Minėti atvejai sudaro tik santykinai nedidelę dalį visų paplitusių finansinio sukčiavimo atvejų, pasitelkiant socialinę inžineriją - manipuliacinę techniką, kuria siekiama iš aukos išvilioti informaciją arba įtikinti atlikti tam tikrus veiksmus. Lietuvos bankų asociacijos (LBA) praėjusių metų duomenimis beveik 12 mln. eurų sukčiai sėkmingai išviliojo iš lietuvių. Tad kokie iš tiesų yra finansinio sukčiavimo mąstai, kokios labiausiai paplitusios formos, kaip jas atpažinti ir „neužsikabinti“ bei kiek jie kainuoja mums visiems, apžvelgia Skandinavijos Fintech įmonės „Vipps MobilePay“ vyresnioji finansinių nusikaltimų prevencijos analitikė Vytautė Kančytė ir duomenų analitikas Šarūnas Steckis.

Ką turėtume žinoti apie manipuliacines technikas?

Vis didesnis naudojimasis elektroninėmis priemonėmis, ypatingai paspartintas Covid-19 pandemijos, turi įtakos Socialinės Inžinerijos sėkmei, kuri išnaudoja žmonių patiklumą. LBA duomenys rodo, jog sukčiai dažniausiai neturi nusitaikę tikslinės auditorijos, taikydamiesi į įvairaus amžiaus žmones. Taip pat žmogaus amžius tiesiogiai priklauso nuo patirtų nuostolių sumos, kadangi, dažniausiai, kuo vyresnis žmogus, tuo daugiau santaupų jis yra sukaupęs.

Šarūnas Steckis

Svarbu paminėti, kad ne visos atakos iškart pasireiškia finansiniais nuostoliais. Veiksmų grandinė, privedanti prie nuostolių yra ilga ir nesibaigia ties banko kliento sąskaitos ištuštinimu. Šią grandinę sudaro 3 etapai: asmens duomenų surinkimas, lėšų pervedimas ir, vėlesnėje stadijoje, pinigų plovimas. Visuose etapuose gali veikti Socialinė Inžinerija: išviliojant iš asmens jautrius duomenis (1 etapas), pasinaudojant tais duomenimis, kad įtikintų asmenį padaryti pavedimą arba įsilaužti į asmens elektroninės bankininkystės paskyrą (2 etapas) ir „išplauti“ vogtas lėšas, galbūt, įtikinant procese dalyvauti niekuo dėtus žmones (3 etapas – pavyzdžiui: paprašyti priimti bankinį pervedimą ir tada jį išgryninti bankomate už tam tikrą mokestį).

Sukčiavimo būdai Lietuvoje - nuo netikrų valstybinių institucijų žinučių iki romantinių sukčių

Dauguma sukčių taikosi į privačius asmenis dėl lengvesnio prieinamumo ir didesnės tikimybės išvengti atsakomybės. Populiariausias sukčiavimo būdas 2022 m. Lietuvoje buvo fišingas / smišingas (ang. phishing / smishing), pasitelkiant elektroninius laiškus ar SMS žinutes. Šio sukčiavimo metu sukčiai dažniausiai susisiekia su potencialia auka ir prisistato banko ar valstybinių institucijų atstovais bei paprašo atskleisti asmeninius duomenis arba įgyvendinti tam tikrus veiksmus, kaip, pavyzdžiui, įvykdyti bankinį pervedimą. Yra sukuriama kokia nors įtikinama istorija - tai gali būti „įsilaužimas į asmens elektroninės bankininkystės paskyrą, kurį reikia skubiai sustabdyti“. Kitas pavyzdys - Covid-19 pandemijos metu žmonės sulaukdavo žinučių apie potencialų kontaktą ir jų būdavo paprašoma pateikti asmeninius duomenis užpildant tam tikrą anketą. O štai paskutinius porą mėnesių matėme daug atvejų, kuomet žmonės sulaukdavo raginimų pateikti VMI pajamų deklaraciją ir susigrąžinti permoką. Be abejo, visi šie laiškai ar SMS žinutės nukreipdavo į netikrą nuorodą, kurioje būdavo siekiama surinkti žmonių asmeninius duomenis, kurie vėliau gali būti panaudojami įsilaužti į kliento paskyras mokėjimo platformose arba įtikinti asmenis įvykdyti pinigines transakcijas. SEB banko skaičiavimu, viena sukčių žinutė į pinkles pakliuvusiam lietuviui vidutiniškai kainuoja apie 113 eurų.

