelį, o retais atvejais – be jūsų žinios fone atsiųsti ir įdiegti kenkėjišką programinę įrangą (nors išmaniuosiuose telefonuose tai padaryti sunkiau nei kompiuteriuose, rizika vis tiek išlieka).
Antras žingsnis – patikrinkite informaciją nepriklausomais kanalais. Jei žinutė atėjo nuo siuntų tarnybos ir jūs tikrai laukiate siuntos, eikite tiesiai į oficialią tos tarnybos svetainę (pvz., dpd.lt) ir ten suveskite siuntos sekimo numerį. Jei rašo bankas – atsidarykite oficialią banko programėlę ir pažiūrėkite, ar ten yra kokių nors pranešimų. Trečias žingsnis – užblokuokite siuntėją savo telefone ir ištrinkite žinutę. Galiausiai, apie bandymą sukčiauti rekomenduojama pranešti Nacionaliniam kibernetinio saugumo centrui (NKSC) arba pateikti informaciją per policijos elektroninių paslaugų portalą e-policija.lt. Taip padėsite atsakingoms institucijoms greičiau blokuoti kenkėjiškas nuorodas ir apsaugosite kitus žmones.
Skubūs veiksmai: kaip elgtis, jei vis dėlto paspaudėte nuorodą ir suvedėte duomenis
Sukčiai yra profesionalūs manipuliatoriai, todėl kartais net ir patys atsargiausi žmonės, pagauti netinkamu momentu, gali suklysti. Jei supratote, kad paspaudėte pavojingą nuorodą ir netikroje svetainėje suvedėte savo banko prisijungimo kodus, kortelės duomenis ar patvirtinote operaciją Smart-ID, Mobile-ID kodais, veikti privalote žaibiškai. Kiekviena minutė gali kainuoti šimtus ar net tūkstančius eurų.
- Nedelsiant susisiekite su savo banku: Skambinkite oficialiu, banko svetainėje arba ant mokėjimo kortelės nugarėlės nurodytu informacijos telefonu. Informuokite banko operatorių, kad tapote sukčių auka, ir prašykite skubiai užblokuoti mokėjimo korteles bei laikinai įšaldyti jūsų internetinės bankininkystės paskyrą. Bankai dirba visą parą, todėl skambinkite net ir gilią naktį.
- Pakeiskite visus svarbius slaptažodžius: Jei apgaulingoje svetainėje suvedėte savo elektroninio pašto ar kitos svarbios paskyros slaptažodį, nedelsiant jį pakeiskite. Dažnai žmonės naudoja vienodą slaptažodį keliose platformose, todėl kompromitavus vieną, pavojus kyla ir visoms kitoms paskyroms. Įjunkite dviejų faktorių autentifikaciją (2FA) visur, kur tik įmanoma.
- Kreipkitės į teisėsaugą: Kuo skubiau praneškite apie įvykį Lietuvos policijai per e-policija.lt sistemą arba paskambinę numeriu 112, jei pinigai jau dingo. Pateikite visus įrodymus – padarykite išsaugotas ekrano nuotraukas (angl. screenshots) su sukčių žinutėmis, fiksuokite tikslų laiką, telefono numerius ir internetinius adresus, į kuriuos buvote nukreipti.
- Stebėkite savo banko sąskaitos išrašus: Jei bankui pavyko sustabdyti pirmines operacijas, vis tiek kelias ateinančias savaites atidžiai stebėkite savo sąskaitos judėjimą. Pastebėję net pačius smulkiausius, jums nežinomus nuskaitymus (kartais sukčiai nuskaito vos kelias dešimtis centų, testuodami, ar kortelė aktyvi), nedelsiant apie tai informuokite banką.
Dažniausiai užduodami klausimai
Ar galiu užsikrėsti kenkėjiška programa ar virusu vien atidaręs ir perskaitęs SMS žinutę?
Ne, pats žinutės atidarymas ir teksto perskaitymas jūsų išmaniajam telefonui pavojaus nekelia. Šiuolaikinės operacinės sistemos (iOS, Android) yra pakankamai saugios, kad tekstinis pranešimas negalėtų automatiškai įdiegti viruso. Pavojus kyla tik tada, kai paspaudžiate žinutėje esančią aktyvią internetinę nuorodą ir atidarote kenkėjišką svetainę arba sutinkate atsiųsti ir įdiegti neaiškios kilmės failą.
Kodėl sukčiai savo žinutėse žino mano tikslų vardą, pavardę arba telefono numerį?
