Kaip banko ir sukčių žinutės atsiranda viename sraute?
Lietuvos bankų asociacijos (LBA) duomenimis, nuo šių metų sausio iki balandžio pradžios LBA priklausančiuose bankuose užfiksuoti 1056 sukčiavimo atvejai. Tai dvigubai daugiau nei tuo pačiu laikotarpiu pernai.
Per šį laikotarpį iš Lietuvos gyventojų sukčiai išviliojo apie 2,1 mln. eurų, bet 802 tūkst. eurų pavyko išsaugoti: iš jų – 423 tūkst. eurų, kurie jau buvo perveti į kitą finansų įstaigą, bendradarbiaujant teisėsaugai ir bankams pavyko sugrąžinti į savininkų sąskaitas, o 379 tūkst. eurų buvo sustabdyti toje pačioje finansų įstaigoje ir po atlikto tyrimo grąžinti klientams.
Šiuo metu gyventojai ypač aktyviai atakuojami neva bankų siųstomis SMS žinutėmis, kuriose rašoma apie užblokuotas sąskaitas ar mokėjimus, būtinybę atnaujinti banko paskyrą, užkirsti kelią karantinui ir raginama paspausti nuorodą.
Kaip aiškino Lietuvos banko (LB) ekspertai, paspaudus žinutėje pateiktą nuorodą, vartotojai patenka į suklastotą tam tikro banko interneto svetainę, kurioje suveda savo prisijungimo prie banko ir asmens duomenis.
„Ginčijami ir vartotojų neautorizuoti mokėjimai įvyksta dažniausiai dėl to, kad vartotojai ne tik fiktyvioje interneto banko svetainėje suveda savo asmens ir prisijungimo prie interneto banko duomenis, kuriuos sukčiai nusavina, bet ir gavę užklausas į savo telefone įdiegtas programėles „Smart-ID“, suveda jų PIN kodus.
Vartotojai neperskaito pačios programėles „Smart-ID“ užklausos, prašančios suvesti PIN1 ar PIN2 kodus, pranešimo teksto, kuris neretai tiksliai nusako prašymo suvesti PIN kodus tikslą.
Taip nesuprasdami savo atliekamų veiksmų prasmės, vartotojai per neatsargumą patvirtina ginčijamus mokėjimus ar net naujos „Smart-ID“ paskyros jų vardu sukūrimą jau trečiųjų asmenų, t. y. sukčių, kontroliuojamame įrenginyje“, – portalui lrytas.lt nurodė LB ekspertai.
Kaip jie pastebi, neretai žmonių budrumą susilpnina tai, kad interneto banko svetainės atrodo kone lygiai taip pat, kaip tikros, o sukčių žinutės tarsi siunčiamos iš originalaus banko telefono numerio, neretai atsiduria šalia tikrojo banko žinučių. Kaip tai nutinka?
Pasak IT saugumo eksperto Manto Sasnausko, SMS standartas sukurtas jau senokai, ir tuo metu nebuvo galvojama apie ilgapirščių atakas bei kaip nuo jų apsaugoti gyventojus – todėl sukčiauti dabar paprasta.
„Vietoje numerio sukčius gali išsipirkti arba numerį, arba nusistatyti alfanumerinę seką – žodį ar skaičių (ar abiejų) seką. Taip vartotojo telefonas atvaizduoja, kad gautoji žinutė atėjo iš vieno ar kito banko, įmonės ar kitur ir priskiria prie vienos ar kitos susirašinėjimų gijos“, – kaip tikros banko ir sukčių žinutės atsiranda viename sraute, paaiškino IT ekspertas.
Jo teigimu, tokios sukčių žinutės, su nustatytu fiktyviu siuntėju, gali būti siunčiamos naudojantis net ir visiškai legaliomis paslaugomis ar programomis, kurios įprastai naudojamos reklaminėms žinutėms siųsti, taip pat jas naudoja įvairūs komerciniai subjektai: bankai, interneto paslaugų teikėjai, kavinės, degalinės ir kiti.
„Įmanoma išsipirkti kokius tik nori telefono numerius, masiškai siųsti SMS, o tai darant galima pažymėti, kad kaip siuntėjas būtų rodomas ne telefono numeris, o siuntėjo ID, kurį galima pakeisti pačiam į kokį tik nori. Niekas netikrina, į kokį pasikeitei“, – portalui lrytas.lt aiškino M.Sasnauskas.
Anot jo, vienintelis būdas apsaugoti gyventojus nuo tokio sukčiavimo – bankams apskritai nebenaudoti SMS žinučių.
