Nusikaltėliai vėl masiškai kuria netikrus domenus ir melagingas elektronines parduotuves, kad per šventinį apsipirkimą išviliotų vartotojų mokėjimo duomenis.
Sukčiavimo tempai – rekordiniai: Lietuva patenka į taikinių sąrašą
Kaip skelbia „FortiGuard Security“, šių metų šventiniu laikotarpiu fiksuojamas neįprastai agresyvus netikrų e-parduotuvių kūrimo mastas. Užpuolikai tam ruošėsi jau nuo vasaros, naudodami pramoninės klasės įrankius, leidžiančius vienu metu užpulti šimtus platformų ir skirtingų šalių vartotojus.
Lietuva – kaip ir dauguma ES šalių – įtraukta į aktyviausių taikinių sąrašą.
Šventinių domenų „sprogimas“: tūkstančiai netikrų svetainių
Per pastaruosius tris mėnesius aptikta daugiau nei 18 000 naujų domenų, susijusių su šventine tematika – „Kalėdos“, „Black Friday“, „Holiday Sale“ ir pan.
Iš jų net 750 patvirtinti kaip kenkėjiški.
Dar daugiau domenų imituoja tikras, žinomas parduotuves. Iš 19 000 tokio tipo registracijų net 2 900 buvo sukčiavimo svetainės, kurios keičia vos vieną–dvi raides adrese.
Pavyzdžiai, kaip atrodo imitacijos:
- „rimi-sale.com“
- „senukai-discount.net“
- „pigu-blackfriday.shop“
Skubant ir nepatikrinus URL, tokių klastočių dažnai beveik neįmanoma atskirti.
Pavogtų paskyrų „juodieji turgūs“ – auga žaibiškai
Per tris mėnesius iš didžiųjų el. prekybos platformų pavogta daugiau nei 1,57 mln. paskyrų.
Vagys šiuos duomenis parduoda vieni kitiems „darknete“ (tamsiajame internete). Dažniausiai tai būna pilnos aprėpties duomenys:
- automatiniais reputacijos įvertinimais,
- momentiniu pristatymu,
- galimybe masiškai tikrinti, kurių paskyrų slaptažodžiai vis dar galioja.
Taip pat kyla „atostoginiai išpardavimai“ – kai užpuolikai pigiau parduoda pavogtas korteles ir CVV duomenis, kad greitai gautų pinigų.
Pažeidžiamiausi – populiarios platformos, naudojamos ir Lietuvoje
1. „Magento“ (Adobe Commerce)
CVE-2025-54236 pažeidžiamumas leidžia užpuolikams:
- perimti vartotojų sesijas,
- nuotoliu vykdyti kodą,
- perimti visą svetainės valdymą ir duomenis.
2. „Oracle E-Business Suite“
CVE-2025-61882 spraga išnaudojama išpirkos reikalaujančių grupuočių, kurios siekia pasiekti:
- ERP sistemas,
- užsakymų duomenų bazes,
- vidinius finansinius duomenis.
3. „WooCommerce Ultimate Gift Card“ (itin populiaru Baltijos šalyse)
CVE-2025-47569 leidžia manipuliuoti duomenų baze ir gauti prieigą prie:
- klientų duomenų,
- mokėjimo informacijos,
- dovanų kortelių kodų.
Lietuvos smulkios elektroninės parduotuvės ypač pažeidžiamos, nes daugelis papildinių nėra reguliariai atnaujinami.
Nusikaltėlių įrankiai – kaip tikrose IT įmonėse
Sukčiai šiandien veikia kaip profesionalios komandos, turinčios:
- dirbtinio intelekto sistemas, imituojančias tikrų vartotojų prisijungimus,
- masinių SMS (smishing) platformas, siunčiančias melagingas žinutes apie „siuntinį“, „nuolaidą“, „užsakymo atnaujinimą“,
- svetainių klonavimo įrankius, leidžiančius per kelias minutes paleisti netikrą „parduotuvę“,
- SEO paketus, kurie padeda klastotėms pakilti paieškos rezultatuose.
Lietuvos įmonėms taikomi BDAR reikalavimai
Jei Lietuvos e-parduotuvėje įvyksta duomenų nutekėjimas, per 72 valandas būtina informuoti Valstybinę duomenų apsaugos inspekciją.
Jei rizika klientams didelė – tai privaloma pranešti ir jiems.
BDAR pažeidimai gali kainuoti:
- milžiniškas baudas,
- reputacijos smūgį,
- klientų praradimą.
Dėl to vis daugiau Lietuvos verslų renkasi kibernetinio draudimo paslaugas.
Kaip apsisaugoti vartotojams?
Patikrinkite svetainės adresą (URL)
Dėmesį atkreipkite į:
- neįprastas raides,
- keistus galūnes (.shop, .info, .top),
- klaidas pavadinime.
Nenaudokite viešo „Wi-Fi“ atsiskaitydami.
Įjunkite MFA (daugiafaktorį autentifikavimą) – ypač el. pašto paskyrose, kurios susietos su jūsų pirkimais.
Niekada nepirkite per nuorodą iš SMS ar el. laiško.
Naudokite banko kortelės limitus arba virtualias vienkartines korteles.
Reguliariai tikrinkite sąskaitos išrašus.
Ekspertai perspėja: šiemet atakos bus agresyvesnės nei bet kada
„Užpuolikai naudoja pramoninius įrankius ir greitą automatizavimą, kad maksimaliai išnaudotų šventinį sezoną“, – sako Bhumit Mali iš „FortiGuard“.
Specialistai priduria, kad rizika vienodai aktuali tiek didelėms platformoms, tiek mažoms e-parduotuvėms ir kiekvienam pirkėjui. Būkite budrūs, tikrinkite svetaines ir niekada neskubėkite įvesti mokėjimo duomenų – tai gali apsaugoti tiek jūsų pinigus, tiek jūsų šventinę nuotaiką.
