4 Minutės
Vasario 20 d. Lietuvos sveikatos mokslų universitetas (LSMU) ir jo studentai tapo didelio masto kibernetinės atakos – phishing kampanijos – taikiniais. Studentams buvo išsiųsti apgaulingi el. laiškai, kuriuose apsimetama universiteto administracija ir reikalaujama nedelsiant pervesti tariamą studijų mokestį į nurodytą IBAN sąskaitą. Laiškai ribojo mokėjimo terminą ir prašė pridėti apmokėjimo įrodymą į nurodytą el. pašto adresą. Netrukus LSMU informavo bendruomenę, kad tai yra sukčiavimas ir jokie pavedimai neturi būti atliekami.
Kaip nusikaltėliai pasiekė studentus?
Kibernetinio saugumo specialistų vertinimu, šis incidentas galėjo būti susijęs su anksčiau nutekintais LSMU bibliotekos duomenimis, kuriuose buvo studentų el. pašto adresai. Phishing kampanijos dažnai pasinaudoja viešai prieinamais arba nutekintais kontaktų sąrašais ir siunčia tikslines žinutes, imituojančias oficialius pranešimus.
Ką parodė tyrimas ir kas yra „Zen“?
IT ekspertai pastebėjo, kad į apgaulingą mokėjimą buvo nurodytas IBAN, kurį administruoja finansinių paslaugų bendrovė „Zen“. Palyginus su Lietuvos banko duomenimis, „Zen“ yra registruota ir veikia Lietuvos rinkoje — turi elektroninių pinigų įstaigos licenciją. Tai reiškia, kad pati finansų įstaiga gali identifikuoti sąskaitos savininką, tačiau sąskaita galėjo būti atidaryta neteisėtomis priemonėmis arba naudojama trečiųjų šalių (pvz., asocialių asmenų) tapatybei, kad užmaskuotų sukčių veiklą.
Kodėl tai svarbu Lietuvos rinkai?
Fintech sprendimai ir IBAN paslaugos Lietuvoje populiarėja — daug įmonių ir studentų atlieka mokėjimus internetu. Tokio tipo atakos kelia riziką tiek vartotojams, tiek institucijoms (universitetams, verslui) ir mažina pasitikėjimą skaitmeninėmis paslaugomis Vilniuje, Kaune ir kitose šalies vietose.
Phishing mechanizmai: charakteristikos ir požymiai
Ekspertai pažymėjo keletą būdingų požymių: netaisyklinga lietuvių kalba, neaiškios kilmės siuntėjo el. paštas, neegzistuojanti nuoroda ar svetainė ir skubos šauksmai. Tokio tipo „oportunistai“ paprastai nesitaiko į aukšto lygio saugumo vartotojus — jie tikisi, kad iš kelių šimtų gavėjų keli asmenys padarys pavedimą ir sukčiai pasipelnyti.
Praktiniai patarimai studentams ir institucijoms
1. Patvirtinkite bet kokius mokėjimus patikrinus oficialų universiteto puslapį arba kreipiantis į administraciją per oficialius kontaktus (t. y. numerį ar el. paštą universiteto tinklalapyje). 2. Niekada nesiųskite mokėjimo įrodymų į neaiškius el. paštus. 3. Patikrinkite IBAN per Lietuvos banko ar finansų institucijos įrankius ir, kilus įtarimams, praneškite apie sąskaitą savo bankui. 4. Naudokite dviejų veiksnių autentifikavimą (2FA) ir atnaujinkite slaptažodžius.
Technologijų ir fintech perspektyvos Lietuvoje
Lietuvos rinka pasižymi sparčiu fintech plėtojimu — daug įmonių teikia IBAN ir mokėjimo infrastruktūrą. Bendrovės kaip „Zen“ siūlo patogias sąskaitų valdymo funkcijas, greitus IBAN sprendimus ir dažnai laikosi griežtesnių reguliacijos reikalavimų. Pranašumai fintech sektoriui: greičiau integruojamos paslaugos, konkurencingesnės mokesčių struktūros ir galimybė aptarnauti tarptautinius klientus. Trūkumai – didesnis atsakomybės poreikis už tapatybės tikrinimą ir rizikų valdymą.
Naudojimo atvejai ir rekomendacijos verslui
Verslui Lietuvoje rekomenduojama integruoti mokėjimų patvirtinimus, kelių pakopų saugumą ir stebėti netipinius mokėjimo srautus. Universitetai gali diegti centralizuotus mokėjimų portalus, kurie būtų apsaugoti papildomais autentifikacijos sluoksniais, taip sumažinant phishing riziką studentams.
Ką gali padaryti teisėsauga?
Kadangi dauguma fintech paslaugų veikia pagal Lietuvos banko reguliacijas, policija ir kriminalistai gali tiksliai atsekti sąskaitos valdymą ir identifikuoti galimus sukčiavimo organizatorius. Dažnu atveju finansų įstaiga bendradarbiauja blokuodama sąskaitas ir grąžindama neteisėtus pervedimus, jei tai įmanoma.
Ši ataka – priminimas tiek studentams, tiek verslui, kad kibernetinis saugumas yra ne tik IT problema, bet ir organizacinė. Lietuvoje, Vilniuje ir Kaune veikiančios institucijos turi didinti darbuotojų ir vartotojų žinias apie phishing, stiprinti autentifikavimo mechanizmus ir bendradarbiauti su fintech sektoriais bei teisėsauga, kad apsaugotų Lietuvos rinką nuo panašių incidentų.
Šaltinis: delfi
Palikite komentarą