Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti įmonės kultūra – visa tai svarbu ruošiantis įvairiems išorės pavojams, internetinių sukčių atakos – ne išimtis. Artėjant metų pabaigai, kai versle gausiau peržiūrimos visų metų sąskaitos ir tikrinami balansai, internetiniai sukčiai suaktyvėja ir dar plačiau meta savo tinklus.  O tapti fišingo (angl. phishing – sukčiavimas elektroninėje erdvėje) auka šiandien gali bet kuris verslas, nepriklausomai nuo įmonės ir turimo kapitalo dydžio.

Vien per 9 šių metų mėnesius Lietuvoje elektroninėje erdvėje fiksuota beveik 2.400 sukčiavimo incidentų, o lietuvių patirti nuostoliai dėl sukčių jau siekia apie 8 mln. Eur, rodo Lietuvos bankų asociacijos duomenys. Palyginti su praėjusiais metais tiek incidentų skaičius, tiek ir patirtų nuostolių sumos išaugo kartais. Renata Karpavičė, Šiaulių banko atitikties vadovė, pažymi, kad per pandemiją sukčiai itin suaktyvėjo, o artėjant metų pabaigai ši statistika, deja, taps dar liūdnesne, nes būtent dabar sukčiams prasidėjo pats darbymetis.

„Dabar yra tas laikas, kai peržiūrimos sąskaitos ir sukčiams tai yra pats sezonas. Jie puikiai išnaudoja šią galimybę“, – pažymi R. Karpavičė. Pasak jos, technologiškai sukčiai tampa vis išmanesni, sugeba labai tikroviškai įsiterpti į organizacijų el. susirašinėjimų lauką ar SMS pokalbių srautą, siunčia tobuliau sukonstruotas žinutes, itin dažnai prisidengia patikimų organizacijų – bankų, telekomunikacijų bendrovių, net Lietuvos pašto ar Valstybinės mokesčių inspekcijos – vardais.

„Organizacijos šiandien aktyviai stiprina technologinius sprendimus, siekdamos apsisaugoti nuo išorės grėsmių. Bet sukčiai neapsiriboja viena kryptimi. Jie ne tik bando technologiniais būdais įsilaužti, perimti duomenis, užimti sąskaitas ar kompiuterinę techniką, bet lygiai taip pat dirba su psichologija, išnaudoja žmogiškąjį faktorių. Pandemijos laikotarpis atveria ypač jautrias organizacijų kultūros spragas, kuriomis skubama pasinaudoti“, – perspėja R. Karpavičė.

Įmonės tampa ir vis labiau atviros, internete galima rasti itin daug duomenų apie kiekvieną organizaciją, jos darbuotojus, jų pareigybes, kontaktus. Visa tai – taip pat atveria kelius ieškoti silpnų grandžių ir jomis pasinaudoti. Todėl visoms organizacijoms, nepriklausomai nuo dydžio ar veiklos profilio, verta būti budrioms ir galimoms sukčių atakoms pasiruošti.

„Pasiruošti tokioms grėsmės galima taip, kaip ruošiamasi gaisro pavojams. Reikia pratybų, aiškių  procedūrų, algoritmų, nusimatyti atsakomybes, susitikimo zoną krizės atveju ir pan. Visa tai turi pritaikyta internetinėms išorės grėsmėms valdyti. Jei kiekviena įmonė pas save turėtų aiškias vidines procedūras ir joms skirtų pakankamai dėmesio, nuostolių dėl sumanipuliuotų sąskaitos duomenų, melagingų neva kliento laiškų ir kitų panašių atvejų būtų kur kas mažiau nei dabar“, – sako R. Karpavičė.

Pasak jos, kiekvienai organizacijai naudinga būtų atlikti kibernetinį auditą, kuris parodytų rizikas, silpnas vietas. Tai padėtų tiksliau sudaryti planą, kokių procesų ar technologinių įrankių reikia saugumui.  Įvardijus rizikas, paprasčiau nusimatyti procesus, kaip elgtis ir reaguoti skirtingose situacijose. Net toks atvejis, kai įmonė gauna neįprastą laišką iš klientų, pasak pašnekovės, turi turėti savo procesą.

„Pavyzdžiui, jei iš nuolatinio verslo partnerio netikėtai gaunate žinutę, kad pas juos vyksta auditas, sąskaitos įšaldytos, tad prašoma padaryti įprastą pavedimą į kitos šalies sąskaitą, tai – akivaizdus signalas, kažkas ne taip. Ir, vis dėlto, tokie laiškai yra kone sukčiavimo klasika. Ką tokiu atveju daryti? Pirmiausia, negalima pasitikėti vienu komunikacijos kanalu. Reikia susisiekti su verslo partneriu bent jau telefonu, ir išsiaiškinti, ar tokia žinutė tikrai buvo siųsta, ar tikrai yra priežasčių keisti įprastą tvarką“, – pataria R. Karpavičė.

