Kai el. laiškas atrodo tikras, bet nėra
Įsivaizduokite: atidarote el. paštą ir matote žinutę iš „Luminor” banko. Dizainas tvarkingas, logotipas tikras, tekstas skamba oficialiai. Rašoma, kad jūsų paskyra laikinai užblokuota dėl įtartinos veiklos ir reikia nedelsiant patvirtinti tapatybę. Nuoroda atrodo normali. Spaudžiate.
Ir štai – jūs ką tik įvedėte savo banko prisijungimo duomenis į svetainę, kuri neturi nieko bendra su Luminor. Tai phishing. Ir Lietuvoje tokių atvejų kasmet daugėja.
Phishing (lietuviškai kartais vadinamas „žvejyba” arba sukčiavimu el. paštu) – tai kibernetinių nusikaltėlių metodas, kai jie apsimeta patikimomis organizacijomis ar žmonėmis, siekdami išvilioti jūsų asmeninius duomenis, slaptažodžius ar pinigus. Ir nors apie tai kalbama daug, statistika rodo, kad žmonės vis tiek kliūna.
Kaip atrodo phishing Lietuvoje – realūs scenarijai
Lietuvos kibernetinio saugumo centras (NKSC) kasmet fiksuoja šimtus phishing incidentų. Bet skaičiai – tik ledkalnio viršūnė, nes dauguma žmonių apie sukčiavimą tiesiog nepraneša. Štai keletas konkrečių scenarijų, kurie buvo užfiksuoti arba plačiai paplitę Lietuvoje:
„Jūsų SEB banko paskyra užblokuota” – vienas populiariausių. Gaunate el. laišką su SEB logotipu, prašoma patvirtinti duomenis per nuorodą. Svetainė atrodo identiškai tikrajai, tačiau domenas gali būti kažkas panašaus į seb-lietuva.com arba seb.lt.verification.net. Skirtumas subtilus, bet lemtingas.
„Jūsų siuntinys laukia muitinėje” – ypač aktyvus po COVID, kai žmonės masiškai pradėjo pirkti internetu. Gaunate SMS ar el. laišką, tariamai iš LP Express ar Omniva, kad reikia sumokėti nedidelį muito mokestį. Suma maža – 1–3 eurai – todėl žmonės nesusimąsto. Bet kartu su mokėjimo duomenimis perduoda ir kortelės informaciją.
„Jūs laimėjote prizą” – klasika, bet veikia. Žinutė socialiniuose tinkluose ar el. paštu skelbia, kad laimėjote „Maxima” ar „Lidl” dovanų kuponą. Reikia tik užpildyti formą. Forma renka vardą, pavardę, telefono numerį, el. paštą – o kartais ir kortelės duomenis „pristatymui apmokėti”.
Valstybinės mokesčių inspekcijos (VMI) imitacija – šis variantas ypač efektyvus, nes sukelia baimę. Laiškas skelbia, kad turite neapmokėtų mokesčių ir gresia bauda. Nuoroda veda į suklastotą VMI puslapį, kur prašoma prisijungti per el. bankininkystę.
Kodėl lietuviai kliūna – psichologija už sukčiavimo
Phishing veikia ne todėl, kad žmonės kvailai. Veikia todėl, kad žaidžia su žmogaus psichologija. Ir čia verta sustoti bei suprasti mechanizmą.
Skubos jausmas. „Paskyra bus užblokuota per 24 valandas.” „Siuntinys bus grąžintas rytoj.” Kai jaučiate spaudimą veikti greitai, smegenys išjungia kritinį mąstymą. Sukčiai tai žino ir naudoja.
Autoriteto efektas. Kai laiškas ateina tariamai iš banko, VMI ar policijos, automatiškai suteikiame jam daugiau pasitikėjimo. Mes esame auklėjami gerbti institucijas – ir tai tampa silpna vieta.
Baimė ir nerimas. „Jūsų paskyra įsilaužta.” „Gresia baudžiamoji atsakomybė.” Kai žmogus išsigąsta, jis nori kuo greičiau išspręsti problemą – ir tampa mažiau atsargus.
Smulkios sumos efektas. Kai prašoma sumokėti 1,49 euro, niekas nesigilina. Bet tuo metu perduodami kortelės duomenys gali kainuoti daug daugiau.
Tyrimai rodo, kad net IT specialistai kartais kliūna ant phishing kabliuko – ypač kai ataka gerai suplanuota ir atėjo netikėtu momentu. Taigi čia ne apie intelektą, o apie dėmesį ir žinias.
