Kodėl visi kalba apie internetinius sukčius, bet vis tiek į jų pinkles patenka protingi žmonės?
Kiekvieną dieną girdime apie naujus sukčiavimo atvejus internete. Žiniasklaida pilna istorijų apie žmones, praradusius tūkstančius eurų, o institucijos skelbia vis naujas rekomendacijas. Tačiau problema tik didėja. Kodėl? Nes dauguma patarimų skamba kaip iš vadovėlio: „būkite budrūs”, „netikėkite įtartinais laiškais”, „neatskleiskite slaptažodžių”. Gerai, bet kas iš tikrųjų yra tas „įtartinas laiškas”, kai jis atrodo kaip tikras banko pranešimas?
Realybė tokia, kad sukčiai jau seniai nebėra tie neraštingi nigerietiečiai, siūlantys pasidalinti princo paveldu. Šiuolaikiniai internetiniai nusikaltėliai – tai profesionalai, turintys psichologijos žinių, technologinių įrankių ir kruopščiai paruoštų scenarijų. Jie žino, kaip veikia žmogaus protas, kaip išnaudoti skubą, baimę ar godumą. Todėl ir reikia ne tik teorinių patarimų, bet ir praktinių įgūdžių, kaip atpažinti grėsmę.
Kokias teises turite ir kas už jas atsakingas (spoileris: ne visada kas nors)
Lietuvoje internetinį sukčiavimą reglamentuoja keletas teisės aktų. Lietuvos Respublikos baudžiamajame kodekse sukčiavimas apibrėžtas 182 straipsnyje, o sukčiavimas elektroninėje erdvėje patenka į šią kategoriją. Už sukčiavimą gresia bauda arba laisvės atėmimas iki šešerių metų. Skamba įspūdingai, bet praktikoje teisėsauga dažnai neturi nei resursų, nei galimybių susekti užsienyje veikiančius sukčius.
Elektroninių ryšių įstatymas ir Asmens duomenų teisinės apsaugos įstatymas taip pat numato tam tikras apsaugos priemones. Pavyzdžiui, bankai privalo taikyti dviejų veiksnių autentifikavimą, o įmonės – saugoti jūsų duomenis. Bet kas nutinka, kai duomenys vis tiek nuteką? Čia prasideda pilkas plotas.
Valstybinė duomenų apsaugos inspekcija gali skirti baudas įmonėms, kurios netinkamai saugojo jūsų informaciją, tačiau jūs, kaip nukentėjęs asmuo, tiesiogiai pinigų negausite. Galite kreiptis į teismą dėl žalos atlyginimo, bet tai – ilgas ir brangus procesas. Taigi teoriškai teisės yra, praktiškai – jų įgyvendinimas sudėtingas.
Kaip sukčiai realiai dirba: ne taip, kaip įsivaizduojate
Pamirškite stereotipus apie paauglį rūsyje, bandantį atspėti jūsų slaptažodį. Šiuolaikinis sukčiavimas – tai gerai organizuotas verslas su aiškia hierarchija. Yra tie, kurie kuria phishing svetaines (kopijuojančias tikrų įmonių puslapius), tie, kurie siunčia tūkstančius laiškų, tie, kurie bendrauja su aukomis telefonu, ir tie, kurie išgrynina pinigus.
Vienas populiariausių metodų – socialinė inžinerija. Sukčiai nesilaužia į jūsų kompiuterį, jie tiesiog įtikina jus pačius jiems atskleisti informaciją. Pavyzdžiui, skambina apsimetę banko darbuotoju, sako, kad jūsų sąskaitoje įtartina veikla, ir prašo „patvirtinti tapatybę” pateikiant SMS gautą kodą. Jūs, išsigandę, kad kas nors vagia jūsų pinigus, tą kodą ir pateikiate. O tai iš tikrųjų buvo kodas, leidžiantis jiems prisijungti prie jūsų internetinės bankininkystės.
Kitas metodas – kenkėjiškos programos, dažniausiai platinamos per elektroninius laiškus. Tai nebūtinai akivaizdūs virusai. Gali būti „sąskaita faktūra” PDF formatu, kurią atidarę netyčia įdiegiate programą, registruojančią klavišų paspaudimus. Arba nuoroda į „paketą, kuris laukia paštomatе”, vedanti į svetainę, kuri atrodo kaip tikroji, bet iš tikrųjų vagia jūsų duomenis.
Konkretūs žingsniai, kurie realiai padeda (ne teorija, o praktika)
Pirma, įsidiekite slaptažodžių tvarkyklę. Taip, dar vieną programą. Bet tai vienintelis būdas turėti skirtingus, sudėtingus slaptažodžius kiekvienai svetainei. Kai sukčiai pavogs vienos svetainės duomenis (o tai nutinka nuolat), jie negalės prisijungti prie kitų jūsų paskyrų. Rekomenduoju „Bitwarden” arba „1Password” – abi patikimos ir turi nemokamas versijas.
