duomenų viliojimas

duomen viliójimas, fšingas (angl. phishing), sukčiavimo būdas, kai apsimetant patikimu fiziniu ar juridiniu asmeniu siekiama išgauti neskelbtiną informaciją, pvz., vartotojų vardus ir slaptažodžius, banko sąskaitas, mokėjimo ir kredito kortelių numerius ir kita. Terminas fišingas pirmą kartą pavartotas apie 1995. Jis kilo iš žodžių junginio slaptažodžių žvejyba (angl. password fishing).

Populiariausi duomenų viliojimo būdai: suklastoti elektroniniai laiškai (jie atrodo tarsi gauti iš bankų, mokėjimo sistemų ar kitų patikimų institucijų, juose prašoma pateikti duomenis ar paspausti nuorodą); SMS žinutės (trumpieji pranešimai su skubiu prašymu paspausti nuorodą ar pateikti informaciją; dar vadinama smišingu (angl. smishing)); netikros interneto svetainės (sukuriama į oficialią panaši svetainė, kurioje prašoma įvesti slaptažodžius ar kitą vartotojų informaciją); telefoniniai skambučiai (sukčiai apsimeta oficialių institucijų atstovais ir bando išgauti asmeninius duomenis; toks būdas vadinamas višingu (angl. vishing)).

Duomenų viliojimas yra viena iš socialinės inžinerijos formų, kai naudojant įvairius manipuliavimo būdus žmogus pats atiduoda sukčiams slaptažodžius ar kitą jautrią asmeninę informaciją. Pvz., asmuo gauna pranešimas iš Valstybinės mokesčių inspekcijos, kad už kelių eismo taisyklių pažeidimą jam skirta bauda. Tokiame elektroniniame laiške būna nuoroda, kurią paspaudus neva galima sumokėti baudą. Paspaudus nuorodą vartotojas nukreipiamas į interneto svetainę, kuri yra panaši į Valstybinės mokesčių inspekcijos svetainę, bet iš tikrųjų ji yra sukčių sukurta svetainės kopija. Šioje svetainėje užpildžius baudos mokėjimo formą, įvedus banko duomenis ir atlikus pavedimą pinigai patenka ne į Valstybinės mokesčių inspekcijos, bet į sukčių sąskaitą. Gavus bent kiek įtartiną pranešimą, ypač kuriame prašoma pateikti konfidencialią informaciją, jis visuomet turi būti kritiškai įvertinamas. Paprastai nei bankai, nei valstybinės institucijos neprašo elektroniniu paštu, SMS žinutėmis ar kitais pranešimų kanalais pateikti konfidencialios informacijos.

duomenų viliojimui naudojamo SMS pranešimo pavyzdys

Duomenų viliojimas naudojant QR kodus (angl. quishing) yra palyginti naujas duomenų viliojimo būdas. Kadangi techninės priemonės leidžia aptikti laiškus su įtartinomis nuorodomis, sukčiai naudoja QR kodus, kuriuose užkoduoja kenksmingas nuorodas taip, kad neaptinka elektroninio pašto filtravimo programos. Nuskaitęs kodą vartotojas nukreipiamas į sukčių svetainę. Kadangi nesinaudomas programa asmuo QR kodo perskaityti negali, jame užkoduotą nuorodą sunku patikrinti. Vartotojai dar nėra įpratę tikrinti QR kodų, siunčiamų elektroniniu paštu, skelbiamų socialiniuose tinkluose, skelbimuose spaudoje ar kaip lipduko užklijuoto ant tikro QR kodo, nurodyto įprastame skelbime ar reklaminiame lankstinuke. Paprastai suklastotas QR kodas nukreipia į kenksmingą svetainę, skirtą asmeninei informacijai, prisijungimo duomenims ar finansiniams duomenims vogti. Norint apsisaugoti nuo šio sukčiavimo būdo reikia laikytis tokių pačių taisyklių kaip ir siekiant išvengti kitų duomenų viliojimo būdų – tikrinti šaltinio, atsiuntusio kodą, patikimumą arba tiesiog neskenuoti kodo.

Duomenų viliojimo būdai gali būti atpažįstami dėl laiškuose ar pranešimuose dažnai pasitaikančių gramatikos ir stiliaus klaidų. Tobulėjant automatinio vertimo įrankiams ir dirbtinio intelekto technologijoms suklastoti elektroniniai laiškai bei žinutės tampa vis sunkiau atskiriamos nuo tikrų laiškų ar žinučių. Suklastotuose pranešimuose paprastai reikalaujama nedelsiant imtis veiksmų, skatinamas skubotumo jausmas, žmogui neduodama laiko pagalvoti, siekiama sukelti emocijas, kad nesuveiktų asmens savisaugos mechanizmai. Kilus įtarimams geriausia tiesiogiai susisiekti su organizacija, iš kurios neva gautas pranešimas, ir išsiaiškinti, ar ji tikrai siuntė tokį pranešimą.

Duomenų viliojimo atakų padedančios išvengti priemonės yra vartotojų švietimas, specialūs įstatymai, viešinimas ir techniniai metodai, pvz., antivirusinės programos, laiškų filtravimo programos serveriuose, ugniasienės ir nuolatinis mobiliųjų įrenginių ar kompiuterių programinės įrangos atnaujinimas. Lietuvoje duomenų viliojimo atakos dažniausiai būna nukreiptos prieš bankų klientus – siekiama sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis.

2727

Autorius (-iai)
Redaktorius (-iai)
Publikuota
Redaguota

	Funkciniai slapukai (būtini) Šie slapukai yra būtini, kad veiktų svetainė, ir negali būti išjungti. Šie slapukai nesaugo jokių duomenų, pagal kuriuos būtų galima jus asmeniškai atpažinti, ir yra ištrinami išėjus iš svetainės.
	Našumo slapukai Šie slapukai leidžia apskaičiuoti, kaip dažnai lankomasi svetainėje, ir nustatyti duomenų srauto šaltinius – tik turėdami tokią informaciją galėsime patobulinti svetainės veikimą. Jie padeda mums atskirti, kurie puslapiai yra populiariausi, ir matyti, kaip vartotojai naudojasi svetaine. Tam mes naudojamės „Google Analytics“ statistikos sistema. Surinktos informacijos neplatiname. Surinkta informacija yra visiškai anonimiška ir tiesiogiai jūsų neidentifikuoja.
	Reklaminiai slapukai Šie slapukai yra naudojami trečiųjų šalių, kad būtų galima pateikti reklamą, atitinkančią jūsų poreikius. Mes naudojame slapukus, kurie padeda rinkti informaciją apie jūsų veiksmus internete ir leidžia sužinoti, kuo jūs domitės, taigi galime pateikti tik Jus dominančią reklamą. Jeigu nesutinkate, kad jums rodytume reklamą, palikite šį langelį nepažymėtą.