Pastaraisiais metais skaitmeniniai įrenginiai ir informacinės sistemos vis dažniau tampa patrauklios kibernetiniams nusikaltėliams. Nusikaltėliai dažniausiai pasitelkia nebrangias ir specifinių žinių nereikalaujančias priemones, todėl tokias sukčiavimo atakas gali patirti kiekvienas. Ypač sukčiai gali naudotis įvairiais aktualiais įvykiais, kaip pavyzdžiui, COVID-19 pandemija. Sukčiai gali pasinaudoti sukelta panika, o tai gali lemti, kad žmonės elgsis impulsyviau negu normaliomis sąlygomis, ir jie lengviau „užkibs ant sukčių kabliukų“.
FBI ataskaita (2021 m.) skelbia apie pasaulyje kasmet vis augantį kibernetinių nusikaltimų skaičių, kuris sparčiai padidėjo COVID-19 pandemijos metu: 2020 m. kibernetinių nusikaltimų skaičius padidėjo 41 %, o tai yra 15 % daugiau palyginus su ankstesniais metais. Viena iš kibernetinių nusikaltimų pasekmių – finansiniai nuostoliai, kurie taip pat kasmet auga.
2021 m. pirmąjį ketvirtį beveik 25 % sukčiavimo atakų visame pasaulyje buvo nukreiptos į finansų įstaigas. 24 % atakų teko socialinei žiniasklaidai, todėl šios dvi pramonės šakos šiuo laikotarpiu buvo didžiausi sukčiavimo taikiniai. Tačiau kitos pramonės šakos taip pat buvo pakankamai atakuojamos (Statista).
Lietuvos bankų asociacijos duomenimis, kibernetiniai sukčiai šiemet iš Lietuvos gyventojų jau išviliojo 8 milijonus eurų, t. y. beveik nei du kartus daugiau palyginus su 12 mėn. praeitų metų.
Kibernetiniai nusikaltėliai to pasiekė naudodami socialinės inžinerijos būdus: siuntinėdami apgaulingus el. laiškus ar žinutes, klastodami sąskaitas, skambindami ir apsimesdami pareigūnais ar investicinių bendrovių darbuotojais ir pan. Taip apgaule patikėję asmenys patenka į kibernetinių sukčių parengtas finansines schemas ir patiria nemažai finansinių nuostolių.
Pagal grėsmių pobūdį Einisa ataskaitoje išskiriamos aštuonios grėsmių grupės, įskaitant kenkėjiškas, išpirkos reikalaujančias programas, su el. paštu susijusias grėsmes, netikras naujienas ir kita, o socialinės inžinerijos atakų technikos ir sukčiavimas (angl. „phishing“) išlieka kaip labiausiai naudojamos priemonės. Žinoma, viena pagrindinių kibernetinių nusikaltėlių motyvacijų – pinigų gavimas.
Terminas „phishing“ anglų kalboje skamba panašiai, kaip žvejojimas, kuomet žvejys naudoja masalą žuviai pagauti. Kaip ir realiame pasaulyje, kibernetiniai sukčiai aukoms siūlo masalus, tikėdamiesi įtraukti į apgaulingą investavimą internetu, gauti asmeninę ar konfidencialią informaciją.
Kodėl žmonės pasiduoda manipuliacijoms?
Ant sukčių kabliuko užkimba ir išsilavinę, aukštas pareigas užimantys asmenys, taip pat sukčių auka gali tapti bet kuris iš mūsų.
Šiais metais penkiose Europos šalyse apie sukčiavimo atakas buvo vykdyta apklausa, kurioje dalyvavo daugiau nei 500 dalyvių, įskaitant studentus, darbuotojus, verslo atstovus.
Dalyviai ne tik atsakinėjo į klausimus apie jų patirtį, susijusią su sukčiavimu, tačiau jiems buvo pateikiami el. laiškų pavyzdžiai, SMS žinutės, ir respondentai turėjo atpažinti, kurie iš pateiktų pavyzdžių yra sukčiavimo atvejai, taip pat iš sąrašo parinkti požymius, pagal kuriuos nustatė, kad tai sukčiavimo atvejis.
Atlikto tyrimo rezultatai rodo, kad nors 74 % respondentų niekada nedalyvavo jokiuose kibernetinio saugumo mokymuose, seminaruose ar studijose, daugiau nei pusė respondentų (54 %) šia tema domėjosi savarankiškai (skaitė straipsnį, žiūrėjo vaizdo įrašus ir pan.) ir yra motyvuoti sužinoti daugiau.