Nusitaikė ir į norinčius parduoti
Šiuo metu gyventojai turi būti budrūs ir gavę pašto siuntų bendrovės vardu siunčiamas žinutes. Tuo sukčiai taip pat pasinaudoja ir praneša apie neva gautą apmokėjimą už vartotojo parduodamą prekę, kurią nori įsigyti tariamas pirkėjas.
Tokiu atvejai gyventojų kontaktai gaunami iš internetinių skelbimų svetainių ar prekybos, mainų platformų.
Tam, kad lėšos neva patektų į vartotojo sąskaitą, prašoma paspausti SMS žinutėje pateiktą nuorodą ir fiktyvioje pašto siuntų bendrovės svetainėje suvesti asmens bei mokėjimo kortelės duomenis – numerį, galiojimo datą, CVC kodą, o gavus užklausą į „Smart-ID“, suvesti PIN kodus.
„Taip vartotojai faktiškai patvirtina pačius ginčijamus mokėjimus. Tiesa, kartais tokie prašymai su aktyviomis nuorodomis į fiktyvias svetaines būna pateikiami ir per mobiliąsias pokalbių programėles, pavyzdžiui, „WhatsApp“, – nurodė LB ekspertai.
Pinigai dingsta greitai
Kaip aiškino LB atstovai, neretai nukentėjusių vartotojų mokėjimo paslaugų teikėjams net ir labai operatyviai pateikus užklausas lėšų gavėjų komerciniams bankams dažniausiai sužinoma, kad sąskaitose lėšų jau nebėra, ypač tada, kai vykdomi momentiniai mokėjimai, kurie trunka kelias ar keliolika sekundžių.
„Tačiau jei vykdomi nemomentiniai mokėjimai, komerciniai bankai negali atšaukti ar stabdyti inicijuotų mokėjimų dėl teisės aktuose įtvirtinto mokėjimo nurodymo neatšaukiamumo principo.
Tai reiškia, kad po to, kai mokėtojas duoda sutikimą atlikti mokėjimo operaciją ir komercinis bankas gauna mokėjimo nurodymą, iš esmės jau nebėra galima atšaukti mokėjimo operacijos, išskyrus jei dėl to susitariama su nukentėjusio žmogaus banku, o tam tikrais atvejais ir kai gaunamas lėšų gavėjo sutikimas.
Negavus lėšų gavėjo sutikimo pinigai galėtų būti grąžinti tik esant teisėtam tokio lėšų grąžinimo pagrindui, pavyzdžiui, teismo sprendimu“, – pasakojo pašnekovai.
Atsiskaitant mokėjimo kortelėmis taikomos ir konkrečios mokėjimo kortelių asociacijos, pavyzdžiui, „Mastercard International“, „Visa“, nustatytos mokėjimo operacijų vykdymo procedūros, kurių tiek komercinis bankas, tiek ir lėšų gavėjo mokėjimo paslaugų teikėjas privalo laikytis.
LB žiniomis, asociacijos sudaro galimybę tam tikrais atvejais užginčyti atliktas mokėjimo operacijas, bet ne stabdyti ar atšaukti jų vykdymą.
Tačiau kortelių asociacijos įprastai turi numačiusios ir papildomas lėšų grąžinimo procedūras (angl. „chargeback“). Esant tam tikroms sąlygoms, galima pasinaudoti lėšų, sumokėtų naudojantis mokėjimo kortele, grąžinimo paslauga.
„Tačiau dėl detalesnių šios procedūros taikymo sąlygų ir nuostatų mokėtojas turėtų kreiptis į kortelę išdavusį banką. Atkreipiame dėmesį, kad lėšų grąžinimo procedūros netaikomos investicijoms“, – nurodė LB.
Svarbu nepamiršti
Ekspertai dar kartą primena, kad bankai klientams niekada nesiunčia žinučių su aktyviomis nuorodomis į e. bankininkystės skiltį, taip pat nesiunčia ir sutrumpintų nuorodų.
Prie banko raginama jungtis tik atsidarius oficialią svetainę, patiems suvedus naršyklėje banko adresą.
„Būtina įsidėmėti naudojamo banko oficialios interneto svetainės adresą ir visada patikrinti naršyklėje, ar tikrai jungiamasi prie jos“, – informuoja LBA.
Naudojantis „Smart-ID“ ar mobiliuoju parašu, kaskart reikia įsitikinti, kokia operacija tvirtinama PIN kodais.
Taip pat raginama vengti naudoti viešuosius tinklus, ypač apsiperkant internetu ar prisijungiant prie savo banko paskyros.
„Supratę, kad galėjote būti apgauti, nedelsdami kreipkitės į savo mokėjimo paslaugų teikėją bei policiją ir išsamiai paaiškinkite ginčijamų mokėjimo operacijų aplinkybes“, – patarė LB.
