Lietuvos bankų asociacijos duomenimis, „fišingo“ mastas nuolat auga: šiemet suklastotais SMS ir el. laiškais išviliota 342 tūkst. eurų, t.y. penkis kartus daugiau nei pirmąjį ketvirtį pernai metais, kai buvo prarasta 66 tūkst. eurų. Kad apsaugotumėte savo asmeninius duomenis, prisijungimus ar pinigus, būtina suprasti, kaip veikia tokie sukčiavimo būdai bei kokių prevencijos priemonių imtis.

„Sukčiavimai elektroninėje erdvėje nuolat tobulėja ir yra vis sunkiau atpažįstami. Vartotojams siunčiamos apgaulingos SMS žinutės, prisidengiant įmonės vardu – taip siekiama išvilioti prisijungimus ar kitą svarbią informaciją. Dėl šios priežasties, prieš spaudžiant gautas nuorodas ar kitus žinutės priedus, svarbu atkreipti dėmesį į kelis esminius dalykus ir įsitikinti, kad tai nėra apgaulė“, – teigia Mantas Užupis, „Tele2“ IT saugumo ekspertas.

Sukčiai naudojasi institucijų ir bankų vardu

Vilija Nausėdaitė, „SEB“ banko valdybos narė ir Stebėsenos ir prevencijos tarnybos vadovė teigia, kad sukčiai gali atsiųsti SMS žinutę, nurodę bet kokį siuntėjo vardą – tai gali būti ir valstybinės institucijos, ir banko pavadinimas. Pasak jos, bankas yra pastebėjęs, kad prasidėjus SMS sukčiavimo atakai ir svetainių hostingo paslaugas teikiančioms įmonėms ar duomenų centrams operatyviai užblokavus netikrą interneto banko puslapį, į kurį nukreipiami žmonės, nemaža dalis jų jau būna patyrę nuostolių.

„Vartotojams svarbu būti itin budriems ir gerai žinoti, kaip atskirti apgaulingas žinutes bei atsiminti, kad pats bankas SMS žinutėmis aktyvių nuorodų nesiunčia, todėl pranešimas neva banko vardu su nuoroda, turėtų sukelti nepasitikėjimą. Pats bankas nuolat tobulina savo stebėsenos įrankius, inicijuoja suklastotų interneto puslapių ir sąskaitų blokavimą bei bendradarbiauja su kitų infrastruktūrų tiekėjais, kurdamas sprendimus finansinio sukčiavimo ribojimui“, – akcentuoja V. Nausėdaitė.

Naudojamas spaudimas ir manipuliacija

„Fišingas“ (angl. „phishing“) yra viena populiariausių internetinių apgaulių, kuria siekiama iš vartotojų išgauti svarbius duomenis ar prisijungimus. Dažniausiai sukčiai sukuria automatizuotas apgaulingų SMS žinučių siuntimo sistemas ir vienu metu siunčia žinutes dideliam kiekiui adresatų. Žinutėje prašoma paspausti nuorodą, pridėti kontaktinį numerį arba pervesti pinigų tam tikram adresatui.

Pranešime dažniausiai naudojama manipuliacija ir spaudimas – įspėjama, kad banko sąskaita uždaryta arba aptikta įtartina veikla, o norint trikdžius išspręsti, reikia įvesti duomenis nurodytoje svetainėje. Paspaudus ant pridėtos nuorodos, vartotojas nukreipiamas į suklastotą internetinę svetainę, kurios aplinka ir išdėstymas labai panašus į originalų – čia pateikiami tik prisijungimo laukeliai, taip vartotojas skatinamas kuo greičiau pateikti duomenis. Suvedus savo informaciją ar atlikus kitus prašomus veiksmus, gyventojas savo rankomis atlieka pinigų pervedimą sukčiams.

Spausti ar nespausti?

Nors nėra vieno ir visiems tinkančio būdo, kaip atpažinti ir apsisaugoti nuo SMS „fišingo“ atakų, tačiau keli esminiai elementai bei taisyklės gali padėti išvengti skaudžių padarinių.

Atkreipkite dėmesį į žinutės turinį. Pranešimai su neįprastais simboliais, keistu formatavimu ar loginėmis klaidomis turėtų sukelti įtarimą, todėl vartotojams reikėtų atidžiau peržiūrėti tokias žinutes.

Nespauskite ant nuorodų. Gavus SMS pranešimą su nuoroda, reikėtų nespausti jos ir neatsakyti į žinutę. Visgi paspaudus ją, pinigai niekur neiškeliaus, svarbu neįvesti jokių asmeninių duomenų – interneto banko atpažinimo kodo, asmens kodo, mokėjimo kortelės duomenų ir savo mobiliajame telefone neatlikti jokių veiksmų, nevesti programėlės „Smart-ID“ PIN1 ar PIN2 kodų. Nepateikus asmeninių duomenų, sukčiai negali atlikti jokių operacijų kliento vardu.

Patikrinkite adresą. SMS žinutės, siunčiamos prisidengiant banko vardu, telefone gali patekti į jo prieš tai siųstų pranešimų srautą – yra daugybė interneto svetainių, siūlančių galimybę pačiam nurodyti siuntėjo vardą. Būtina įsidėmėti savo finansų paslaugų teikėjo oficialios interneto svetainės adresą ir visada patikrinti, ar tikrai jungiamasi prie jos. Jeigu kyla įtarimas dėl pranešimo, susisiekite su įmone oficialiu kontaktiniu numeriu. Net jei sulauktumėte žinutės, kurioje pateikiama nuoroda yra identiška jūsų dažnai naudojamai, bet neatpažįstate žinutės siuntėjo – nespauskite jos.

Nepasiduokite spaudimui. Dar vienas požymis, išduodantis šio tipo ataką, yra skubos jausmas. Daugumoje pranešimų liepiama veikti greitai ar net nustatomas laiko limitas atsakymui. Žinutėje gali būti siūlomas atlygis ar laimėjimas, taip pat pasitaiko grasinimų – užblokuota paskyra ar atšauktos operacijos. Svarbu nepasiduoti manipuliacijoms ir nepateikti savo asmeninių duomenų. Kilus įtarimui, nukopijuokite žinutės tekstą į pasirinktą paieškos sistemą, tikėtina, kad internete rasite įspėjimų apie galimą sukčiavimą.