Žmonių socialiniai ryšiai – vienas iš svarbiausių visuomenę, jos vertybes ir netgi elgesio modelius formuojančių veiksnių. Bendraudami žmonės plečia savo akiratį ir galimybes. Socializacijos būdai kinta, tačiau visuomenė prisitaiko ir išlaiko įgimtą bendravimo ir keitimosi informacija poreikį. Vis dėlto, įžengus į skaitmeninį amžių, žmonių bendravimas gerokai pakito. Tačiau priemonės kinta gerokai sparčiau, nei žmogaus prigimtis. Ir jos silpnybėmis geidžiančių pasinaudoti netrūksta.
Bendraujant neakivaizdžiai, galima pokalbį atidėti ar visai ignoruoti, tačiau dauguma sutiks, kad ignoruoti skambantį telefoną tikrai sunku. Kitaip sakant, ištrinti neperskaitytą nepageidaujamą trumpąją žinutę ar elektroninį laišką psichologiškai kur kas lengviau nei ignoruoti telefono skambutį. Garsinis signalas mus priverčia mesti darbus ir keisti prioritetus. Šiuo atveju netgi nelabai svarbu ar tas garsas – kaukianti civilinės saugos gyventojų perspėjimo sistemos sirena, atskubantis greitosios pagalbos automobilis ar skambantis telefonas. Netikėtas triukšmas žmogui dažniausiai asocijuojasi su tam tikru įpareigojimu, kurio tiesiog negalima ignoruoti.
Ne veltui į šią žmogaus psichologijos ypatybę dėmesį atkreipė ir socialinės inžinerijos ekspertai. Tik bėda, kad dalis šių ekspertų yra ne kas kitas, o telefoniniai sukčiai. Kai šie du faktoriai susitinka ir suvienija jėgas, iš pažiūros saugi bendravimo forma ima kelti rimtą pavojų. Būtent todėl telefoniniai sukčiai iš patiklių visuomenės narių kasmet išvilioja didžiules sumas. Pavyzdžių toli ieškoti nereikia, jų pilna ir čia, Lietuvoje. Tai globali problema, kuri, semdamasi patirties iš nuolatos pasikartojančių žmogiškų klaidų, įgyja vis daugiau galios.
Telefoniniai sukčiai – tai tiesiog dar vienas fišingo atakos atvejis
Elektroninėje erdvėje piktavaliai nuolatos organizuoja fišingo (angl. phishing) atakas. Saugumo ekspertai jas dažnai vadina vienomis iš pavojingiausių socialinės inžinerijos atakų formų. Didžiausia problema, kad fišingą nusikaltėliai gali pritaikyti pačiose netikėčiausiose situacijose. Šios atakos gali būti itin sudėtingos ir dinamiškos, todėl gali būti plisti praktiškai bet kokioje terpėje, turinčioje bent mažiausią priklausomybę nuo žmogiškosios psichologijos.
Analogiški darbo metodai būdingi ir telefoniniams sukčiams. Dėl šios priežasties prieš žmogaus psichologiją nukreiptus skambučius dažnai įprasta vadinti tiesiog balso fišingo (angl. voice phishing) atakomis. Tarptautiniu mastu šioms atakoms identifikuoti dar naudojamas „vishing“ terminas, tačiau lietuviško jo pavadinimo atitikmens kol kas nėra. Vis dėlto, kaip bepavadinsime balso fišingą, šių atakų tikslas tas pats – įbauginti potencialą auką ir išaugti iš jos konfidencialią ir/arba asmeninę informaciją. Šiuo atveju skirtumas tik tas, kad nusikaltėlis tai bando padaryti telefoniniu pokalbiu.
Žinoma, tokiai atakai piktavalis turi geriau pasirengti, tačiau potencialiai aukai lieka tikrai kur kas siauresnė mąstymo erdvė. Tiesiogiai, realiu laiku bendraujant su piktavaliu, net ir konfidenciali informacija gali nutekėti per menkiausias klaidas. Kitaip sakant, esamuoju laiko momentu patiriamas psichologinis spaudimas mažina žmogaus gebėjimą mąstyti, todėl galimybė suklysti susidūrus su balso fišingu yra tikrai gerokai didesnė nei paprasto fišingo atveju. Pasak „Federal Trade Commission“ atlikto tyrimo, net apie 34 % sukčiavimo atvejų būtent ir yra atliekami telefoniniais pokalbiais.