Antra, įjunkite dviejų veiksnių autentifikavimą visur, kur tik įmanoma. Ne SMS žinutes (jas galima perimti), o autentifikavimo programėles kaip „Google Authenticator” ar „Authy”. Taip net jei kas nors sužinos jūsų slaptažodį, be papildomo kodo iš jūsų telefono prisijungti negalės.
Trečia, mokykitės atpažinti phishing bandymus. Štai konkretus testas: kai gaunate laišką iš banko ar kitos įmonės, užveskite pelės žymeklį ant siuntėjo adreso (nespauskite!). Tikras banko adresas bus kažkas panašaus į „[email protected]”, o sukčių – „[email protected]”. Taip pat patikrinkite nuorodas laiške: užveskite ant jų žymeklį ir apačioje pamatysite tikrąjį adresą. Jei ten ne banko domenas – tai sukčiavimas.
Ketvirta, niekada, NIEKADA neįveskite jokių kodų ar slaptažodžių, jei kas nors jūsų prašo telefonu. Jokie bankai, jokie policininkai, jokie IT specialistai niekada neprašys jūsų slaptažodžio ar SMS kodo. Jei skambina ir prašo – tai 100% sukčiai. Padėkite ragelį ir paskambinkite į banką patys, naudodami numerį iš jų oficialios svetainės.
Ką daryti, kai jau per vėlu (ir kodėl greitis čia svarbesnis už viską)
Tarkime, supratote, kad tapote sukčiavimo auka. Pirmosios valandos yra kritinės. Ne dienos – būtent valandos. Štai tikslus veiksmų planas:
Pirmi 15 minučių: Jei tai susiję su banku – skambinkite į banką ir blokuokite visas korteles bei prisijungimą. Bankai turi 24/7 skambučių centrus būtent dėl tokių situacijų. Neieškokite numerio internete (gali būti sukčių), naudokite numerį ant savo kortelės arba oficialios banko programėlės.
Pirma valanda: Keiskite visus slaptažodžius – pradėkite nuo el. pašto (nes per jį galima atkurti kitus slaptažodžius), tada bankai, socialiniai tinklai, apsipirkimo svetainės. Jei naudojote tą patį slaptažodį keliose vietose – keiskite visur.
Pirmoji diena: Parašykite pareiškimą policijai. Taip, net jei manote, kad nieko nepadarys. Pareiškimas reikalingas draudimo kompanijai (jei turite tokią apsaugą) ir galimam bylai teisme. Be to, kuo daugiau žmonių praneša, tuo daugiau dėmesio problema sulaukia.
Taip pat praneškite Lietuvos banko Finansinių nusikaltimų tyrimo tarnybai per jų svetainę. Jei buvo pavogti asmens duomenys – praneškite Valstybinei duomenų apsaugos inspekcijai. Taip, daug biurokratijos, bet tai gali padėti ateityje, jei kas nors jūsų vardu ims kreditus ar darys kitus nusikaltimus.
Kodėl jūsų tėvai ir seneliai yra lengviausios aukos (ir kaip jiems padėti)
Statistika žiauri: vyresni žmonės sudaro didžiausią sukčiavimo aukų dalį. Ne todėl, kad jie kvailiau, o todėl, kad užaugo kitoje epochoje. Jiems įprasta pasitikėti autoritetu – jei kas nors skambina ir sako esąs iš banko, jie tiki. Jiems neįprasta, kad žmonės gali taip ciniškai meluoti ir manipuliuoti.
Praktinis patarimas: jei turite vyresnių giminaičių, susitarkite su jais dėl paprastos taisyklės – prieš bet ką darant su pinigais ar duomenimis internete/telefonu, jie pirmiausia paskambina jums. Nesvarbu, kaip skubiai tas „banko darbuotojas” prašo, visada yra laiko paskambinti sūnui, dukrai ar anūkui. Sukčiai dažnai kuria skubos jausmą – „turite nuspręsti per 5 minutes, kitaip jūsų sąskaita bus užblokuota”. Tai klasikinis manipuliacijos būdas.
Taip pat verta su jais aptarti konkrečius scenarijus: „Jei kas nors skambina ir sako, kad aš patekau į avariją ir reikia pinigų, pirmiausia paskambink man”. „Jei prašo įvesti kodus iš SMS, tai sukčiai”. Konkretūs pavyzdžiai veikia geriau nei bendri įspėjimai.
Ar draudimas nuo kibernetinių nusikaltimų verta pinigų?
Pastaruoju metu draudimo kompanijos pradėjo siūlyti kibernetinės apsaugos polisus. Skamba patraukliai: jei tapsite sukčiavimo auka, draudimas padengs nuostolius. Bet kaip visada su draudimu – velnias slypi detalėse.
Pirma, skaitykite, kas TIKSLIAI apdrausta. Daugelis polisų dengia tik tam tikrus sukčiavimo tipus. Pavyzdžiui, gali būti apdrausta tapatybės vagystė, bet ne tai, kad patys pervedėte pinigus sukčiams, nes jie jus įtikino. Arba gali būti dengiami nuostoliai tik iki tam tikros sumos, kuri gali būti mažesnė nei realūs nuostoliai.
