Vilniuje gyvenanti D.Ramančauskaitė balandžio 17-osios vakarą namuose skaitė knygą, kai staiga gavo „Swedbank“ pranešimą į mobilųjį telefoną, kad kredito kortele atliko mokėjimą.
Nesuprasdama, kas vyksta, moteris internetinėje bankininkystėje pamatė, kad nuskaičiuota visa kredito suma, skambučiu bankui blokavo kortelę, o kitą rytą apsilankė ir „Swedbank“ skyriuje. Vėliau užpildė ir pareiškimą ePolicija.lt.
„Buvau visiškai rami, jog pinigus atgausiu, nes atrodė neįmanoma, kad nieko nedariau, o sukčiai taip ramiai mane apvogė. Nesuvedinėjau jokių kodų, mokėjimo nepatvirtinau jokiais kitais būdais.
Džiaugiuosi bent tuo, kad toje kortelėje nelaikiau asmeninių pinigų, tad nepraradau visų santaupų“, – pasakojo 39 metų D.Ramančauskaitė.
Tačiau policija įvykio tirti neskuba, nors po mėnesio rezervacijos pinigai iš moters kortelės galutinai iškeliavo tik gegužės 17 d. O banko atsakymas moteriai irgi nepaliko jokių vilčių, kad pinigus dar pavyks atgauti.
Atsakomybės neprisiima
„Swedbank“ vilnietei atsiuntė tokį atsakymą: „Kreipėtės į banką nurodydama, kad neatlikote pretenzijoje nurodytos operacijos. Bet ji buvo atlikta dėl labai didelio neatsargumo iki kortelės blokavimo. Neatsargumas pasireiškė tuo, kad šios operacijos autorizavimo metu jūsų, kaip mokėtojos, tapatybė buvo patvirtinta sustiprinto tapatybės nustatymo būdu, t.y. panaudojant „Apple Pay“ išmanųjį atsiskaitymo būdą, įdiegtą trečiųjų asmenų valdomame išmaniajame įrenginyje.
Tokią galimybę tie asmenys galėjo gauti tik dėl to, kad perdavėte tretiesiems asmenims ne tik kortelės duomenis (vardą, pavardę, kortelės numerį, CVV kodą), bet ir asmeniškai iš banko SMS žinute gautą vienkartinį kortelės pridėjimo prie „Apple Pay“ kodą. Šis kodas yra siunčiamas tik į jūsų pačios bankui nurodytą telefono numerį.
Jei tretieji asmenys pasinaudojo tokia galimybe, tai tik todėl, kad nesilaikėte mokėjimo priemonių išdavimo bei naudojimo sąlygų, taip pat neužtikrinote personalizuotų jūsų duomenų saugumo.
Operacijos taip pat neturime galimybės ginčyti tarptautinių mokėjimo kortelių organizacijų nustatyta tvarka (angl. „chargeback“).
Ši tvarka nenumato galimybės ginčyti mokėjimo kortele įvykdytų operacijų kaip ne jūsų autorizuotų, jei operacijų autorizavimo procese buvo taikomas sustiprintas mokėtojo tapatybės nustatymo procesas.“
Pinigų praradimas D.Ramančauskaitei dar skaudesnis ir dėl to, kad ji nesupranta, kokiu būdu sukčiai prisijungė prie jos kredito kortelės ir ją ištuštino.
Saugi vis dar nesijaučia
– Kaip ir kada iš jūsų pavogė pinigus? – „Lietuvos rytas“ paklausė D.Ramančauskaitės.
– Naują kredito kortelę gavau tik balandžio pradžioje, tad jos duomenų kažkur internete beveik nebuvo. O balandžio 17-osios vakare gavau „Swedbank“ patvirtinimą, kad iš tos kortelės nuskaičiuota visa kredito suma – 600 eurų. Savo pinigų ten nelaikau, nes kažkodėl bijau.
Tad buvo nuskaitytas tik kreditas, o lėšų gavėjas – trumpalaikės nuomos operatoriaus „Airbnb“ dovanų kortelė. Savo kredito kortelę iš karto blokavau, o kitą dieną kreipiausi į banką, kuris nurodė pirmiausia aiškintis su „Airbnb“. Buvo sudėtinga vien rasti šios milžiniškos bendrovės kontaktus, bet net ir susisiekus atrodė, kad su manimi bendrauja robotai, nors daug kartų ir rašiau, ir kalbėjausi.
