Gautas el. laiškas iš banko, kuriame prašoma „skubiai patvirtinti savo duomenis”. Žinutė telefone su nuoroda į „laimėtą prizą”. Pranešimas socialiniame tinkle, kad paskyra bus užblokuota, jei per 24 valandas nepakeisite slaptažodžio. Visa tai, tikėtina, yra phishing, viena labiausiai paplitusių kibernetinių grėsmių pasaulyje.
Šiame straipsnyje išsamiai aptarsime, kas yra phishing, kokias formas jis įgauna, kaip atpažinti apgaulingus pranešimus ir ką daryti, kad apsaugotumėte savo asmeninius duomenis bei finansus.
Phishing apibrėžimas paprastais žodžiais
Phishing (lietuviškai kartais vadinamas „meškeriojimas” arba „duomenų žvejyba”) yra socialinės inžinerijos metodas, kuriuo sukčiai bando apgaule išvilioti jautrius asmeninius duomenis: prisijungimo vardus, slaptažodžius, banko kortelių numerius, asmens kodus ar kitą konfidencialią informaciją.
Pavadinimas kilęs iš anglų kalbos žodžio „fishing” (žvejyba), tik raidė „f” pakeista į „ph”, kas yra nuoroda į ankstyvuosius hakerių terminus. Analogija tiksli: sukčiai „užmeta meškerę” tūkstančiams žmonių, tikėdamiesi, kad bent keli „užkibs”.
Svarbu suprasti: phishing atakos nukreiptos ne prieš kompiuterines sistemas, o prieš žmones. Sukčiai naudoja psichologinį spaudimą, skubos jausmą ir pasitikėjimą, kad aukos pačios atiduotų savo duomenis.
Kodėl phishing yra tokia didelė problema?
Skaičiai kalba patys už save:
- Pagal „Anti-Phishing Working Group” (APWG) duomenis, kas ketvirtį registruojama daugiau nei milijonas phishing atakų visame pasaulyje.
- Apie 90 % sėkmingų duomenų pažeidimų organizacijose prasideda nuo phishing el. laiško.
- Vidutinė phishing atakos žala verslui siekia šimtus tūkstančių eurų, įskaitant tiesioginius finansinius nuostolius, reputacijos žalą ir teisinę atsakomybę.
- Lietuvoje Nacionalinis kibernetinio saugumo centras (NKSC) nuolat fiksuoja augantį phishing atvejų skaičių, ypač nukreiptų prieš bankų klientus ir valstybinių institucijų darbuotojus.
Phishing nėra tik „kažkieno kito problema”. Kiekvienas interneto naudotojas yra potencialus taikinys.
Pagrindinės phishing rūšys
El. pašto phishing (klasikinis phishing)
Tai pati seniausia ir vis dar plačiausiai paplitusi forma. Sukčiai siunčia masinius el. laiškus, kurie vizualiai primena pranešimus iš bankų, kurjerių tarnybų, socialinių tinklų, mokesčių inspekcijos ar kitų patikimų organizacijų.
Tipinis scenarijus: gaunate laišką „iš Swedbank” su Swedbank logotipu, spalvomis ir net panašiu siuntėjo adresu. Laiške teigiama, kad pastebėta „įtartina veikla” jūsų sąskaitoje ir prašoma prisijungti per pateiktą nuorodą. Tačiau nuoroda nukreipia ne į tikrą banko svetainę, o į identiška kopiją, kurią sukūrė sukčiai.
Spear phishing (tikslinis phishing)
Skirtingai nuo masinio phishing, spear phishing atakos nukreiptos prieš konkrečius žmones ar organizacijas. Sukčiai prieš ataką atlieka „namų darbus”: tiria aukos socialinių tinklų paskyras, viešai prieinamą informaciją, darbovietę ir pareigas.
Pavyzdys: įmonės buhalterė gauna el. laišką, kuris atrodo kaip generalinio direktoriaus žinutė, prašanti skubiai pervesti pinigus „naujam tiekėjui”. Laiškas parašytas direktoriui būdingu stiliumi ir turi jo parašą apačioje. Buhalterė, pripratusi vykdyti tokius nurodymus, perveda pinigus, nė neįtardama, kad laišką atsiuntė sukčius.