Balso fišingas Lietuvoje kol kas atsilieka nuo pasaulinių tendencijų
Užsienio ekspertai tvirtina, kad dauguma balso fišingo atakų atliekama IP telefoniją VoIP (angl. Voice over IP). Šis metodas piktavaliams parankus, nes taip akimirksniu galima paskambinti tūkstančiams ar net milijonams adresatų. Be to, interneto tinklu perduodamus skambučius kur kas sunkiau susekti, tad ir surasti nusikaltėlius. Kadangi VoIP skambučiai santykinai pigūs, net ir nedidelė sėkmingų balso fišingų atvejų dalis telefoniniams sukčiams labai greitai tampa pelningu užsiėmimu.
Vis dėlto Lietuvoje telefoniniai sukčiai kol kas pasitelkia rizikingesnius žmonių santaupų viliojimo būdus. Skambučius jie dažniausiai linkę inicijuoti patys, o esant reikalui, su patiklia auka jie netgi yra pasiruošę susitikti akis į akį. Kitaip sakant, Lietuvoje kol kas klysta ne tik telefoninių sukčių aukos, bet ir patys telefoniniai sukčiai. Tačiau piktnaudžiauti tuo jie tikrai vis dar gali, nes į tokius nusikaltimus Lietuvoje reaguojame gan atmestinai. Tuo tarpu tokių skambučių suvaldymo metodų, kai šalyje skambinama neregistruotomis išankstinio mokėjimo kortelėmis, kol kas taip pat tiesiog nėra.
Tik laiko klausimas, kada telefoniniai sukčiai Lietuvoje pradės taikyti tuos pačius balso fišingo metodus, šiuo metu jau naudojamus kitose pasaulio šalyse. O kad telefoninių sukčių darbo metodai kitose šalyse gerokai pavojingesni, abejoti taip pat neverta. Pavyzdžiui, Jungtinėse Amerikos Valstijose telefoniniai sukčiai besinaudodami mokesčių inspekcijos IRS (angl. Internal Revenue Service) priedanga, iš patiklių mokesčių mokėtojų nuo 2013 metų spalio jau išviliojo >14 milijonų JAV dolerių.
Socialinė inžinerija telefoniniams sukčiams leidžia veikti kompleksiškai
Sukaupta patirtis ir geras socialinės inžinerijos principų išmanymas telefoniniams sukčiams leidžia organizuoti itin kompleksiškas ir sudėtingas fišingo atakas. Patyrę telefoniniai sukčiai balso fišingą geba puikiai apjungti su interneto platybėse vykdomomis fišingo atakomis. Šios itin dideliu kompleksiškumu pasižyminčios atakos žmogaus psichologiją verčia klysti dar dažniau, nes potencialą auką piktavalis bando įbauginti ir įtikinti keliuose skirtinguose lygmenyse. Kitaip sakant, telefoninis sukčius į auką nebūtinai pats turi kreiptis telefoniniu skambučiu. Šiuo atveju galimas ir atvirkščias scenarijus, kai gavusi elektroninį laišką įbauginta auka pati susisiekia su sukčiumi laiške pateiktu telefono numeriu.
Tolesnė socialinės inžinerijos atakos raida labai priklauso nuo telefoninio sukčiaus sukauptų sugebėjimų. Užsienio praktika rodo, kad piktavalis esant tokiai situacijai, priešingai nei įprasta Lietuvoje, vis tiek stengiasi išvengti tiesioginio pokalbio su savo potencialia auka. Būtent dėl to telefoninių sukčių pagalbininku dažnai tampa ne kas kitas, o interaktyvusis atsakiklis IVR (angl. Interactive Voice Response). Argi ne įtikinamai atrodo, kai paskambinus fišingo el. laiške nurodytu numeriu, pašnekovą pasitinka oficialiu tonu ta pačia tema šnekantis įrašytas balsas, siūlantis pasirinkti norimą tolimesnę pokalbio temą?
Taikydami tokį modelį, telefoniniai sukčiai gali pasirinkti praktiškai bet kokią interesantams aktualią temą. Vis dėlto, kaip rodo praktika, telefoninių sukčių kuriamus interaktyviuosius atsakiklius sieja vienas bendras bruožas. Dauguma jų kuriami ir reikalingi tik tam, kad potenciali auka, išklausiusi tam tikro garsinio pranešimo, telefono klaviatūroje galiausiai pasiryžtų suspaudyti ne tik savo banko sąskaitos numerį, bet ir jos PIN ar CSV kodą.
