Nuolaidos % Nuolaidos Šventinis išpardavimas Nuolaidos % Nuolaidos Šventinis išpardavimas Nuolaidos % Nuolaidos Šventinis išpardavimas

Duomenų viliojimas – kas tai?

Lukas Grigas
Kibernetinio saugumo turinio kūrėjas
what is phishing

Ar šį el. laišką išties atsiuntė jūsų bankas? Ar esate įsitikinę, kad spaudžiate saugią nuorodą? O gal netrukus tapsite naujausia sukčiavimo auka?

Duomenų viliojimas – tai kūrybingas išpuolis, daugybę metų naudojamas žmonėms apgauti. Jam pavykus, jūsų duomenys ir pinigai gali patekti nusikaltėliams į rankas, o jūsų įrenginiuose gali pasklisti kenkėjiškos programos ir virusai.

Toliau sužinosite viską, ko reikia, kad atpažintumėte sukčių rengiamas apgaules ir nuo jų apsisaugotumėte.

Duomenų viliojimas – kas tai?

Turbūt numanote, iš kur kilo terminas „phishing“ (sąsaja su žvejyba, IT srityje – sukčiavimas, duomenų viliojimas). Jis nurodo būdą, kaip įvykdoma apgaulė: iš pradžių pakišamas jaukas, paskui auka viliojama, kol „užkimba ant kabliuko“. Meškerę laiko nusikaltėlis, o jūs – taip, atspėjote – esate žuvis.

Taikoma keletas skirtingų duomenų vagystės metodų. Dažniausiai veikiama el. paštu, tačiau rengiant platesnio masto išpuolius el. laiškai yra tik pradžia.

Kalbant apie pastaruosius, svarbiausia yra maskuotė. Nusikaltėlis apsimes patikimu kontaktu, draugu ar teisėta įmone. Jis paruoš atitinkamą pranešimą su į akis krintančia tema ir visais įprastais tikro el. laiško atributais.

Sukčiavimo tipai

Toliau išvardyti trys dažniausiai pasitaikantys duomenų viliojimo tipai.

Tiesioginis išviliojimas

Turbūt ryškiausias tiesioginio išviliojimo pavyzdys yra apgaulingas el. laiškas su vadinamąja „Nigerijos princo“ istorija. Jame nusikaltėlis pradeda pokalbį su auka ir galiausiai ją įtikina pervesti pinigų. Mainais sukčius, apsimetęs turtingu žmogumi iš užsienio, už „mažą“ investiciją pažada didžiulę grąžą.

Pastaraisiais metais kai kurie nusikaltėliai žmones bando paveikti per pažinčių programėles. Įgiję pasitikėjimą ir įtikinę auką, kad nuoširdžiai ja domisi, sukčiai gali sukurti melagingą istoriją, kad jiems skubiai reikia pinigų.

Šis apgaulės būdas jau žinomas kurį laiką, todėl į pinkles pakliūva vis mažiau žmonių.

Netikros internetinės svetainės

Kai sukčiaujama stambiu mastu, pirmasis el. laiškas tėra sudėtingo nusikaltimo pradžia.

Jame ne tik pateikiama pavojinga nuoroda, bet ją paspaudusi potenciali auka nukreipiama į nusikaltėlio specialiai sukurtą internetinę svetainę. Ji apipavidalinta ir užmaskuota taip pat, kaip ir el. laiškas. Jeigu banko vardu jūsų prašoma iš naujo nustatyti prisijungimo duomenis, puslapio spalvos ir išdėstymas atrodys kaip banko.

Tada, jeigu prašomus duomenis – slaptažodį ar mokėjimo kortelės informaciją – galiausiai įvesite, jie nebebus užšifruoti ir taps matomi nusikaltėliui.

Duomenų viliojimo atakų tipai

Sukčiai vykdo atakas pačiais įvairiausiais būdais. Pagrindinis skirtumas tarp šių atakų yra pasirinkta terpė. Toliau išvardyti labiausiai paplitę būdai.

Apgaulingi el. laiškai

Apgaulingi el. laiškai be abejonės yra dažniausiai pasitaikanti duomenų vagystės forma. Kaip galima spręsti iš pavadinimo, išpuoliai vykdomi el. paštu. Įprastai apsimetėlių sukurpti el. laiškai pamėgdžioja teisėtus šaltinius, kad apgautų ir priverstų nieko neįtariančius naudotojus atskleisti savo konfidencialius duomenis.

Tikslinis sukčiavimas

Esminis skirtumas tarp tikslinio sukčiavimo ir kitų apgaulės tipų yra tas, kad apsimetėliai tikslingai taikosi į vieną subjektą. Daugeliu atvejų taikinys būna konkretus asmuo arba organizacija.

