Daiva Uosytė. Sukčiai taikosi ne tik į asmenis, bet ir į verslą: aukas pritraukia ir žaidimais
Mėgstate dalyvauti įvairiose akcijose, loterijose ir žaidimuose – galite pakliūti ant sukčių kabliuko internete. Sukčiai Lietuvoje pernai kėsinosi į 58,8 mln. eurų, rodo Pinigų plovimo prevencijos kompetencijų centro duomenys. Augantis pasikėsinimų mastas rodo, kad apgavikai vis dažniau taikosi į didesnius finansinius išteklius – ne tik gyventojus, bet ir verslo organizacijas bei jų darbuotojus. Banko ekspertė įspėja apie naujas sukčiavimo taktikas, kurios tampa grėsme tiek asmenims, tiek įmonėms.
„Phishing“ bangos ritasi be paliovos
„Netikrų el. laiškų ir SMS siuntimas (angl. „phishing“) išlieka dažniausia sukčiavimo forma, kai iš asmenų ir organizacijų mėginama išvilioti lėšas arba jautrius duomenis. Taip pat reikšmingą dalį sukčiavimų pernai sudarė vadinamieji avansiniai mokėjimai, kai buvo prašoma pinigus už prekes ar paslaugas pervesti iš anksto, bet nei prekės, nei paslaugos pirkėjų nepasiekdavo“, – sako Daiva Uosytė, SEB banko Prevencijos departamento vadovė.
D. Uosytė atkreipia dėmesį, kad dirbtinio intelekto įrankiai sukčius įgalina greitai kurti netikras interneto svetaines, kurios atkartoja el. parduotuvių, kurjerių ar bankų svetaines. Sukčiai tikisi, kad patekę į suklastotą interneto svetainę vartotojai atskleis savo prisijungimo duomenis, kuriuos bus galima iškart pagrobti. „Naudojantis netikra svetaine dažnai prasideda netikėti nesklandumai, pavyzdžiui, puslapis ilgai neužkraunamas, prašoma prisijungti iš naujo ir pakartotinai. Būtent tokio pakartotinio prisijungimo metu sukčius pasiekia duomenys, suteikiantys laisvę įvairioms operacijoms atlikti – tuštinti asmens ar įmonės sąskaitas“, – pabrėžia finansinio saugumo ekspertė.
Anot ekspertės, tai kelia didžiulę grėsmę ir įmonėms, nes darbuotojai gali tapti sukčių aukomis ir taip atskleisti svarbius įmonės finansinius duomenis bei suteikti sukčiams prieigą prie įmonės elektroninės bankininkystės.
Apgauti du darbuotojus – sunkiau negu vieną
Kartu D. Uosytė atkreipia dėmesį į Lietuvoje dažnai pasitaikančią praktiką, kai prisijungimą prie el. bankininkystės turi tik įmonės vadovas, bet faktiškai prieigos duomenimis naudojasi įmonės buhalteris ar kitas atsakingas darbuotojas. „Ši praktika yra paranki sukčiams, nes neretai vadovas pasitiki darbuotoju ir tiesiog tvirtina mokėjimus, net nepatikrindamas, ką tvirtina. Taigi, jeigu buhalteris atskleidžia duomenis sukčiams, o vadovas ir toliau inertiškai tvirtina prisijungimus, organizacijos finansai tampa labai pažeidžiami“, – dalijasi D. Uosytė, pabrėždama žmonių įpročių ir elgsenos įtaką prevencijai bei apsaugai nuo apgavysčių.
Pasak D. Uosytės, prevenciją pastebimai sustiprina 50/50 mokėjimų tvirtinimo teisės, kai pinigų pervedimas gali įvykti tik patvirtinus dviem darbuotojams. Taigi, jeigu sukčiai apgauna pirmą darbuotoją, antrasis dar gali objektyviai įvertinti pildytus mokėjimus ir juos atmesti.
„Neseniai teko nagrinėti atvejį, kai įmonės darbuotoją sukčiai apgavo įvilioję į tariamą žaidimą – loteriją socialiniuose tinkluose. Aukai buvo siūloma dešimtis kartų „sukti laimės ratą“ ir bandyti laimėti prizų. Tačiau norint „pasukti ratą“, reikėjo su prisijungimo duomenimis patvirtinti į telefoną gaunamus prašymus. Šiuo būdu sukčiai priėjo prie įmonės sąskaitos ir gavo patvirtinimus savo inicijuojamoms operacijoms“, – pasakoja ekspertė.
Pateikia 5 patarimus
Atsižvelgdama į tendencijas, SEB banko Prevencijos departamento vadovė D. Uosytė pateikia penkis svarbius patarimus, kurie gali padėti apsisaugoti nuo sukčiavimo. Šie patarimai svarbūs ne tik asmenims, bet ir verslo įmonėms, siekiant apsaugoti tiek savo darbuotojus, tiek organizacijos finansus.
