Vienas patvirtinimo kodas gali atiduoti kortelę sukčiams: 5 skaitmeninių piniginių apgaulės
Telefonu mokėti patogu, tačiau sukčiams nebūtina „nulaužti“ pačios „Apple Pay“ ar „Google Wallet“ sistemos. Dažniausiai jie apgaule išvilioja kortelės duomenis, patvirtinimo kodą arba priverčia žmogų pačiam patvirtinti veiksmą, kuriuo kortelė susiejama su nusikaltėlio telefonu.
Atsiskaitymai telefonu Lietuvoje tapo kasdienybe – prie terminalo pakanka pridėti išmanųjį telefoną ar laikrodį. „Apple Pay“ ir „Google Wallet“ operacijoms naudoja įrenginio apsaugą bei virtualius mokėjimo duomenis, todėl pardavėjui paprastai neperduodamas tikrasis fizinės kortelės numeris. Mokėjimus taip pat gali reikėti patvirtinti veidu, piršto atspaudu, PIN kodu ar kitu įrenginio užraktu.
Tačiau saugi technologija neapsaugo nuo situacijos, kai pats žmogus sukčiui atskleidžia tai, ko nereikėtų. Nusikaltėliai siunčia suklastotas bankų žinutes, apsimeta pirkėjais skelbimų portaluose, prašo patvirtinti tariamą pinigų grąžinimą arba įdiegti neva būtiną programėlę. Lietuvos bankas ir Nacionalinis kibernetinio saugumo centras pabrėžia, kad duomenų viliojimo atakomis dažnai siekiama gauti bankininkystės prisijungimus, kortelės duomenis ir kitą informaciją, kuri vėliau naudojama pinigams pasisavinti.
1. Kortelė slapta pridedama prie sukčiaus telefono
Viena pavojingiausių schemų prasideda nuo SMS žinutės, elektroninio laiško ar skambučio. Žmogui pranešama, kad jo sąskaita užblokuota, būtina atnaujinti „Apple Pay“ ar „Google Wallet“, atsiimti siuntą, susigrąžinti permoką arba patvirtinti įtartiną operaciją. Nuoroda nuveda į svetainę, kuri vizualiai primena banko ar žinomos paslaugos puslapį.
Įvedęs kortelės numerį, galiojimo datą ir saugos kodą žmogus gali manyti, kad tik patvirtina savo tapatybę. Iš tikrųjų sukčiai tuo pat metu mėgina pridėti kortelę prie savo skaitmeninės piniginės. Bankas gali atsiųsti papildomą patvirtinimo kodą arba paprašyti veiksmą patvirtinti banko programėlėje, o netikroje svetainėje šis veiksmas pateikiamas kaip įprastas patikrinimas.
„Google“ oficialiai nurodo, kad pridedant mokėjimo kortelę jos išdavėjas gali paprašyti patvirtinimo kodo. Todėl gavus kodą, nors patys tuo metu nepridedate kortelės prie telefono, jo negalima niekam diktuoti ar įvesti neaiškioje svetainėje.
Sėkmingai susiejęs kortelę su savo įrenginiu nusikaltėlis gali bandyti ja atsiskaityti parduotuvėse ar internete. Telefono savininkas apie tai kartais sužino tik gavęs banko pranešimą apie neatpažintą operaciją.
2. Skambina „banko darbuotojas“ ir prašo viską patvirtinti
Kita schema vykdoma telefonu. Sukčius prisistato banko saugumo specialistu, policijos pareigūnu ar technologijų bendrovės darbuotoju ir praneša, kad kažkas bando pavogti pinigus. Žmogus skubinamas: esą per kelias minutes būtina atšaukti operaciją, apsaugoti kortelę arba perkelti pinigus į „saugią sąskaitą“.
Pokalbio metu gali būti prašoma pasakyti SMS kodą, patvirtinti veiksmą banko programėlėje, suvesti „Smart-ID“ kodą ar įdiegti nuotolinio valdymo programą. Ekrane rodomas patvirtinimas iš tiesų gali būti skirtas ne operacijai sustabdyti, o mokėjimui, prisijungimui prie sąskaitos arba naujos kortelės registravimui.
Lietuvos bankas pataria nepasiduoti skubinimui, nutraukti įtartiną pokalbį ir pačiam paskambinti bankui oficialiu numeriu. Net jei skambintojo ekrane rodomas banko pavadinimas ar pažįstamas numeris, jis gali būti suklastotas.
Svarbiausia skaityti, ką tiksliai tvirtinate. „Smart-ID“, mobiliojo parašo ar banko programėlės lange turi sutapti operacijos tipas ir suma. Jeigu nieko neperkate ir prie jokios paskyros nesijungiate, gautą prašymą reikia atmesti.