„Banginių medžioklė“

„Banginių medžioklė“, kartais vadinama vadovo apgavyste, yra toks išpuolis, kurio metu, kaip ir tikslinio sukčiavimo atveju, taikomasi į vieną subjektą. Tačiau, siekiant įgyti neteisėtą prieigą prie konfidencialios finansinės informacijos ar kompiuterių sistemos, „banginių medžioklei“ dažniausiai pasirenkami aukšto rango pareigūnai ar kiti svarbias pareigas organizacijoje einantys asmenys.

Apgaulingi skambučiai ir SMS žinutės

Pagrindinis dalykas, skiriantis apgaulingus skambučius ir SMS žinutes (angl. vishing and smishing) nuo kitų sukčiavimo tipų, yra tai, kad išpuoliai vykdomi tik telefonu. „Vishing“ – tai apgaulė balsu (angl. „voice+phishing“), pavyzdžiui, apgaulingi skambučiai, kai apsimetama banko darbuotoju arba siūlomos patrauklios investavimo galimybės. Kita vertus, „smishing“ (angl. „SMS+phishing“) išpuoliai vykdomi tik tekstinėmis žinutėmis, bet jų tikslas ir apipavidalinimas yra labai panašūs į apgaulingų el. laiškų.

Sukčiavimo statistika

Šiais laikais sukčiavimo išpuoliai yra vieni dažniausių ir pavojingiausių kibernetinių nusikaltimų, kuriuos įmonės ir pavieniai asmenys patiria kasdien.

Naujausias ESET tyrimas atskleidė, kad nuo 2021 m. gegužės iki rugpjūčio mėnesio apgaulingų el. laiškų padaugėjo 7,3 proc. Kito, IBM atlikto tyrimo duomenimis, nuo 2019 m. iki 2020 m. sukčiavimo išpuolių skaičius išaugo 2 proc. Kaip rodo 2021 m. „Verizon“ duomenų pažeidimų ataskaita , duomenų viliojimo išpuoliai vienaip ar kitaip susiję maždaug su 36 proc. visų pažeidimų.

Metams bėgant, duomenų viliojimas tapo ne tik dažnesnis, bet ir sudėtingesnis. Nors „Tessian“ tyrėjai nustatė, kad 76 proc. apgaulingų el. laiškų buvo be kenksmingų priedų, iš 2021 m. „SonicWall“ kibernetinių grėsmių ataskaitos matyti, kad nuo 2018 m. iki 2020 m. smarkiai išaugo kenksmingų PDF ir „Microsoft Office“ failų skaičius. Šis padidėjimas greičiausiai susijęs su tuo, kad dauguma žmonių yra linkę pasikliauti PDF ir „MS Office“ dokumentais. Šį pasitikėjimą atspindi faktas, kad „Microsoft“ yra viena iš dažniausiai imituojamų įmonių – „Check Point“duomenimis, iki 43 proc. apgaulingų el. laiškų atsiunčiama būtent apsimetant šia technologijų milžine. Taip pat neretai apsimetama tokiomis įmonėmis kaip DHL, „Amazon“ ir „LinkedIn“.

„Verizon“ ataskaitoje pažymima, kad daugeliu atvejų, vykdant sukčiavimo išpuolius, pavojus kyla prisijungimo duomenims, kaip antai slaptažodžiui, PIN kodui ir naudotojo vardui, taip pat asmeninei informacijai – vardui, pavardei ir el. pašto adresui – ir informacijai apie sveikatą, įskaitant socialinės apsaugos numerį ir prašymus išmokėti draudimo išmoką. Be to, ataskaitoje pabrėžiama, kad pažeidus įmonės el. pašto saugą, jos nuostoliai vidutiniškai siekia net 30 000 JAV dolerių.

Bendrovės „Cisco“ 2021 m. atliktoje kibernetinės saugos tendencijų ataskaitoje apžvelgus labiausiai puolamas pramonės šakas nustatyta, kad finansinių paslaugų sektorius yra populiariausias sukčių taikinys. Taip pat dažnai taikomasi į mažmeninės prekybos, gamybos, maisto ir gėrimų, mokslinių tyrimų ir plėtros, technologijų sritis.

Kokie yra įprasti duomenų viliojimo požymiai?

Didžioji dalis apgaulingų el. laiškų veikia baimės pagrindu. Neretai apgaulingu el. laišku naudotojui pranešama, kad kažkas atsitiko su jo paskyra. Kad išspręstų netikrą problemą, įprastai jo prašoma spustelėti kenksmingą nuorodą arba atsisiųsti priedą. Dėl to visiškai nestebina, kad daugumos apgaulingų el. laiškų temos eilutėje juntamas raginimas veikti skubiai.

Taip pat sukčiai stengiasi kurti interneto sritis, kurios būtų labai panašios į patikimo vardo įmonės domeną. Nieko neįtariančiam naudotojui apgauti panaudojami net logotipai.

Kaip sugauti sukčių

Daugumą apgaulingų el. laiškų išduoda kelios tipinės jų savybės.