Whaling (banginių medžioklė)
Tai spear phishing potipis, nukreiptas prieš aukšto rango vadovus, kompanijų direktorius ir kitus svarbius asmenis. Tokios atakos ypač kruopščiai paruoštos ir dažnai apima teisinę ar finansinę terminologiją, kad atrodytų kuo tikroviškiau.
Smishing (SMS phishing)
Phishing per trumpąsias žinutes (SMS). Ypač išpopuliarėjęs pastaraisiais metais, kai vis daugiau žmonių naudojasi mobiliaisiais telefonais bankininkystei ir apsipirkimui.
Tipiškas smishing pranešimas: „Jūsų siunta laukia pristatymo. Patvirtinkite adresą: [nuoroda].” Arba: „SEB: pastebėta įtartina operacija. Patvirtinkite savo tapatybę: [nuoroda].”
Vishing (balso phishing)
Sukčiavimas telefonu, kai skambina asmuo, prisistatantis banko darbuotoju, policijos pareigūnu ar techninės pagalbos specialistu. Jis gali žinoti jūsų vardą, adresą ar net paskutiniuosius kortelės skaitmenis (šią informaciją galima gauti iš nutekintų duomenų bazių).
Vishing atakos Lietuvoje ypač dažnos: sukčiai skambina ir prisistatydami banko saugumo specialistais prašo „apsaugoti” pinigus pervedant juos į „saugią sąskaitą”.
Angler phishing (socialinių tinklų phishing)
Sukčiai sukuria netikras klientų aptarnavimo paskyras socialiniuose tinkluose. Jie stebi, kada klientai rašo nusiskundimus tikroms įmonėms, ir greitai atsako iš netikros paskyros, siūlydami „pagalbą”. Pagalba, žinoma, apima jautrių duomenų pateikimą.
Clone phishing (klonuotas phishing)
Sukčiai paima tikrą, anksčiau gautą el. laišką (pavyzdžiui, siuntinio sekimo pranešimą) ir sukuria beveik identišką kopiją, pakeisdami tik nuorodas ar priedus kenkėjiškais. Kadangi laiškas atrodo kaip kažkas, ką jau esate gavęs anksčiau, tikimybė patikėti yra žymiai didesnė.
Pharming
Tai techninė phishing atmaina, kai sukčiai manipuliuoja DNS nustatymais arba modifikuoja kompiuterio „hosts” failą, kad net ir teisingai surinktas svetainės adresas nukreiptų į suklastotą svetainę. Ši ataka ypač pavojinga, nes auka gali nieko įtartino nepastebėti.
12 požymių, padedančių atpažinti phishing ataką
1. Skubos ir baimės jausmo kūrimas
„Jūsų paskyra bus užblokuota per 24 valandas!” „Neatidėliotinai patvirtinkite savo tapatybę!” „Paskutinis įspėjimas prieš sąskaitos uždarymą!”
Sukčiai naudoja skubos taktiką, nes žino: žmogus, jaučiantis stresą, mažiau linkęs kritiškai vertinti situaciją. Tikros organizacijos retai kelia tokį spaudimą el. paštu.
2. Įtartinas siuntėjo adresas
Atidžiai pažiūrėkite į siuntėjo el. pašto adresą, ne tik vardą. Dažnai rodomas vardas atrodo teisingai (pvz., „Swedbank”), bet tikrasis adresas yra kažkas panašaus į swedbank-security@gmail.com, info@swedbank-lt.xyz arba support@sw3dbank.com.
Tikros įmonės naudoja oficialius domenus: @swedbank.lt, @seb.lt, @luminor.lt.
3. Gramatikos ir rašybos klaidos
Nors phishing laiškai kasmet tampa vis kokybiškesni (ypač naudojant dirbtinį intelektą), daugelis vis dar turi pastebimų gramatikos klaidų, nenatūralių vertimų iš kitų kalbų ar keistai skambančių frazių. Jei banko laiškas skamba taip, lyg būtų versta per automatinį vertėją, tai rimtas perspėjimo ženklas.
4. Bendriniai kreipimaisi
„Gerbiamas kliente”, „Mielas vartotojau”, „Dear user.” Tikros organizacijos, su kuriomis turite santykį, paprastai kreipsis jūsų vardu: „Gerbiamas Jonai” arba „Gerbiama Asta.” Jei laiškas iš „jūsų banko” nežino jūsų vardo, verta sunerimti.