Antra, draudimo kompanijos labai kruopščiai tiria kiekvieną atvejį. Jei nuspręs, kad buvote „neatsargūs” – pavyzdžiui, nenaudojote dviejų veiksnių autentifikavimo, nors bankas jį siūlė – gali atsisakyti mokėti. Taigi draudimas nėra garantija, kad atgausite pinigus.
Ar verta? Priklauso nuo jūsų situacijos. Jei turite didelių sumų internete, aktyviai naudojatės internetine bankininkyste ir neturite daug technologinių žinių – galbūt taip. Bet geriau investuoti į prevenciją: slaptažodžių tvarkyklę, saugumo mokymus, galbūt konsultaciją su IT specialistu, kuris padėtų saugiai sukonfigūruoti jūsų įrenginius.
Kai sistema nesaugo: ką daryti, jei nukentėjote, bet niekas nepadeda
Štai nemaloni tiesa: dažnai nukentėję žmonės lieka vieni. Policija sako, kad sukčiai užsienyje ir jų nepasieksi. Bankas sako, kad jūs patys pervedėte pinigus, todėl jie neatsakingi. Draudimas (jei turėjote) randa priežastį neišmokėti kompensacijos.
Bet nereikia pasiduoti. Pirma, jei bankas atsisako grąžinti pinigus, o manote, kad jų saugumo sistema buvo nepakankama, galite skųstis Lietuvos bankui. Jie nagrinėja ginčus tarp klientų ir bankų. Tai nemokama ir gana greita procedūra.
Antra, jei nuostoliai dideli, verta konsultuotis su advokatu, specializuojančiuosi kibernetiniuose nusikaltimuose. Taip, tai kainuos, bet kartais vien advokato laiškas banką ar draudimo kompaniją privers rimčiau pažvelgti į jūsų bylą.
Trečia, viešinkite savo istoriją. Ne dėl keršto, o dėl to, kad viešumas dažnai veikia geriau nei teisinės procedūros. Įmonės bijo reputacijos žalos. Jei jūsų istorija pateks į žiniasklaidą, bankas ar draudimo kompanija gali staiga tapti daug kooperatyvesni. Socialiniai tinklai, vartotojų teisių gynimo organizacijos – visa tai gali padėti.
Ir pagaliau – mokykitės iš patirties. Taip, praradote pinigus, tai skaudu. Bet dabar žinote, kaip sukčiai veikia. Pasidalinkite savo istorija su draugais, šeima, galbūt socialiniuose tinkluose. Kuo daugiau žmonių žinos apie konkrečius sukčiavimo būdus, tuo mažiau naujų aukų.
Kas laukia ateityje: dirbtinis intelektas ir gilieji klastotės
Jei manote, kad dabar sunku atskirti tikrus laiškus nuo sukčių, palaukite, kol dirbtinis intelektas taps sukčių įrankiu. Jau dabar yra technologija, leidžianti klonuoti žmogaus balsą iš kelių sekundžių įrašo. Įsivaizduokite: skambina jums „sūnus”, prašo skubiai pervesti pinigų, ir tai tikrai jo balsas. Tik tai ne jis.
Vadinamieji „deepfake” video jau dabar gali įtikinamai pavaizduoti bet kokį žmogų sakant bet ką. Sukčiai gali sukurti video, kuriame banko vadovas „skelbia” naują saugumo procedūrą, reikalaujančią patvirtinti duomenis. Ir atrodys visiškai tikra.
Kaip nuo to apsisaugoti? Pirma, susitarkite su artimaisiais dėl „saugumo žodžio” – kažko, ką žinote tik jūs ir jie. Jei kas nors skambina prašydamas pinigų, net jei tai atrodo kaip jūsų vaikas ar tėvai, paklauskit saugumo žodžio. Antra, būkite dar skeptiškesni. Jei kažkas atrodo per daug gera, kad būtų tiesa – greičiausiai taip ir yra.
Technologijos tobulės, bet tobulėja ir sukčiai. Vienintelis būdas išlikti saugiam – nuolat mokytis, būti informuotam ir niekada nepamiršti, kad internete niekas nėra visiškai saugus. Ne paranoja, o realistiškas atsargumas – štai kas šiandien reikalinga.
Ir paskutinis dalykas: nesigėdykite, jei tapote auka. Sukčiai yra profesionalai, jie išnaudoja žmogaus psichologijos silpnybes, kurias turi visi. Protingi, išsilavinę žmonės taip pat patenka į jų pinkles. Skirtumas tarp aukos ir to, kuris išvengė sukčiavimo, dažnai yra ne protas, o tiesiog sėkmė. Todėl kalbėkite apie tai, dalinkitės patirtimi ir padėkite kitiems išvengti tų pačių klaidų. Tik bendromis jėgomis galime padaryti internetą bent šiek tiek saugesnę vietą.