Dar vienas populiarus fišingo būdas yra „Spear phishing“. Jis pasižymi taikymusi į konkretų asmenį arba organizaciją, turint gerokai daugiau informacijos apie minėtus vienetus (darbo vieta, pozicija, įsipareigojimai, organizacinė struktūra ir pan.) Su potencialia auka yra susisiekiama elektroninių komunikacijos priemonių pagalba – dažniausias pavyzdys – elektroniniais laiškais, kurie tariamai atrodo išsiųsti iš pasitikėjimą keliančio asmens ar kompanijos atstovo. Šiuo atveju tikslai nesiskiria nuo paprasto fišingo, tačiau skiriasi padaromos žalos mąstai – gali būti išviliojama daug daugiau jautrių duomenų, arba išviliojama daug didesnė pinigų suma. Įdomus atvejis Lietuvoje buvo 2018 m. - iš Alytaus miesto savivaldybės taip išviliota beveik 188 tūkst. eurų, kuomet sukčiai pateikė apmokėjimui suklastotą sąskaitą faktūrą. Tačiau taip pat gali būti siekiama instaliuoti kenkėjišką programą (ang. Malware) aukos kompiuterinėje įrangoje.

Taip pat verta paminėti, kad lietuviai vis dažniau pasiduoda „fiktyvaus investavimo“ sukčiavimui. Šis sukčiavimo būdas pasižymi tokiomis detalėmis kaip: investicinė grąža, kuri yra neįtikėtinai didelė, jog panašios grąžos tikros investicinės kompanijos dažniausiai negalėtų prižadėti. O tuo tarpu rizika yra pristatoma kaip labai maža. Taip pat dažniausiai toks pasiūlymas yra pateikiamas kaip limituoto kiekio ar laiko pasiūlymas, žmogui sukeliantis skubumo ir spaudimo jausmą, kuris veikia žmogaus budrumą ir logiką. Sukčiai įprastai nepalieka laiko žmogui pagalvoti ir įvertinti pasiūlymo. Labai dažnai asmenys kviečiami investuoti į fiktyvias įmones arba kriptovaliutas per tarpininkus, kuriems yra „patikimi“ (pervedami) pinigai. Tokiu būdu sukčiai išvilioja ne tik pinigus, bet ir asmeninę informaciją, naudojamą tolimesniems finansiniams nusikaltimams. Galima daryti prielaidą, kad auganti infliacija ir bendra dabartinė ekonominė situacija skatina žmones dairytis į būdus kaip apsaugoti savo santaupas. Lietuvos Banko duomenimis, žinomų investicinio sukčiavimo atvejų skaičius praeitais metais išaugo, tačiau žmonės investuoja po mažiau.

Romantinio pobūdžio sukčiai taip pat yra gerai įvaldę žmogaus psichologiją ir dažnai pažeidžiamą emocinę pusę. Dažniausiai šie sukčiai savo aukas randa socialiniuose tiksluose ar pažinčių svetainėse, kur yra užmezgamas pirmas kontaktas. Šie sukčiai įdeda laiko ir pastangų pasitikėjimui įgyti, kad jų auka patikėtų esama istorija – kad sutiktas žmogus gyvena prabangų gyvenimą, yra verslo atstovas ar pan. Kai „nuoširdus“ ryšys yra užmegztas, staiga sukčiui prireikia pinigų, nes pavyzdžiui, neva apsimetėlio sąskaita yra užšaldyta, kortelė užblokuota ar atsitinka nelaimingas įvykis. Tokiu pagrindu sukčius prašo paskolinti ar pervesti pinigų.

