TAMSIAJAME INTERNETE CIRKULIUOJA IR LIETUVIŠKŲ BANKO KORTELIŲ DUOMENYS

6 mln. bankinių mokėjimo kortelių pavogti duomenys neseniai aptikti tamsiajame internete. 3,5 mln. jų išduota JAV, tačiau tarp minimų kortelių yra 2 288, kurias išdavė ir Lietuvoje veikiantys bankai. Šalies bankų asociacija ir policija tikina, kad nuolat stebi tokius atvejus, tačiau ekspertai teigia, kad tai tik ledkalnio viršūnė, nes 63 proc. visų minimų kortelių buvo susieta su kita privačia jų savininkų informacija.

Socialinės inžinerijos metodai

Nors bankai ir kitos finansinės institucijos įdeda daug pastangų, kad apsaugotų savo klientus nuo sukčiavimo atvejų, nusikaltėliams vis tiek pavyksta prasibrauti į aukų pinigines. Kibernetinių saugumo sprendimų įmonės „NordVPN“ ekspertų tyrimas parodė, kad dvi iš trijų tamsiajame internete rastų kortelių buvo susieta su bent šiek tiek asmeninės informacijos, pavyzdžiui, kortelės savininko adresu, telefono numeriu, e. pašto adresu ar net JAV itin svarbiu socialinio draudimo numeriu (angl. Social Security number, SSN).

Daugiau nei pusė analizuotų mokėjimo kortelių priklausė amerikiečiams, todėl JAV šiame kontekste yra labiausiai nukentėjusi šalis pasaulyje. Remiantis tyrimu, iš 2 288 lietuviškų tamsiajame internete užfiksuotų parduodamų kortelių kai kuriais atvejais kartu su jų informacija taip pat parduodami ir kiti asmens duomenys: adresas – su 862 kortelėmis, telefono numeris – 336, e. paštas – 413.

Lietuvos bankų asociacija (LBA) teigia, kad šalies finansų įstaigos nuolat stebi ir analizuoja sukčiavimo schemas, seka informaciją apie nusikaltėlių paviešintus duomenis ir pagal savo kompetenciją imasi veiksmų, kad sustabdytų galimą sukčiavimą. „Tai, kad kortelių duomenys atsiduria tamsiajame internete, ne naujiena“, – „Kauno dienai“ pateiktame komentare sako LBA.

Asociacijos teigimu, finansų įstaigos stebi netipinį vartotojų elgesį, kuris gali indikuoti apie galimą mokėjimo priemonės naudojimą neteisėtais tikslais arba ne paties kliento inicijuotą mokėjimą. „Duomenys, kurie atsiduria tamsiajame internete, taip pat nelieka nepastebėti“, – tikina LBA.

Lietuvos policijos komunikacijos skyriaus vedėjas Ramūnas Matonis teigia, kad atitinkamos šalies teisėsaugos institucijos taip pat stebi tokius sukčiavimo atvejus. Pastaruoju metu didžioji dalis jų buvo susiję su siunčiamomis trumposiomis žinutėmis, imituojant finansų įstaigas, siuntų bendroves ir valstybines įstaigas. Tokiomis žinutėmis nukentėjusieji prašomi suklastotuose tinklalapiuose suvesti banko kortelių duomenis.

„Stebint policijoje atliekamus tyrimus, banko kortelių duomenų vagystės dažniausiai įvykdomos pasitelkiant socialinės inžinerijos metodus, t. y. sukčiavimai vykdomi naudojant trumpąsias žinutes ir suklastotas internetinių puslapių nuorodas, kurias paspaudus prašoma suvesti banko kortelių duomenis, arba telefoninių skambučių metu, išviliojant duomenis, apsimetus finansų įstaigos darbuotoju ar teisėsaugos pareigūnu“, – sako R. Matonis.

LBA teigia, kad tokios duomenų vagystės taip pat įvyksta panaudojant vartotojo pamestos kortelės duomenis, kai ją praradęs asmuo laiku neinicijuoja kortelės blokavimo.

Keblumai: LBA aiškinimu, jei mokėjimo kortelę išdavusi finansų įstaiga turi labai stiprių apsaugos priemonių nuo sukčiavimo, tokią kortelę sukčiai įvertins mažesne kaina, kadangi pasinaudoti ja gali būti sunku. E. Crego / Panthermedia nuotr.

Tapatybės vagystė

Nutekinti asmens duomenys gali būti panaudojami sukčiavimams vykdyti prieš patį nukentėjusįjį arba prieš kitus asmenis, prisidengiant nukentėjusiojo tapatybe.

