Tokios mūsų klaidos – duoklė internetiniams sukčiams: jautriausius savo duomenis paserviruojate ant lėkštutės

Pasak kito pašnekovo, Baltijos Kompiuterių Akademijos vadovo ir „Vilnius Coding School“ partnerio Jevgenij Abdulajev, dažniausiai pranešimai apie prisijungimą prie paskyros iš kito įrenginio žmones pasiekia trimis būdais: el. paštu, kuomet gaunamas laiškas, kad buvo prisijungta prie paskyros iš naujo įrenginio ar vietos; SMS žinute, ypač bankų ar socialinių tinklų atvejais; programėlės pranešimu (angl. notification) – pavyzdžiui, Google, Facebook ar banko mobilioji programėlė iškart praneša apie naują prisijungimą.

Šie pranešimai gali būti tikri, kuomet jūsų paskyrai išties iškilo pavojus, tačiau šiuo laikotarpiu itin dažnai žmones pasiekia apgavikiški pranešimai, kurių tikslas – jau visai kitas:

„Tikras pranešimas paprastai ateina iš oficialaus siuntėjo el. pašto adreso (pvz., @google.com, @seb.lt). Sukčiai dažnai naudoja panašius, bet netikrus adresus (pvz. @googlezxy.com, @sebbiz.com ir bet koks kitoks). Nors pats el. pašto adresas gali būti bet koks pvz. 134@xyz.biz ir pan., bet siuntėjo pavadinimas gali skambėti normaliai ir oficialiai, pvz. gerai žinomos įmonės pavadinimas. Didžioji klaida, kad žmonės nesigilina ir atskirai neperžiūri siuntėjo el. pašto adreso. Be to, tikruose pranešimuose nėra gramatikos ar rašybos klaidų, kurios dažnai sutinkamos apgavikiškuose laiškuose.

Oficialūs pranešimai dažniausiai tik informuoja, bet neprašo spausti nuorodų ar suvesti slaptažodžio. O štai sukčiai beveik visada prašo patvirtinti, prisijungti iš naujo ar pakeisti slaptažodį per pateiktą nuorodą. Jei kyla abejonių, svarbu nespausti nuorodų pranešime, o prisijungti prie paskyros ar banko tiesiogiai per oficialią svetainę arba programėlę ir pasitikrinti, ar iš tiesų buvo naujas prisijungimas“, – svarbiausius ženklus, kaip atskirti melagingą pranešimą nuo tikro, vardija J. Abdulajev.

Siekiama pasipelnyti, o neapdairumas tam tik padeda

D. Povilaičio teigimu, patikėję melagingu pranešimu apie įsilaužėlių prisijungimą prie paskyros, žmonės ne tik įveda savo kredencialus, bet dar ir patvirtina su antru faktoriumi. „Reiktų labai atidžiai pasižiūrėti į tą laišką ar pranešimą. Jokiu būdu nespaudyti jokių nuorodų laiške, o naujame naršyklės lange eiti į savo pašto paskyrą ir pasižiūrėti, kokie prisijungimai ir iš kur buvo prie jūsų paskyros. Kaip tai padaryti pas kiekvieną el. pašto paslaugos tiekėją – reikėtų žiūrėti pas tiekėją pateikiamoje informacijoje“, – sako „Telia“ kibernetinio saugumo ekspertas.

J. Abdulajev tikina, kad melagingi pranešimai beveik visada siekia išvilioti prisijungimo duomenis, vienkartinius kodus arba priversti paspausti kenkėjišką nuorodą. Visų šių veiksmų esminis interesas dažniausiai yra pinigai arba svarbių duomenų nutekinimas, kuriuos po to galima panaudoti įvairiais neteisėtais tikslai siekiant naudos, vėlgi, dažnai piniginės. „Vienas svarbiausių aspektų yra jūsų sąmoningumas, jūs geriausiai žinote, kur jungėtės ir kur nesijungėte. Todėl visų pirma neskubėkite daryti veiksmų ir ramiai pagalvokite, ar patys ką tik kur nors nesijungėte ar ko nors nekeitėte. Taip pat svarbu nespausti jokių įtartinų ir netikėtų nuorodų, niekam neatskleisti slaptažodžių ir viską tikrinti tik oficialiose svetainėse ar programėlėse“.

Jei pranešimas apie prisijungimą prie asmeninės paskyros visgi atrodo tikras, J. Abdulajev siūlo nepulti į paniką ir įvertinti kelis dalykus. Neretai pasitaiko, kad pats vartotojas jungiasi prie savo paskyros pvz. iš naujo telefono ar darbo kompiuterio ir gavęs pranešimą suglumsta. Šiuo atveju nieko daryti nereikia. Jei visgi prisijungėte tikrai ne jūs – pirmiausia, anot pašnekovo, turite nedelsdami pakeisti paskyros slaptažodį. Taip pat atsijunkite iš visų įrenginių (daugelyje paskyrų yra funkcija „Log out of all devices“ arba „Atsijungti nuo visų įrenginių“). Patikrinkite, ar paskyroje nebuvo pakeisti saugumo nustatymai pvz., atkūrimo el. paštas, telefono numeris. Jei įtariate įsilaužimą pvz., matote veiksmus, kurių nedarėte – susisiekite su paslaugos teikėjo klientų aptarnavimo skyriumi, jei tai banko ar mokėjimų sistema – kuo greičiau informuokite banką.

