Ar šį el. laišką išties atsiuntė jūsų bankas? Ar esate tikri, kad spaudžiate saugią nuorodą? O galbūt netrukus tapsite naujausia sukčiavimo auka?
Duomenų viliojimas – tai kūrybingas išpuolis, jau daugybę metų pasitelkiamas žmonėms apgauti. Jam pavykus, jūsų duomenys ir pinigai gali patekti nusikaltėliams į rankas, o jūsų įrenginiuose gali pasklisti kenkėjiškos programos ir virusai.
Toliau sužinosite viską, ko reikia, kad atpažintumėte sukčių rengiamas apgaules ir nuo jų apsisaugotumėte.
Duomenų viliojimas – kas tai?
Turbūt numanote, iš kur kilo terminas „phishing“ (liet. žvejojimas (IT srityje – sukčiavimas, duomenų viliojimas). Jis nurodo būdą, kaip įvykdoma apgaulė: iš pradžių pakišamas jaukas, paskui auka viliojama, kol „užkimba ant kabliuko“. Meškerę laiko nusikaltėlis, o jūs – taip, atspėjote – esate žuvis.
Taikoma keletas skirtingų sukčiavimo metodų. Dažniausiai veikiama el. paštu, tačiau rengiant platesnio masto išpuolius el. laiškai yra tik pradžia.
Kalbant apie pastaruosius, svarbiausia yra maskuotė. Nusikaltėlis apsimes patikimu kontaktu, draugu ar teisėta įmone. Jis paruoš atitinkamą pranešimą su į akis krintančia tema ir visais įprastais tikro el. laiško atributais.
Sukčiavimo tipai
Toliau išvardyti trys dažniausiai pasitaikantys sukčiavimo tipai.
Tiesioginis išviliojimas
Turbūt ryškiausias tiesioginio išviliojimo pavyzdys yra apgaulingas laiškas, vadinamas „Nigerijos princu“. Jame nusikaltėlis pirmiausia pradeda pokalbį su auka ir galiausiai ją įtikina pervesti pinigų. Mainais sukčius, apsimetęs turtingu žmogumi iš užsienio, už „mažą“ investiciją pažada didžiulę grąžą.
Pastaraisiais metais kai kurie nusikaltėliai žmones bando paveikti per pažinčių programėles. Įgiję pasitikėjimą ir įtikinę auką, kad nuoširdžiai ja domisi, sukčiai gali sukurti melagingą istoriją, kad jiems skubiai reikia pinigų.
Šis apgaulės būdas jau žinomas kurį laiką, todėl į pinkles pakliūva vis mažiau žmonių.
Netikros internetinės svetainės
Kai sukčiaujama stambiu mastu, pirmasis el. laiškas tėra sudėtingo nusikaltimo pradžia.
Jame ne tik pateikiama pavojinga nuoroda, bet ją paspaudusi potenciali auka nukreipiama į nusikaltėlio specialiai sukurtą internetinę svetainę, kuri apipavidalinta ir užmaskuota taip pat, kaip ir el. laiškas. Jeigu banko vardu jūsų prašoma iš naujo nustatyti prisijungimo duomenis, puslapio spalvos ir išdėstymas atrodys kaip banko.
Tada, jeigu prašomus duomenis – slaptažodį ar mokėjimo kortelės informaciją – galiausiai įvesite, jie nebebus užšifruoti ir taps matomi nusikaltėliui.
Sukčių išpuolių tipai
Sukčiai vykdo atakas pačiais įvairiausiais būdais, tačiau pagrindinis skirtumas tarp šių atakų yra pasirinkta laikmena. Toliau išvardyti labiausiai paplitę būdai.
Apgaulingi el. laiškai
Apgaulingi el. laiškai be abejonės yra dažniausiai pasitaikanti sukčiavimo forma. Kaip galima spręsti iš pavadinimo, išpuoliai vykdomi el. paštu. Įprastai blogiečių sukurpti el. laiškai pamėgdžioja teisėtus šaltinius, kad apgautų ir priverstų nieko neįtariančius naudotojus atskleisti savo konfidencialius duomenis.
Tikslinis sukčiavimas
Tikslinis sukčiavimas ir kitų tipų apgaulės iš esmės skiriasi tuo, kad blogiečiai labai tiksliai taikosi į vieną subjektą. Daugeliu atvejų taikinys būna konkretus asmuo arba organizacija.
„Banginių medžioklė“
„Banginių medžioklė“, kartais vadinama vadovo apgavyste, yra toks išpuolis, kurio metu, kaip ir tikslinio sukčiavimo atveju, taikomasi į vieną subjektą. Tačiau, siekiant įgyti neteisėtą prieigą prie konfidencialios finansinės informacijos ar kompiuterių sistemos, „banginių medžioklei“ dažniausiai pasirenkami aukšto rango pareigūnai ar kiti svarbias pareigas organizacijoje einantys asmenys.
