Lietuvos bankų asociacijos duomenimis, pasitelkę apgaulingus el. laiškus ar žinutes ir taip įtraukę žmones investuoti į finansines schemas, kibernetines atakas atliekantys sukčiai per pastaruosius metus Lietuvos gyventojams padarė daugiau kaip 4,5 mln. eurų žalos.
Lietuvos bankų asociacijos duomenimis, pasitelkę apgaulingus el. laiškus ar žinutes ir taip įtraukę žmones investuoti į finansines schemas, kibernetines atakas atliekantys sukčiai (angl. phishers) per pastaruosius metus Lietuvos gyventojams padarė daugiau kaip 4,5 mln. eurų žalos. O „Risk Based Security“ ataskaitoje skelbiama, kad 2020 m. pažeistų įrašų skaičius perkopė 37 mlrd. ir, palyginti su 2019 m., padidėjo 141 proc.
Asociatyvi „Pixabay“ nuotr.
Pasak Vilniaus universiteto Kauno fakulteto informacinių technologijų (IT) ekspertės ir kibernetinio saugumo varžybų „Cyberthon 2021“ lektorės dr. Renatos Danielienės, kibernetinių atakų kasmet vis daugėja. Ir taip didelį jų kiekį šiemet dar labiau išaugino karantinas, kurio metu didžioji dalis įmonių savo veiklą perkėlė į virtualią erdvę, darbuotojai pradėjo dirbti iš namų, o tai reiškia, kad darbo veikloms atlikti buvo naudojami mažiau apsaugoti asmeniniai kompiuteriai, pranešimas žiniasklaidai.
Populiariausias sukčiavimo metodas – phishing
Remiantis „Europol“ 2020 m. statistika, socialinė inžinerija ir sukčiavimas naudojant phishing metodą išlieka viena iš pagrindinių kibernetinių atakų grėsmių.
„Norėdami išgauti žmonių asmeninius duomenis sukčiai dažniausiai naudoja el. laiškus, SMS žinutes, žinutes socialiniuose tinkluose. Tokiose žinutėse dažnai pateikiama nuoroda, kurią žinutės gavėjas turi paspausti, kad išspręstų kokią nors neva kilusią problemą ar pažiūrėtų aktualią informaciją. Žinutėse gali būti prisegti dokumentai ar archyvuoti failai. Atvėrę tokius dokumentus ar įdiegę sukčių siunčiamus dokumentus ar kitus failus, naudotojai gali savo įrenginį užkrėsti kenkėjiškomis programomis, kurios gali rinkti asmeninius duomenis ar padėti perimti įrenginio valdymą“, – sako IT ekspertė.
Sukčiai naudoja socialinę inžineriją ir manipuliacijas, kad auka atliktų tam tikrus veiksmus nesusimąstydama ir priėmusi skubotą sprendimą. Socialinės inžinerijos technikos gali būti įvairios: pradedant skambučiais į organizacijas, kai apsimetama techniniu darbuotoju siekiant gauti prieigą prie informacinių sistemų, baigiant elektroninėmis žinutėmis. Kibernetiniai nusikaltėliai dažnai taiko sukčiavimo metodą phishing, kuris pastaraisiais metais sudarė didžiąją dalį visų socialinės inžinerijos atakų. Šių atakų pagrindinis tikslas – vienokiu ar kitokiu būdu išgauti asmeninę informaciją, pavyzdžiui, prisijungimus prie el. pašto, socialinių tinklų paskyrų, kreditinių kortelių duomenis ar kitą finansinę informaciją.
„Jei atakuojantieji savo kenkėjiškai veiklai gali skirti labai daug resursų ir laiko, o organizacija, į kurią bandoma įsilaužti, turi itin vertingos ir konfidencialios informacijos, jie gali pasinaudoti ir rafinuotesniais metodais, pavyzdžiui, nusikaltėlių infiltravimu į organizacijos vidų“, – tikina dr. R. Danielienė.
Tobulėja ir technologijos, ir nusikaltėlių išmanumas
Bendravimui pandemijos metu tapus virtualiam, kibernetiniams sukčiams atsivėrė dar didesnės galimybės ne tik el. laiškais atakuoti žmones, bet ir kitais būdais įtraukti juos į savo pinkles. Piktavaliai prisitaikė prie esamos situacijos ir šiek tiek patobulino savo naudojamas priemones, o pagrindinis kibernetinių nusikaltėlių motyvas išliko tas pats – finansinė nauda.
Anot dr. R. Danielienės, sukčiaujantys asmenys dažnai naudojasi tokiomis žmonių emocijomis kaip baimė ar smalsumas kurdami pranešimus su konkretaus laikotarpio aktualijomis. Pavyzdžiui, kibernetiniai nusikaltėliai dažnai siunčia laiškus su neva aktualia informacija apie COVID-19. Apsimesdami Pasaulinės ar kitų sveikatos organizacijų atstovais, apgavikai laiškuose gali pridėti dokumentus, kuriuos atidarius įrenginį galima užkrėsti kenkėjiška programa, arba žinutėse gali būti pateikiama nuoroda į svetainę, kur, anot jų, galima sužinoti naujausią informaciją, susijusią su pandemija, užsiregistruoti nemokamam skiepui ir pan.
„Paspaudus sukčių laiškuose pateikiamas nuorodas į svetaines, prašoma prisijungti prie įprastai atrodančios sistemos, ir žmogus, pildydamas laukelius, nejučia gali pateikti tiek prisijungimo prie pašto sistemos, tiek finansinius duomenis“, – sako dr. R. Danielienė ir priduria, kad anksčiau sukčiavimo žinutes buvo galima atskirti iš gramatinių ir rašybos klaidų, tačiau pastaruoju metu siunčiamose apgaulingose žinutėse nėra klaidų arba jų yra itin mažai, o tai skatina pasitikėti atsiųstu pranešimu ir patikėti apgaulinga informacija.