„Airbnb“ pareiškė, kad tokį mokėjimą galėtų atšaukti tik bankas. Gavau banko atsakymą raštu, kad dėl vagystės pati esu kalta, bet iš to atsakymo man visiškai neaišku, kur įvyko klaida.
Bankas aiškina, kad aš pati suvedžiau saugumo kodus, bet negalėjau prisiminti situacijos, kada tai įvyko, nes tikrai nesuvedinėjau kodų ten, kur neturėčiau suvesti.
Tada banko atstovas telefonu paklausė, galbūt gavau kokią nors neaiškią žinutę.
Taip, gavau neva Valstybinės mokesčių inspekcijos (VMI) žinutę ir paspaudžiau nuorodą, kuri niekur nenuvedė. Bet žinutės ir pinigų nuskaičiavimo nesusiejau, nes šiuos įvykius skyrė dvi savaitės.
Bankas sako, kad, paspaudus žinutę, sukčiai galimai galėjo prisijungti prie mano telefono. Dar pamenu, kad baigėsi kino filmų ir televizijos serialų platformos „Netflix“ mano sąskaitos galiojimas, todėl reikėjo iš naujo suvesti kortelės duomenis. Suvedžiau būtent šios kortelės duomenis ir tikrai pamenu, kad manęs dar paklausė, ar tikrai noriu pridėti šią kortelę prie „Apple Pay“.
Tai patvirtinau „Smart-ID“ parašu. Spėju, kad kaip tik tada ir buvo sukurta netikra mano „Apple Pay“ piniginė, nes bankas atsiuntė kodą ir aš jį patvirtinau.
– Bet nesate dėl to įsitikinusi?
– Visa tai – tik spėlionės. Niekas man iki galo nepatvirtino, kad problema tikrai buvo neveikli neva VMI nuoroda. Bankas patvirtino, kad tai sukčiavimo atvejis, kad rado kitą elektroninę piniginę mano vardu ir ją uždarė, bet teigia, jog daugiau nieko negali padaryti.
Neva kai padariau tą „Netflix“ patvirtinimą, sukčiai susikūrė virtualią piniginę su savo atpažinimo kodais ir tada, kai jie nuskaičiavo tuos pinigus, man jau nereikėjo nieko pasirašyti.
Iki gegužės 17 d. pinigai kredito kortelėje dar nebuvo nuskaičiuoti – tik rezervuoti, bet policija mano bylos ėmėsi tik po mėnesio: atvykti į komisariatą pakvietė tada, kai pinigai jau iškeliavo iš sąskaitos.
Nors buvau tikra, kad atgausiu pinigus, nes atrodė neįtikima, jog nieko nedarydama ir jokiu kodu nepatvirtinusi mokėjimo galiu juos prarasti, dabar suprantu, kad nieko jau nepadarysiu. Beldžiuosi į visas duris, o man sako: „Ne.“
Pavyzdžiui, „Airbnb“ net nesigilino į mano situaciją – keliskart klausė, ar galime istoriją baigti.
Sakiau, kad negalime, nes situacija juk neišspręsta.
Esu užsiregistravusi „Airbnb“ platformoje, kuri nėra mano piniginė. Toje platformoje yra likusi visa mano istorija, bet joje nieko nėra.
Domėjausi, kas yra „Airbnb“ dovanų kortelė, ir, pasirodo, Lietuvos vartotojai jos net negali įsigyti. Bandžiau pažiūrėti, kaip veikia ta sistema. Ten prašoma suvesti PIN kodą. Vadinasi, galima ir blokuoti tos kortelės pirkimą, bet niekam tai neįdomu.
Bankas man atsakinėja formaliai, o policija irgi niekur neskuba.
– Ko pasimokėte iš šios istorijos?
– Pirmiausia peržiūrėjau viską, ką turiu telefone, ir kolegas paraginau tai padaryti. Mes kone visą gyvenimą esame susikėlę į telefonus, nors dabar suprantu, kad šiukštu nevalia susikelti visų banko kortelių į telefoną.
Svarbu ir nelaikyti vienoje kortelėje visų pinigų. Džiaugiuosi, kad toje kredito kortelėje nelaikiau santaupų, nes būčiau praradusi viską.
