Finansinių sukčiavimų atvejų Lietuvoje nemažėja – nusikaltėliai tobulina schemas ir vis dažniau pasitelkia netikras interneto svetaines, kurios vizualiai beveik nesiskiria nuo tikrų įvairių organizacijų ar institucijų puslapių. Specialistai pabrėžia, jog tokiose situacijose lemtinga tampa kiekviena minutė, o greita reakcija gali padėti išvengti didelių nuostolių. Taip nutiko ir vienai nedidelei įmonei, vos per kelias sekundes galėjusiai netekti keliasdešimties tūkstančių eurų.
Keli paspaudimai – 20 tūkst. eurų vos neatsidūrė pas sukčiusPinigų plovimo prevencijos kompetencijų centro duomenys rodo, kad apgavikai vis dažniau taikosi į didesnius finansinius išteklius – ne tik gyventojus, bet ir verslo organizacijas bei jų darbuotojus.
Daiva Uosytė, SEB banko Prevencijos departamento vadovė, dalinasi neseniai nutikusiu atveju, kuris parodė, kaip greitai ir nepastebimai įmonės gali pakliūti į sukčių pinkles.
„Vienos nedidelės įmonės buhalterė, ieškodama SEB banko interneto svetainės per naršyklę, pasirinko sukčių sukurtą puslapį, kurio interneto adresas skyrėsi nuo www.seb.lt, tačiau vizualiai turėjo panašumų su banko aplinka. Bandydama prisijungti, ji vedė prisijungimo duomenis, tačiau ekrane matė pranešimus apie tariamai nepavykusį prisijungimą. Sistema ragino jungtis dar kartą, tačiau įmonės buhalterė, neatkreipusi dėmesio į rodomą pranešimą, kad mobiliąja priemone tvirtinami ne prisijungimai prie interneto banko, o mokėjimo operacijos, kelis kartus patvirtino užklausas suvesdama PIN2 ir atliko pavedimus“, – pasakoja SEB banko atstovė.
Tokiu būdu per labai trumpą laiką buvo patvirtinti du beveik po 10 tūkst. eurų mokėjimai. Lėšos pervestos kitam to paties banko klientui, kuris taip pat buvo patekęs į sukčiavimo schemą. Klientei pastebėjus neautorizuotus mokėjimus ir nedelsiant susisiekus su banku, buvo sustabdytos tolimesnės operacijos ir užblokuoti susiję duomenys. Dėl greitos reakcijos ir banko prevencinių sistemų veikimo neteisėtai mėgintas pasisavinti lėšas pavyko sugrąžinti įmonei į sąskaitą.
Vis dėlto specialistė pabrėžia, kad tokia sėkminga baigtis pasitaiko ne visuomet, kadangi uždelsus, jau gali būti sunku sustabdyti pavedimus ar mėginti susigrąžinti prarastas lėšas, todėl itin svarbu kilus įtarimams į banką kreiptis nedelsiant.
Sukčiai išnaudoja žmonių neatsargumą ir technologijas
„Netikrų el. laiškų ir SMS siuntimas (angl. „phishing“) išlieka dažniausia sukčiavimo forma, kai iš asmenų ir organizacijų mėginama išvilioti lėšas arba jautrius duomenis. Taip pat reikšmingą dalį sukčiavimų pernai sudarė vadinamieji avansiniai mokėjimai, kai buvo prašoma pinigus už prekes ar paslaugas pervesti iš anksto, bet nei prekės, nei paslaugos pirkėjų nepasiekdavo“, – sako Daiva Uosytė, SEB banko Prevencijos departamento vadovė.
D. Uosytė atkreipia dėmesį, kad dirbtinio intelekto įrankiai sukčius įgalina greitai sukurti labai tikroviškai atrodančias banko ar kitų institucijų interneto svetaines, nukopijuodami originalų turinį. Sukčiai tikisi, kad patekę į suklastotą interneto svetainę vartotojai atskleis savo prisijungimo duomenis, kuriuos bus galima pavogti ir panaudoti nusikaltimui vykdyti.
„Jungiantis prie sukčių sukurtos svetainės dažnai prasideda nesklandumai, pavyzdžiui, puslapis ilgai neužkraunamas, mato besisukančią iliustraciją, prašoma prisijungti iš naujo ir pakartotinai. Būtent tokio pakartotinio prisijungimo metu sukčius pasiekia duomenys, suteikiantys prieigą ir galimybę atlikti įvairius veiksmus bei inicijuoti mokėjimo operacijas, kurioms įgyvendinti būtina suvesti tik klientui žinomą PIN2 kodą“, – pabrėžia finansinio saugumo ekspertė.
Anot ekspertės, tai kelia didžiulę grėsmę ir įmonėms, nes darbuotojai gali tapti sukčių aukomis ir taip atskleisti svarbius įmonės finansinius duomenis bei suteikti sukčiams prieigą prie įmonės elektroninės bankininkystės.
Apgauti du darbuotojus – sunkiau negu vieną
Kartu D. Uosytė atkreipia dėmesį į Lietuvoje dažnai pasitaikančią praktiką, kai prisijungimą prie el. bankininkystės turi tik įmonės vadovas, bet faktiškai prieigos duomenimis naudojasi įmonės buhalteris ar kitas atsakingas darbuotojas. „Ši praktika yra paranki sukčiams, nes neretai vadovas pasitiki darbuotoju ir tiesiog tvirtina mokėjimus, net nepatikrindamas, ką tvirtina. Taigi, jeigu buhalteris atskleidžia duomenis sukčiams, o vadovas ir toliau inertiškai tvirtina prisijungimus, organizacijos finansai tampa labai pažeidžiami“, – dalijasi D. Uosytė, pabrėždama žmonių įpročių ir elgsenos įtaką prevencijai bei apsaugai nuo apgavysčių.
