„Bendra klientų patirtų nuostolių suma yra 62,2 tūkst. eurų“, – šiuo metu skaičiuoja SEB bankas.
15min pabandė pasiaiškinti, kodėl bankas laiku nepastebi tokių pavedimų sukčiams, ir kaip tai veikia.
Paaiškėjo, kad sukčiai SMS žinutėmis neva iš SEB banko klientų nuo birželio mėnesio bandė išvilioti jau kone 180 tūkstančių eurų sumą.
Iš viso SEB bankas sustabdė daugiau kaip 76 tūkst. Eur sukčių atliktų mokėjimų, susijusių su SMS sukčiavimu. Papildomai SEB bankas padėjo sugrąžinti į kitus bankus sukčių pervestą daugiau kaip 40 tūkst. Eur sumą. Tačiau visų pavedimų laiku sustabdyti nepavyksta.
Statistika slepia itin liūdnas žmonių istorijas. Pirmadienį jauna mergina instagrame pasidalino savo patirtimi, kaip prarado pinigus.
Lietuvos kriminalinės policijos biuras pradėjo kelis ikiteisminius tyrimus, pareigūnų teigimu, pinigai tokiais atvejais nukeliauja į užsienį. SEB bankas bando kreiptis į užsienio bankus, tačiau susigrąžinti dažniausiai nebebūna ko. Vilčių atgauti pinigus – nedaug.
Bendrovės vis tik žada imtis veiksmų, kad sukčiams būtų kuo sudėtingiau.
„Bankas“ paprašė atnaujinti paskyrą
Instagrame jauna mergina dalijasi istorija, kaip ji nukentėjo nuo sukčių.
„Vakar į savo telefoną aš gavau žinutę iš SEB numerio, čia labai svarbu, kad man reikia atsinaujinti „Smart-ID“ programėlę, ir yra nurodyta apačioje nuoroda, kaip tą padaryti, apačioje reikia paspausti. Nežinau, kad čia vyksta apgavystės, paspaudžiau. Nuoroda atidarė idealiai identišką SEB puslapį, ir man liepė suvesti visus duomenis. Aš suvedžiau, prisijungiau, ir iš manęs nuskaitė labai didelę sumą pinigų. Ta prasme, tikrai didelę sumą pinigų. Ir aš visiškai nesuvokiu, kaip visa tai įvyko“, – guodėsi socialiniame tinkle mergina.
Antrą kartą bandant jungtis prie to paties puslapio, jis jau nebeveikė. Buvo sekmadienio rytas, apgavystė įvyko šeimai bekepant blynus. Mergina mano, kad užtruko 45 minutes, kol telefonu buvo sujungta su reikiamais SEB specialistais. SEB bankas patikina, kad taip ilgai sujungimai netrunka, savaitgalį gali tekti palūkėti iki 15 minučių.
„Sužinojau, kad tie pinigai jau, deja, buvo išgryninti, ir mes jų tiesiog nebeturime. Ir mums reikia kreiptis į policiją. Ir SEB, kaip supratome, nėra visiškai atsakingas už tai. (…) Nebėra tų pinigų, ir viskas“, – liūdesio neslėpė mergina.
Jį įsitikinusi, kad viską atliko teisingai – juk parašė žinutę SEB bankas, ji paspaudusi nuorodą atsidūrė internetinėje bankininkystėje.
„Kiek saugūs yra mūsų duomenys, jei kažkas Ispanijoje, nes aš žinau, kad pinigai išgryninti Ispanijoje, gali kažkokiais mistiniais būdais man visiškai nesuvokiamais algoritmais per SEB atsiųsti mums žinutę ir pavogti iš mūsų pinigus“, – pyko mergina ir kaltina, kad bankas negali pats savęs apsaugoti.
Ir tai tik viena iš istorijų. 15min jau anksčiau parašė, kad iš vieno vyriškio sąskaitos trimis pavedimais išgaravo 3000 eurų, o istorija kone analogiška – gauta SEB banko žinutė, kuri vėliau pasirodė esanti suklastota, jis per pateiktą nuorodą jungėsi prie bankininkystės.
Tiek SEB, tiek „Smart-ID“ patikina, kad jų sistemos čia visiškai saugios, tačiau žmonės patenka į sukčių spąstus dėl to, kad patys atiduoda „raktą nuo seifo“.