Nors bankas teigia, kad uždarė netikrą mano „Apple Pay“ sąskaitą ir dabar naudotis ta kredito kortele vėl saugu, tiesą sakant, tą kortelę dabar galėčiau išmesti, nes nenoriu jos net matyti – ji man kelia pavojų. Šią kredito kortelę turėjau tik dėl to, kad dabar daug ką perkame internetu.
Mano tėvai sakė, jog po šios situacijos net privalumas, kad jie nemoka naudotis internetu, nes mažesnė tikimybė taip prarasti pinigus.
Mano klaida, matyt, buvo ta, kad vos gavusi šią kredito kortelę įsikėliau ją į „Apple Pay“, ir kai atnaujinant „Netflix“ sąskaitą manęs paprašė tai padaryti dar kartą, turėjau susimąstyti ir to nedaryti.
Bet raudonas signalas mano galvoje neįsižiebė, nes viskas atrodė taip pat, kaip darant įprastus mokėjimus.
Visiems patariu stebėti visus kodus – juk mes taip greitai gyvename, kad dažnai net nepasižiūrime, ar kodai sutampa, ir patvirtiname automatiškai.
Mane stebina, kad bankas pripažįsta, jog tai – sukčiavimo atvejis, bet nieko padaryti negali. Juk turėtų būti kokie nors saugikliai.
Kaip suprantu, bankas mato, kad suvedžiau kažkokį kodą, kad buvo sukurta netikra piniginė, bet aš šios pamokos vis dar neišmokau, nes vis dar nesuprantu, kada konkrečiai suteikiau sukčiams prieigą prie savo kortelės.
Man ir bankas nepatvirtino, kad nuo tos žinutės viskas prasidėjo, – tiesiog paklausė, ar tokia buvo. Na, taip, buvo, bet tada jokių kodų aš nesuvedinėjau.
Gali būti, kad ir toliau su mano telefonu kažkas vyksta. Pavyzdžiui, neseniai „Smart-ID“ išmetė mokėjimo patvirtinimą, nors jokio pirkimo nedariau.
Dabar gauname daug informacijos apie tai, ko nedaryti, kad nepakliūtume į sukčių pinkles, matyt, buvau viena pirmųjų, kuri pasimovė. Bet ar policija apskritai aiškinasi sukčių schemas, kurios nuolat tobulėja? Ir, beje, kokie patarimai būtų tam žmogui, kuris iš neapdairumo paspaudė tokią nuorodą? Kaip reikėtų elgtis toliau?
Ištrūkti gali būti sunku
Kibernetinio saugumo bendrovės „Surfshark“ informacinio saugumo vadovas Aleksandras Valentijus teigė, jog išties įmanoma, kad sukčiai pinigus išviliojo žmogui nežinant, nors klaida vis tiek turėjo būti.
„Klaida buvo padaryta – tiesiog žmogus nežino, kur. Tyrimas apie kibernetinio saugumo incidentus ir įsilaužimus parodė, kad 99 proc. visų įsilaužimų pasikliaujama socialine inžinerija, kai programišius apgaudinėja žmogų ir spendžia spąstus. Vos 1 procentas yra tikri įsilaužimai, kur naudojamos technologijos, paties programišiaus žinios, o žmogaus klaidos tam nereikia.
Tačiau jei papuolei į gerus spąstus, iš jų jau gali būti sunkoka ištrūkti. Bet yra būdų, kaip apsisaugoti ir į juos nepakliūti.
O bėda ta, kad žmonės jau nebereaguoja į patarimus arba mano, kad jiems taip nenutiks.
Tačiau programišius paprastai ne įsilaužia į žmogaus sąskaitą, o prie jos prisijungia sužinojęs slaptažodžius“, – aiškino A.Valentijus.
Dar ieškos atsakymo
Policijos departamento Komunikacijos skyriaus vedėjas Ramūnas Matonis pripažino, kad greita tyrimą atliekančių pareigūnų reakcija į įvykį yra svarbi daugumos nusikalstamų veikų tyrimui, tačiau dažnu atveju tai nėra pagrindinis tyrimo sėkmės garantas.
„Kiekvienas atvejis ir situacija – unikalūs. Policija siekia į visus įvykius reaguoti kaip įmanoma greičiau ir sklandžiau, tačiau tenka pripažinti, kad gali pasitaikyti situacijų, kai dėl vienų ar kitų priežasčių reagavimas į pranešimą apie nusikalstamą veiką ar paties įvykio tyrimas užtrunka ilgiau, nei turėtų.