Saugumo ekspertai tvirtina, kad taikydami interaktyviojo atsakiklio modelį, telefoniniai sukčiai skambinti gali ir patys. Būtent čia į pagalbą dažniausiai yra pasitelkiama jau minėtoji IP telefonija. Tai piktavaliui leidžia maksimaliai automatizuoti procesą, o svarbiausia, tinkamai paruošta tokia sistema vėliau gali veikti visiškai autonomiškai – telefoniniam sukčiui tereikia peržiūrėti balso fišingo atakos metu surinktus patiklių IVR pašnekovų įvestus duomenis, tačiau tiesiogiai su savo auka komunikuoti nereikia.
Abstraktus pokalbis – telefoninius sukčius išduodantis bruožas
Telefoninio sukčiaus noras išvengti tiesioginio kontakto su pašnekovu turėtų būti savaime suprantamas. Vis dėlto Lietuvoje užfiksuoti balso fišingo atvejai rodo ką kita. Taigi, suprasti kas telefoninio pokalbio metu gali išduoti telefoninį sukčių taip pat labai svarbu. Tokio pobūdžio nusikaltimai įvyksta tik tada, jeigu piktavalis jaučia savo pranašumą, bendraudamas su psichologiškai nepasiruošusia auka. Priešingu atveju telefoninis sukčius tikrai niekada nesivels į diskusiją, jeigu pajus, kad jo pašnekovas jaučiasi užtikrintai ir tikrai nėra linkęs leisti net į pačias menkiausias avantiūras.
Sulaukus skambučio iš nepažįstamojo, svarbu įsidėmėti, kad kiekvieno tokio pokalbio pradžioje skambinantysis turi prisistatyti kokiu tikslu ir iš kokios įstaigos ar įmonės skambina. Tuo tarpu jeigu sulauksite skambučio iš bendrovė ar įstaigos, kuri administruoja jūsų duomenis, galite net neabejoti jog į jus bus kreiptasi vardu. Būtent šių aspektų telefoniniai sukčiai vengia, nes pokalbio pradžioje jie tiesiog neturi net menkiausio supratimo su kuo bendrauja. Tai verčia pokalbį pradėti itin abstrakčiai, tačiau kartu ir šiek tiek grėsmingai. Kitaip sakant, telefoninis sukčius į pagalbą pasitelkia socialinę inžineriją – metodą, kuris leidžia efektyviai ir greitai susipažinti su savo naujuoju pašnekovu.
Kaip jau buvo galima suprasti, telefoniniai sukčiai bene dažniausiai balso fišingo metu siekia išgauti banko kortelių duomenis. Čia itin svarbu suprasti, kad bankai tikrai niekada nesikreipia į savo klientus, prašydami pateikti konfidencialią prisijungimo informaciją. Be to, banko darbuotoju apsimetančio telefonini sukčiaus prašymas turi atrodyti visiškai neįtikinamai dar ir dėlto, kad skambutį su tokiu prašymu inicijavo jis pats. Praktika rodo, kad paskambinus į banką, gali tekti pasakyti savo asmens kodą, tačiau klientas taip pat turi visas teises atsisakyti telefonu pateikti tokią informaciją. Tokiu atveju banko darbuotojas tiesiog pasistengtų klientą identifikuoti pagal kitus viešojoje erdvėje dažniau naudojamus duomenis.
Galiausiai reikia suprasti ir tai, kad laimėti loterijose, kuriose net nesiregistravote taip pat yra neįmanoma. Ir toks laimėjimas turėtų skambėti dar keisčiau, jeigu telefoninio skambučio metu esate verčiamas skubėti. Taip savo pašnekovą elgtis gali versi tik telefoninis sukčius, bet ne tikros loterijos organizatorius. Kitaip sakant, pasaulyje stebuklų galbūt ir būna, tačiau likti kvailio vietoje nei patirti stebuklą šiandieniniame pasaulyje šansų yra tikrai kur kas daugiau. Savo privatumą ir konfidencialius duomenis galime apsaugoti tik patys, todėl prieš juos kam nors atskleisdami, gerai pagalvokite ar dėl tokio savo sprendimo vėliau neteks gailėtis.