Šie rezultatai reiškia gana didelį susidomėjimą kibernetinio saugumo tema, nes žmonės turi motyvacijos patys gilinti savo žinias bei įgūdžius, tačiau ši sritis turėtų susilaukti dar daugiau dėmesio – tyrimas taip pat atskleidė, kad maždaug viena trečioji atsakiusiųjų tik kartais geba įvertinti galimas pasekmes ir padaryti tinkamas išvadas.
Atlikus tyrimą buvo pastebėta, kad kas penktas apklausoje dalyvavęs asmuo yra nukentėjęs nuo sukčiavimo atakų. Buvo išsiaiškinta ir tai, kad dažniausiai į tokias pinkles papuola smalsesni, skubantys, išsiblaškę ar apie kibernetines atakas nežinantys asmenys.
Kibernetinės atakos asmenims ir organizacijoms paprastai sukelia finansinių nuostolių ar kitokios žalos. Tačiau tyrimo rezultatai rodo, kad šias pasekmes dalis respondentų vertina skeptiškai, ir nemano, kad patekus į sukčiavimo pinkles įvyksta asmeninės ar verslo informacijos ir lėšų vagystės. Didžioji dalis apklaustųjų mano, kad intelektinės nuosavybės praradimo tikimybė yra nedidelė. Vis dėlto pastaruoju metu vykstančios kibernetinės atakos ir incidentai rodo, kad organizacijos patiria nuostolių, o kartais tie nuostoliai yra didžiuliai.
Apklausos metu paklausėme žmonių, kodėl jie pasiduoda apgavystėms? Kibernetinių sukčių srityje dirbantys mokslininkai jau yra identifikavę technikas, kurias sukčiai naudoja siekdami įtikinti auką atlikti kokius nors jiems naudingus veiksmus. Pavyzdžiui, jie naudojasi žmonių įpročiais, autoritetais, jausmais, silpnybėmis, baimėmis, emocijomis, paslaugumu, kad apeitų įvairius saugumo mechanizmus, kad atskleistų jiems naudingą ar konfidencialią informaciją, kad gautų prieigą prie informacinių sistemų ar tinklo arba kad paskatintų daryti tai, ko paprastai nedarytumėte. Sukčiai savo aukoms siekia nesuteikti laiko mąstyti ir analizuoti, nes auka galėtų suprasti apie manipuliaciją.
Tyrime dalyvavę respondentai nurodė technikas, kurios juos galimai „užkabintų ant sukčių kabliuko“ – tai autoritetas ir simpatijos. 34 % dalyvių nurodė, kad jei jie gautų el. laiškus ar žinutes iš valstybinių institucijų, bankų ar aukščiausio lygio vadovų, jie pasitikėtų tokiomis žinutėmis ir galimai įvykdytų nurodytus prašymus. Taip pat žmonės yra linkę pasitikėti kolegomis, todėl jie atsakytų į prašymą iš savo kolegų ar vadovų, net jei tas prašymas skambėtų neįprastai.
Taigi, remiantis apklausos rezultatais, jau dabar rengiama mokymo medžiaga. Taip pat planuojama sukurti internetinio žaidimo scenarijais pagrįstą priemonę, skirtą mokymų kursų dalyviams atpažinti sukčiavimo atakas ir ugdyti kritinį mąstymą.
Naudojant šiuos rezultatus tikimasi išplėsti vartotojų kompetencijas ir padėti jiems apsisaugoti nuo sukčiavimo atakų, dažniau atpažinti kibernetines grėsmes, išmokti imtis tinkamų prevencijos priemonių bei tinkamai reaguoti įvykus tokiai atakai. Plačiau apie vykdomą projektą https://cyberphish.eu.
Kodėl svarbu tobulintis kibernetinio saugumo srityje?
Pastaruoju metu netrūksta realių „sėkmingai įvykdytų“ socialinės inžinerijos atakų pavyzdžių: tiek didelės, tiek mažos organizacijos po kibernetinių atakų patiria didžiulių nuostolių.
Norėdamos pasirengti tokiems iššūkiams, organizacijos turėtų imtis nuoseklių ir kompleksiškų priemonių, t. y. organizacijos viduje įdiegti kibernetinio saugumo kultūrą ir jos laikytis, o vadovai ir atsakingi asmenys turi nuolat domėtis kibernetinio pasaulio tendencijomis ir tiek specialistai, tiek kiekvienas darbuotojas turi gebėti atpažinti atakas ir atitinkamai reaguoti.
Kadangi kibernetinių sukčių auka gali tapti kiekvienas, darbuotojai ir eiliniai gyventojai turėtų kritiškai vertinti gaunamus elektroninius laiškus ar žinutes iš nepažįstamų, neatidarinėti tokiose žinutėse pateikiamų nuorodų ar prisegtų priedų ir nuolat domėtis apie kibernetinį saugumą, apie kurį turi žinoti kiekvienas šiuolaikinis interneto vartotojas.
