Duomenų vagystės būdai

Duomenų vagystė „phishing“ (angl. terminas phishing kilęs nuo žodžių password fishing – slaptažodžių žvejyba) – tai tokia sukčiavimo forma prieš organizacijas ar privačius asmenis, kai pasinaudojant nepageidaujamomis elektroninio pašto žinutėmis ar falsifikuotais internetiniais tinklalapiais siekiama išgauti prisijungimo prie informacinių sistemų slaptažodžius bei kitus konfidencialius duomenis.

Dažniausiai tokio pobūdžio atakos būna nukreiptos prieš bankų klientus, siekiant sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis. Vėliau tokiu būdu gauta informacija gali būti panaudota vykdant nusikalstamas veikas: neteisėtus prisijungimus prie informacinių sistemų, pinigų vagystes iš sąskaitų ar elektroninėje erdvėje atsiskaitant už prekes svetimomis kortelėmis.

Duomenų vagystė vykdoma dviem pagrindiniais būdais:

  1. Tiesiogiai susisiekiant su asmenimis ir bandant juos apgauti, kad jie savo noru atskleistų informaciją;
  2. Naudojant specialias technologijas, kurios kopijuoja duomenis iš įvairių svetainių ar įrenginių, naudojamų naršyti internete ir (ar) naudotis nuotolinėmis paslaugomis.

Antruoju atveju sukčius apsimetinėja teisėta institucija ar įmone (pvz., valstybine ar teisėsaugos institucija, finansinių paslaugų teikėju, didelio žinomo prekės ženklo kompanija ir kt.) ir tiesiogiai kreipiasi į asmenį, prašydamas užpildyti asmens duomenis. Tas pats el. laiškas ar kitos rūšies pranešimas siunčiamas tūkstančiams asmenų, tikintis, kad kai kurie iš jų atsakys.

Į tokius pranešimus paprastai prašoma reaguoti labai greitai, pažymint, kad gali kilti nepageidaujamų neigiamų pasekmių, jei asmuo laiku neatsakys: pvz., įstaiga imsis teisinių veiksmų, gali būti pavogtos asmens banko lėšos, prizas bus skirtas kitam asmeniui ir pan.

Dažniausiai tokiuose pranešimuose gali būti kenkėjiškų nuorodų ir (ar) nuorodų į specialias svetaines, kuriose paprašoma įvesti asmeninę informaciją. Kai tik asmuo ją pateikia, duomenys tampa prieinami apgavikui.

Pažangesni sukčiai gali užvaldyti seansą, vykstantį legalioje svetainėje. Kai nieko neįtariantis asmuo prisijungia prie interneto programos, serveris savo naršyklėje nustato laikiną sesijos slapuką. Sukčiai gali pavogti tokius seanso slapukus arba pateikti asmeniui nuorodą su paruoštu seanso ID prieš vartotojui įeinant į tokią autentifikavimo sesiją. Šie veiksmai leidžia sukčiams vėliau užgrobti seansą ir panaudoti tą patį seanso ID seansui savo naršyklėje.

Elektroninėse parduotuvėse ar kitose svetainėse taip pat gali būti naudojami sukčiavimo metodai. Kad tokios svetainės būtų labiau pastebimos, sukčiai vilioja mažomis kainomis, greitu prekių pristatymu ar kitokia nauda. Norint pasiekti tikslinę auditoriją ir nukreipti ją į tokias svetaines, naudojamos įvairios paieškos sistemos. Kai tikslinis asmuo bando registruoti ar pirkti prekes tokiose svetainėse, jo duomenys pavagiami.

Sukčiai gali pasinaudoti esamomis legaliomis svetainėmis, pakeisdami jų IP adresą, kad jis nukreiptų į netikrą svetainę.

Nuorodų ar kitų nuorodų siuntimas į failus, užkrėstus tam tikrais virusais, taip pat yra labai populiari technika. Tokie failai užkrečia kompiuterius ar kitus įrenginius ir gali būti užprogramuoti prašyti iš naujo įvesti slaptažodžius ar kitus prisijungimo duomenis, kai jungiamasi prie internetinės bankininkystės ar kitų nuotolinių paslaugų – taip prisijungimo informacija perduodama sukčiams.

Pirma, svarbu suprasti ir žinoti, kad sukčiavimas ir duomenų vagystės gali įvykti bet kur, bet kokia forma ir bet kuriuo metu, tad privalu išlikti budriam ir dėmesingam.