Policija: nuostolių suma siekia dešimtis tūkstančių eurų
Lietuvos kriminalinės policijos biuras 15min informavo, kad dėl naujos sukčiavimo per SMS schemos į policijos įstaigas jau kreipėsi keletas asmenų, jų patirta bendra nuostolių suma „siekia kelias dešimtis tūkstančių eurų“.
„Šiuo metu Policijoje yra pradėtų ikiteisminių tyrimų. Nenorėdami pakenkti tyrimui bei vadovaudamiesi LR Baudžiamojo proceso kodekso 177 str. duomenų apie šiuo metu atliekamus ikiteisminio tyrimo veiksmus pateikti negalime“, – teigiama komentare.
Policija paaiškina, kaip veikia nauja schema: nukentėjusieji SMS pranešimu gauna interneto nuorodą, kurią aktyvinę, jie būna nukreipiami į netikrą interneto tinklalapį, imituojantį banko interneto oficialų tinklalapį, kuriame klientų prašoma pateikti banko jiems suteiktus unikalius prisijungimo duomenis ir „Smart-ID“ slaptažodžius.
Slaptažodžius suveda ir patvirtina patys nukentėjusieji, tuo pasinaudoja nusikalstamą veiką vykdantys asmenys iš nukentėjusiųjų sąskaitų perveda įvairias pinigų sumas.
„Tokio pobūdžio nusikalstamos veikos gali būti nukreiptos ir į kitus Lietuvos ar užsienio bankus, todėl visada verta išlikti atsargiems“, – įspėjama policijos komentare.
Policija rekomenduoja nesijungti prie e.bankininkystės naudojantis telefonu ar e.paštu gautomis nuorodomis.
„Jeigu jau paspaudėte nuorodą, visada atkreipkite dėmesį į tinklalapio adresą ir patikrinkite ar jis sutampa su oficialiu banko tinklalapio adresu. Kilus įtarimui dėl galimo sukčiavimo susisiekite su banku, paaiškėjus nusikalstamos veikos faktui kreipkitės į policijos įstaigą“, – pataria policija.
Patikina, kad „Smart-ID“ saugi
„SK ID Solutions“ vadovas Lietuvoje Viktoras Kamarevcevas patikina, kad „Smart-ID“ technologija yra saugi ir nė vienu apgavystės būdu ji nebuvo kaip nors pažeista.
„Perimti paskyros kontrolę beveik neįmanoma ir mums nėra žinoma tokių atvejų“, – patikina V.Kamarevcevas.
Vartotojai turi būti atsakingi ir saugoti savo prisijungimo duomenis.
„Nors technologija saugi, bet tenka apgailestauti, kad sukčiai vis tobulėja ir pasitelkdami socialinę inžineriją vis dar sugeba pasinaudoti žmonių patiklumu. Bankai, policija ir mūsų bendrovė ne kartą įspėjo, kad žmonės turi atsakingai elgtis su savo asmeniniais duomenimis, taip pat ir turimais slaptažodžiais bei kodais, atkreipti dėmesį, kur juos ir kam prašant suveda“, – teigia vadovas.
Jis primena, kad jei reikia vesti PIN2 kodą – tai reiškia, kad tvirtinamas mokėjimas, pavedimas, kurį pats inicijavote. Būtina tikrinti, ar sutampa keturių skaitmenų kodas, operacijos pavadinimas, paslaugos teikėjas.
„Visuomet privalu kelis kartus patikrinti, prie kokio tinklalapio jungiesi, pačiam įvesti tinklalapio adresą. Be to, būtina žinoti, kad įvesti PIN kodus reikia tik savo iniciatyva, o ne kažkam prašant, ir tik toms operacijoms, kurias inicijuojate“, – sako „Smart-ID“ programėlę prižiūrinčios įmonės vadovas.
Anot jo, visais atvejais, bandant keisti „Smart-ID“ paskyrą, dukart tikrinama asmens tapatybė.
„Bet jei apgaulei pasidavęs žmogus atiduoda savo raktus nuo seifo, tai tokiu atveju tenka tik apgailestauti, nes joks seifas nuo tokių apgavysčių neapsaugos“, – įsitikinęs V.Kamarevcevas.
