Iš pirmo žvilgsnio toks laiškas atrodo visiškai įprastas. Tvarkinga lietuvių kalba, Registrų centro pavadinimas, dokumento numeris, nurodymas atsisiųsti ADOC failą, net paaiškinimas, kad dokumentas „užkoduotas siekiant asmens duomenų saugumo“. Viskas skamba oficialiai. Būtent dėl to žmonės ir paspaudžia.
Tačiau būtent tokie laiškai šiandien tampa viena pavojingiausių sukčiavimo formų. Sukčiai vis dažniau nebesiunčia akivaizdžiai juokingų žinučių su klaidomis ir pažadais apie laimėtus milijonus. Jie imituoja institucijas, bankus, kurjerius, valstybines sistemas ir siunčia pranešimus, kurie atrodo beveik tikri.
Šiuo atveju laiške nurodoma, kad gavėjui siunčiamas dokumentas, kurį galima atsisiųsti paspaudus nuorodą. Atidarius ją, vartotojas nukreipiamas į puslapį su Registrų centro logotipu ir prašymu įvesti slaptažodį. Laiške paaiškinta, kad slaptažodis – įmonės arba atstovaujamo juridinio asmens kodas.
Ir čia prasideda didžiausia rizika.
Kodėl toks laiškas atrodo įtikinamai?
Sukčiai labai gerai supranta, kas kelia pasitikėjimą. Laiške naudojamas oficialus tonas, dokumento numeris, data, ADOC formato paminėjimas, nuorodos į elektroninio parašo tikrinimo paslaugas ir net frazė, kad laiškas automatiškai sugeneruotas.
Žmogus, kuris dirba su dokumentais, įmonėmis, Registrų centro išrašais ar teisiniais reikalais, tokį laišką gali palaikyti normaliu darbo procesu. Ypač jei jis užsiėmęs, skuba arba laukia kokių nors dokumentų.
Sukčiai būtent to ir tikisi: kad žmogus nesustos tikrinti detalių, o veiks automatiškai.
„Yra dokumentas – reikia atsisiųsti.“
„Prašo kodo – įvesiu.“
„Atrodo kaip Registrų centras – vadinasi, saugu.“
Tačiau internetiniame sukčiavime pavojingiausi laiškai būtent tie, kurie atrodo ne pavojingi, o kasdieniški.
Pavojingas momentas – nuoroda į failus
Pagrindinė taisyklė labai paprasta: jei gavote netikėtą laišką su nuoroda atsisiųsti dokumentą, pirmiausia ne spauskite, o tikrinkite.
Net jei laiške matote žinomą įstaigos pavadinimą, logotipą ar lietuvišką tekstą, tai dar nereiškia, kad laiškas tikras. Sukčiai gali nukopijuoti logotipus, tekstų struktūrą, oficialiai skambančias frazes ir net sukurti puslapį, kuris vizualiai primena tikrą sistemą.
Šioje situacijoje pavojų kelia tai, kad vartotojas nukreipiamas į atskirą atsisiuntimo langą, kuriame prašoma slaptažodžio. Jei žmogus įveda įmonės kodą, jis gali manyti, kad nieko slapto neatskleidė, nes juridinio asmens kodas dažnai yra viešas. Tačiau problema ne tik pats kodas.
Problema ta, kad paspaudus nuorodą ir bandant atsisiųsti failą gali būti:
pateiktas kenkėjiškas dokumentas;
bandoma priversti vartotoją suvesti daugiau duomenų;
imituojamas prisijungimas prie kitos sistemos;
renkami duomenys apie tai, kas atidarė laišką;
vėliau siunčiamos dar labiau suasmenintos sukčių žinutės.
Sukčiavimo schemos dažnai veikia etapais. Pirmas žingsnis atrodo nekaltas, bet jis padeda sukčiams suprasti, kad adresas aktyvus, žmogus paspaudžia nuorodas ir gali būti paveikiamas.
Į ką būtina atkreipti dėmesį?
Pirmiausia patikrinkite siuntėjo el. pašto adresą. Ne tik vardą, kuris rodomas laiške, bet visą adresą. Sukčiai gali pavadinti siuntėją „Registrų centras“, tačiau tikrasis adresas gali būti visai kitas, su keistais domenais, papildomomis raidėmis ar klaidinančiais pavadinimais.
Antra, niekada nespauskite nuorodos tiesiai iš laiško, jei nesate tikri, kad dokumento laukėte. Geriau patys naršyklėje įveskite oficialios institucijos svetainės adresą ir prisijunkite per savitarną įprastu būdu.
Trečia, atkreipkite dėmesį, ar laiške nėra spaudimo veikti greitai. Sukčiai dažnai rašo, kad nuoroda galios ribotą laiką, dokumentą būtina atsisiųsti nedelsiant arba kitaip bus pasekmių. Šiuo atveju nurodoma, kad nuoroda aktyvi 30 dienų. Tai nebūtinai įrodo sukčiavimą, bet tokia detalė gali būti naudojama tam, kad žmogus manytų, jog viskas oficialu ir saugu.
Ketvirta, prieš atidarydami ADOC ar kitą dokumentą, įsitikinkite, kad jis tikrai gautas iš patikimo šaltinio. Jei failas jau atsisiųstas, neatidarinėkite jo nepatikrinę antivirusine programa ir, jei įmanoma, pasitarkite su IT specialistu.
Ką daryti, jei tokį laišką gavote?
Jei dokumento nelaukėte, neskubėkite spausti nuorodos. Pirmas žingsnis – prisijungti prie Registrų centro savitarnos ne per laiško nuorodą, o savarankiškai įvedus oficialų adresą naršyklėje. Jei dokumentas tikras, tikėtina, kad jį galėsite matyti oficialioje sistemoje arba gauti patvirtinimą.