Svarbu pažymėti, jog ne visada asmenų duomenys gali būti išviliojami per Socialinę Inžineriją. 2021 m. Lietuvoje plačiai nuskambėjo kompanijos „CityBee“ duomenų nutekėjimo istorija, kuri tikrai buvo ne vienintelė – nukentėjo ir portalai „Olybet.lt“, „filmai.in“, „darnipora.lt“ ir kt. Nors tiesioginė finansinė grėsmė jų klientams ir nekilo, tačiau daug nutekėjusių duomenų palengvino darbą vėliau – skambinant banko klientui ir apsimetant banko darbuotoju, daug lengviau tą padaryti žinant ir tam tikras detales apie asmenį, kaip vardas, pavardė, adresas ir pan.

Vytautė Kančytė

Kaip apsisaugoti nuo sukčių ir sukurti saugesnę aplinką kitiems?

Skaičiuojama, kad 2021 m. sukčiavimo prevencijos rinka pasaulyje buvo verta beveik 25 mlrd. JAV dolerių. Planuojama, kad iki 2026 m. ši suma beveik patrigubės. Ją sudaro privačių ir valstybinių įmonių investicijos į saugumo sritį, kurios nugula ant galutinio vartotojo pečių įkainių mokesčių pavidalu. Šios išlaidos motyvuojamos tiek žala reputacijai, tiek teisiniu reglamentavimu.

Taigi, mums vis daugiau naudojantis elektronine erdve, taip pat auga sukčiavimo mąstai joje. Sparčiai tobulėjant technologijoms tikrai išgirsime apie atvejus, kuomet Socialinei Inžinerijai bus pasitelkti dirbtinio intelekto įrankiai, kaip balso ar teksto generatoriai. Tad kaip galime apsisaugoti patys ir sukurti saugesnę aplinką visai visuomenei?

Pirmas ir svarbiausias būdas apsisaugoti nuo finansinių sukčių – neskubėti ir ramiai įvertinti situaciją. Tai yra bendra taisyklė galiojanti visiems atvejams.

Reikėtų neskubėti ir iškart nespausti gautų nuorodų, jeigu gautas laiškas ar SMS žinutė sukėlė bent menkiausią įtarimą. Su kompiuterio pelyte užėjus ant nuorodos bus parodoma pilna nuoroda, kurią galima palyginti su oficialaus puslapio nuoroda dėl neatitikimų. Arba nuorodą galima nukopijuoti ir įklijuoti į paieškos langą prieš ją paspaudžiant, tokiu būdu taip pat atsiskleidžia pilna nuoroda, kurią galima patikrinti. Rekomenduojama informaciją patikrinti ir oficialiu kanalu, pavyzdžiui, gavus įtartiną laišką iš VMI, nueiti į oficialų VMI puslapį ir peržvelgti pranešimų skiltį.

Skambučio metu sukčiai kreipiasi vardu į privatų asmenį. Pirmiausia reiktų atkreipti dėmesį, kokios kompanijos atstovas kreipiasi į Jus. Jeigu neturite sąsajų su minėta organizacija, tuomet gali būti, kad Jus bando įvilioti į pinkles. Jeigu tai yra valstybinė institucija arba organizacija, su kuria turite sąsajų, bet kalboje yra keistos terminologijos arba neįprastų prašymų, tuomet galite nutraukti skambutį ir perskambinti oficialiu numeriu. Bet kokios prievolės visada bus papildomai siunčiamos pranešimu institucijos vidiniu kanalu.

Taip pat, reikia neskubėti atiduoti asmeninių duomenų tokių kaip asmens kodas, banko sąskaitos numeris, telefono numeris ar pan. Niekada neišduokite slaptažodžių arba nepatvirtinkite autentifikavimo užklausos, jeigu pats tuo metu nesijungiate prie tokio autentifikavimo reikalaujančios platformos.

Nukentėjus nuo sukčių, svarbu pranešti atsakingoms institucijoms. Tai ne tik galbūt jums padėtų susigrąžinti pinigus, bet ir institucijoms pagelbėtų susidaryti pilnesnį vaizdą apie sukčiavimo mąstą, vyraujančias tendencijas ir operatyviai ieškoti tinkamiausių būdų kaip tai sustabdyti.