5. Įtartinos nuorodos
Prieš spausdami ant bet kokios nuorodos, užveskite pelę ant jos (nespausdami!) ir pažiūrėkite, kur ji iš tikrųjų nukreipia. Nuorodos tekste gali būti parašyta www.swedbank.lt, tačiau tikrasis adresas gali būti www.sw3dbank-login.com arba www.bankas-prisijungimas.tk.
Patarimas: jei nesate tikri, niekada nespauskite ant nuorodos laiške. Atidarykite naršyklę ir patys surinkite tikrą organizacijos adresą.
6. Prašymai pateikti jautrius duomenis
Joks bankas, mokesčių inspekcija ar kita rimta institucija niekada neprašys el. paštu ar SMS žinute atsiųsti slaptažodžio, PIN kodo, pilno kortelės numerio ar asmens kodo. Niekada. Jei gaunate tokį prašymą, tai 100 % sukčiavimas.
7. Netikėti priedai
El. laiškas iš nepažįstamo siuntėjo (arba net iš „pažįstamo”, bet su neįprastu prašymu) su priedu? Ypač jei priedas yra .exe, .zip, .scr, .js ar .docm formato? Neatidarykite. Tokie priedai gali turėti kenkėjišką programinę įrangą, kuri užšifruos jūsų failus (ransomware) arba slaptai rinks jūsų duomenis.
8. „Per gerai, kad būtų tiesa” pasiūlymai
„Laimėjote 10 000 eurų!”, „Paveldėjote turtą iš tolimo giminaičio Afrikoje!”, „Atsakykite į tris klausimus ir gaukite naujausią iPhone!” Tokie pranešimai beveik visada yra sukčiavimas.
9. Nesutampanti vizualinė tapatybė
Atidžiai pažiūrėkite į el. laiško dizainą. Ar logotipas šiek tiek kitoks nei tikroje svetainėje? Ar spalvos ne visai tos pačios? Ar šriftas keistas? Ar laiškas atrodo „pigiau” nei tikri tos organizacijos laiškai? Smulkūs vizualiniai neatitikimai dažnai išduoda klastotę.
10. HTTP vietoj HTTPS
Jei nuoroda veda į svetainę, kurios adresas prasideda http:// (be „s”), o ne https://, tai gali būti nesaugi svetainė. Tačiau svarbu žinoti: ir sukčiai gali naudoti HTTPS. Užrakto ikona naršyklėje reiškia, kad ryšys užšifruotas, bet tai nereiškia, kad svetainė yra tikra.
11. Neįprasta siuntimo laikas ir dažnumas
Gavote „oficialų” banko laišką 3 valandą nakties? Arba šeštadienio vakarą? Dauguma verslo el. laiškų siunčiami darbo valandomis. Neįprastas laikas gali būti požymis, kad laišką siuntė žmogus iš kitos laiko juostos.
12. Spaudimas nedalintis informacija
„Nepranešk apie šį laišką kitiems”, „Tai konfidencialus pranešimas, skirtas tik jums.” Jei laiškas skatina slaptumą, tai dažnai reiškia, kad sukčiai bijo, jog kas nors kitas atpažins apgaulę.
Realūs phishing atakų pavyzdžiai Lietuvoje
Netikri „Lietuvos pašto” pranešimai. Tūkstančiai lietuvių gavo SMS žinutes ir el. laiškus, informuojančius apie „laukiančią siuntą”, su nuoroda, kur reikia sumokėti „muito mokestį” (paprastai 1,5 arba 2,5 euro). Paspaudus nuorodą, atsidaro suklastota svetainė, kuri prašo įvesti banko kortelės duomenis. Sumokėjus „mokestį”, sukčiai gauna prieigą prie kortelės ir nuskaičiuoja žymiai didesnes sumas.
Suklastotos VMI žinutės. Prieš kiekvieną mokesčių deklaravimo sezoną padaugėja el. laiškų, kurie atrodo kaip pranešimai iš Valstybinės mokesčių inspekcijos. Juose teigiama, kad „jums priklauso mokesčių grąžinimas” ir prašoma patvirtinti banko duomenis.
Investicijų sukčiavimas. Socialiniuose tinkluose platinamos reklamos su žinomų žmonių nuotraukomis, teigiančios, kad jie „praturtėjo per vieną naktį” naudodamiesi kažkokia investicijų platforma. Paspaudus nuorodą, prašoma įvesti asmeninius duomenis ir „investuoti” pradinę sumą. Pinigai niekada negrąžinami.