3. Pardavėjui atsiunčiama suklastota mokėjimo kopija
Skelbimų portaluose sukčiai dažnai apsimeta pirkėjais ir teigia jau sumokėję už prekę per „Apple Pay“, „Google Pay“ ar banką. Kaip įrodymą jie atsiunčia ekrano nuotrauką, netikrą kvitą arba elektroninį laišką, kuriame nurodyta, kad pinigai esą „rezervuoti“.
Pardavėjui gali būti aiškinama, kad lėšos atsiras tik išsiuntus prekę ir pateikus siuntos sekimo numerį. Tačiau ekrano kopiją nesunku suklastoti, o pats „Apple Pay“ ar „Google Wallet“ ženklas nėra įrodymas, kad pinigai įskaityti į pardavėjo sąskaitą.
Prekę reikėtų perduoti tik tada, kai mokėjimas iš tiesų matomas jūsų banko sąskaitoje ar oficialioje prekyvietės sistemoje. Nuoroda elektroniniame laiške, pirkėjo atsiųstas kvitas ar užrašas „mokėjimas vykdomas“ tam nėra pakankami.
Taip pat nereikia suvesti kortelės duomenų norint gauti pinigus už parduodamą prekę. Įprastam banko pavedimui pirkėjui pakanka gavėjo vardo ir sąskaitos numerio – kortelės galiojimo datos, CVC kodo ar bankininkystės prisijungimų tam nereikia.
4. Tariamai pervesta per daug pinigų
Ši schema taip pat dažnai prasideda skelbimų portale. Pirkėjas praneša, kad per klaidą pervedė daugiau, nei kainuoja prekė, ir skubiai prašo skirtumą grąžinti į kitą kortelę ar sąskaitą. Kartu atsiunčiamas suklastotas mokėjimo patvirtinimas.
Pavyzdžiui, už 80 eurų kainuojančią prekę sukčius gali tvirtinti pervedęs 180 eurų ir prašyti nedelsiant grąžinti 100 eurų. Pardavėjas perveda tikrus pinigus, nors pradinis mokėjimas jo sąskaitos niekada nepasiekė.
Net jeigu didesnė suma iš tiesų matoma sąskaitoje, nereikėtų jos skubiai persiųsti pagal nepažįstamo žmogaus nurodymus. Mokėjimas galėjo būti atliktas iš pavogtos sąskaitos ar kortelės, todėl situaciją saugiausia spręsti per savo banką. Lietuvos bankas rekomenduoja informaciją tikrinti naudojant turimus oficialius kontaktus, o ne žinutėje ar laiške pateiktus duomenis.
Sukčiui ypač naudinga sukelti skubos jausmą. Jis gali grasinti policija, neigiamu atsiliepimu ar paskyros blokavimu, tačiau tai neturėtų pakeisti pagrindinės taisyklės: pinigai grąžinami tik patikrinus realų mokėjimą ir pasitarus su banku.
5. Pavogtas telefonas arba įdiegta kenkėjiška programėlė
Atrakintas telefonas, patekęs į nusikaltėlio rankas kartu su žinomu ekrano kodu, gali suteikti prieigą ne tik prie nuotraukų ar susirašinėjimų. Sukčius gali bandyti atidaryti banko programėlę, keisti paskyrų slaptažodžius arba naudoti telefone esančias mokėjimo korteles.
„Apple“ įrenginiuose papildomą apsaugą suteikia funkcija „Stolen Device Protection“, kuri nepažįstamose vietose jautriems veiksmams gali reikalauti biometrinio patvirtinimo ir taikyti saugumo delsą. „Android“ telefonuose galima įjungti vagystės aptikimo, nuotolinio ir neprisijungusio įrenginio užrakinimo funkcijas, nors tikslus jų prieinamumas priklauso nuo telefono bei sistemos versijos.
Dar viena, retesnė, tačiau reali grėsmė – kenkėjiškos „Android“ programėlės, galinčios perimti ar persiųsti NFC duomenis. ESET duomenimis, 2025 metų antrąjį pusmetį jos stebimų NFC grėsmių skaičius išaugo 87 proc., o 2026 metais aptikta nauja programos NGate versija, platinta per netikras svetaines ir apsimetusi teisėta NFC mokėjimų programėle.
Tai nėra priežastis atsisakyti mokėjimų telefonu, tačiau bankininkystės ar mokėjimų programėlių nereikėtų diegti iš žinutėse atsiųstų nuorodų. Jas saugiausia siųstis tik iš oficialios programėlių parduotuvės, tikrinti kūrėją, nuolat atnaujinti telefono sistemą ir neįjungti programėlei neaiškių prieinamumo ar įrenginio administravimo teisių.

Ar pavojinga mokėti prisijungus prie viešojo „Wi-Fi“?