Patikrinkite, ką tvirtinate telefone. Kai jūsų prašo patvirtinti prisijungimą ar pinigų pervedimą mobiliuoju parašu arba Smart-ID, ekrane visada rodoma, prie ko jungiatės arba kam ir kiek pinigų siunčiate. Įpraskite sustoti, o ne automatiškai spausti „patvirtinti“ – pirmiausia perskaitykite, ką tiksliai tvirtinate.
Dukart tikrinkite verslo partnerių duomenis. Gavote laišką iš tiekėjo, kliento ar net vadovo su prašymu pervesti pinigus į naują sąskaitą? Sustokite. Paskambinkite jiems jau naudotu telefono numeriu arba parašykite į kitą, ankstesnį el. pašto adresą. Niekada nenaudokite kontaktų, kurie nurodyti įtartinai atrodančiame laiške. Galiausiai, prieš tvirtinant mokėjimą, atkreipkite dėmesį, ar gavėjo vardas ar įmonės pavadinimas ir sąskaitos numeris sutampa.
Pirmi paieškos rezultatai gali suklaidinti. „Google“ paieškos viršuje pasirodantys pirmieji rezultatai ir nuorodos gali vesti į apgaulingus puslapius. Kitaip tariant, sukčiai savo spąstams irgi užsako reklamą. Įvairūs socialinių tinklų reklamose jus persekiojantys „super pasiūlymai“ ir „laimės ratai“ taip pat turėtų būti vertinami kritiškai. O prie savo el. bankininkystės ar valstybinių įstaigų svetainių geriausia prisijungti tik tiesiogiai įvedant adresą naršyklėje, o ne per atsiųstas nuorodas.
Be to, pravartu žinoti oficialų savo banko interneto banko adresą bei susipažinti su jo aplinka – tik taip galima atskirti tikrą svetainę nuo sukčių kuriamų beveik identiškų, tačiau suklastotų puslapių.
Kilo įtarimų? Skambinkite nedelsiant. Jei kažkas atrodo neįprastai, iškart kreipkitės į savo banką arba policiją. Jeigu supratote, kad prisijungimo duomenimis jau pasidalijote ar pastebėjote, kad kažkas naudojasi jūsų internetine bankininkyste, veikite iškart – brangi kiekviena minutė. Greitas reagavimas gali išgelbėti asmeninius ar įmonės pinigus.
Organizuokite ir dalyvaukite mokymuose. Viena iš šiuolaikinio vadovo pareigų – su komanda reguliariai kalbėtis apie kibernetinį saugumą ir ugdyti sąmoningumą. Mat vienas neatsargus darbuotojas gali atverti duris sukčiams į visos įmonės sistemas. Kibernetinio saugumo mokymai – ne išlaidos, o investicija į verslo saugumą bei atsparumą.
Nors dažniausiu atakų tipu išlieka duomenų išviliojimas (angl. „phishing“), verslui finansiškai pavojingiausios schemos yra „Netikras įmonės vadovas“ ir „Susirašinėjimo el. paštu perėmimas“ – vieno incidento vidutinė žala atitinkamai siekė apie 33,2 tūkst. eurų ir 27,6 tūkst. eurų.
„Netikro įmonės vadovo“ schema – tai atvejai, kai sukčiai apsimeta įmonės vadovu ar kitu aukšto rango vadovu ir skubos tvarka nurodo atlikti pavedimą. Tuo tarpu „Susirašinėjimo el. paštu perėmimas“ reiškia, kad sukčiai perima realų įmonės ar jos partnerio el. pašto susirašinėjimą ir, apsimesdami viena iš šalių, pakeičia mokėjimo rekvizitus arba inicijuoja fiktyvų pavedimą.
Kaip rodo statistika, nors tokių atvejų skaičius nėra didelis, jų finansinis poveikis įmonėms gali būti itin reikšmingas. Būtent todėl vidaus kontrolės mechanizmai ir darbuotojų mokymai tampa kritiniu saugumo sluoksniu.
Pernai iš viso sukčiai kėsinosi į 58,8 mln. eurų, bet finansų įstaigos užkirto kelią pagrobti daugiau negu 38 mln. eurų. Skaičiuojama, kad per vienerius metus pasikėsinimų mastas išaugo beveik dviem trečdaliais. Savo ruožtu SEB bankas nuolat stiprina rizikos valdymo procesus, technologinius sprendimus ir reagavimo mechanizmus, taip pat nuolat informuoja savo klientus ir visuomenę apie sukčiavimo grėsmes.