Nusikaltėliai ėmėsi naujos taktikos: didžiausias pavojus – tapatybės patvirtinime

Tikriausiai šalyje jau nėra nei vieno žmogaus, kuris pats arba jo šeimos nariai nesulaukė telefoninių sukčių skambučių. Pradžioje klestėjusią schemą, kai skambinama nakties metu ir apsimetama nelaimės ištiktu sūnumi pakeitė kur kas rafinuotesnės schemos.

Globaliai veikiantys nusikaltėliai įkūrė skambučių centrus, dažniausiai į Lietuvą skambinama iš Rusijos. Naudodami nutekintus asmens duomenis, pasitelkdami naujausias technologijas sukčiai taiko ir psichologinio poveikio priemones, socialinės inžinerijos metodus.

„Gavus pranešimą iš siuntų tarnyba apsimetančių sukčių siūloma paspausti joje esančią nuorodą, patikslinti savo vardą ir pavardę, adresą, galiausiai patvirtinti tapatybę. Didžiausias pavojus slypi ne tame, kad kažkas į savo duomenų bazes įtrauks jūsų adresą, o tapatybės patvirtinime.

Prašoma arba atsiųsti savo mokėjimo kortelės duomenis, savaime aišku, kad iš jos bus pasisavinti pinigai arba jungtis per elektroninę bankininkystę naudojant „Smart-ID“, elektroninį parašą ar kodų generatorių“, – portalui „Delfi“ pasakojo su nusikaltimais kibernetinėje erdvėje kovojantis ekspertas.

Tada nusikaltėliams atsiveria du keliai: galimybė prieiti prie aukos sąskaitos ir pavogti pinigus, o dažniausiai naudojama schema – „Smart-ID“ dublikavimas, kai tam pačiam asmeniui, žinant jo asmens kodą suteikiama dar viena paskyra kitame mobiliajame įrenginyje.

„Žinodami jūsų asmens kodą ir turėdami autorizacijos galimybę nusikaltėliai jūsų vardu gali jungtis prie bet kokio banko“, – konstatavo ekspertas.

Net jei žmogus neturi susikūręs „Smart-ID“ paskyros, tačiau turi elektroninį parašą, jo vardu nusikaltėliai savo mobiliajame įrenginyje aukos vardu gali sukurti naują „Smart-ID“ paskyrą.

Čia būtina atkreipti dėmesį, kad sukčiai gali net neprašyti pasakyti savo asmens kodą, vardą bei pavardę. Šią informaciją jie gali žinoti iš anksto, internete cirkuliuoja daug asmeninės informacijos, kurią kibernetiniai nusikaltėliai pagrobė įsilaužę į elektroninių parduotuvių, automobilių nuomos bendrovių, galiausiai – gydymo įstaigų ar komunalinių įmonių sistemas.

Komentuodamas šiuos teiginius kibernetinio saugumo ekspertas Marius Pareščius patvirtino, jog tokia sukčiavimo schema iš tiesų egzistuoja ir naudojama Lietuvoje.

Pasak eksperto, pasinaudodami nutekintais duomenimis, nusikaltėliai apie potencialią auką gali turėti nemažai asmeninio pobūdžio informacijos. Tai ne tik asmens kodas, bet ir įrašai gydymo įstaigų sistemose, duomenys apie pirkimus elektroninėse parduotuvėse, kiti duomenys.

Turėdami šią informaciją taikydami vadinamus „socialinės inžinerijos“ metodus, M. Pareščiaus teigimu, sukčiai gali įtikinamai apsimesti bankų, telekomunikacijų ar siuntų tarnybų darbuotojais.

„Smart-ID“ sistemą valdančios Estijos bendrovės „SK ID Solutions AS“ Lietuvos filialo verslo vadovas Viktoras Kamarevcevas portalui „Delfi“ sakė, kad esminė problema – kai sukčių įtikinti žmonės suveda PIN kodus ir taip jiems leidžia prisijungti prie įvairių sistemų.

„Viena iš „Smart-ID“ apsaugos priemonių yra klonavimo atvejų aptikimo sistema. Aptikus arba įtarus galimą kliento išmaniojo įrenginio kloną arba kenkėjišką paskyros naudojimą, tokia paskyra yra automatiškai užblokuojama. Tiesa, svarbu pabrėžti, jog mūsų klientai nėra susidūrę su situacija, kuomet „Smart-ID“ paskyra būtų sėkmingai klonuota kitame įrenginyje kenkėjiškais ar kitais tikslais.