Šiuo konkrečiu atveju neatlikus išsamaus tyrimo tiksliai paaiškinti įvykio priežastis nėra galimybių. Iš pateiktos informacijos tikėtina, kad nukentėjusiosios mokėjimo kortelės duomenys be jos žinios buvo panaudoti „Apple Pay“ programėlėje, per kurią ir buvo atliktas mokėjimas, tačiau tik per tyrimą bus išsiaiškinta, kokiu būdu buvo įgyti nukentėjusiosios banko kortelės duomenys“, – teigė R.Matonis.
Pasak policijos atstovo, dauguma atvejų sukčiai duomenis išvilioja siųsdami įvairias žinutes, kuriose prašoma suvesti tokius duomenis siekiant atlikti tam tikrus mokėjimus, įsigyti prekes ar paslaugas ir pan. Tačiau vien kortelės duomenų siekiant aktyvuoti „Apple Pay“ nepakanka – būtinas papildomas patvirtinimas ir autentifikavimas iš kortelės naudotojo banko, nors skirtingų bankų taikomi patvirtinimo būdai gali skirtis.
„Kaip šiuo konkrečiu atveju buvo atliktas patvirtinimas, kol kas atsakyti negalime. Neatmestina ir tai, kad minima netikra VMI žinutė su šiuo atveju nesusijusi, o kortelės duomenys buvo išvilioti kitu būdu, kurio nukentėjusioji nepastebėjo ar neatsimena“, – sakė R.Matonis.
Klientus įspėja saugotis
„Swedbank“ mažmeninės bankininkystės komunikacijos vadovo Gyčio Vercinsko teigimu, pastaruoju metu šio banko saugumo ekspertai fiksuoja išaugusį sukčių atakų skaičių.
„Dažniausiai pasitelkę klasikinį sukčiavimo būdą – SMS pranešimus – sukčiai gyventojams praneša apie neva besibaigiantį internetinės bankininkystės galiojimą, VMI permokas, gautas fiktyvias siuntas ir panašiai, todėl prašo aktyvuoti kartu siunčiamą nuorodą.
Gyventojus įspėjame neaktyvuoti siunčiamų fiktyvių nuorodų ir jokiu būdu neatskleisti savo asmeninės informacijos – tai yra prisijungimo prie interneto banko duomenų, slaptažodžių, „Smart-ID“ kodų“, – teigė G.Vercinskas.
Mat atlikę sukčių prašomus veiksmus žmonės suteikia jiems prieigą prie savo sąskaitų, taip pat patvirtina sukčių suformuotus mokėjimų pavedimus ir taip rizikuoja patirti finansinių nuostolių.
„Smart-ID“ naudotojai turėtų įdėmiai skaityti, kokias operacijas tvirtina, ypač jei patys nevykdė jokių mokėjimo pavedimų.
„Sukčiams svarbu patraukti gyventojų dėmesį juos nustebinant, todėl tikimasi, kad tai pavyks padaryti siunčiant informaciją apie neva gautą permoką iš VMI, besibaigiantį internetinės bankininkystės galiojimą, nesklandumus asmeninėse klientų sąskaitose.
Net jei gautoje nuorodoje yra minima realiai egzistuojanti organizacija, tai nereiškia, kad pranešimo siuntėjas ir yra ta organizacija.
Tokiu atveju, jei gyventojai vis dėlto atskleidė savo asmeninius prisijungimo prie interneto banko duomenis, jie raginami nedelsiant informuoti savo banką ir pranešti apie sukčiavimą policijai. Tai reikšmingai padidina galimybes sustabdyti arba grąžinti atliktus mokėjimus ir nustatyti sukčiavusius asmenis“, – sakė G.Vercinskas.
Ištiria mažiau kaip pusę atvejų
Praėjusiais metais policijoje buvo užregistruotos 5309 nusikalstamos veikos, siejamos su elektronine erdve. Iš jų beveik pusę (2543) sudarė nusikalstamos veikos dėl elektroninėje erdvėje padaryto sukčiavimo. Iš viso ištiriama 38,5 proc. nusikaltimų elektroninėje erdvėje.
Lietuvos bankų asociacijos duomenimis, per 2022 m. sukčiavimo būdu iš viso buvo išviliota daugiau kaip 12 mln. eurų. Tuo pačiu laikotarpiu finansų įstaigų ir teisėsaugos pastangomis savininkams buvo grąžinta apie 5 mln. eurų.