Pinigai visais atvejais keliauja į užsienį
SEB banko Prevencijos departamento direktorius Audrius Šapola patikina, kad visais atvejais sukčių perlaidos nukreiptos į užsienį, tą patį patvirtina ir policija.
„Tai yra kitose Europos šalyse esantys bankai ir jų klientai, kurie gauna pinigus. Visais atvejais atliekami vadinamieji momentiniai pavedimai – toks pavedimas tarp sąskaitų suvaikšto labai greitai, įskaitant savaitgalius. Tai reiškia, kad jeigu jau pinigai išėjo iš sąskaitos, į gavėjo sąskaitą jie pateks po kelių sekundžių. Ir šiuo atveju tie momentiniai pavedimai iškeliavo į užsienio bankus, buvo įskaityti į gavėjų sąskaitas“, – sako A.Šapola.
Anot jo, visais atvejais kreipiamasi į gavėjo banką, nurodant aplinkybes, kad klientas buvo apgautas, kad buvo įvykdytas galimas nusikaltimas ir prašoma tuos pinigus grąžinti.
„Yra buvę atvejų, kai tie pinigai gavėjo banke dar nebuvo išgryninti ir jie sugrįždavo, tačiau tokių atvejų nėra daug. Sukčiai taip pat suvokia, kad kuo ilgiau pinigai gulės sąskaitoje, tuo didesnė tikimybė, kad gavėjo bankas, gavęs pranešimą iš siuntėjo banko, tuos pinigus užšaldys“, – sako A.Šapola.
Paaiškino, kodėl neįmanoma sustabdyti pavedimų
A.Šapola paaiškina, kad Lietuvoje bankai pirmąkart susidūrė su sukčiavimu, kuomet klientus bandoma apgaudinėti SMS žinutėmis – į banką kreipėsi kelios dešimtys gyventojų.
„Pirmiausia, tokios SMS žinutės yra siunčiamos ne iš konkretaus SEB banko telefono numerio. Antra, SMS žinučių siuntimui sukčiai naudoja mobiliojo ryšio operatorių infrastruktūrą, mobilų ryšį ir standartinę SMS žinučių siuntimo paslaugos funkciją, kurią teikia mobiliojo ryšio operatoriai. Ši funkcija leidžia siuntėju nurodyti bet kokį asmenį ar įmonę. Trumpai tariant, tai reiškia, kad sukčiai jums gali atsiųsti SMS ne tik nuo SEB banko, bet nuo bet kokio realaus ar ne siuntėjo, pvz., nurodžius siuntėją Vardenį Pavardenį“, – paaiškino SEB bankas. Taip veikia vadinamasis apsimetinėjimas kitu asmeniu (angl. SMS spoofing).
Jau pats telefonas sukčių ir banko žinutes sugrupuoja į bendrą žinučių srautą.
„Šiais metais, maždaug nuo vasaros vidurio, mes pradėjome gauti signalus iš klientų, kad jie gauna žinutes, kurios atrodo taip, lyg jos būtų atkeliavusios iš SEB banko, kadangi ten yra ir banko pavadinimas. Ir žinutė labai paprasta – atnaujinkite savo paskyrą, prisijunkite, ir pateikiama nuoroda, kurią paspaudus atsidaro internetinės bankininkystės puslapis. Ir jei šioje vietoje pas žmogų nesuskamba jokie pavojaus skambučiai, tai žmogus pradeda įvedinėti savo duomenis“, – paaiškina A.Šapola.
Jis paaiškina, kad bankas pats analizuoja klientų atliekamas perlaidas ir įtartini pavedimai būna stabdomi, tačiau sistemos ne visuomet gali atskirti, kada pavedimai atliekami žmogaus valia.
„Kiekvieną dieną mes kontaktuojame su klientais, ir klausiame, ar jūs darote šį pavedimą, ar suprantate, ką darote, ir panašiai. Ir tikrai daugeliu atveju žmonės sako, kad viskas tvarkoje“, – sako A.Šapola.
Anot jo, itin daug gyventojų savo noru pinigus siunčia kitokioms sukčiavimo schemoms – įtikinti investuoti per nelegalius kitų valstybių brokerius, pvz., į valiutas ar kriptovaliutas. Bankų specialistams netgi nepavyksta tokių asmenų perkalbėti.
