Marija Celma, Luminor bankas krāpšanas novēršanas eksperte
Jau ilgu laiku gandrīz nemainīgi viena no izplatītākajām krāpniecības metodēm Latvijā ir šķietami oficiālas SMS, kurās cilvēki tiek mudināti steidzami rīkoties – noklikšķināt uz saites, lai samaksātu par sūtījumu, pārbaudītu iespējamu ceļu satiksmes pārkāpumu vai atjaunotu OCTA polisi. Luminor bankas krāpniecības novēršanas eksperte Marija Celma dalās ar padomiem, kā šādus krāpšanas mēģinājumus atpazīt.
Smikšķerēšanas pamatā ir viltus īsziņu izsūtīšana, kuru mērķis ir radīt vēlmi nekavējoties uzspiest uz saites un uzzināt vairāk par īsziņas tekstā sniegto informāciju. Saturs var radīt izbrīnu, šoku, dusmas, ziņkāri, neizpratni, kā rezultātā impulsīvi tiek atvērta saite, kurā visbiežāk tiek ievadīti internetbankas pieejas dati. Šajā brīdī krāpnieka nodoms jau gandrīz īstenots – vēl tikai jāpanāk, lai ar tādu pašu automātisku rīcību tiktu apstiprināti arī krāpnieka ierosināti darījumi no konta.
Trīs biežākie krāpšanas scenāriji Latvijā
Latvijā šobrīd visbiežāk sastopamie īsziņu krāpniecības gadījumi saistīti ar trīs konkrētām tēmām. Vienā gadījumā krāpnieki uzdodas par Latvijas Pasta pārstāvjiem un nosūta ziņu par it kā aizkavējušos sūtījumu vai nepieciešamību veikt papildu maksu tā saņemšanai. Citos gadījumos tiek izplatītas īsziņas Ceļu satiksmes un drošības direkcijas (CSDD) vārdā ar paziņojumu par fiksētu ceļu satiksmes pārkāpumu un aicinājumu pārbaudīt informāciju, sekojot pievienotajai saitei. Tāpat bieži sastopami ir paziņojumi par beigušos OCTA polisi, kuros piedāvāts to atjaunot, izmantojot norādīto saiti uz maksājumu platformu.
Šādu ziņu saturs un vizuālais noformējums veidots tā, lai atgādinātu oficiālo saziņu, taču aiz tās slēpjas mēģinājumi iegūt personas datus. Krāpnieki bieži izmanto viltotas mājaslapas, kas vizuāli atgādina īstās, un lietotāji nereti ievada savus datus, nepamanot, ka tie nonāk krāpnieku rīcībā.
Viltotas mājaslapas un neuzticami domēni
Svarīgs elements krāpniecības atpazīšanā ir mājaslapas adrese jeb domēns. Viltotās vietnēs bieži tiek izmantoti neloģiski, aizdomīgi vai nedaudz pārveidoti nosaukumi, kas atšķiras no oficiālajiem. Tādēļ pirms jebkādu datu ievades ir būtiski pārliecināties, vai atvērtā mājaslapa tiešām pieder attiecīgajai organizācijai.
Tāpat autnetifikācijas rīku lietošanā ir jāievēro drošības prasības – tās ir iekļautas, lai palīdzētu laicīgi atpazīt krāpšanas mēģinājumu un novērstu zaudējumu rašanos. Piemēram, pirms jebkādas darbības apstiprināšanas ar Smart ID ir nepieciešams salīdzināt gan 4 ciparu kodu, kas parādās rīkā un ekrānā, kā arī izlasīt informāciju par to, kāda darbība tiek apstiprināta. Krāpnieku vietnēs parasti šis 4 ciparu kods neatspoguļojas, bet gan pēc datu ievades parādās it kā lapas atvēršanās simbols vai arī parādās kļūdas paziņojums. Bet tikmēr uz autentifikācijas rīku turpina pienākt pieprasījumi darbību apstiprināšanai. Krāpnieks paļaujas, ka cilvēks darbības apstiprinās automātiski, nelasot informāciju.
Viltus vietnēs arī bieži ir sastopamas nepilnības, piemēram, iztrūkst visas autentifikācijas iespējas – eID, eParaksts Mobile. Tas ir tāpēc, ka krāpnieku mērķis ir piekļūt tieši bankas kontam. Tāpat nereti viltus internetbankas vietnēs redzamās saites nestrādā, kā arī vizuāli ir iespēja nomainīt citu autentifikācijas rīku, bet šīs pogas nemaz nestrādā. Krāpnieks veido vizuāli līdzīgas vietnes, bet ne pilnas to kopijas.
Sociālā inženierija kā galvenais rīks
Krāpnieku izmantotās metodes pamatā balstās uz tā saukto sociālo inženieriju, kas ir manipululācija ar cilvēka emocijām, radot steidzamības, atbildības vai vainas sajūtu. Saņemot paziņojumu par sūtījumu, sodu vai polisi, lietotājs visbiežāk vēlas rīkoties nekavējoties, lai novērstu iespējamas neērtības vai uzzinātu sīkāk par satraucošo saturu, un tādējādi nonāk iespējami krāpnieciskā situācijā. Tāpat arī krāpniecisko vietņu ilgā ielāde pēc datu ievades vai kļūdas paziņojumi ir paredzēti, lai uzturētu ilūziju par to, ka ir savienojuma nepilnības, kas liedz pieeju saturam. Līdz ar to turpmāk pienākošie darbību apstiprināšanas pieprasījumi netiek uztverti kā negaidīti – tiek uzturēta ilūzija, ka sākotnējā piekļuve nav izdevusies, tāpēc nepieciešams vēlreiz apstiprināt darbību ar kodu.
Lai sevi pasargātu nepieciešams vienmēr izvērtēt īsziņas saturu un sūtītāja identitāti. Jāņem vērā, ka bankas un valsts iestādes nekad nelūdz ievadīt personas vai maksājuma kartes datus, vai citu sensitīvu informāciju. Jebkādu negaidītu informāciju ieteicams pārbaudīt, pašam atrodot un atverot attiecīgās iestādes oficiālo mājaslapu, vislabāk manuāli ierakstot vietnes adresi, vai sazinoties ar klientu apkalpošanas centru. Krāpnieku pieejas mainās, bet piesardzība paliek nemainīga vērtība. Pat šķietami nekaitīga īsziņa var būt solis ceļā uz nozīmīgiem finansiāliem zaudējumiem, tāpēc svarīgākais ir saglabāt modrību un vienmēr rūpīgi pārbaudīt informācijas patiesumu.
Pasargā sevi no dažādām krāpšanas shēmām