Kaip atpažinti suklastotą laišką ar žinutę
Gerai, teorija aiški. Bet kaip praktiškai atskirti tikrą laišką nuo suklastoto? Štai konkretūs požymiai, į kuriuos reikia atkreipti dėmesį:
Patikrinkite siuntėjo adresą – tikrą, ne rodomą vardą. El. laiško „vardas” gali rodyti „SEB Bankas”, bet tikrasis adresas gali būti [email protected] arba kažkas panašaus. Spustelėkite ant siuntėjo vardo ir pamatysite tikrąjį adresą. Jei domenas nesutampa su oficialiu banko domenu – raudona vėliava.
Užveskite pelę ant nuorodos prieš spausdami. Naršyklė apačioje parodys, kur iš tikrųjų nuves nuoroda. Jei matote kažką panašaus į http://seb.lt.login.suspicious-domain.com – tai ne SEB svetainė. Tikrasis domenas visada yra paskutinis prieš pirmąjį pasvirąjį brūkšnį.
Ieškokite kalbos klaidų. Nors šiandien sukčiai naudoja AI ir klaidos retesnės, vis tiek pasitaiko nenatūralių sakinių, keistų skyrybos ženklų ar netaisyklingos lietuvių kalbos. Oficialios institucijos paprastai rūpinasi savo komunikacijos kokybe.
Ar prašoma duomenų, kurių normali institucija niekada neprašytų? Bankai niekada neprašo slaptažodžio el. paštu. VMI neprašo prisijungti per nuorodą laiške. Jei kas nors prašo PIN kodo, CVV numerio ar pilno kortelės numerio el. paštu – tai sukčiavimas, taškas.
Patikrinkite SSL sertifikatą. Svetainė turi turėti „https://” ir spynos ikoną. Bet dėmesio – tai nebūtinai reiškia, kad svetainė saugi. Sukčiai irgi gali gauti SSL sertifikatą. Svarbiausia – tikrinkite domeną.
Ką daryti, jei jau spustelėjote
Nutiko blogiausia – paspaudėte nuorodą arba net įvedėte duomenis. Nesipanikavimai, bet veikite greitai.
Jei įvedėte banko duomenis: Nedelsiant skambinkite į savo banką ir pranešite apie incidentą. Bankai turi specialias sukčiavimo linijas, veikiančias 24/7. Paprašykite užblokuoti paskyrą arba pakeisti prisijungimo duomenis. SEB: 1528, Luminor: 1880, Swedbank: 1884.
Jei įvedėte kortelės duomenis: Blokuokite kortelę per banko programėlę arba skambinkite į banką. Patikrinkite paskutines transakcijas. Jei matote neleistinų mokėjimų – praneškite bankui ir prašykite grąžinti pinigus (chargeback procedūra).
Pakeiskite slaptažodžius. Jei naudojate tą patį slaptažodį keliose vietose (o daugelis taip daro, nors neturėtų), pakeiskite juos visur. Pradėkite nuo el. pašto – jei sukčiai gauna prieigą prie el. pašto, gali atstatyti visas kitas paskyras.
Pranešite NKSC. Lietuvos nacionalinis kibernetinio saugumo centras turi el. paštą [email protected] ir priima pranešimus apie kibernetinius incidentus. Tai svarbu ne tik jums – jūsų pranešimas gali padėti apsaugoti kitus.
Patikrinkite įrenginį. Jei spustelėjote nuorodą ir atsisiuntėte failą arba programa paprašė leidimų – paleiskite antivirusinę programą. Kai kurie phishing puslapiai bando įdiegti kenkėjišką programinę įrangą.
Phishing socialiniuose tinkluose – nauja arena
El. paštas – tik vienas kanalas. Šiandien phishing aktyviai veikia per Facebook, Instagram, WhatsApp ir net LinkedIn. Ir čia žmonės dažnai būna mažiau atsargūs, nes socialiniai tinklai asocijuojasi su draugais ir pramogomis, ne su grėsmėmis.
Populiariausi scenarijai socialiniuose tinkluose Lietuvoje:
- Nulaužtos draugų paskyros. Gaunate žinutę nuo draugo: „Ei, žiūrėk, ką radau apie tave” su nuoroda. Draugas to nesiuntė – jo paskyra nulaužta. Nuoroda veda į phishing puslapį.
- Netikri konkursai. „Maxima”, „Rimi” ar kiti prekybos tinklai skelbia apie didžiulius prizus. Puslapis atrodo oficialiai, bet URL rodo, kad tai ne oficiali įmonės paskyra.
