Apie kibernetines grėsmes ir atsargumą internetinėje erdvėje laidoje „Radikalus smalsumas“ papasakojo Vilniaus universiteto profesorius dr. Linas Bukauskas.

– Kokius patarimus duotumėte, kad žmonės apsaugotų savo duomenis ir finansus?

– Patarimų yra keletas. Vienas iš jų – nenaudoti silpnų slaptažodžių. Kartu su mokslininkais iš Generolo Jono Žemaičio Lietuvos karo akademijos atlikome tyrimą apie nutekintus slaptažodžius. Tai parodė, kad lietuviai linkę turėti silpnus slaptažodžius žodyno pagrindu. Tie patys slaptažodžiai kiekvienas metais kartojasi. Paėmus lietuvių kalbos žodyną ir trasformavus tuos žodžius pagal tam tikras taisykles, galima bandyti atspėti slaptažodžius. Yra viena problema, kad mes ne visada kuriame juos tokius, kurie būtų pilnai atsitiktiniai. Reikia kurti atsitiktinius slaptažodžius, ne ilginti jį (6-8 simboliai yra sekundžių reikalas), o bent 10 simbolių. Taip pat slaptažodžiai turi būti ne iš jau nutekintų slaptažodžių sąrašo. Jie naudojatės slaptažodžių piniginėmis, slaptažodžių generatoriais, tai yra geras būdas padidinti savo saugumą. T.y. nenaudojant vieno žodžio, tarkime angliško, kuris yra nesunkiai atspėjamas, o naudojant pakankamai sudėtingus ir sunkiai atspėjamus slaptažodžius.

– Kokie yra labiausiai paplitę kibernetinio sukčiavimo būdai?

– Visų pirma tai yra piniginis sukčiavimas arba apgavystės, kurios veda piniginio sukčiavimo link, taip pat ir apgavystės, kurios įpainioja žmones į įvairiausias finansines schemas.

– Gal galėtumėte įvardytis tokios schemos pavyzdį?

– Tai galėtų būti, kai kibernetinė erdvė yra tik priemonė atlikti tam tikroms finansinėms operacijoms. Pavyzdžiui, keistas elektronis laiškas ir jame yra pateikta sąskaita-faktūra, kurią žmogus galimai turi apmokėti. Vienas iš labiausiai pasitaikiusių sukčiavimo būdų, ypač išpopuliarėjęs per pandemiją, kai laukiame kurjerio, kuris turi atnešti siuntą, o mes laukiame kažkokios elektroninės sąskaitos, kurią turėtume apmokėti. Tad vienas iš pasitaikančių būdų – fiktyvios sąskaitos pateikimas su nurodytais įmonių, į tikrovę panašiais adresais, pavadinimais, pavardėmis, tačiau pati nurodyta sąskaita – jau sukčių darbas, į kurią galimai yra pervedami pinigai. Tai pavyzdys, kai kibernetinė erdvė yra naudojama sukčiavimui.

– Pavyzdžiui, jei gauni laišką su siuntos sekimo nuoroda ir numeriu bei ją atsidarai, žinant, kad nelauki jokios siuntos ir juo labiau iš nurodytos siuntų tarnybos. Kas gali nutikti telefonui ar tam, kuris atsidarytų tą nuorodą? Kas tokioje nuorodoje gali slypėti?

– Įprastai sukčiai siunčia trumpą informaciją, kurioje pasakoma, kad jūsų laukia siunta ir turite neva paspausti nuorodą. Jei žinote, kad nelaukiate jokios siuntos, tai natūraliai ir pagalvosite, kodėl čia ta žinutė atsiųsta. Tad yra didelė tikimybė, kad jūs ir neapsigausite. Įprastai, atsidarius tą nuoroda, bus paprašyta įvesti kažkokią papildomą asmeninę informaciją. Vis tik blogiausias atvejis būna tada, kai vartotojai iš tiesų laukia siuntos ir netyčia tas žinutės turinys sutampa su žmogaus lūkesčiais, kad ateis siunta, kad yra kažkoks sekimo numeris, kurį reikia pasižiūrėti ir pamatyti siuntos vietą. Ir tada būna, kad tenka papildomai susimokėti ar suvesti kažkokius asmeninius duomenis.

– Teko kalbėtis su „geruoju“ programišiumi, kuris atlieka įmonių auditus. Jo teigimu, apie 20 proc. žmonių apsigauna. Ar jums yra žinoma tokia statistika? Kiek procentų žmonių užkimbą ant sukčių kabliuko ir paspaudžia tas nuorodas ar suveda kažkokius tai duomenis?

– Kai kalbame apie konkrečius skaičius, reikėtų paminėti ir organizacijos tipą bei brandą. Kai kurios neleiždžia į privačią erdvę išsinešti darbinių veiklų arba atvirkščiai – į darbinę veiklą neleidžia atsinešti privačių veiklų. Todėl dažnai ši vieta būna sutvarkyta ir neleidžiama įvykti toms socialinės inžinerijos atakoms, kuomet darbo metu leistų atlikti tam tikrą asmeninio gyvenimo dalį. Jei įmonės mažiau rūpinasi darbuotojų saugumu arba yra didelis pasitikėjimas darbuotojais, tai gali taip atsitikti, kad jie gali paspausti nuorodą ir pagalvoti, kad tas siuntinys jiems atėjo ir bus atliktas tam tikras duomenų nutekėjimas. Pats faktas, kad paspaudei nuorodą, dar nėra įrodymas, kad tie duomenys nutekės, bet per nuorodą galima įmplantuoti tam tikrą programinį sprendinį į galutinio vartotojo kompiuterį, kuris paspaudė tą nuorodą. Galima būtų įviliotį toliau, kad atiduotų asmeninę informaciją, įvilioti į keistas akcijas ar net išduoti organizacijos IP adresus, iš kurių organizacija komunikuoja.

– Kaip atpažinti ir atskirti, kad tos žinutės mums neatsiuntė kibernetiniai nusikaltėliai?

– Kalbant apie tradicinį elektroninį adresą, tai paštas įprastai turi taip vadinamą signatūrą, kurią visada galima patikrinti ir įsitikinti, ar visa tai atėjo iš patvirtinto šaltinio. Tačiau socialiniuose tinkluose paslaugos dažnai yra integruotos į interneto puslapius ar mobilias programėles. Taip atsiranda problema – patikrinti, ar ta žinutė atėjo iš to šaltinio, ar tas šaltinis yra reprezentatyvus ir ar ta žinutė atitinka, tai, ką tas šaltinis teigia, gali būti problematiška. Tarkime, LinkedIn'e, feisbuke ar kitoje socialinėje platformoje, gaunate kvietimą susidraugauti arba susijungti su žmogumi, kurio jūs niekada nesate matę. Kartais net iškyla klausimas, ar toks žmogus iš viso egzistuoja? Jei tokio žmogaus nesate matę, tai geriau tokių draugų socialinėje erdvėje neturėti. Jei esate pažįstami, jei atsitiko taip, kad tas vardas yra panašus, arba iš tiesų esate kažkada susidūrę, tai būtina pasižiūrėti to vartotojo profilį, pasitikrinti kitą papildomą informaciją, kurią jis tiekia, kokias žinutes rašo, jei jos yra viešos, ir taip pasidaryti preliminarią analizę, ar verta su tokiu vartotoju jungtis į bendrą tinklą.

Kokios yra naujausios kibernetinių atakų tendencijos, kokios grėsmės kyla internete ir ko verta nedaryti internete, žiurėkite video siužete.