Antra, imkitės atsargumo priemonių, kad jūsų naudojami įrenginiai būtų saugūs:

  1. Naudokite įrankius ir programinę įrangą, kuri padeda apsaugoti kompiuterį ar kitą įrenginį (antivirusinės programos ir kt.). Šiuos įrankius ar programinę įrangą siųskitės tik iš oficialių ir patikimų šaltinių, juos laiku atnaujinkite;
  2. Venkite lankytis neaiškiose ir nepatikimose svetainėse, registruotis ar siųstis failus iš tokių svetainių. Jose gali būti nuorodų ar failų, užkrečiančių kompiuterį ar kitą įrenginį virusais, kurie renka asmeninius duomenis.
  3. Pasinaudoję asmenine paskyra, atsijunkite nuo jos ir užverkite naršyklės langą.
  4. Pasirinkite saugius ir patikimus slaptažodžius, susidedančius iš skaičių, raidžių ir kitų simbolių. Nenaudokite lengvai atspėjamų slaptažodžių (pvz., 12345, tik savo vardo ar pavardės arba gimimo datos). Jei turite kelias skirtingas paskyras, visada naudokite skirtingus slaptažodžius.
  5. Kurdami paskyras ar el. pašto adresus, rinkitės tuos paslaugų teikėjus, kurie naudoja dviejų veiksnių autentifikavimo sistemas (pvz., slaptažodį ir telefono numerį).
  6. Saugokitė tokių įprastų klastočių internete, kurios imituoja:
    a) el. pašto paslaugą teikiančius tinklalapius (gmail.com, yahoo.com, hotmail.com ir kt.);
    b) socialinius tinklalapius (facebook.com, vk.com);
    c) itin populiarią užsienyje el. mokėjimų sistema „Paypal“ (paypal.com);
    d) kitas populiarias interneto svetaines.
  7. Nespauskite įtartinų ar neaiškių nuorodų, gautų su elektroniniais laiškais ar rastų įtartino turinio tinklalapiuose.
  8. Prieš įvesdami savo asmeninius duomenis internetinėse svetainėse, visada įsitikinkite, kad svetainė nėra suklastota. Būtina atkreipti dėmesį į domeno vardą bei puslapyje esančių nuorodų adresus. El. bankininkystės sistemos visada naudoja saugų SSL ryšio protokolą, adreso pradžioje būtinai yra https, ir galima patikrinti svetainės sertifikatą. Suklastotų svetainių adreso pradžia beveik visada būna http(be s).

Trečia, atkreipkite dėmesį, kad oficialios institucijos ir paslaugų įmonės (pvz., bankai ar kiti finansinių paslaugų teikėjai) neprašo savo klientų atskleisti prisijungimo slaptažodžių ar suteikti jiems kokių nors įgaliojimų. Tokia informacija yra asmeninė ir ją leidžiama žinoti tik pačiam asmeniui. Jei tokia informacija tampa žinoma tretiesiems asmenims, reikia nedelsdami informuoti paslaugų teikėjus ir pakeisti savo slaptažodžius ar kitus nustatymus.

Ketvirta, jei gaunate prašymą suteikti neskelbtinos informacijos, atkreipkite dėmesį į šias aplinkybes:

  1. Siuntėjo adresas. Patikrinkite, ar įstaigos/įmonės informacija, pateikiama el. pašto ar kituose pranešimuose, atitinka duomenis, paskelbtus jų oficialiose svetainėse ar kituose viešuose šaltiniuose. Įstaigos/įmonės paprastai naudoja vardines pašto dėžutes, o ne viešai prieinamas bendrąsias pašto dėžutes, tokias kaip @gmail.com, @ yahoo.com ir pan.
  2. Teksto kokybė ir turinys. Apgaulinguose el. laiškuose ar pranešimuose dažnai būna rašybos ar stiliaus klaidų. Tekstas gali būti išverstas pažodžiui, nesilaikant tos kalbos taisyklių (naudojant viešai prieinamas vertimo programas). Tekste taip pat gali būti vartojama buitinė kalba, netikslūs įstaigų ar įmonių pavadinimai ar teisinės formos (pvz., valstybės institucija gali būti vadinama įmone). Priežastys ar kitos susisiekimo su jumis aplinkybės gali būti aprašytos taip, kad panorėjus jas būtų galima pritaikyti bet kokiai situacijai: pvz., policijos departamentas tariamai praneša, esą jūsų prisijungimo prie banko tarnybų duomenys buvo pavogti, todėl turite nedelsdami juos pakeisti, bet net neįvardija banko.
  3. Pateikiamos nuorodos. Apgaulingose nuorodose dažnai yra numerių serija arba nepažįstami interneto adresai. Jei nesate tikri, kad nuoroda teisėta, nespustelėkite jos.
  4. Tikimybė gauti užklausą ar pasiūlymą. Turėtumėte įvertinti, ar galėjote tikėtis tokio laiško ir ar jis atitinka tikrus faktus bei įprastą praktiką. Pvz., gaunate el. laišką, kad laimėjote loterijoje, nors nedalyvavote jokioje loterijoje; gaunate pranešimą iš tariamai jūsų banko, nors bankas niekada nesiunčia pranešimų, nes esate jų atsisakę.

Jei kyla abejonių dėl gauto el. laiško ar pranešimo, susisiekite su institucija ar įmone, kuri tariamai į jus kreipėsi, naudodami kontaktinę informaciją, viešai skelbiamą jos oficialioje svetainėje ar kitame patikimame šaltinyje.