 

Dažniausios mūsų pačių klaidos: vardija, ko jokiu būdu nedaryti

J. Abdulajev teigimu, dėl paliktų atvirų kelių į mūsų asmenines paskyras neretai esame patys kalti. Pirmiausia, itin paprasta „nulaužti“ paskyrą, jei pasirinktas silpnas ar lengvai atspėjamas slaptažodis kaip 123456, gimimo data, vardai. Ne mažesnė klaida yra ir slaptažodžių pakartotinis naudojimas – jei viena svetainė nutekina duomenis, tas pats slaptažodis veikia ir kitose paskyrose. Su paskyrų nulaužimais dažniau susiduria ir tie, kurie atsisako naudoti papildomas saugumo priemones, pvz. dviejų faktorių autentifikaciją (2FA). Jei įsilaužėlis sužino slaptažodį – be papildomo patvirtinimo (pvz., SMS ar autentifikatoriaus) jis lengvai gali prisijungti prie paskyros.

„Be to, žmonės neretai spaudžia nuorodas apgavikiškuose el. laiškuose ar SMS žinutėse ir patys pateikia savo duomenis sukčiams. Dažna klaida yra ir viešo ar nesaugaus Wi-Fi naudojimas. Jungiantis prie viešųjų tinklų pvz. traukinių stotyse, prekybos centruose, oro uostuose ir kitur jūsų duomenys gali būti nutekinti. Jei prisijungus prie interneto matote užrašą „Unsecured network“ – nuo tokio tinklo reikėtų iš karto atsijungti. Įsilaužimo rizika didėja ir neatnaujinus kompiuterio ar telefono operacinės sistemos – pasenusios operacinės sistemos ar naršyklės yra itin pažeidžiamos kenkėjiškų programų ar veiksmų. Žinoma, neatsargi, bet daug kainuojanti klaida gali būti ir palikti prisijungimai bendro naudojimo įrenginiuose, kad ir bibliotekoje – tokiu būdu bet kas prisijungęs gali pasinaudoti jūsų paskyromis ir duomenimis“, – perspėja ekspertas.

Antrina ir D. Povilaitis: „Pirmiausia, patartina visada naudoti antrą faktorių prisijungimui prie el.pašto. El. pašto slaptažodis turi būti unikalus ir niekur kitur nenaudojamas – t.y. einant apsipirkti į e.parduotuvę nenaudokite ten el. pašto slaptažodžio. Jeigu prie kokios nors paslaugos jungiatės pasinaudodami savo el. pašto tiekėjo identifikacija – pvz. per Gmail – būtinai atkreipkite dėmesį, kokias teises suteikiate trečiajai šaliai“.

 

Saugus slaptažodis: egzistuoja kelios pagrindinės taisyklės

Kaip susikurti saugų, bet kartu ne per daug komplikuotą slaptažodį? Juk aiškiai suvokiame, kad kai galva ir taip pilna rūpesčių – neįsiminsime dar ir eilės simbolių kratinių. J. Abdulajev pataria kurti bent 12 simbolių ilgumo slaptažodžius, svarbioms paskyroms — 16 ar daugiau. Slaptažodyje rekomenduotina naudotis ir didžiąsias, ir mažąsias raides, simbolius, skaičius. Kiekvienai paskyrai turėtų būti naudojamas unikalus slaptažodis.

„Tam, kad kiekvieną kartą nereikėtų galvoti naujo slaptažodžio ir jo kažkur užsirašinėti – rekomenduočiau naudoti slaptažodžių tvarkymo programėlę, pvz. Bitwarden ar kitą, alternatyvų tikrai daug, jos dažnai būna nemokamos ir įprasto vartotojo poreikius puikiai patenkina. Tokios programėlės kuria ir saugo sudėtingus bei saugius slaptažodžius. Nepatartina naudoti paprastų žodžių: katinas, namas, savo pavardės, paprastų skaičių sekų pvz. 1234 ir pan., nenaudoti vieno slaptažodžio visoms paskyroms, o keičiant slaptažodį nenaudoti nuspėjamo, tarkime iš Ona2025 į Ona2026“, – svarbiausiomis taisyklėmis dalinasi pašnekovas.

Šis turinys yra projekto „Faktų galia“ dalis.
Tai informacinis-edukacinis projektas, stiprinantis visuomenės medijų raštingumą – aiškinantis žurnalistikos misiją, skatinantis pasitikėjimą patikimais informacijos šaltiniais, padedantis atpažinti dezinformaciją bei analizuojantis priklausomybių poveikį žmogui ir visuomenei.
Projektą iš dalies finansuoja Medijų rėmimo fondas.

Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį. Daugiau informacijos Taisyklėse ir info@delfi.lt

„Delfi“ – tarptautinės Žurnalistikos patikimumo iniciatyvos programos sertifikuota žiniasklaidos priemonė.