Per pastaruosius metus policijoje buvo atliekami keli tyrimai dėl didelės apimties asmens duomenų nutekinimo iš įvairių įmonių ir įstaigų valdomų duomenų bazių. „Nustačius nusikalstamos veikos požymių, pradedamas ikiteisminis tyrimas, kurio metu glaudžiai bendradarbiaujama su Nacionaliniu kibernetinio saugumo centru ir Valstybine duomenų apsaugos inspekcija, siekiant nustatyti padarytą žalą, apsaugoti nukentėjusiuosius, užkirsti kelią tolimesniems pažeidimams“, – teigia R. Matonis.

„Lietuvos policija periodiškai atlieka tamsiajame internete vykdomos neteisėtos veiklos stebėseną, ypatingą dėmesį skiria identifikuotiems duomenų nutekinimo atvejams. Paminėtina, kad tokio pobūdžio nusikalstamos veikos dažniausiai yra tarptautinio pobūdžio, todėl dažnai bendradarbiaujama su užsienio valstybių teisėsaugos institucijomis ir Europolu“, – priduria Lietuvos policijos atstovas.

Labai nedaug nusikaltėlių vagia kortelių informaciją, kad pavogtų savininko pinigus. Daugeliui tokia mokėjimo kortelės informacija yra tik prekė, kurią galima parduoti tamsiajame internete.

Pasak LBA, sukčiai pasitelkę tokią informaciją, kaip vartotojo adresas, telefono numeris ar elektroninio pašto adresas, gali lengviau prieiti prie kitų duomenų, o vėliau bandyti pasiekti ir asmens lėšas. „Pavyzdžiui, paskambinę telefonu apsimesti banko ar kitos įstaigos atstovu – naudojant pavogtus asmens duomenis, siekiama sukurti įspūdį, kad skambinantysis neva yra tas, kuo prisistato. Asmens duomenys nusikaltėliams taip pat gali padėti prieiti prie vartotojo paskyrų įvairiuose interneto portaluose ir taip pasiekti kitą jautrią informaciją“, – akcentuoja asociacija.

„Todėl svarbu skirtingose paskyrose naudoti unikalius slaptažodžius, viešai neskelbti asmens duomenų, kurie sukčiams galėtų padėti į jas įsilaužti. Ekspertai nuolat primena kritiškai vertinti nepageidaujamus skambučius, trumpąsias žinutes ar elektroninius laiškus. Niekada niekam neatskleiskite savo prisijungimo prie banko ar mokėjimo operacijų tvirtinimo slaptažodžių – finansų įstaigos tokios informacijos neprašo“, – pabrėžia LBA.

Taip pat patariama periodiškai tikrinti savo sąskaitų duomenis, o atsiskaitymams internetu turėti atskirą kortelę. „Prieš naudodamiesi bankomatu užsienyje atidžiai įvertinkite, ar jis neatrodo „kitaip“ – nėra įrengtų neįprastų detalių. Naudodamiesi bankomatu, vesdami PIN kodą, uždenkite klaviatūrą ranka, kad neteisėtai įrengta kamera nebūtų galima užfiksuoti, kokį slaptažodį vedate“, – rekomenduoja LBA.

„Pasitaiko ir fizinių kortelės nuskaitymo būdų, kai keliaudamas užsienio valstybėse asmuo pasinaudoja bankomatu, kuriame sukčiai yra sumontavę įrangą, gebančią nuskaityti kortelės numerį ir kitą konfidencialią informaciją“, – priduria LBA.

Lietuviškos kortelės duomenys tamsiajame internete vidutiniškai kainuoja 2,91 dolerio, JAV – 6,86 dolerio. Tačiau JAV banko kortelės parduodamos pigiau nei tos, kurios išduotos Mauritanijoje ar Ugandoje.

Skiriasi kainos

Remiantis „NordVPN“ ekspertų tyrimu, lietuviškos kortelės duomenys tamsiajame internete vidutiniškai kainuoja 2,91 dolerio, JAV – 6,86 dolerio. Tačiau JAV banko kortelės parduodamos pigiau nei tos, kurios išduotos Mauritanijoje (kaina 9,98 dolerio), Ugandoje (9,04 dolerio) ar Zimbabvėje (8,41 dolerio).

Pasak LBA, neretai kaina priklauso nuo kortelės tipo: ar tai yra debetinė, ar – kreditinė kortelė. „Kreditinės kortelės paprastai būna brangesnės dėl akivaizdžių priežasčių. Kaina taip pat priklauso nuo su kortele susietos sąskaitos likučio. Kuo didesnis sąskaitos likutis, tuo didesnė kortelės kaina tamsiajame internete. Galiausiai, jei mokėjimo kortelę išdavusi finansų įstaiga turi labai stiprių apsaugos priemonių nuo sukčiavimo, tokia kortelė bus įvertinta mažesne kaina, kadangi pasinaudoti ja gali būti sunku“, – teigia LBA.