- Investicijų sukčiavimas. Reklamos ar žinutės apie neįtikėtinas investicijų galimybes su žinomų žmonių nuotraukomis. Lietuvoje buvo atvejų, kai naudojamos žinomų verslininkų ar net politikų nuotraukos.
- Romantinis sukčiavimas. Ilgalaikis bendravimas su „nauju pažįstamu”, kuris galiausiai prašo pinigų arba priveda prie phishing puslapio.
Taisyklė socialiniuose tinkluose paprasta: jei kažkas atrodo per gerai, kad būtų tiesa – taip ir yra. Ir visada tikrinkite, ar paskyra, kuri skelbia konkursą, yra oficiali (turi mėlyną varnelę arba sutampa su oficialiu prekės ženklo pavadinimu).
Kaip apsisaugoti – ne tik teorija, bet ir konkretūs žingsniai
Prevencija visada geriau nei gydymas. Štai ką galite padaryti jau šiandien:
Įjunkite dviejų faktorių autentifikaciją (2FA) visur, kur galima. Net jei sukčiai gauna jūsų slaptažodį, be antrojo faktoriaus (SMS kodo ar autentifikatoriaus programėlės) jie negalės prisijungti. Tai vienas efektyviausių apsaugos būdų. Google Authenticator, Microsoft Authenticator ar Authy – visos šios programėlės nemokamos.
Naudokite slaptažodžių tvarkyklę. Bitwarden (nemokama), 1Password ar LastPass leidžia turėti unikalius, sudėtingus slaptažodžius kiekvienai paskyrai, neprisimenant jų visų. Tai eliminuoja riziką, kad vieno slaptažodžio nutekėjimas paveiks visas paskyras.
Atnaujinkite naršyklę ir operacinę sistemą. Daug phishing atakų naudoja žinomas saugumo spragas. Atnaujinimai jas užtaiso. Tai nuobodu, bet svarbu.
Naudokite naršyklės plėtinius nuo phishing. Google Safe Browsing (įjungtas daugelyje naršyklių pagal nutylėjimą), uBlock Origin ar kiti plėtiniai gali perspėti apie žinomus kenkėjiškus puslapius.
Mokykite šeimą. Vyresnio amžiaus žmonės dažnai yra labiausiai pažeidžiami, nes mažiau susipažinę su skaitmeninėmis grėsmėmis. Pasikalbėkite su tėvais ar seneliais apie phishing – konkrečiai, su pavyzdžiais, be techninio žargono.
Jei abejojate – patikrinkite tiesiogiai. Gavote laišką nuo banko? Neikite per nuorodą laiške. Atidarykite naują naršyklės langą ir įveskite banko adresą rankiniu būdu. Arba skambinkite į banką. Tai užtruks 2 minutes, bet gali išgelbėti jūsų santaupas.
Kai skaitmeninis raštingumas tampa išgyvenimo įgūdžiu
Phishing niekur nedings – priešingai, atakos tampa vis sudėtingesnės. Su AI pagalba sukčiai gali generuoti tobulai parašytus laiškus lietuvių kalba, kurti įtikinamas suklastotas svetaines ir net imituoti balsą telefonu (vishing). Lietuvos NKSC duomenimis, kibernetinių incidentų skaičius auga kasmet, ir phishing išlieka viena dažniausių atakų rūšių.
Bet čia svarbu nepasiduoti fatalizmo jausmui. Phishing veikia dėl nežinojimo ir skubos – ir abu šiuos faktorius galima kontroliuoti. Žinojimas, kaip atrodo tipinė ataka, kokius psichologinius mygtukus ji spaudžia ir ką daryti, jei kažkas nutiko – tai ne paranoja, o tiesiog skaitmeninio gyvenimo higiena.
Tas pats, kaip užrakinate duris išeidami iš namų. Niekas negalvoja, kad tai perdėtas atsargumas – tai tiesiog norma. Skaitmeniniame pasaulyje tokia norma turėtų tapti ir kritiškas žvilgsnis į kiekvieną el. laišką, SMS ar žinutę, kuri prašo kažko daryti greitai, bijoti arba mokėti.
Lietuvoje kibernetinis raštingumas auga, bet dar yra kur tobulėti. Ir kol institucijos, mokyklos bei darbdaviai sprendžia, kaip sistemiškai mokyti žmones, kiekvienas iš mūsų gali pradėti nuo savęs – ir nuo pokalbio su tais, kurie šalia.