Kibernetiniai nusikaltėliai šią informaciją dažniausiai gauna iš ankstesnių didžiulių duomenų nutekėjimų. Interneto forumuose, e-parduotuvėse ar net socialiniuose tinkluose anksčiau įvykusios programišių atakos leido surinkti didžiules duomenų bazes su žmonių vardais ir telefonų numeriais. Sukčiai nusiperka šias bazes juodojoje rinkoje ir naudoja jas personalizuotoms atakoms, kad žinutė atrodytų kuo įtikinamiau. Tai, kad jie žino jūsų vardą, anaiptol nereiškia, kad jie turi priėjimą prie jūsų banko.
Ar bankas man kompensuos prarastus pinigus, jei tapau SMS sukčių auka?
Kiekviena situacija yra vertinama individualiai, tačiau dažniausiai bankai nuostolių nekompensuoja, jeigu klientas pats savanoriškai atskleidė savo prisijungimo duomenis, suvedė PIN kodus ir pats patvirtino pervedimus Smart-ID ar M.Parašu. Banko sistemos veikia taip, kaip joms duodama komanda, o operacijos patvirtinimas PIN kodu prilygsta jūsų asmeniniam parašui. Bankas grąžina lėšas tik tada, kai įrodoma, kad lėšos nuskaičiuotos dėl pačios banko sistemos saugumo spragų arba be jokio kliento sutikimo ir autorizavimo.
Kaip techniškai užblokuoti įkyrias ir pavojingas žinutes savo išmaniajame įrenginyje?
Ir „Android“, ir „iOS“ operacinės sistemos turi integruotas funkcijas šlamštui blokuoti. „Android“ įrenginiuose galite atidaryti žinučių nustatymus ir įjungti „Spam protection“ (Šlamšto apsauga) funkciją, kuri automatiškai filtruoja įtartinas žinutes. „iPhone“ naudotojai gali įjungti funkciją „Filter Unknown Senders“ (Filtruoti nežinomus siuntėjus), kuri žinutes iš numerių, nesančių jūsų kontaktų sąraše, perkelia į atskirą aplanką. Be to, gavę konkrečią sukčių žinutę, visada paspauskite ant siuntėjo informacijos ir pasirinkite „Block this caller“ (Blokuoti šį numerį).
Sukčiavimo evoliucija ir dirbtinio intelekto integracija kibernetinėse atakose
Technologijoms žengiant į priekį, keičiasi ir piktavalių arsenalas. Jei anksčiau sukčių žinutę išduodavo prasta lietuvių kalba, šiandien situacija kardinaliai keičiasi dėl dirbtinio intelekto (DI) galimybių. Kibernetiniai nusikaltėliai dabar naudoja pažangius kalbos modelius, kurie sugeneruoja nepriekaištingos, gramatiškai ir stilistiškai taisyklingos lietuvių kalbos tekstus. Tai reiškia, kad vienas iš pagrindinių senųjų „raudonųjų vėliavėlių“ – netaisyklinga kalba – pamažu nyksta.
Be to, tobulėja ir pačios kenkėjiškos svetainės, į kurias veda SMS žinutėse esančios nuorodos. Sukčiai naudoja vadinamuosius dinaminius phishing puslapius. Kai aukai suvedus savo tikrus prisijungimo duomenis sugeneruojamas prašymas įvesti Smart-ID PIN1, nusikaltėlių automatizuota sistema tą pačią sekundę šiuos duomenis suveda į tikrąjį banko puslapį. Kliento telefone iššoka visiškai tikras Smart-ID pranešimas, todėl jam nekyla jokių įtarimų. Patvirtinus šį kodą, procesas kartojamas pinigų pavedimui – sukčiai suveda pervedimo duomenis savo pusėje, o aukai belieka įvesti PIN2 kodą.
Dar viena nerimą kelianti tendencija yra tikslinių, vadinamųjų „Spear Smishing“ atakų augimas, kai pasitelkus iš viešosios erdvės ir socialinių tinklų surinktą informaciją sukuriamas labai asmeniškas scenarijus. Pavyzdžiui, nusikaltėliai žino, kad jūs neseniai paskelbėte parduodantis automobilį skelbimų portale, ir atsiunčia SMS žinutę, apsimesdami susidomėjusiu pirkėju, prašančiu paspausti nuorodą avansiniam mokėjimui gauti. Visi šie technologiniai pokyčiai reiškia tik viena: vartotojų budrumas negali sumažėti. Kritinis mąstymas, nuolatinis domėjimasis kibernetinio saugumo naujienomis ir taisyklė „nežinau – nespaudžiu“ išlieka geriausia asmenine antivirusine sistema jūsų smegenyse, apsaugančia jūsų skaitmeninį identitetą ir finansinį stabilumą šiandieniame skaitmeniniame pasaulyje.