Viešasis belaidis tinklas savaime neleidžia šalia sėdinčiam žmogui tiesiog nuskaityti bekontakčio „Apple Pay“ ar „Google Wallet“ mokėjimo. Šių paslaugų mokėjimo informacija apsaugoma šifravimu ir virtualiais duomenimis.
Tačiau sukčius gali sukurti prie kavinės, viešbučio ar oro uosto tinklo pavadinimo labai panašų prieigos tašką. Prisijungus gali būti parodytas netikras autorizacijos puslapis, prašantis įvesti „Google“, „Apple“, elektroninio pašto ar net banko prisijungimus.
Todėl jungiantis prie viešo tinklo verta patikrinti jo tikslų pavadinimą, vengti neaiškių prisijungimo puslapių ir neįdiegti jų siūlomų sertifikatų ar programėlių. Atliekant jautrius finansinius veiksmus saugiau naudoti mobilųjį internetą arba patikimą tinklą.
Vien VPN nėra stebuklinga apsauga, jeigu žmogus pats suveda slaptažodį suklastotoje svetainėje. Svarbiausia tikrinti adresą, nepasitikėti netikėtai pateiktais prisijungimo langais ir nespausti nuorodų iš įtartinų žinučių.
Penki veiksmai, kurie gerokai sumažina riziką
Pirmiausia banko programėlėje įjunkite momentinius pranešimus apie kiekvieną mokėjimą. Kuo greičiau pastebima neatpažinta operacija, tuo greičiau galima užblokuoti kortelę ir kreiptis į banką. Taip pat verta nustatyti protingus internetinių mokėjimų limitus, o retai naudojamas funkcijas laikinai išjungti.
Niekam neatskleiskite vienkartinių kodų ir netvirtinkite veiksmų, kurių patys nepradėjote. Bankas gali paprašyti patvirtinti jūsų atliekamą operaciją, tačiau tikras darbuotojas neturėtų skambučio metu reikalauti padiktuoti slaptų prisijungimo ar kortelės duomenų.
Telefoną apsaugokite ne keturių vienodų skaitmenų kodu, o ilgesniu PIN arba slaptažodžiu, įjunkite biometrinį atrakinimą ir įrenginio paieškos funkciją. „Apple“ įrenginį pažymėjus kaip prarastą, „Apple Pay“ kortelės sustabdomos; prarastą „Android“ telefoną taip pat galima nuotoliniu būdu surasti, užrakinti ar ištrinti per „Find Hub“.
Prekiaudami internetu nepasitikėkite ekrano kopijomis. Tikrinkite savo banko sąskaitą arba oficialią platformos mokėjimų skiltį ir nesuveskite kortelės duomenų svetainėje, kurią atsiuntė pirkėjas.
Galiausiai reguliariai atnaujinkite telefoną ir programėles. Banko, siuntų, prekybos ar mokėjimų programėles diekite tik iš oficialių parduotuvių, o SMS žinutėje pateiktą nuorodą geriau vertinkite kaip galimai pavojingą, net jei joje vartojamas banko ar žinomos įmonės pavadinimas.
Ką daryti pastebėjus įtartiną mokėjimą?
Pirmiausia nedelsdami užblokuokite kortelę banko programėlėje ir susisiekite su savo banku oficialiu numeriu. Paaiškinkite, kokius duomenis atskleidėte, ką patvirtinote ir kokias operacijas matote – kuo greičiau bankas gaus informaciją, tuo daugiau galimybių sustabdyti tolesnius mokėjimus ar pradėti lėšų susigrąžinimo procedūrą. Lietuvos bankas pabrėžia, kad pirmasis žingsnis patekus į sukčių pinkles yra nutraukti bendravimą ir nedelsiant kreiptis į mokėjimo paslaugų teikėją.
Jeigu telefonas pavogtas, pažymėkite jį kaip prarastą ir nuotoliniu būdu užrakinkite. Taip pat pakeiskite svarbiausių paskyrų slaptažodžius, ypač elektroninio pašto, nes jis dažnai naudojamas kitoms paskyroms atkurti.
Apie finansinį sukčiavimą reikėtų pranešti Lietuvos policijai per „ePolicija“, o sukčiavimo svetainės adresą galima perduoti Nacionaliniam kibernetinio saugumo centrui. NKSC nurodo, kad nuo sukčiavimo nukentėję gyventojai turėtų kreiptis į policiją, o duomenų viliojimo svetainėms turi atskirą pranešimo formą.
Skaitmeninė piniginė paprastai nėra silpniausia grandis. Daugeliu atvejų sukčiams pinigus atveria ne bekontaktis mokėjimas, o skubėjimas, netikra nuoroda ir patvirtinimo kodas, atiduotas ne tam žmogui.
Komentarai
Parašyti komentarą
Daugiau šia tema
Visos temos naujienosIeškote daugiau?



Būkite pirmi ir pradėkite diskusiją.