Kaip apsisaugoti nuo duomenų viliojimo el. paštu

Kas yra el. laiškas duomenims išvilioti?

El. laiškuose duomenims išvilioti naudojami URL adresų duomenų viliojimo metodai, kuriais siekiama, kad spustelėtumėte kenkėjišką nuorodą. Sukčiai gali jus sudominti kokiu nors pasiūlymu, išgąsdinti netikra grėsme arba apsimesti patikimu žmogumi, pavyzdžiui, šeimos nariu, ar pažįstamu paslaugos teikėju. Jie siekia, kad spustelėtumėte nuorodą, kuri atrodo saugi, bet iš tiesų veda į kenkėjišką svetainę.

Angliškas terminas „phishing“ (liet. duomenų viliojimas) yra kilęs iš žodžio „fishing“ (liet. žvejyba), nes nusikaltėliai išmeta netikrą masalą (patikimai atrodančius el. laiškus), tikėdamiesi, kad užkibsite ant kabliuko ir spustelėsite piktavališką nuorodą bei pateiksite neskelbtiną informaciją, pavyzdžiui, savo kredito kortelės duomenis, slaptažodžius ar banko sąskaitos numerį.

Kaip el. laiškais išviliojami duomenys?

El. laiške duomenims išvilioti bandoma apgauti, kad jį siunčia patikimas siuntėjas, kaip antai jūsų bankas, darbdavys, socialinių tinklų puslapis ar net draugas arba šeimos narys. Šiuose el. laiškuose dažnai yra jūsų dėmesiui atkreipti skirta žinutė, pavyzdžiui, netikras įspėjimas, kad jūsų paskyrai kilo pavojus, pasiūlymas, kurio negalima atsisakyti, arba skubios pagalbos prašymas. El. laiškai gali būti gaunami iš įvairių šaltinių, taip pat gali skirtis jų sudėtingumas. Pavyzdžiui, patyrę sukčiai paprastai taiko papildomą taktiką, kaip antai el. pašto klastojimo metodą, o kai kurie nepatyrę aferistai gali pasinaudoti duomenų viliojimo paslauga (angl. phishing as a service).

El. laiške paprastai yra nuoroda į fiktyvią svetainę. Joje jūsų gali būti prašoma įvesti neskelbtinus duomenis, pavyzdžiui, slaptažodį, kredito kortelės numerį ar kitus asmens duomenis, kuriuos sukčiai gali pavogti ir naudoti savo reikmėms.

Įsivaizduokite, kad el. paštu gaunate įspėjimą iš savo banko, kuriame raginama spustelėti nuorodą, kad patvirtintumėte savo tapatybę. Nerimaudami dėl savo pinigų, spustelite nuorodą, o ji nuveda jus į jūsų banko svetainę. Ilgai nedvejodami įvedate savo prisijungimo duomenis. Tačiau užuot apsaugoję savo sąskaitą, spustelėjote duomenų viliojimo nuorodą ir perdavėte savo duomenis sukčiams, kurie dabar gali prisijungti prie tikrosios jūsų banko sąskaitos.

El. laiškų duomenims išvilioti pavyzdžiai

El. laiškas duomenims išvilioti jūsų gautų laiškų aplanke gali atrodyti kaip pranešimas iš patikimo siuntėjo. Galite apsisaugoti žinodami, kaip atrodo tokie laiškai.

Su kriptoturtu susijusios aferos

El. laišku apie kriptoturtą, kuriuo siekiama išvilioti duomenis, bandoma apgauti, kad į jūsų sąskaitą pervesta didelė kriptoturto suma. Kad būtų įtikinamiau, tokiuose el. laiškuose paprastai nurodoma pervesta suma, kliento ID ir slaptažodis.

Toliau pateikta el. laiško kopija yra klasikinis tokios aferos pavyzdys. Laiške teigiama, kad į jūsų sąskaitą pervesti 39 bitkoinai, taip pat yra nuoroda į fiktyvią svetainę. Šiuo el. laišku duomenims išvilioti siekiama sukurti džiugesį, kad spustelėtumėte nuorodą.

Su bankininkyste susijusi afera

Galite gauti el. laišką, kuriame teigiama, kad pridėjote naują gavėją, arba įspėjama apie įtartiną veiklą, susijusią su jūsų banko sąskaita. Tokie el. laiškai dažnai yra su bankininkyste susijusios aferos dalis, todėl esate raginami spustelėti nuorodą, kad patvirtintumėte arba patikrintumėte duomenis. Būkite atsargūs, nes tokios nuorodos paprastai veda į apgaulingas svetaines, skirtas jūsų informacijai pavogti. Vedami smalsumo galite panorėti spustelėti nuorodą, tačiau jei neturite sąskaitos tame banke, nedarykite to!