Skambučiai „iš banko”. Sukčiai skambina ir lietuviškai prisistatydami SEB arba Swedbank saugumo skyriaus darbuotojais praneša apie „įtartiną veiklą” sąskaitoje. Jie prašo įdiegti nuotolinės prieigos programėlę (pvz., AnyDesk) arba padiktuoti Smart-ID kodus.
Ką daryti, jei gavote phishing pranešimą?
- Nespauskite ant nuorodų ir neatidarykite priedų.
- Neatsiliepkite į pranešimą ir nepateikite jokių duomenų.
- Patikrinkite informaciją tiesiogiai – paskambinkite organizacijai oficialiu telefono numeriu (ne tuo, kuris nurodytas laiške) ir paklauskite, ar pranešimas tikras.
- Pranešta apie sukčiavimą – persiųskite phishing laišką organizacijai, kurios vardu jis buvo siųstas, ir NKSC (cert@cert.lt).
- Pažymėkite kaip „spam” el. pašto programoje, kad ateityje panašūs laiškai būtų automatiškai filtruojami.
- Ištrinkite pranešimą po to, kai apie jį pranešėte.
Ką daryti, jei jau tapote phishing auka?
Jei supratote, kad pateikėte savo duomenis sukčiams, nedelskite:
- Nedelsiant pakeiskite slaptažodžius visose paskyrų, kuriose naudojote tą patį ar panašų slaptažodį.
- Susisiekite su banku – jei pateikėte banko kortelės duomenis, skambinkite banko karštąja linija ir prašykite užblokuoti kortelę.
- Įjunkite dviejų faktorių autentifikaciją (2FA) visur, kur tai įmanoma.
- Patikrinkite savo sąskaitas – peržiūrėkite banko išrašus ir ieškokite neatpažintų operacijų.
- Praneškite policijai – pateikite pareiškimą per elektroninių paslaugų portalą arba tiesiogiai kreipkitės į artimiausią komisariatą.
- Stebėkite savo tapatybę – kreditų biurai ir tapatybės stebėjimo paslaugos gali padėti pastebėti, jei jūsų duomenys bus panaudoti kitur.
10 praktinių patarimų apsaugai nuo phishing
1. Naudokite dviejų faktorių autentifikaciją (2FA)
Net jei sukčiai sužinos jūsų slaptažodį, su 2FA jie negalės prisijungti be antrojo patvirtinimo. Naudokite autentifikavimo programėles (Google Authenticator, Microsoft Authenticator), o ne SMS kodus, nes SMS gali būti perimti.
2. Naudokite slaptažodžių tvarkyklę
Programėlės kaip Bitwarden, 1Password ar KeePass leidžia kiekvienai paskyrai turėti ilgą, unikalų slaptažodį, kurio nereikia atsiminti. Slaptažodžių tvarkyklė papildomai apsaugo nuo phishing: ji automatiškai neužpildys slaptažodžio suklastotoje svetainėje, nes atpažins, kad domenas nesutampa.
3. Atnaujinkite programinę įrangą
Operacinė sistema, naršyklė, antivirusinė programa ir kitos programos turėtų būti visada atnaujintos. Naujinimai dažnai ištaiso saugumo spragas, kurias gali išnaudoti sukčiai.
4. Būkite atsargūs su viešais Wi-Fi tinklais
Kavinės, oro uostai ir viešbučiai siūlo nemokamą Wi-Fi, tačiau šie tinklai dažnai nėra šifruoti. Sukčiai gali perimti jūsų duomenis. Naudokite VPN, jei turite prisijungti prie jautrių paskyrų viešajame tinkle.
5. Tikrinkite svetainės adresą prieš įvesdami duomenis
Visada pažiūrėkite į adreso juostą. Ar adresas tiksliai toks, koks turėtų būti? Viena pakeista raidė gali reikšti, kad esate suklastotoje svetainėje.
6. Nesidalinkite per daug informacijos socialiniuose tinkluose
Kuo daugiau viešos informacijos apie jus yra internete, tuo lengviau sukčiams parengti tikslinę (spear phishing) ataką. Pagalvokite du kartus prieš viešindami gimimo datą, darbovietę, kelionių planus ar šeimos narių vardus.