Apgaulingi skambučiai ir sms žinutės (angl. vishing and smishing)
Apgaulingi skambučiai ir sms žinutės (angl. vishing and smishing) nuo kitų sukčiavimo tipų pirmiausia skiriasi tuo, kad išpuoliai yra vykdomi tik telefonu. „Vishing“ – tai apgaulė balsu (angl. „voice+phishing“), pavyzdžiui, apgaulingi skambučiai, kai apsimetama banko darbuotoju arba siūlomos patrauklios investavimo galimybės. Kita vertus, „smishing“ (angl. „SMS+phishing“) išpuoliai vykdomi tik tekstinėmis žinutėmis, bet jų tikslas ir apipavidalinimas yra labai panašūs į apgaulingų el. laiškų.
Sukčiavimo statistika
Šiais laikais sukčiavimo išpuoliai yra vieni dažniausių ir pavojingiausių kibernetinių nusikaltimų, kuriuos įmonės ir pavieniai asmenys patiria kasdien.
Naujausias ESET tyrimas atskleidė, kad nuo 2021 m. gegužės iki rugpjūčio mėnesio apgaulingų el. laiškų padaugėjo 7,3 proc. Kito, IBM atlikto tyrimo duomenimis, nuo 2019 m. iki 2020 m. sukčiavimo išpuolių skaičius išaugo 2 proc. 2021 m. „Verizon“ duomenų pažeidimo ataskaita rodo, kad sukčiavimo išpuoliai vienaip ar kitaip susiję maždaug su 36 proc. visų pažeidimų.
Metams bėgant, sukčiavimo išpuoliai ne tik tapo dažnesni, bet ir sudėtingesni. Nors „Tessian“ tyrėjai nustatė, kad 76 proc. apgaulingų el. laiškų buvo be kenksmingų priedų, iš „SonicWall“ 2021 m. kibernetinių sėkmių ataskaitos matyti, kad nuo 2018 m. iki 2020 m. smarkiai išaugo kenksmingų PDF ir „Microsoft Office“ failų skaičius. Šis padidėjimas greičiausiai susijęs su tuo, kad dauguma žmonių yra linkę pasikliauti PDF ir „MS Office“ dokumentais. Šį pasitikėjimą atspindi faktas, kad „Microsoft“ yra viena iš dažniausiai imituojamų įmonių – Check Point duomenimis, iki 43 proc. apgaulingų el. laiškų atsiunčiama būtent apsimetant šia technologijų milžine. Taip pat neretai apsimetama tokiomis įmonėmis kaip DHL, „Amazon“ ir „LinkedIn“.
„Verizon“ ataskaitoje pažymima, kad daugeliu atvejų, vykdant sukčiavimo išpuolius, pavojus kyla prisijungimo duomenims, kaip antai slaptažodžiui, PIN kodui ir naudotojo vardui, taip pat asmeninei informacijai – vardui, pavardei ir el. pašto adresui – ir informacijai apie sveikatą, įskaitant socialinės apsaugos numerį ir prašymus išmokėti draudimo išmoką. Be to, ataskaitoje pabrėžiama, kad pažeidus įmonės el. pašto saugą, jos nuostoliai vidutiniškai siekia net 30 000 JAV dolerių.
Bendrovės „Cisco“ 2021 m. atliktoje kibernetinės saugos tendencijų ataskaitoje apžvelgus labiausiai puolamas pramonės šakas nustatyta, kad finansinių paslaugų sektorius yra populiariausias sukčių taikinys. Taip pat dažnai taikomasi į mažmeninės prekybos, gamybos, maisto ir gėrimų, mokslinių tyrimų ir plėtros, technologijų sritis.
Kokie yra įprasti mėginimo sukčiauti požymiai?
Didžioji dalis apgaulingų el. laiškų veikia baimės pagrindu. Neretai apgaulingu el. laišku naudotojui pranešama, kad kažkas atsitiko su jo paskyra. Kad išspręstų netikrą problemą, įprastai jo prašoma spustelėti kenksmingą nuorodą arba atsisiųsti priedą. Dėl to visiškai nestebina, kad daugumos apgaulingų el. laiškų temos eilutėje juntamas raginimas veikti skubiai.
Taip pat sukčiai stengiasi kurti interneto sritis, kurios būtų labai panašios į patikimo vardo įmonės domeną – nieko neįtariančiam naudotojui apgauti panaudojami net logotipai.
Kaip sugauti sukčių
Daugumą apgaulingų el. laiškų išduoda kelios tipinės jų savybės.