Socialinio tinklo el. laiškas duomenims išvilioti

Socialinio tinklo el. laiškas duomenims išvilioti gali atrodyti kaip „Facebook“, „X“ ar „Instagram“ saugos įspėjimas. Siekiant sukelti paniką, jame įspėjama, kad skubiai nesiėmus veiksmų jūsų paskyrai gali kilti pavojus. Tada raginama spustelėti nuorodą, kad pakeistumėte slaptažodį. Jį suvedus, sukčiai gali pavogti jūsų prisijungimo duomenis ir valdyti jūsų paskyrą.

El. laiškas duomenims išvilioti apsimetant įmonės vadovu

Socialiniame tinkle „LinkedIn“ kibernetinis nusikaltėlis pastebi, kad įmonės vadovas išvykęs į užsienį. Tada, apsimesdamas vadovu, jis išsiunčia el. laišką duomenims išvilioti įmonės darbuotojui ir paprašo pervesti lėšas užsienio partneriui. Darbuotojas, pasitikėdamas prašymu, greitai perveda pinigus tiesiai į įsilaužėlio sąskaitą.

Šis scenarijus yra klasikinis pinigų išgavimo apgaule pavyzdys – sukčius pasinaudoja aukos pasitikėjimu, kad ją apgautų. Šis nusikaltimas dar vadinamas įsilaužimu į įmonės el. pašto dėžutę arba afera apsimetant įmonės vadovu.

Nepavyko pristatyti siuntos

El. laiškas duomenims išvilioti, kuriame teigiama, jog nepavyko pristatyti siuntos, skirtas apgauti jus, kad spustelėtumėte piktavališką nuorodą arba atskleistumėte savo asmens duomenis. Dažnai bandoma imituoti, kad laiškus siunčia UPS ar kitos populiarios kurjerių tarnybos, tokios kaip „FedEx“ ar DHL (Lietuvoje – „Omniva“, „LP Express“ ir pan.). Juose raginama spustelėti nuorodą, kad pakeistumėte pristatymo laiką arba peržiūrėtumėte pristatymo informaciją. Šie laiškai yra duomenų viliojimo klonuojant (angl. clone phishing) pavyzdžiai – užpuolikai nukopijuoja tikrą el. laišką ir pakeičia jame buvusias nuorodas kenkėjiškomis.

Nuoroda paprastai veda į fiktyvią siuntų pristatymo paslaugos svetainę, kuri atrodo beveik identiška tikrajai. Joje jūsų gali būti prašoma įvesti asmens duomenis, pavyzdžiui, adresą, telefono numerį ar net mokėjimo duomenis. Kartais kenkėjišką programinę įrangą į savo įrenginį galima parsisiųsti vos spustelėjus nuorodą – tai atsiuntimas be sutikimo (angl. drive-by download).

Fiktyvus prisijungimas prie „Google Docs“

Vykdydamas „Google Docs“ duomenų viliojimo aferą, kibernetinis nusikaltėlis sukuria netikrą „Google Docs“ prisijungimo puslapį ir išsiunčia el. laišką duomenims išvilioti, kad prisijungtumėte. Gali pasirodyti, kad laišką gavote iš pažįstamo, nes temos eilutėje rašoma: „[Jūsų draugas] pasidalijo su jumis dokumentu „Google Docs“. Suvedus duomenis fiktyviame prisijungimo puslapyje, kibernetinis nusikaltėlis gali prisijungti prie jūsų „Google“ paskyros.

Sveikiname! Laimėjote...

Toks ir panašūs el. laiškai („Sveikiname, esate šiandienos laimingasis lankytojas“) yra bandymas išvilioti duomenis. Nors jie gerai atpažįstami, nusikaltėliai juos tebesiunčia, tikėdamiesi, kad džiugesys pranoks jūsų gebėjimą įvertinti laiško tikrumą.

Gavote mokėjimą iš...

El. laiškas duomenims išvilioti, kuriame teigiama, kad gavote mokėjimą (kai jo nesitikėjote), skirtas apgauti jus, kad spustelėtumėte kenkėjišką nuorodą arba atskleistumėte asmens duomenis. Kad mokėjimas atrodytų realus, tokiuose laiškuose nurodoma suma ir siuntėjo vardas bei pavardė.