„Žmonės, kurie įtikinti sukčių, atsisako tikėti banko darbuotojais, kurie sako, kad jūs esate galimai sukčių pinklėse, ir jie vis tiek tvirtina pavedimus. Privalome vykdyti tuos pavedimus, kadangi tokia yra lėšų turėtojo valia“, – sako A.Šapola.
Pasak jo, bankas gali pridėlioti labai daug saugiklių, tačiau tuomet jau pačios paslaugos tampa nebepatogios, prailgsta laikas.
Akcentuoja PIN2 svarbą – niekuomet neveskite abiejų PIN iškart
A.Šapola pademonstruoja ir vaizdo įrašą, kaip atrodo sukčių sukurta svetainė – atskirti nuo SEB svetainės galima tik pagal jos adresą.
Vienas sukčiavimo būdas jau užkardytas technologinėmis priemonėmis.
„Pradžioje ataka buvo orientuota į mobiliojo parašo turėtojus, nes mobiliuoju parašu tu gali patvirtinti ir susikurti „Smart-ID“ paskyrą kitame mobiliajame įrenginyje. Jei žmogui nekyla joks įtarimas, ir jis suveda kartu PIN1 ir PIN2, sukčius gali susikurti „Smart-ID“ paskyrą įrenginyje, ir ta paskyra suteiks galimybę sukčiui kontroliuoti žmogaus internetinę bankininkystę. Šitas kelias jau užkardytas“, – aiškina A.Šapola.
Dabar, anot jo, sukčiai bando paprasčiausiai apgaudinėti.
„Žmogų suklaidina SMS žinute, kuri vėlgi atrodo, lyg ją būtų siuntęs SEB bankas, žmogus paspaudžia nuorodą, atsidaro interneto puslapis, kuris iš pirmo žvilgsnio atrodo beveik identiškai kaip internetinės bankininkystės. Žmogus įveda savo prisijungimo duomenis, vartotojo kodą, asmens kodą. Sukčius, matydamas tuos duomenis, jau jungiasi prie žmogaus paskyros interneto banke – tai reiškia, kad žmogus turi prisijungimą patvirtinti įvesdamas PIN1. Jei žmogus patvirtina, kitas veiksmas – sukčius inicijuoja bankinį pavedimą, ir tada žmogus vėl turi tą pavedimą patvirtinti mobiliajame įrenginyje įvesdamas PIN2“, – sako A.Šapola.
Anot jo, jei neketinama atlikti jokių mokėjimo operacijų, o prašoma įvesti PIN2 kodą – jau tai rodo, kad atliekama kažkokia operacija. Paprastai pateikiama ir operacijos suma.
„Į tokius dalykus žmonės turėtų atkreipti dėmesį, o ne tiesiog imti ir automatiškai suspaudyti savo prisijungimo kodus“, – sako A.Šapola.
Bankai niekada nesiunčia aktyvių nuorodų į savo tinklalapius ir neprašo įvesti iš karto abiejų PIN.
Telekomunikacijų bendrovės žada bendradarbiauti
„Tele2“ komunikacijos vadovas Baltijos šalyse Andrius Baranauskas pripažįsta, kad yra problema, kad nesąžiningi asmenys gali suklastoti siuntėjo pavadinimą.
„Dalį tokių žinučių, kur galime pasiekti, jau dabar ribojame ir bent dalinį sprendimą turime. Mes turime įrankį, kuris leidžia verslo klientams siųsti žinutes savo klientams, esame įvedę daug filtrų, ir jie negali naudoti tokių pavadinimų kaip SEB, „Swedbank“ ir panašiai. Ten daug pavadinimų ir sąrašas nuolat pildomas“, – sako A.Baranauskas.
Anot jo, problema yra didmeniniai paslaugų tiekėjai, kurie perparduoda tokias paslaugas.
„Šitą irgi bandysime spręsti. Bandysime bendradarbiauti su kitais operatoriais ir su pačiais bankais. Čia gi situacija yra tokia, kad apskritai toks sukčiavimo būdas, apie kurį kalbame, yra naujas, apie jį mes nešnekėjome prieš 5 ar 10 metų. Tai ir sprendimų reikia naujų ir reikia bendrų visai rinkai“, – sako A.Baranauskas.