Dažniausiai pasitaikanti klonavimo priežastis yra ta, kad naudodami pagrindinį išmanųjį įrenginį asmuo sukuria jo kopiją (pvz., nusiperka naują išmanųjį telefoną ir iš senojo įrenginio automatiškai perkelia visus duomenis į naująjį). Tokiu atveju senoji paskyra nebeveikia, asmuo turi susikurti naują paskyrą naujame įrenginyje. Taip pat dėl „Smart-ID“ programėlėje naudojamos pažangios kriptografijos (padalinto privataus rakto) technologijos net paslaugos teikėjas neturi prieigos prie asmens PIN kodų. Todėl asmeniui juos pamiršus, būtina sukurti naują paskyrą.

„Tuo tarpu, mes esame pastebėję, kad vartotojai, suklaidinti sukčių, suveda savo PIN kodus ir taip leidžia prieiti prie savo banko ar kitos paskyros, tačiau net ir tokiais atvejais, sukčius vis tiek nežino aukos PIN kodų, o net ir žinant, jis jais negalėtų pasinaudoti“, – sakė „Smart-ID“ sistemą valdančios bendrovės „SK ID Solutions AS“ Lietuvos filialo verslo vadovas V. Kamarevcevas.

Jis pasidalino keliais patarimais, kaip išlikti saugiais ir nenukentėti nuo sukčių bei išskyrė dvi pagrindines taisykles: neskubėti ir kritiškai vertinti laiškų ar SMS žinučių turinį.

„Atidžiai tikrinkite kiekvieną užklausą ir niekuomet netvirtinkite operacijų, kurių patys neinicijavote. Atsisakykite slaptažodžių ir, kur įmanoma, naudokite saugias el. atpažinties priemones.

Jei žinute socialiniuose tinkluose ar elektroniniu paštu gavote nuorodą siuntėjo, jokiu būdu jos neatidarykite. Net jei žinutės sulaukėte iš pažįstamo žmogaus, prieš spausdami ant nuorodos įsitikinkite, jog jis tikrai ją siuntė. Geriausia, jog patys suvestumėte internetinės svetainės, kurioje norite atlikti tam tikrus veiksmus (pervesit pinigų, pasirašyti dokumentą ar kt.), adresą.

Reguliariai tikrinkite savo banko sąskaitą, sekite savo išlaidas ir stebėkite, ar jos sutampa su įsigytomis prekėmis bei paslaugomis. Būkite itin atsargūs dalindamiesi asmenine informacija telefonu, SMS žinutėmis ir el. laiškais – atminkite, jog banko, valstybinių institucijų darbuotojai niekada neprašo atskleisti asmens duomenų.

Įjunkite kelių faktorių autentifikavimą – sukčiams bandant prisijungti, apie tai būsite informuoti ir galėsite imtis papildomų saugumo veiksmų“, – patarė „SK ID Solutions AS“ Lietuvos filialo atstovas.

Banko „Swedbank“ atstovas Gytis Vercinskas akcentavo, kad klientai neturėtų jokiam kitam asmeniui atskleisti savo prisijungimo prie banko ID, „Smart-ID“ ar mobiliojo parašo kodų, mokėjimo kortelės duomenų.

„Gavę tokius duomenis, sukčiai gali įgyti galimybę kliento vardu atlikti mokėjimo operacijas ar prisijungti prie jo interneto banko paskyros“, – sakė G. Vercinskas.

„Swedbank“ komentare taip pat siūloma nespausti paštu ar žinute gautų įtartinų nuorodų, akcentuojama, kad banko ar valstybės institucijų darbuotojai, susisiekę su žmogumi, neprašo jo prisijungimo prie banko duomenų ar nereikalauja įvesti patvirtinimo kodų.

Tai pat patariama atkreipti dėmesį į programėlės „Smart-ID“ pranešimus.

„Jei „Smart-ID“ programėlė netikėtai paprašo įvesti PIN kodą, nors gyventojas neatliko jokios operacijos, to daryti nereikėtų. Visada patariama įsitikinti, kad programėlėje rodomas saugumo kodas atitinka atliekamos operacijos kodą, o darant pavedimą – „Smart-ID“ programėlėje rodoma pinigų suma ir jų gavėjas sutampa su įvestais duomenimis interneto banke.