7. Reguliariai tikrinkite savo paskyras
Kas kiek laiko peržiūrėkite banko sąskaitų išrašus, prisijungimų istoriją el. pašte ir socialiniuose tinkluose. Jei pastebite nepažįstamų prisijungimų, nedelsiant keiskite slaptažodį.
8. Mokykite šeimos narius ir kolegas
Phishing veikia tik tada, kai žmogus „užkimba”. Kuo daugiau žmonių žino apie šias taktikas, tuo mažiau aukų bus. Papasakokite apie phishing savo tėvams, seneliams, vaikams ir kolegoms.
9. Naudokite el. pašto filtravimą
Šiuolaikinės el. pašto paslaugos (Gmail, Outlook) turi integruotus phishing filtrus. Įsitikinkite, kad jie įjungti. Organizacijose verta investuoti į specializuotus el. pašto saugumo sprendimus.
10. Pasitikėkite savo intuicija
Jei kažkas atrodo „ne taip”, jei jaučiate spaudimą veikti skubiai, jei pasiūlymas atrodo per geras, sustokite. Geriau sugaišti minutę patikrinimui nei prarasti pinigus ar asmeninius duomenis.
Phishing ir dirbtinis intelektas: nauji iššūkiai
Pastaraisiais metais phishing atakos tapo žymiai sudėtingesnės, pasitelkus dirbtinį intelektą (DI):
- DI generuoti el. laiškai nebeturi gramatikos klaidų ir skamba natūraliai bet kuria kalba, įskaitant lietuvių.
- Deepfake balsai leidžia sukčiams imituoti tikrų žmonių balsą telefonu. Jau užfiksuoti atvejai, kai sukčiai imitavo įmonių vadovų balsus ir taip privertė darbuotojus pervesti pinigus.
- DI chatbotai gali vesti realaus laiko pokalbius su aukomis, pritaikydami manipuliacijos taktikas pagal aukos atsakymus.
Tai reiškia, kad seniau veikę atpažinimo metodai (gramatikos klaidos, nenatūralus tonas) tampa mažiau patikimi. Techninis budrumas, 2FA ir slaptažodžių tvarkyklės tampa dar svarbesnės apsaugos priemonės.
Verslo apsauga nuo phishing
Jei vadovaujate komandai ar organizacijai, papildomos priemonės padės apsaugoti darbuotojus:
- Reguliarūs mokymai – darbuotojai turėtų bent kartą per metus dalyvauti kibernetinio saugumo mokymuose su praktiniais phishing simuliacijos testais.
- El. pašto autentifikavimo protokolai – SPF, DKIM ir DMARC konfigūracija padeda apsaugoti organizacijos domeną nuo suklastotų laiškų siuntimo.
- Prieigos kontrolė – darbuotojai turėtų turėti prieigą tik prie tų sistemų ir duomenų, kurie reikalingi jų darbui.
- Incidentų reagavimo planas – aiškiai aprašyta procedūra, ką daryti gavus phishing pranešimą arba tapus atakos auka.
- Automatiniai perspėjimai – el. pašto sistemos gali pridėti matomą perspėjimą prie laiškų, gautų iš išorinių siuntėjų.
Kur pranešti apie phishing Lietuvoje?
| Institucija | Kontaktai |
|---|---|
| Nacionalinis kibernetinio saugumo centras (NKSC) | cert@cert.lt, tel. 1843 |
| Lietuvos policija | el. paslaugos arba artimiausia nuovada |
| Jūsų bankas | oficialus karštosios linijos numeris (nurodytas kortelės nugarėlėje) |
| Google (Gmail phishing) | „Report phishing” mygtukas el. laiške |
| Microsoft (Outlook phishing) | „Report message” funkcija |
Phishing niekur nedings. Kol bus žmonių, kurie naudojasi internetu, bus ir tų, kurie bandys jais pasinaudoti. Geroji žinia ta, kad žinojimas yra pati geriausia apsauga. Kiekvienas atpažintas ir ištrintas phishing laiškas yra sukčių nesėkmė.
Pasidalinkite šiuo straipsniu su savo artimaisiais ir kolegomis. Kuo daugiau žmonių žinos, kaip atpažinti phishing, tuo sunkiau sukčiams bus rasti auką.