El. laiške esanti nuoroda paprastai veda į fiktyvią gerai žinomos mokėjimo platformos, pavyzdžiui, „PayPal“, svetainę, kuri atrodo kaip tikra. Joje prašoma prisijungti arba patvirtinti savo banko sąskaitos duomenis. Jei tai padarysite, sukčiai gali pavogti jūsų prisijungimo duomenis ir pasiekti jūsų sąskaitą.

Kaip atpažinti el. laišką duomenims išvilioti

El. laiškus duomenims išvilioti galite atpažinti išanalizavę jų turinį. Atkreipkite dėmesį į toliau išvardytus įspėjamuosius ženklus.

1. 1.Patikrinkite siuntėjo el. pašto adresą. Aferistai dažnai taiko el. pašto klastojimo metodą, kad siuntėjo adresas atrodytų tikras, tačiau į jį įsižiūrėjus galima suprasti, kad kažkas yra ne taip. Adresas gali imituoti patikimos bendrovės adresą, tačiau yra tam tikrų skirtumų, pavyzdžiui, klaidingai parašytas domenas („paypall.com“ vietoj „paypal.com“).
2. 2.Atsargiai vertinkite bendro pobūdžio kreipinius. Sukčiai el. laiškuose duomenims išvilioti dažnai naudoja bendro pobūdžio kreipinius, kad greičiau pasiektų dideles grupes. Užuot individualizavę el. laišką ir įrašę jūsų vardą, jie gali naudoti bendro pobūdžio kreipinį, kaip antai „Brangus kliente“, kad sutaupytų laiko ir pasiektų platesnę tikslinę auditoriją.
3. 3.Atsargiai vertinkite skubius pranešimus. Teisėtas verslas neskubins jūsų greitai priimti sprendimą grasindamas atšaukti jūsų užsakymus ar laikinai panaikinti paskyrą. El. laiškai duomenims išvilioti dažnai sukuria skubos jausmą ir sukelia paniką, ragina greitai veikti ir priimti skubotus sprendimus.
4. 4.Atkreipkite dėmesį į rašybos ir gramatikos klaidas. Sukčiai paprastai neturi laiko patikrinti, ar jų kalba yra taisyklinga.
5. 5.Atkreipkite dėmesį į įtartinus priedus. Įtarimą turėtų kelti ne tik įtartini failų tipai, tokie kaip .zip, .exe ar .scr, bet net ir patikimi formatai, pavyzdžiui, PDF ir „Word“ failai, gali būti rizikingi. Tad prieš atsidarydami bet kokį priedą gerai pagalvokite.
6. 6.Atsargiai vertinkite el. laiškus, siūlančius dovanų ar pinigų. Pernelyg daug žadantys el. laiškai dažnai vilioja dovanomis ar pinigais, jei spustelėsite nuorodą arba atidarysite laiško priedą. Jei siuntėjas yra nepažįstamas arba nelaukėte pranešimo, greičiausiai tai spąstai.

Ką daryti gavus el. laišką duomenims išvilioti?

Gavę el. laišką duomenims išvilioti galite sunerimti, ypač jei nesate tikri, ką su juo daryti. Nesijaudinkite, tiesiog nepamirškite:

• nespustelėkite bet kokių nuorodų ir neatidarykite priedų, nes jie gali būti kenksmingi;
• neatsakykite ir nebendraukite su siuntėju – geriausia jį ignoruoti;
• praneškite apie el. laišką, tada jį ištrinkite, kad netyčia vėliau jo neatsidarytumėte.

Kaip pranešti apie el. laišką duomenims išvilioti

Kiekvienas pranešimas yra svarbus. Dalydamiesi savo patirtimi, padedate valdžios institucijoms susekti sukčius ir neleisti jiems nusitaikyti į daugiau žmonių. Yra keli būdai, kaip galite pranešti apie el. laiškus duomenims išvilioti.

• Tarptautiniu mastu: persiųskite el. laiškus duomenims išvilioti Kovos su sukčiavimu darbo grupei (APWG) adresu reportphishing@apwg.org.
• JAV: apie duomenų viliojimo išpuolius praneškite Federalinės prekybos komisijos (FTC) svetainėje.
• Jungtinėje Karalystėje: praneškite apie duomenų viliojimo išpuolius Nacionaliniam kibernetinio saugumo centrui (NCSC) persiųsdami el. laišką adresu report@phishing.gov.uk.
• Australijoje: tokiais pranešimais rūpinasi Australijos konkurencijos ir vartotojų reikalų komisija (ACCC).
• Europoje: atsakingą instituciją bet kurioje Europos šalyje rasite Europolo svetainėje;
• Lietuvoje: apie duomenų viliojimo išpuolį praneškite Nacionalinio kibernetinio saugumo centro (NKSC) svetainėje.