Pasak D. Uosytės, prevenciją pastebimai sustiprina 50/50 mokėjimų tvirtinimo teisės, kai pinigų pervedimas gali įvykti tik patvirtinus dviem darbuotojams. Taigi, jeigu sukčiai apgauna pirmą darbuotoją, antrasis dar gali objektyviai įvertinti pildytus mokėjimus ir juos atmesti.
Pateikia 5 patarimus
Atsižvelgdama į tendencijas, SEB banko Prevencijos departamento vadovė D. Uosytė pateikia penkis svarbius patarimus, kurie gali padėti apsisaugoti nuo sukčiavimo. Šie patarimai svarbūs ne tik asmenims, bet ir verslo įmonėms, siekiant apsaugoti tiek savo darbuotojus, tiek organizacijos finansus.
Patikrinkite, ką tvirtinate telefone. Kai jūsų prašo patvirtinti prisijungimą ar pinigų pervedimą mobiliuoju parašu arba Smart-ID, ekrane visada rodoma, prie ko jungiatės arba kam ir kiek pinigų siunčiate. Įpraskite sustoti, o ne automatiškai spausti „patvirtinti“ – pirmiausia perskaitykite, ką tiksliai tvirtinate.
Dukart tikrinkite verslo partnerių duomenis. Gavote laišką iš tiekėjo, kliento ar net vadovo su prašymu pervesti pinigus į naują sąskaitą? Sustokite. Paskambinkite jiems jau naudotu telefono numeriu arba parašykite į kitą, ankstesnį el. pašto adresą. Niekada nenaudokite kontaktų, kurie nurodyti įtartinai atrodančiame laiške. Galiausiai, prieš tvirtinant mokėjimą, atkreipkite dėmesį, ar gavėjo vardas ar įmonės pavadinimas ir sąskaitos numeris sutampa.
Pirmi paieškos rezultatai gali suklaidinti. „Google“ paieškos viršuje pasirodantys pirmieji rezultatai ir nuorodos gali vesti į apgaulingus puslapius. Kitaip tariant, sukčiai savo spąstams irgi užsako reklamą. Įvairūs socialinių tinklų reklamose jus persekiojantys „super pasiūlymai“ ir „laimės ratai“ taip pat turėtų būti vertinami kritiškai. O prie savo el. bankininkystės ar valstybinių įstaigų svetainių geriausia prisijungti tik tiesiogiai įvedant adresą naršyklėje, o ne per atsiųstas nuorodas.
Be to, pravartu žinoti oficialų savo banko interneto banko adresą bei susipažinti su jo aplinka – tik taip galima atskirti tikrą svetainę nuo sukčių kuriamų beveik identiškų, tačiau suklastotų puslapių.
Kilo įtarimų? Skambinkite nedelsiant visą parą. Jei kažkas atrodo neįprastai, iškart kreipkitės į savo banką arba policiją. Jeigu supratote, kad prisijungimo duomenimis jau pasidalijote ar pastebėjote, kad kažkas naudojasi jūsų internetine bankininkyste, veikite iškart – brangi kiekviena minutė. Greitas reagavimas gali išgelbėti asmeninius ar įmonės pinigus.
Organizuokite ir dalyvaukite mokymuose. Viena iš šiuolaikinio vadovo pareigų – su komanda reguliariai kalbėtis apie kibernetinį saugumą ir ugdyti sąmoningumą. Mat vienas neatsargus darbuotojas gali atverti duris sukčiams į visos įmonės sistemas. Kibernetinio saugumo mokymai – ne išlaidos, o investicija į verslo saugumą bei atsparumą.
Nors dažniausiu atakų tipu išlieka duomenų išviliojimas (angl. „phishing“), verslui finansiškai pavojingiausios schemos yra „Netikras įmonės vadovas“ ir „Susirašinėjimo el. paštu perėmimas“ – vieno incidento vidutinė žala atitinkamai siekė apie 33,2 tūkst. eurų ir 27,6 tūkst. eurų.
„Netikro įmonės vadovo“ schema – tai atvejai, kai sukčiai apsimeta įmonės vadovu ar kitu aukšto rango vadovu ir skubos tvarka nurodo atlikti pavedimą. Tuo tarpu „Susirašinėjimo el. paštu perėmimas“ reiškia, kad sukčiai perima realų įmonės ar jos partnerio el. pašto susirašinėjimą ir, apsimesdami viena iš šalių, pakeičia mokėjimo rekvizitus arba inicijuoja fiktyvų pavedimą.
Pernai iš viso sukčiai kėsinosi į 58,8 mln. eurų, bet finansų įstaigos užkirto kelią pagrobti daugiau negu 38 mln. eurų. Skaičiuojama, kad per vienerius metus pasikėsinimų mastas išaugo beveik dviem trečdaliais. Savo ruožtu SEB bankas nuolat stiprina rizikos valdymo procesus, technologinius sprendimus ir reagavimo mechanizmus, taip pat nuolat informuoja savo klientus ir visuomenę apie sukčiavimo grėsmes.