Pirmiausia reikėtų atkreipti dėmesį į tai, ar el. laiške naudojamas tikras jūsų vardas. Jeigu kreipiamasi fraze „Gerb. kliente“ arba „Suinteresuotajam asmeniui“, būkite budrūs.

Neretai sukčiai siunčia dideles partijas vienodų el. laiškų, kurie nėra adresuoti konkrečiam asmeniui. Priešingai, jeigu jums rašo teisėta įmonė, ji greičiausiai žino jūsų vardą.

Sukčių el. laiškuose vartojama kalba taip pat gali išduoti apgaulę. Įsiskaitykite, ar nėra nelogiškų minties šuolių, gramatikos ar akivaizdžių rašybos klaidų – jų autentiškuose el. laiškuose iš banko nebūna.

Žinoma, toks pats svarbus yra ir el. laiško siuntėjo adresas. Patikrinkite, ar jis atrodo tikras. Jei abejojate, peržiūrėkite kitus iš šios įmonės gautus el. laiškus ir palyginkite.

Galiausiai, įsitikinkite, ar el. laiške nejaučiate skubos. Jei prašoma pinigų ar raginama spustelėti nuorodą, „kol dar ne per vėlu“, tai blogas ženklas. Nusikaltėliai dažnai bando priversti auką panikuoti arba imtis veiksmų nestabtelint įsiskaityti į paties el. laiško turinį.

Kas atsitiks spustelėjus apgaulingą nuorodą arba atsisiuntus kenksmingą priedą?

Tapę apgaulės auka galite beveik neabejoti, kad apie sėkmingą išpuolį sukčiai praneš kitiems savo kolegoms. Todėl greičiausiai patirsite dar daugiau sukčiavimo išpuolių.

Be to, gali būti atskleisti jūsų asmens duomenys – vardas, pavardė, adresas, telefono numeris ir kita jus identifikuojanti informacija, o tai sukeltų dar daugiau problemų, pavyzdžiui, būtų pavogta jūsų tapatybė.

Įmonei sėkmingas sukčiavimo išpuolis gali reikšti visišką duomenų praradimą, o šiais laikais tai neretai prilygsta lemtingam smūgiui.

Kaip išvengti apgaulės

  • Stabtelėkite ir pagalvokite.

    Tai yra būtina. Neskaitykite el. laiško paskubomis ir nepulkite stačia galva vykdyti jame pateikiamų nurodymų. Ar jūs raginami tuoj pat spustelėti nuorodą ir atsiimti piniginį prizą? Ar liepiama eiti į tam tikrą svetainę ir kuo skubiau pakeisti slaptažodį? Neskubėkite ir pirma įsitikinkite, kad el. laiškas nesuklastotas.

  • Nespauskite nuorodų.

    Daugumoje apgaulingų el. laiškų prašoma spustelėti tam tikrą nuorodą. Tai padarę, atvertumėte duris virusams ir kenksmingoms, taip pat išpirkos reikalaujančioms programoms. Venkite šios problemos ir niekada neatidarinėkite el. laiškuose pateikiamų nuorodų, nebent gavote juos iš patikimo, patikrinto siuntėjo.

    Jei abejojate, atverkite naują skirtuką, o jame – tikrosios įmonės puslapį. Galite net parašyti ar paskambinti į įmonę tiesiogiai ir pasiteirauti, ar ji neseniai nemėgino su jumis susisiekti.

  • Nepasikliaukite vien šlamšto filtrais.

    Jūsų el. pašte šlamštas išfiltruojamas ir nusiunčiamas į atskirą dėžutę, iš kurios vėliau yra pašalinamas, tačiau apgaulingi el. laiškai atpažįstami ne visada. Nemanykite, kad el. laiškas automatiškai saugus vien todėl, kad jo neužfiksavo filtrai. Tokių klaidų įvyksta nuolat, tad būkite atsargūs.

  • Paklauskite savęs, ar jau esate bendravę su siuntėju.

    Jei ne iš savo banko gavote el. laišką, kuriame jūsų prašoma tiesiai iš jo prisijungti prie savo sąskaitos, tai aiškus ženklas, kad į jus nusitaikė. Dauguma apgaulingų el. laiškų yra siunčiami tikintis, kad spustelėsite nuorodą net nesusimąstę. Pagalvokite, ar apskritai turite paskyrą, ar bendradarbiaujate su įmone, kuriai, esą, atstovauja siuntėjas. Jeigu atsakymas yra neigiamas, el. laišką ignoruokite arba ištrinkite.

Iš esmės

Apgaulingi el. laiškai – seniausia žinoma sukčiavimo internete forma. Kaip skelbia geriausia gintis budrumu ir sveiku protu.

Prenumeruokite „NordPass“ naujienas

Gaukite naujienas ir patarimus iš „NordPass“ tiesiai į savo el.pašto dėžutę