Lietuvos banko Finansinio raštingumo centro vadovė dr. Viktorija Dičpinigaitienė priduria, kad Europoje atsiskaitymai mokėjimo kortelėmis yra saugesni dėl įdiegto papildomo saugumo standarto, kai greta mokėjimo kortelės duomenų operacijoms patvirtinti reikia panaudoti papildomas priemones. „Pavyzdžiui, Lietuvoje tam dažnai naudojama Smart-ID programėlė ar mobilusis parašas“, – detalizuoja ji.

Malta, Australija ir Naujoji Zelandija yra tokių duomenų vagysčių rizikos indekso viršuje, JAV – penktoje vietoje. Sąrašo apačioje atsidūrė Rusija ir Kinija. Pasak LBA, tai lemti gali daugybė aspektų, pavyzdžiui, konkrečios šalies finansinio saugumo sistema: „Kai kuriose valstybėse vis dar nereikalaujama PIN kodo tvirtinant operacijas, todėl tokių šalių mokėjimo kortelės, naudojimasis jų infrastruktūra sukčiams yra paprastesnis. Kitų šalių buvimas sąrašo apačioje gali būti sietinas ir su galiojančiomis sankcijomis.“

Pasak „NordVPN“ kibernetinio saugumo patarėjo Adrianuso Warmenhoveno, ekonomiškai išsivysčiusiose šalyse išduotos mokėjimo kortelės nėra vienintelis ar net pagrindinis kibernetinių nusikaltėlių taikinys. „Šios šalys paprastai turi veiksmingesnių pinigų plovimo prevencijos programų ir geriau remia savo klientus sukčiavimo atveju. Be to, labai nedaug nusikaltėlių vagia kortelių informaciją, kad pavogtų savininko pinigus. Daugeliui tokia mokėjimo kortelės informacija yra tik prekė, kurią galima parduoti tamsiajame internete. Mokėjimo kortelių kaina priklauso nuo įvairių veiksnių“, – „NordVPN“ pranešime teigia A. Warmenhovenas.

Jis išskiria, kad tamsiajame internete dideliais paketais parduodamų mokėjimo kortelių kaina yra mažesnė. Daugeliu atvejų kibernetiniai nusikaltėliai siekia greito pelno, todėl jie neparduoda kortelių po vieną – parduoda korteles paketais, mažindami vidutinę mokėjimo kortelės kainą. Ši tendencija būdinga šalyse, kuriose pavogta daugiausia mokėjimo kortelių informacijos, įskaitant JAV, Jungtinę Karalystę ir Indiją.

Daugiau saugumo

Lietuvos bankas, šalyje veikiantys komerciniai bankai ir Nacionalinis kibernetinio saugumo centras (NKSC) sutarė glaudžiau bendradarbiauti kibernetinio saugumo srityje.

„Šis susitarimas numato, kad bus keičiamasi specialia informacija apie kibernetines grėsmes tarpusavyje. Komerciniai bankai tai galės daryti pasinaudodami pažangia NKSC platforma ir priemonėmis“, – praėjusią savaitę žurnalistams sakė Lietuvos banko valdybos narys Simonas Krėpšta.

„Galima sakyti, kad Lietuvoje finansų sektoriuje, bankų sektoriuje kibernetinis atsparumas šiandien pereina į naują kokybinį lygį“, – pridūrė jis.

Susitarimą pasirašė didieji šalyje veikiantys komerciniai bankai: „GF bankas“, Jungtinė centrinė kredito unija, „Luminor“, „Revolut“, SEB, „SME Bank“, „Swedbank“, Šiaulių bankas.

„Mes nusprendėme startuoti su komercinių bankų segmentu, tai, be abejo, didžiausios finansų įstaigos, jose mūsų gyventojai turi daugiausia sąskaitų, lėšų, – teigė S. Krėpšta. – Jei pasiteisins šis projektas, ateityje planuojame plėstis į kitus sektorius, mokėjimų sektorių, draudimų sektorių.“

Pasak Lietuvos banko atstovo, kas pusmetį bus atliekamas įvertinimas, kaip bankams sekasi bendradarbiauti keičiantis informacija. LBA prezidentė Eivilė Čipkutė akcentavo, kad daugiausia bus keičiamasi informacija apie atakos pobūdį, kylančias grėsmes, o ne taikomas priemones, kaip nuo jų apsisaugoti.

Lietuvos bankas taip pat nurodo, kad 2024 m. Europos Centrinis Bankas (ECB) planuoja bendrą kibernetinio saugumo testą, kurio metu bus vertinama, kaip bankai pasiruošę atlaikyti didelio masto kibernetinius incidentus. Dar po metų periodiškai turėtų būti atliekami vadinamieji įsibrovimo testavimai.

Lietuvos banko duomenimis, pernai finansų rinkos dalyviai pranešė apie 23 kibernetinius incidentus, dalis jų siejama su prorusiškomis grupuotėmis.