Siekiant dar geriau pasirūpinti savo saugumu, rekomenduojame nustatyti žemesnius dienos ar mėnesio operacijų limitus, įjungti banko programėlės pranešimus apie sąskaitos likučio pokyčius, apriboti internetinių atsiskaitymų galimybę, jei jais nesinaudojama ar naudojamasi santykinai retai, taip pat papildomai pasidomėti interneto prekyviečių patikimumu, kai iš jų perkama pirmą kartą, nepervesti iš anksto pinigų už pagal skelbimus internete įsigyjamas prekes.

Galiausiai, jei gyventojui kilo įtarimas, kad jo prisijungimo duomenimis galėjo būti pasinaudota ar jis pastebėjo įtartinas operacijas savo sąskaitoje, reikėtų nedelsiant kreiptis į banką. Jie kilo įtarimas, kad galėjo būti prarasti kortelės duomenys, reikėtų ją laikinai blokuoti per banko programėlę ar interneto banką ir susisiekti su banku“, – teigiama „Swedbank“ komentare.

„SEB“ banko Prevencijos departamento direktorė Daiva Uosytė minėjo, kad savo prisijungimo duomenų, tokių kaip interneto banko atpažinimo kodas, „Smart-ID“, „Mobile-ID“ ar SEB programėlių PIN1 ir PIN2 kodai, taip pat mokėjimo kortelės informacijos ir PIN kodo jokiu būdu negalima atskleisti nei bendraujant telefonu, nei SMS, „Facebook“, „WhatsApp“, „Viber“ žinutėmis bei el. laišku gavus nuorodą.

„Sukčiai internete pasitelkia vis naujų būdų, kaip išvilioti vartotojų duomenis. Apgaule išgavę asmeninius, identifikacinius duomenis piktavaliai skaitmeninėje erdvėje gali apsimesti kitu žmogumi, prisijungę per „Smart ID“, „Mobile-ID“ ar per kitą vartotojo identifikacijai naudojamą programėlę.

Pagrindinis nusikaltėlių raktas yra asmeniniai identifikaciniai duomenys, pavyzdžiui, programėlėje naudojami PIN kodai. Kitaip tariant, suteikdamas prisijungimo duomenis sukčiams, žmogus tarsi padovanoja raktą vagims nuo savo namų durų. Turėdami prisijungimų duomenis sukčiai prieina prie svetimų sąskaitų, gali atlikti finansines operacijas, daryti pervedimus, apmokėjimus ir t. t“, – komentavo „SEB“ banko Prevencijos departamento direktorė D. Uosytė.

„Norint nepakliūti į apgaulės pinkles, kiekvieną kartą naršant svetainėje ar joje vedant savo asmeninius duomenis, svarbu įsitikinti, kad ji nėra suklastota – būtina atkreipti dėmesį į domeno (interneto svetainės adreso) vardą, taip pat, ar nuoroda naudoja saugų SSL (angl. Secure Sockets Layer) ryšio protokolą.

Naudojantis „Smart-ID“ ar mobiliuoju parašu, ypač svarbu kaskart įsitikinti, kokią operaciją tvirtinate savo PIN kodais. Atliekant mokėjimą programėlė visada parodo pranešimą, kuris prasideda žodžiu „Tvirtinate...“. Sustokite ir perskaitykite, kokį mokėjimą tvirtinate – kam pervedate savo pinigus.

Pasitaiko atvejų, kai pranešimas lyg niekur nieko iššoka ekrane, o jį lydi sukčių skambutis – jie bando įtikinti, kad klientas turimas santaupas privalo apsaugoti pervesdamas lėšas į sukčių sąskaitą. Arba prašoma suvesti PIN2 kodą, kad būtų atšaukta nelegali operacija ir panašiai.

Be to, visada reikėtų vadovautis paprasta ir sutartyje su banku nustatyta taisykle – mokėjimų kortelė ir internetinės bankininkystės duomenys yra skirti tik asmeniniam naudojimui.

