Sukčiai vis taikliau atakuoja Lietuvos verslą: nuo perimtų laiškų iki DI sukurtų „vadovų“

Įsivaizduokite – įmonės finansininkui per „Teams“ paskambina vadovas ir paprašo skubiai atlikti pavedimą. Balsas pažįstamas, veidas – taip pat, situacija skamba įtikinamai. Tačiau tai – ne vadovas, o dirbtinio intelekto (DI) pagalba sukurta sukčių apgaulė. Tokie scenarijai jau nebėra tik teoriniai – Lietuvos verslas vis dažniau susiduria su nuolat sudėtingėjančiomis sukčiavimo schemomis, kurių tikslas – pasinaudoti patiklumu ir išvilioti lėšas. Ekspertai atkreipia dėmesį, kad efektyviausias ginklas prieš jas – grėsmėms pritaikyti vidiniai saugumo procesai, jų laikymasis ir atidumas detalėms.

Pernai Lietuvoje užfiksuota beveik 15,5 tūkst. sukčiavimo atvejų, nukreiptų į įmones ir gyventojus. Sukčių pasikėsinta suma siekė apie 58,8 mln. eurų, rodo Lietuvos pinigų plovimo prevencijos kompetencijų centro duomenys.

„Svarbu suprasti ne tik mastą, bet ir tai, kaip keičiasi atakos. Kalbant apie verslą, sukčiai vis dažniau renkasi ne atsitiktines aukas, o kryptingai taikosi į konkrečias įmones – analizuoja jų veiklą, partnerius, darbuotojų roles. Į procesą dar pasitelkiami ir DI įrankiai – dėl to jų siunčiami laiškai ar prašymai tampa sunkiai atskiriami nuo realių verslo situacijų“, – sako Žygeda Augonė, „Swedbank“ informacinės saugos vadovė.

Populiariausi atakų tipai

Viena dažniausių ir finansiškai skaudžiausių schemų Lietuvos verslui – perimtas įmonių tarpusavio susirašinėjimas ir pakeisti mokėjimo rekvizitai.

„Tokiais atvejais įmonės dažnai net nepastebi, kad bendrauja jau ne su partneriu, o su sukčiais. Taip nutiko vienai klinikai, kuri interjero dekorui užsakinėjo 30 tūkst. eurų vertės paveikslus iš užsienio. Įmonė pervedė pinigus, bet galerija jų negavo. Vėliau paaiškėjo, kad sukčiai perėmė susirašinėjimą ir sąskaitoje galerijos sąskaitos numerį pakeitė į savo“, – teigia Ž. Augonė.

Ne mažiau pavojingos schemos, kai sukčiai apsimeta įmonių vadovais ar aukščiausio lygio partneriais. Tokiose situacijose darbuotojai raginami skubiai atlikti pavedimus, dažnai pabrėžiant konfidencialumą ir laiko spaudimą.

„Čia svarbiausiu elementu yra skubos jausmas bei skambinančiojo autoritetas. Žmogus skatinamas veikti greitai, netikrinant informacijos ir nesikonsultuojant su kolegomis. Pavyzdžiui, gaunamas laiškas ar net skambutis iš „vadovo“ su prašymu nedelsiant apmokėti sąskaitą, nes kitaip sugrius didelis sandoris. Būtent tai ir leidžia nusikaltėliams pasiekti rezultatą“, – sako Ž. Augonė.

Taip pat verslas vis dar dažnai nuvertina duomenų viliojimo (angl. phishing) tipo atakas, nors jos išlieka viena dažniausių grėsmių. Jų metu siunčiami laiškai ar žinutės, kurie savo išvaizda, tonu praktiškai nesiskiria nuo įprastų įmonės dokumentų.

„Tokiuose laiškuose dažniausiai prašoma suvesti savo paskyrų duomenis ar prisijungti prie realistiškai atrodančių, bet sukčių sukurtų sistemų. Šiandien tam sukčiai itin aktyviai išnaudoja įvairius DI įrankius, kurie jiems leidžia greitai ir gana kokybiškai sugeneruoti laiškus, žinutes, kurias daliai darbuotojų tikrai gali būti sudėtinga atskirti“, – pažymi Ž. Augonė.

