Pastarosiomis savaitėmis tūkstančius žmonių pasiekė iki šiol dar nematyti kenkėjiški el. laiškai, imituojantys Valstybinės mokesčių inspekcijos (VMI) pranešimus. Nuo įprastų duomenų išviliojimui skirtų „fišingo“ atakų jie skiriasi įtikinamesniu turiniu ir privačių asmens duomenų gausa. Ekspertai perspėja jokiu būdu nespausti laiške esančių nuorodų ir neleisti el. pašto dėžutei atvaizduoti laiško paveikslėlių, o tai netyčia padarius – imtis prevencinių saugumo veiksmų.
„Duomenų viliojimo, arba „fišingo“, atakos nėra naujas reiškinys – turbūt visi ne kartą esame gavę laišką apie neva laimėtą prizą ar būtinybę pasikeisti nulaužtą slaptažodį. Tad visiškai natūralu, jog didėjant mūsų atsparumui sukčiai ieško naujų kelių mus apgauti. Naujos kartos atakos yra kur kas labiau personalizuotos, naudojant ne tik vardą ir pavardę, bet ir asmens kodą. Nors patekus į šiuos spąstus didelės žalos galimai iškart nepatirsime, blogiausia, jog tai gali tapti vartais į kur kas pavojingesnes atakas“, – teigia bendrovės „Telia“ Skaitmeninės pažangos centro kibernetinio saugumo ekspertas Darius Povilaitis.
Apsimeta VMI
Pasak D. Povilaičio, naujojo tipo „fišingo“ laiškuose kibernetiniai aferistai prisidengia kiekvienam Lietuvos gyventojui aktualią informaciją paprastai siunčiančia VMI ir praneša apie neva atsiradusią galimybę susigrąžinti dalį sumokėtų mokesčių. Tačiau kadangi šios institucijos imitavimas yra ganėtinai įprasta taktika tarp tokio tipo atakų organizatorių, laiško autentiškumo įspūdį bandoma papildomai sustiprinti viešojoje erdvėje neskelbiamais asmeniniais duomenimis.
„Laiške išvydęs savo pavardę ir tikslų asmens kodą, žmogus gali net neįtarti sukčiavimo. Juk tokios informacijos nerasi nei „Google“ paieškoje, nei socialiniuose tinkluose. Deja, tiesa ta, kad tokią privačią informaciją sukčiai gauna įsilaužę į įvairias svetaines arba „nulaužtų“ paskyrų duomenis įsigiję „juodajame tinkle“ (angl. darknet). Panašu, jog privati niekuo dėtų lietuvių informacija naujosios atakos autorių rankose atsidūrė būtent pastaruoju būdu – gavus prieigą prie nutekintos vartotojų duomenų bazės“, – teigia specialistas.
Tokie duomenų ištekliai sukčiams atriša rankas kurti daugybę atakų scenarijų. Iš pradžių imitavę VMI, po kurio laiko jie gali sugalvoti apsimesti policija ir prašyti sumokėti baudas arba vaidinti prokurorus, reikalauti peržiūrėti informaciją apie išgalvotą bylą.
Tikslas – surinkti dar daugiau duomenų apie jus
Nekaltai atrodančiame elektroniniame laiške sukčiai įdeda nuorodą į VMI logotipo paveikslėlį, kurį dauguma elektroninio pašto dėžučių atvaizduoja pagal nutylėjimą. Savaime toks veiksmas nėra neteisėtas, nes įvairios įmonės darbuotojų elektroninių laiškų parašuose tokiu būdu taip pat rodo savo grafinius simbolius, o prekybininkai – įvairias reklamas. Tačiau sukčiams tik to ir pakanka.
„Kadangi VMI paveikslėlis ne pridėtas priede, o įdėtas išoriniame serveryje, atsiųstos nuorodos adresu „pasikreipusi“ vartotojo pašto dėžutė aferistams perduoda įvairios naudingos informacijos. Atakos organizatoriai tokiu būdu sužino aukos gyvenamą šalį, jos ryšio tiekėją, kad apskritai laiškas buvo atvertas ir kad konkretus žmogus yra labiau pažeidžiamas tokio tipo sukčiavimo schemų. Greta vardo, pavardės ir asmens kodo potencialios aukos „bylą“ papildžius šiais duomenimis, galima rengti dar rafinuotesnes atakas, turinčias dar daugiau potencialo užliūliuoti budrumą“, – schemą detalizuoja specialistas.
Pasitaiko atvejų, kai iš aukos pasipelnyti bandoma ir įprastesniu būdu. Kartu su minėtu paveikslėliu laiške dažnai pridedamos nuorodos arba QR kodai, vedantys į VMI sistemas imituojančius puslapius. Vartotojas raginamas juos atverti ir identifikuotis su savo elektroninės bankininkystės prisijungimo duomenimis, šie iškart patenka į nusikaltėlių rankas.
Kaip neužkibti?
Specialisto teigimu, pirmas žingsnis, gavus tokį įtartiną laišką, turėtų būti siuntėjo elektroninio pašto adreso patikrinimas. Jei prisistatoma VMI, o siuntėjo el. pašto galūnė yra @cousleyandcompany, @mosapah.sbs ar bet kokia kita, o ne @vmi.lt, mūsų mintyse tą pačią sekundę turėtų užsidegti labai ryški raudona lemputė. Ji turėtų mus akimirksniu sulaikyti nuo bet kokių laiško priedų ir internetinių adresų atvėrimo.
Sukčių klastą gali išduoti ir pats laiško turinys. Duomenų viliojimo atakas dažnai rengia užsienio šalių piliečiai, todėl tekste gali būti klaidingai parinkti žodžių linksniai, sakiniai gali skambėti nenatūraliai ir atrodyti, lyg būtų išversti iš kitos kalbos. Taip pat svarbu įsidėmėti, kad valstybinės institucijos niekada nesiunčia laiškų su mūsų asmens kodu ar tiksliomis mokesčių permokų / skolų sumomis. Norint pasitikrinti su tuo susijusią informaciją, geriausia tai daryti jungiantis per oficialius įstaigų interneto puslapius, o ne naudojant laiškuose pateiktas nuorodas.
„Atakų prevencijai elektroninio pašto dėžutės nustatymuose reikėtų išjungti automatinį paveikslėlių atvaizdavimą ir aktyvuoti kaskart mūsų leidimo tam prašančią parinktį – „Ask before displaying external images“. Papildomo saugumo pašto dėžutei suteiks ir dviejų žingsnių autentifikavimo funkcijos įjungimas. O tam, kad „fišingo“ laiško gavimo atveju galėtume atsekti mūsų duomenis nutekinusį šaltinį, kuriant paskyrą įvairiose svetainėse savo el. pašto adrese prieš simbolį „@“ reikėtų įrašyti ženklą „+“ ir tos svetainės pavadinimą, pavyzdžiui, vardenis.pavardenis+imone@gmail.com“, – pataria D. Povilaitis.