Jei kyla abejonių, susisiekite su Registrų centru oficialiais kontaktais. Nenaudokite kontaktų, pateiktų įtartiname laiške. Susiraskite juos patys oficialioje svetainėje.
Jei dirbate įmonėje, persiųskite laišką savo IT specialistui arba atsakingam asmeniui. Tokie laiškai dažnai siunčiami ne vienam žmogui, o keliems tos pačios įmonės darbuotojams. Vienas paspaudimas gali sukelti problemų visai organizacijai.
Jei jau paspaudėte nuorodą, bet nieko nesuvedėte ir nieko neatsisiuntėte, uždarykite puslapį ir vis tiek praneškite atsakingiems asmenims.
Jei suvedėte duomenis, atsisiuntėte failą ar atidarėte dokumentą, reikėtų nedelsiant:
pakeisti susijusius slaptažodžius;
patikrinti kompiuterį antivirusine programa;
informuoti įmonės IT specialistus;
stebėti el. paštą ir paskyras dėl įtartinos veiklos;
apie galimą sukčiavimą pranešti atsakingoms institucijoms arba organizacijai, kurios vardu prisidengiama.
Kodėl tokios schemos pavojingos įmonėms?
Įmonėse darbuotojai kasdien gauna daug dokumentų: sąskaitas, sutartis, pranešimus, registrų išrašus, teismų ar institucijų informaciją. Todėl sukčių laiškas gali lengvai pasimesti tarp tikrų.
Jei darbuotojas atidaro kenkėjišką dokumentą, pasekmės gali būti daug rimtesnės nei vienas pavogtas slaptažodis. Gali būti užkrėstas kompiuteris, pavogti el. pašto prisijungimai, gauta prieiga prie įmonės dokumentų, klientų duomenų ar finansinių sistemų.
Kartais sukčiai pirmiausia siekia ne pinigų, o prieigos. Jie patenka į paštą, kurį laiką stebi susirašinėjimą, o tada pasinaudoja tinkamu momentu – pavyzdžiui, pakeičia sąskaitos numerį tikrame mokėjimo laiške.
Todėl įtartinas laiškas iš tariamos institucijos niekada nėra „tik vienas laiškas“. Tai gali būti bandymas patekti į platesnę sistemą.
Sukčių stiprybė – oficialumo įspūdis
Šio tipo laiškai pavojingi tuo, kad jie nesiremia primityviu gąsdinimu. Jie atrodo kaip darbo rutina. O rutina yra būtent ta vieta, kur žmonės mažiausiai atsargūs.
Kai žmogus mato žinomą instituciją, dokumento numerį ir įprastas formuluotes, jo budrumas sumažėja. Jis nebegalvoja kaip pirkėjas, saugantis savo banko kortelę. Jis galvoja kaip darbuotojas, kuriam reikia greitai sutvarkyti dokumentą.
Būtent tai sukčiai ir išnaudoja.
Todėl svarbiausia taisyklė: net jei laiškas atrodo oficialus, net jei jame minimas Registrų centras, net jei puslapis turi logotipą, vis tiek verta sustoti ir patikrinti.
Kaip atpažinti galimą sukčiavimą?
Įtarimą turėtų kelti netikėtas dokumentas, kurio nelaukėte. Taip pat nuorodos, kurios veda neaišku kur, prašymas įvesti slaptažodį, kodą ar kitą informaciją, neįprastas failo atsisiuntimo būdas, keistas siuntėjo adresas, netikslūs sakiniai ar spaudimas veikti greitai.
Tačiau reikia suprasti: ne visi sukčių laiškai turi klaidų. Kai kurie paruošti labai kruopščiai. Todėl vien gera lietuvių kalba dar nereiškia saugumo.
Saugiausia praktika – į institucijų sistemas jungtis tik per oficialius puslapius, o ne per laiškuose gautas nuorodas.
Ką verta pasakyti darbuotojams ir artimiesiems?
Jei tokį laišką gavote jūs, didelė tikimybė, kad jį gali gauti ir kiti. Verta perspėti kolegas, ypač tuos, kurie dirba su dokumentais, buhalterija, įmonės registravimo reikalais ar administravimu.
Taip pat verta apie tokias schemas pasakyti vyresniems artimiesiems. Sukčiai puikiai žino, kad oficialiai atrodantis laiškas su valstybinės įstaigos pavadinimu daugeliui žmonių kelia pasitikėjimą.
Geriausias patarimas paprastas: jei gavai dokumentą ir abejoji – neskubėk. Pirmiausia paskambink, paklausk, patikrink per oficialią sistemą. Viena minutė patikrinimo gali sutaupyti daug nervų, pinigų ir problemų.
Išvada
Nuotraukose matomas laiškas ir atsisiuntimo langas rodo, kaip įtikinamai šiandien gali atrodyti galimas sukčiavimo bandymas. Oficialus tonas, institucijos pavadinimas, dokumento numeris ir prašymas įvesti slaptažodį sukuria saugumo įspūdį.
Bet būtent čia ir slypi pavojus.
Kiekvieną kartą gavę laišką su nuoroda į dokumentą, ypač jei jo nelaukėte, elkitės atsargiai. Nespauskite automatiškai. Netikėkite vien logotipu. Neveskite duomenų nepatikrinę šaltinio. Prisijunkite prie oficialios savitarnos savarankiškai arba susisiekite su įstaiga oficialiais kontaktais.
Sukčiai dažnai laimi ne todėl, kad yra labai technologiškai stiprūs. Jie laimi todėl, kad žmogus skuba.
O geriausia apsauga tokiose situacijose yra labai paprasta: sustoti, patikrinti ir tik tada veikti.