Prisijungimo duomenys negali būti perduodami tretiesiems asmenims: nei iš neva banko skambinantiems asmenims, nei „specialistams“ iš mokesčių inspekcijos, nei „Facebook“ ar „Google“ atstovais apsimetantiems piliečiams. Ta pati taisyklė taikoma ir autentifikacijos programėlėms, tokioms kaip „Smart ID“: jeigu kas nors jūsų prašo įvesti PIN kodus ekrane ar juos padiktuoti telefonu – jokiu būdu to nedarykite. Atmeskite prašymą ir nutraukite pokalbį“, – komentavo „SEB“ bankas.

Atkreipiamas dėmesys, kad socialinės inžinerijos metodikas įvaldę sukčiai asmeninę informaciją sukčiai siekia „greitai“, „skubiai“, „čia ir dabar“, „tuojau pat“ – tai yra raktiniai žodžiai, signalas, kad patekote į nusikaltėlių taikinį. Spaudimas akcentuojant senkantį laiką yra tipinė sukčių taktika. Dažnai ji taikoma ir socialiniuose tinkluose, skelbiant apie „ribotos trukmės“ pasiūlymus, tik iki tam tikros valandos „galiojančią akciją“ ir pan.

„Nukentėję ar duomenis atskleidę klientai dažnai dalijasi patirtimi, kad patyrė stiprų psichologinį spaudimą: sukčiai buvo pasiruošę visus atsakymus ir neleisdami atsikvėpti bei susimąstyti labai aktyviai vedė apgaulės tikslo link.

Kartais sukčiai būna tokie įžūlūs, jog be perstojo atakuoja klientus žinutėmis per „WhatsApp“ ar „Viber“ programėles, taip pat savo aukoms atsiunčia fiktyvias konfidencialumo sutartis, pasirašytas neva banko atstovų, ir jose nurodo grėsmingas baudas, kad atgrasytų žmones nuo minties susisiekti su banku“, – komentavo „SEB“ atstovė D. Uosytė.

Banko „Luminor“ sukčiavimo rizikos valdymo skyriaus vadovas Linas Sadeckas atkreipė dėmesį į technines detales.

„Mūsų turimais duomenimis, „Smart-ID“ klonavimas kitame įrenginyje yra sunkiai įmanomas, nes jame turi būti sukuriama nauja paskyra.

Priklausomai nuo paskyros tipo – ji kvalifikuota ar paprasta – reikės ir skirtingų dalykų jai sukurti. Pavyzdžiui, jeigu paskyra yra kvalifikuota, prireiks tiek biometrinių, tiek tapatybės duomenų.

Jeigu paskyra nėra kvalifikuota, galima naudoti prisijungimo prie el. bankininkystės duomenis, tačiau tuomet ir paskyros galimybės bus ribotos – nepavyks prisijungti prie e. paslaugų, nebus galima pasirašyti dokumentų elektroniniu parašu“, – komentavo „Luminor“ banko atstovas.

Jis gyventojams priminė daugelį kartų kartojamą taisyklę: kitiems žmonėms negalima atskleisti savo asmens kodo, prisijungimo prie el. bankininkystės duomenų, mokėjimo kortelės PIN kodo ir pan.

„Klientams rekomenduojame saugoti savo duomenis ir jų neskelbti viešai, taip pat niekuomet netvirtinti atsitiktinių prašymų PIN kodais, taip pat visuomet patikrinti, kokius kodus prašoma įvesti.

Visą gaunamą informaciją reikėtų skrupulingai tikrinti – gavę įtartiną el. laišką patikrinkite jo siuntėjo el. pašto adresą ir turinį – sukčių laiškuose dažniausiai pasitaiko rašybos, skyrybos ir logikos klaidų, neskubėkite spausti nuorodų ar atidarinėti prisegtų dokumentų.

Jeigu nuorodą vis dėlto paspaudėte ir patekote į puslapį, kuriame prašoma įvesti bet kokius savo duomenis, jokiu būdu to nedarykite. Jei gavote laišką nuo neva oficialios institucijos, palyginkite gautą informaciją su pateikiama oficialiuose ar viešuose šaltiniuose. Tie patys principai galioja ir gavus tekstinę žinutę į mobilųjį telefoną.

Verta žinoti tai, kad banko darbuotojai, policijos pareigūnai ar kitos teisėtai veikiančios įstaigos ar įmonės niekuomet neprašo atskleisti jokių PIN kodų ar slaptažodžių“, – reziumavo „Luminor“ banko sukčiavimo rizikos valdymo skyriaus vadovas L. Sadeckas.