Mokėti telefonu didelei daliai Lietuvos gyventojų jau tapo įpročiu – vis daugiau žmonių atsiskaito ne tik per bankų programėles, bet ir naudodami „Apple Pay“ ar „Google Pay“ vietoje fizinės banko kortelės. Tačiau kartu su patogumu auga ir rizikos: kibernetinio saugumo ekspertai pastebi didėjantį sukčių susidomėjimą mobiliaisiais mokėjimais ir ragina gyventojus išlikti budrius. Ką svarbu žinoti?
„Apple Pay“ ir „Google Pay“ – tai mobiliojo atsiskaitymo paslaugos, leidžiančios mokėti telefonu ar išmaniuoju laikrodžiu vietoje fizinės banko kortelės. Jos plačiai naudojamos kasdienėse situacijose ir laikomos saugiomis, nes atsiskaitymai patvirtinami biometriniais duomenimis, o tikrasis kortelės numeris neperduodamas.
Nors su šiomis paslaugomis susijęs sukčiavimas kol kas nėra toks masinis kaip įprastos fišingo atakos ar kortelių duomenų vagystės, ekspertai pastebi aiškią tokių atveju augimo tendenciją. Praktika rodo, kad sukčiai dažniausiai taikosi ne į technologijas, o į žmones – apgaulės būdu išvilioja patvirtinimo kodus ar įkalba patiems patvirtinti kortelės pridėjimą prie kito įrenginio.
Papildomą riziką didina ir NFC (angl. Near Field Communication) technologija, leidžianti atsiskaityti vien priglaudus telefoną prie terminalo. Nors pati technologija nėra nesaugi, ekspertai fiksuoja augantį jos išnaudojimą sukčiavimo schemose, o tai dar kartą parodo, kad silpniausia grandis dažniausiai yra pats vartotojas.
„Šiuo atveju sukčiai dažniausiai nulaužia ne pačią technologiją, o manipuliuoja žmonėmis – išvilioja patvirtinimo kodus arba apgaulės būdu priverčia pridėti kortelę prie sukčių įrenginio“, – teigia „Baltimax“ vyresnysis kibernetinio saugumo ekspertas ir ESET specialistas Lukas Apynis.
Dažniausia apgaulė – „kortelės pridėjimas”
Vienas pavojingiausių ir Lietuvoje jau pasitaikančių sukčiavimo būdų – banko kortelės pridėjimo prie mobiliosios piniginės apgaulė. Gyventojams skambina arba rašo asmenys, melagingai prisistatantys banko saugumo skyriaus, Lietuvos banko ar finansinių paslaugų bendrovių atstovais, ir įspėja apie tariamai vykstantį bandymą pridėti kortelę prie „Apple Pay“ ar „Google Pay“ užsienyje.
„Sukčiai dažniausiai veikia greitai ir agresyviai – kuria skubos jausmą, gąsdina galimais finansiniais nuostoliais ir ragina nedelsiant atlikti vadinamąjį saugumo patikrinimą. Jie prašo perskaityti iš jų gautą SMS patvirtinimo kodą arba patvirtinti veiksmą telefone. Tai ir yra momentas, kai kortelė pridedama prie sukčių įrenginio“, – aiškina IT žinovas L. Apynis.
Pasak eksperto, ši schema ypač pavojinga tuo, kad techniškai viskas atrodo teisėta – naudojami oficialūs bankų pavadinimai, kalbama apie realias paslaugas, o pats kortelės pridėjimo procesas vyksta per įprastus telefono pranešimus. Tokiu būdu vartotojas pats patvirtina veiksmus, nesuprasdamas, kad tuo pačiu suteikia sukčiams pilną prieigą prie savo mokėjimo priemonių.
Neretai tokios atakos derinamos ir su kitais sukčiavimo elementais – gyventojai gali būti nukreipiami į netikras interneto svetaines, raginami įsidiegti „saugumo“ programėles ar pateikti papildomus duomenis. Gavę prieigą prie kortelės ar telefono, sukčiai gali greitai atlikti mokėjimus, o pats vartotojas apie tai sužino tik tuomet, kai sąskaitoje atsiranda neaiškios operacijos arba bankas užblokuoja kortelę.
Geriau vengti mobiliųjų mokėjimų?
Visgi, pasak kibernetinio saugumo eksperto L. Apynio, atsisakyti mobiliųjų mokėjimų nėra pagrindo – tinkamai naudojami jie neretai yra net saugesni nei fizinė banko kortelė. Skirtingai nei įprastų atsiskaitymų metu, mobiliosiose piniginėse nėra perduodamas tikrasis kortelės numeris, o kiekvienam mokėjimui sugeneruojamas unikalus, vienkartinis identifikatorius.
„Technologiškai „Apple Pay“ ir „Google Pay“ yra vienos saugiausių kasdienių atsiskaitymo formų tiek fizinėse parduotuvėse, tiek daugelyje interneto svetainių. Mokėjimams naudojamas vienkartinis „token“, o ne tikras kortelės numeris, be to, būtinas biometrinis patvirtinimas – piršto atspaudas, veido atpažinimas arba PIN. Net ir nutekėjus kortelės duomenims, be paties įrenginio jais pasinaudoti praktiškai neįmanoma“, – tvirtina jis.
Kaip apsaugoti mobiliuosius mokėjimus?
IT žinovas L. Apynis pabrėžia, kad bendrai vertinant šiandieninę situaciją, didžiausia grėsmė slypi ne technologiniuose pažeidžiamumuose, o socialinėje inžinerijoje. Tai sudaro apie 70–90 proc. visų finansinio sukčiavimo atvejų tiek Lietuvoje, tiek pasaulyje. Kitaip tariant, pagrindinė problema slypi ne serveriuose ar programėlėse, o žmonių elgesyje, sprendimuose ir reakcijose.
- Pasirūpinkite paskyrų saugumu – visur, kur įmanoma, įjunkite dviejų ar kelių veiksnių autentifikavimą (2FA / MFA) ir nesiremkite vien SMS žinutėmis.
- Niekada neatskleiskite patvirtinimo kodų – nei bankai, nei Lietuvos bankas, nei policija telefonu ar žinutėmis neprašo mokėjimų ar kortelės pridėjimo patvirtinimo kodų, net jei situacija pateikiama kaip itin skubi.
- Apsaugokite savo telefoną – naudokite biometrinį užraktą, stiprų PIN kodą ir programėles diekite tik iš oficialių „App Store“ bei „Google Play“ parduotuvių.
- Išlikite kritiški – atsargiai vertinkite skambučius ar žinutes, kurios kelia skubos jausmą, gąsdina finansiniais nuostoliais ar ragina veikti „čia ir dabar“.
„Jei kyla bent menkiausia abejonė – sustokite ir patys susisiekite su banku per oficialius kanalus. Skubėjimas yra didžiausias sukčių sąjungininkas“, – reziumuoja kibernetinio saugumo ekspertas L. Apynis.