Apie el. laiškus duomenims išvilioti taip pat galite pranešti tiesiogiai savo el. pašto paslaugų teikėjui; dauguma jų turi parinktį „Pranešti apie sukčiavimą“.

Kaip nenukentėti nuo duomenų viliojimo aferų

Dauguma bandymų išvilioti duomenis nėra itin sudėtingi ir dažnai juos galite atpažinti vadovaudamiesi sveiku protu ir SLAM metodu. Vis dėlto, kadangi el. laiškai duomenims išvilioti keičiasi ir tampa sunkiau juos atpažinti, turime papildomų patarimų, kaip jų išvengti.

Nepasikliaukite vien šlamšto filtrais

Dauguma el. pašto paslaugų teikėjų nubaudžia vartotojus, siunčiančius el. laiškus duomenims išvilioti, nukreipdami jų pranešimus tiesiai į šlamšto aplanką. Tačiau gudrūs nusikaltėliai dažnai randa naujų būdų šiems filtrams apeiti. Apsvarstykite galimybę naudoti kovos su duomenų viliojimu programinę įrangą – ji nuskaitys gaunamus el. laiškus ir aptiks bandymus išvilioti duomenis. Taip pat galite peržvelgti mūsų instrukcijas, kaip užkirsti kelią el. laiškams duomenims išvilioti.

Keliskart patikrinkite reklamuojamą produktą

Gavę el. laišką, kuriame dovanų siūloma brangi kelionė, prieš spustelėdami jame esančią nuorodą dar kartą patikrinkite, ar pasiūlymas galioja. Natūralu būti smalsiems, tačiau prieš pasidalydami neskelbtinais duomenimis, pirmiausia paieškokite pasiūlymo „Google“. Atminkite: jei tai skamba per gerai, kad būtų tiesa, greičiausiai tai afera.

Naudokite kredito kortelę su nedideliu limitu

Apsvarstykite galimybę įsigyti atskirą kredito kortelę pirkiniams internetu, kad įsilaužėliai negalėtų ištuštinti jūsų banko sąskaitos. Taip pat galite naudoti virtualią kredito kortelę vienkartiniams arba pasikartojantiems mokėjimams, kad apsaugotumėte savo pagrindinę sąskaitą.

Naudokite užkardas

Užkarda apsaugo jūsų kompiuterį nuo grėsmių internete ir padeda sumažinti tikimybę, kad duomenų viliojimo išpuolis pasieks jūsų įrenginį. Kadangi užkarda blokuoja įtartiną duomenų srautą ir užkerta kelią prieigai prie rizikingų svetainių, ji yra naudinga priemonė duomenų viliojimo atvejams aptikti.

Venkite iškylančiųjų langų

Iškylantieji langai dažnai atrodo kaip teisėta svetainės dalis, tačiau dauguma jų bandoma išvilioti duomenis. Apsvarstykite galimybę naudoti „NordVPN“ funkciją „Threat Protection Pro™“ – ji blokuoja iškylančiuosius langus, reklamjuostes ir reklamų vaizdo įrašus.

Naudokite daugiaveiksnį autentifikavimą

Daugiaveiksnis autentifikavimas papildomai apsaugo jūsų paskyras. Net jei patikėjote el. laišku duomenims išvilioti ir suvedėte savo slaptažodį, tam, kad nusikaltėlis galėtų prisijungti prie jūsų paskyros, jam reikės atlikti antrą patikrinimo veiksmą, pavyzdžiui, suvesti į jūsų telefoną išsiųstą arba programėlės sugeneruotą kodą.

Venkite dalytis asmens duomenimis

Kuo mažiau dalijatės asmens duomenimis, tuo mažiau informacijos užpuolikai gali pavogti ir panaudoti prieš jus. Sumažinę informacijos, kuria dalijatės, kiekį, apsisaugote nuo duomenų vagysčių. Dėl to gautuose el. laiškuose duomenims išvilioti rasite mažiau savo asmens duomenų, tad lengviau pastebėsite, kad jie netikri.

Reguliariai atnaujinkite savo programinę įrangą

Atnaujinant programinę įrangą pataisomi saugumo trūkumai, kuriais įsilaužėliai galėtų pasinaudoti duomenų viliojimo išpuoliams ar duomenų saugumo pažeidimams įgyvendinti. Nuolat atnaujinama programinė įranga sumažina riziką, kad šiais pažeidžiamumais bus pasinaudota.