Raidė „i“ vietoj „1“: kaip sukčiai apgauna „Smart-ID“ vartotojus ir vagia pinigus iš sąskaitų

Nauja sukčiavimo banga Baltijos šalyse: SMS žinutės, pranešančios apie „pasibaigusį galiojimą“ populiariajai „Smart-ID“ programėlei, nukreipia į padirbtą svetainę „smart1d.com“ – triukas, kur raidė „i“ pakeista skaičiumi „1“. Įvedę duomenis, vartotojai ne tik rizikuoja prarasti prieigą prie banko, bet ir tampa auka dviejų etapų vagystės: sukčiai naudoja informaciją tikram prisijungimui ir išvilioja lėšas per PIN patvirtinimą. Šiame straipsnyje paaiškiname schemą žingsnis po žingsnio, remdamiesi kibernetinio saugumo ekspertais, ir pateikiame, kaip apsisaugoti, kad jūsų sąskaita liktų saugi.

Sukčiavimo schema: nuo SMS iki pinigų išėmimo

Sukčiai siunčia SMS iš nepažįstamo numerio, pranešdami: „Jūsų Smart-ID registracija baigėsi. Atnaujinkite čia: smart1d.com“. Svetainė imituoja oficialią „Smart-ID“ puslapį, bet URL – su „1“ vietoj „i“ (oficialus – smart-id.com). Vartotojas, spustelėjęs nuorodą, patenka į padirbtą autentifikacijos puslapį, kur prašoma prisijungti prie banko (pvz., Swedbank, SEB, Citadele).

Įvedus prisijungimo duomenis (vartotojo vardą, slaptažodį), jie patenka sukčiui. Tada:

1. Sukčius prisijungia prie tikro banko puslapio su pavogtais duomenimis.
2. Sukuria mokėjimą (pvz., pervedimą į savo sąskaitą).
3. Vartotojas gauna tikrą „Smart-ID“ užklausą su PIN2 patvirtinimu – manydamas, kad tai „atnaujinimas“, patvirtina.
4. Pinigai išsiunčiami – dažnai iki kelių šimtų eurų per operaciją.

Ši schema – „man-in-the-middle“ ataka: sukčiai veikia kaip tarpininkas, apgaudami vartotoją. Ji plinta per SMS, nes „Smart-ID“ – plačiai naudojama Baltijos šalyse autentifikacijai bankuose ir e-valstybėje.

Kodėl tai veikia: klasikinis „typo-squatting“ triukas

„Smart1d.com“ – „typo-squatting“ pavyzdys: sukčiai užregistruoja panašų domeną, tikėdamiesi klaidos. Oficialus „Smart-ID“ niekada nesusisiekia SMS su nuorodomis – atnaujinimai atliekami app viduje. Schema plinta, nes:

• Žinutės atrodo oficialios, su logotipais.
• Spaudimas „skubiai atnaujinti“ kelia paniką.
• Daugelis nesitikrina URL.

Rizika didesnė vyresniems žmonėms ir tiems, kurie naudoja tą patį slaptažodį keliose vietose.

Kaip apsisaugoti: 5 žingsniai saugumui

1. Tikrinkite šaltinį: Niekada nespustelėkite SMS nuorodų. Eikite į oficialią svetainę (smart-id.com) rankiniu būdu ir atnaujinkite app.
2. Patikrinkite URL: Ieškokite „i“ vietoj „1“ – oficialus domenas su brūkšniu. Naudokite virusų skenerį (pvz., Malwarebytes).
3. Naudokite stiprius slaptažodžius: Unikalūs kiekvienai paslaugai, su menadžeriu (pvz., Bitwarden). Įjunkite 2FA.
4. Stebėkite sąskaitas: App pranešimai apie operacijas – jei nepažįstama, blokinkite kortelę (*777).
5. Šviesti artimuosius: Dalinkitės žinia – sukčiai taikosi į šeimas. Jei įtariate, kreipkitės į CERT.LV ar banką.

Sukčiavimo schema su „smart1d.com“ – priminimas, kad budrumas – geriausia apsauga. Tikrinkite nuorodas, nespustelėkite SMS ir stebėkite sąskaitas – jūsų duomenys vertingi. Jei gavote žinutę, praneškite bankui – kartu sustabdysime sukčius.