Visiems skubiems mokėjimams, apskritai,  svarbu numatyti papildomą patvirtinimo procesą, kad kanalai, kuriais gaunamas mokėjimo nurodymas, ir kanalas, kuriuo jį patvirtiname, skirtųsi. Būtent sukurta skubos atmosfera sukčiams dažnai padeda pasiekti tikslą. Apsisaugojimui, pasak R. Karpavičės, taip pat labai svarbu puoselėti įmonės kultūrą, kurioje būtų skatinamas kritinis mąstymas. Jei darbuotojas, pastebėjęs kažką netinkamo, netipiško, nesuskumba apie tai kalbėti, kelti klausimų, bet tik aklai vykdo nurodymus, rizikų pakibti ant sukčių kabliuko yra daugiau.

„Gana dažnai ne tik Lietuvoje, bet visur pasaulyje dar galvojama, kad tik kvaili ar neišmanėliai pakliūva į sukčių schemas. Bet svarbu suvokti, kad sukčiai neieško neišmanėlių, jie dirba daug ir aktyviai būtent tam, kad mus pasiektų“, – sako pašnekovė.

Dar viena klaidinga mintis – kad jūsų organizacija galbūt yra maža ir neįdomi.  Didelei suktybei kartais tikrai taikomasi į konkrečias dideles įmones, bet fišingo auka gali tapti bet kuri organizacija, nepriklausomai nuo turimų pinigų kiekio ar įmonės dydžio.

Tarp įprastų sukčiavimo būdų dažnai sutinkamos melagingos žinutės iš bankų, telekomunikacijos bendrovių ar kitų patikimų paslaugų tiekėjų. Pasak R. Karpavičės, gaunant žinutes iš paslaugų teikėjų svarbu atsiminti kelis niuansus. Pirma – nei bankai, nei institucijos nesiunčia prisegtų dokumentų ar keistų nuorodų, kurias skubiai reikėtų spausti tiesiai SMS pokalbio lauke. Į visas gaunamas nuorodas ar prisegtus dokumentus reikia žiūrėti įtariai, įvertinti, ar tokio laiško buvo laukta, ar jis įprastas. Jei ne, pirmiausia kitu kanalu, pavyzdžiui, paskambinus oficialiu telefono numeriu, verta patikrinti, ar tikrai minėta institucija kažką siuntė.

„Kartais atskirti sukčius padeda ir akylumas. Dažnai sukčiavimo atveju siuntėjo adrese galima pamatyti mažus neatitikimus, gramatinius netikslumus. Pavyzdžiui, vietoj i rašoma l ar 1. Sukčiai dažnai naudojasi vertimo programomis, todėl ir jų tekstuose būna gramatinių ar skyrybos klaidų. Tai – dar vienas galimas ženklas, kad žinutę jums siunčia kenkėjiškų tikslų turintys fišeriai”, – sako R. Karpavičė.

Tokie pavyzdžiai – jau yra klasikiniai ir daug kam žinomi, tačiau vis dar labai veiksmingi. O štai ruošiantis ateičiai, pasak Karpavičės, verslui verta pasidomėti ir naujausiais sukčių būdais. Štai pernai fiksuotas pirmas atvejis, kai naudojantis „deepfake” technologija, kuri leidžia imituoti kito žmogaus atvaizdą ar balsą, buvo imituotas CEO skambutis savo darbuotojams su nurodymu atlikti mokėjimą.

„Lietuvoje tokių atvejų dar nėra, tačiau jau labai greitai jie gali ateiti ir iki mūsų. O sukčių sėkmės priežastis šiuo atveju tokia pati, kaip ir kitais – jei įmonėje neveikia procedūros ir tokie skubūs, netipiški mokėjimai nėra papildomai tvirtinami, klasta pavyksta“, – sako R. Karpavičė.

Šiemet liepą garsiai nuskambėjo ir Švedijos prekybos centrų tinklo „Coop“ atvejis: bendrovė turėjo laikinai uždaryti apie 800 parduotuvių, nes jų subrangovai patyrė kibernetinę ataką, dėl kurios buvo paralyžiuotas kasų darbas.

„Tokiais atvejais yra atsiunčiamas kenkėjiškas kodas, kuris užkoduoja įmonės duomenis. Atakos vykdytojai dažniausiai įmonę šantažuoja, prašo išpirkos už kodą. Lietuvoje apie tokias atakas taip pat dar mažai kalbama, bet panašiems atvejams jau reikia būti pasiruošus. Išsiaiškinti, kaip ruoštis, organizacijoms padėtų būtent kibernetinis auditas“, – skirti laiko ir resursų prevencijai pataria R. Karpavičė.