IT ekspertė atkreipia dėmesį, kad nusikaltėlių laiškai atrodo labai panašūs į tikrų institucijų laiškus, t. y. pasitelkiami organizacijų logotipai, spalvos, o kontaktiniai duomenys, pavyzdžiui, el. pašto adresai, gali nedaug skirtis nuo tikrų organizacijų naudojamų. Todėl svarbu atkreipti dėmesį į simbolius, pavyzdžiui, el. pašto pabaigoje gali būti neįprasta galūnė, kuri laiško gavėjui nesukelia įtarimų (pavyzdžiui, klientai@bankoadresas.info).
„Vienas iš naujausių apgaulingų laiškų pavyzdžių, kada panaudojamas organizacijos pavadinimas, buvo nukreiptas prieš „Luminor“ banką. Tada banko klientai gavo melagingus pranešimus, kuriuose buvo pridėta informacija apie mokėjimą. Taip kibernetinę ataką vykdę asmenys platino kenkėjišką programą ir siekė nutekinti konfidencialią banko klientų informaciją“, – primena dr. R. Danielienė ir pateikia dar vieną Vilniaus universiteto vardu vykdyto kibernetinio sukčiavimo bandant užmesti „kabliuką“ pavyzdį: „Bendruomenės nariams buvo siunčiami kenkėjiški pranešimai su pridėtu failu ir raginimu jį atidaryti. Apgaulingam pranešimui pasitelktas universiteto logotipas ir realaus darbuotojo duomenys, todėl iš pirmo žvilgsnio atrodo, kad žinutė yra tikra.“
Dar vienas požymis, padedantis atpažinti sukčiavimo žinutes – jose dažnai pateikiama nuoroda neva į įstaigos svetainę. Paspaudus tokią nuorodą, atveriama netikra, sukčių sukurta svetainė, kuri atrodo identiška originaliai svetainei, netgi internetinis adresas labai panašus į tikros svetainės adresą. Kartais sukčiaujama pakeičiant vieną raidę kita, pavyzdžiui, www.adresas.lt raidė „l“ gali būti pakeista raide „i“, todėl skirtumas apgaulingame svetainės adrese www.adresas.it yra sunkiai pastebimas.
Atakų auka gali tapti kiekvienas
Nuo kibernetinių atakų gali nukentėti bet kas. „Sukčiai siunčia el. laiškus ar žinutes turimais adresais ir kontaktais, kurie gali būti viešai prieinami internete ar kada nors dėl kibernetinių incidentų parduoti juodojoje rinkoje. Apgaulingą phishing laišką gali gauti tiek įmonės darbuotojas, tiek eilinis gyventojas. Šiam būdui nereikia daug pastangų ir resursų. Tikėtina, kad kas nors vis tiek „užkibs“ ant kabliuko, nes piktavaliai paskatina būsimą auką atlikti tam tikrus veiksmus. Siunčiamose žinutėse dažnai raginama skubėti ir gąsdinama, kad jei auka neatliks nurodytų veiksmų, ji gali prarasti prieigą prie kokios nors sistemos arba jos veiksmai toje sistemoje bus apriboti. Kartais sukčiai „užmeta riebesnį masalą“ ir žinutėse siūlo neįtikėtinas nuolaidas ar nelauktus laimėjimus“, – apie tykančius pavojus įspėja kibernetinio saugumo ekspertė.
Kai kurie nusikaltėliai prieš ataką atlieka tyrimą apie būsimą auką, pavyzdžiui, renka informaciją apie įmonių vadovus ar finansininkus. Atlikę kruopščią analizę, piktavaliai konkrečiam žmogui siunčia laišką su skubiu ir primygtiniu prašymu, pavyzdžiui, įmonės vadovas prašo finansininko atlikti skubų pavedimą.
Apsauga nuo kibernetinių atakų – informacinis raštingumas
Apsisaugoti nuo vis didėjančio sukčiavimo internetinėje erdvėje mums gali padėti kibernetinio saugumo specialistai. Atkreipę dėmesį į jų rekomendacijas, galime susilaikyti nuo skubotų veiksmų, kritiškai įvertinti gaunamą informaciją ir taip apsaugoti svarbius bei jautrius duomenis.
„Prieš platindami nuotraukas socialiniuose tinkluose, žmonės turėtų gerai pagalvoti, ar jose nėra asmeninio pobūdžio informacijos, tokios kaip namų adresas, automobilio valstybinis numeris ir pan. Darbdaviams rekomenduojama organizuoti kibernetinių incidentų simuliacijas, siekiant nustatyti pažeidžiamiausias organizacijos vietas, ir reguliariai vykdyti kibernetinio saugumo mokymus darbuotojams“, – pataria dr. R. Danielienė.
Neseniai kibernetinio saugumo srityje pradėtas taikyti dirbtinis intelektas, manoma, sugebės mus dar geriau apsaugoti nuo kibernetinių grėsmių nei toje srityje dirbantys žmonės. Dirbtinis intelektas, pasitelkiant mašininį mokymąsi, jau dabar naudojamas tiek tiriant, tiek aptinkant įsilaužimus, tačiau visada lieka klausimas: ar dirbtinio intelekto priemonėmis nepasinaudos ir kibernetiniai nusikaltėliai?