Pirmiausia reikėtų atkreipti dėmesį į tai, ar el. laiške naudojamas tikras jūsų vardas. Jeigu kreipiamasi fraze „Gerb. kliente“ arba „Suinteresuotajam asmeniui“, būkite budrūs.
Neretai sukčiai siunčia dideles partijas vienodų el. laiškų, kurie nėra adresuoti konkrečiam asmeniui. Priešingai, jeigu jums rašo teisėta įmonė, ji greičiausiai žino jūsų vardą.
Sukčių el. laiškuose vartojama kalba taip pat gali išduoti apgaulę. Įsiskaitykite, ar nėra nelogiškų minties šuolių, gramatikos ar akivaizdžių rašybos klaidų – jų autentiškuose el. laiškuose iš banko nebūna.
Žinoma, toks pats svarbus yra ir el. laiško siuntėjo adresas. Patikrinkite, ar jis atrodo tikras. Jei abejojate, peržiūrėkite kitus iš šios įmonės gautus el. laiškus ir palyginkite.
Galiausiai, įsitikinkite, ar el. laiške nejaučiate skubos. Jei prašoma pinigų ar raginama spustelėti nuorodą, „kol dar ne per vėlu“, tai blogas ženklas. Nusikaltėliai dažnai bando priversti auką panikuoti arba imtis veiksmų nestabtelint įsiskaityti į paties el. laiško turinį.
Kas atsitiks spustelėjus apgaulingą nuorodą arba atsisiuntus kenksmingą priedą?
Tapę apgaulės auka galite beveik neabejoti, kad apie sėkmingą išpuolį sukčiai praneš kitiems savo kolegoms. Todėl greičiausiai patirsite dar daugiau sukčiavimo epizodų.
Be to, gali būti atskleisti jūsų asmens duomenys, kaip antai vardas, pavardė, adresas, telefono numeris ir kita jus identifikuojanti informacija, o tai sukeltų dar daugiau problemų, pavyzdžiui, būtų pavogta jūsų tapatybė.
Įmonei sėkmingas sukčiavimo išpuolis gali reikšti visišką duomenų praradimą, o šiais laikais tai neretai prilygsta lemtingam smūgiui.
Kaip išvengti apgaulės
Stabtelėkite ir pagalvokite.
Tai yra būtina. Neskaitykite el. laiško paskubomis ir nepulkite stačia galva vykdyti jame pateikiamų nurodymų. Ar jūs raginami tuoj pat spustelėti nuorodą ir atsiimti piniginį prizą? Ar liepiama eiti į tam tikrą internetinę svetainę ir kuo skubiau pakeisti slaptažodį? Neskubėkite ir pirma įsitikinkite, kad el. laiškas nesuklastotas.
Nespauskite nuorodų.
Daugumoje el. laiškų prašoma spustelėti tam tikrą nuorodą. Paklausę atvertumėte duris virusams ir kenksmingoms, taip pat išpirkos reikalaujančioms programoms. Venkite šios problemos ir niekada neatidarinėkite el. laiškuose pateikiamų nuorodų, nebent gavote juos iš patikimo, patikrinto siuntėjo.
Jei abejojate, atverkite naują skirtuką, o jame – tikrosios įmonės puslapį. Galite net parašyti ar paskambinti į įmonę tiesiogiai ir pasiteirauti, ar ji neseniai nemėgino su jumis susisiekti.
Nepasikliaukite vien brukalo filtrais.
Jūsų el. pašte brukalas išfiltruojamas ir nusiunčiamas į atskirą dėžutę, iš kurios vėliau yra pašalinamas, tačiau apgaulingi el. laiškai atpažįstami ne visada. Nemanykite, kad el. laiškas automatiškai saugus vien todėl, kad jo neužfiksavo filtrai. Tokių klaidų įvyksta nuolat, tad būkite atsargūs.
Paklauskite savęs, ar jau esate bendravę su siuntėju.
Jei ne iš savo banko gavote el. laišką, kuriame jūsų prašoma tiesiai iš jo prisijungti prie savo sąskaitos, tai aiškus ženklas, kad į jus nusitaikė. Dauguma apgaulingų el. laiškų yra siunčiami tikintis, kad spustelėsite nuorodą net nesusimąstę. Paklauskite savęs, ar apskritai turite paskyrą ar bendradarbiaujate su įmone, kuriai, esą, atstovauja siuntėjas. Jeigu atsakymas yra neigiamas, el. laišką ignoruokite arba pašalinkite.
Iš esmės
Apgaulingi el. laiškai – seniausia žinoma sukčiavimo internete forma. Jie gali būti itin veiksmingi. Geriausia nuo jų gintis budrumu ir sveiku protu.