Dirbtinis Intelektas – nauja sukčių priemonė

„Jau šiandien DI sprendimai leidžia atkurti žmogaus balsą ar net vaizdą realiu laiku. Tai reiškia, kad ateityje galime susidurti su situacijomis, kai darbuotojui per „Teams“ ar kitą platformą paskambins jo vadovo išvaizdos ir balsu kalbantis asmuo, prašantis skubiai atlikti pavedimą ar perduoti jautrią informaciją“, – sako Ž. Augonė.

Pasak jos, tokio tipo atakos iš esmės keičia sukčiavimo pobūdį – jei anksčiau buvo galima pasikliauti kalbos klaidomis ar įtartinais laiškais, dabar sukčiai geba atkartoti ne tik kalbą, bet ir bendravimo manierą, mimikas ar net emocijas.

Rizikai mažinti – draugiškas įtarumas

Anot informacinės saugos ekspertės, nors sukčiavimo schemos tampa vis sudėtingesnės, didžioji jų dalis vis dar išnaudoja elementarius procesų trūkumus įmonėse ar dėmesio stygių. Todėl svarbiausia – ne vien technologijos, bet ir disciplina. Nors technologiniai sprendimai yra svarbūs ir gali reikšmingai prisidėti prie saugumo stiprinimo, žmogiškas elgesys, atidumas ir nuoseklus taisyklių laikymasis turi lygiavertę reikšmę užkertant kelią incidentams.

„Pirmiausia būtina įprasti tikrinti visus mokėjimo duomenis, dar geriau būtų juos automatizuoti, kad nebūtų taip lengva pakeisti, ypač jei prašoma senuosius pakeisti naujais. Net ir gavus prašymą iš partnerio ar vadovo, verta pasitikrinti informaciją kitu kanalu – paskambinti ar parašyti naudojant anksčiau turėtus kontaktus. Dar vienas efektyvus apsaugos būdas – sutartos frazės ar slaptažodžiai, t. y. vadovas, prašydamas atlikti tam tikrą operaciją, turi pasakyti frazę ar slaptažodį, kuriuos žino tik jis bei tas operacijas atliekantys darbuotojai“, – sako Ž. Augonė.

Ji taip pat pabrėžia, kad vienas efektyviausių saugiklių – aiškūs vidiniai procesai. Didesni mokėjimai turėtų būti tvirtinami bent dviejų darbuotojų, o prieigos prie finansinių sistemų reguliariai peržiūrimos ir atnaujinamos.

Ne mažiau svarbus ir darbuotojų pasirengimas: „Darbuotojai, dirbantys su įmonės finansais, turi nuolat būti informuojami apie naujausias sukčiavimo schemas. Praktika rodo, kad net paprasti mokymai ar simuliacijos leidžia ženkliai sumažinti riziką.“

Galiausiai, įtarus sukčiavimą, svarbiausia reaguoti nedelsiant. Kuo greičiau apie incidentą informuojamas bankas ir teisėsaugos institucijos, tuo didesnė tikimybė sustabdyti lėšų pervedimą ar jas susigrąžinti. Pernai Lietuvos finansų įstaigos sustabdė ir neleido sukčiams pasisavinti daugiau nei 38 mln. eurų, kai 2024 m. ši suma siekė apie 15 mln. eurų, rodo Lietuvos pinigų plovimo prevencijos kompetencijų centro duomenys.

Plačiau apie sukčių atakas prieš Lietuvos verslą ir patarimus, kaip nuo jų apsisaugoti, žiūrėkite specialioje „Swedbank“ laidoje:

Ačiū, kad skaitai mūsų tinklaraštį. Nori į finansus nerti giliau? Užduok klausimų virtualiam asistentui AIVA. Jis veikia dirbtinio intelekto (DI) pagrindu ir padeda greičiau bei patogiau rasti dominančią informaciją