Pereiti prie pagrindinio turinio

Kaip apsisaugoti nuo sukčiavimo atakų

Sukčiavimas (phishing) yra pagrindinė paskyrų vagysčių priežastis. Kaip veikia šiuolaikinis sukčiavimas, įspėjamieji ženklai ir gynybos priemonės, kurios iš tikrųjų sustabdo atakas.

Paskutinį kartą atnaujinta: 2026 m. balandžio 14 d.

Trumpai

  • Sukčiavimas (phishing) yra pagrindinė paskyrų perėmimo priežastis — užpuolikai apgauna jus, kad prisijungimo duomenis įvestumėte netikroje svetainėje.
  • Šiuolaikiniai sukčiavimo rinkiniai klonuoja prisijungimo puslapius iki pikselio ir realiu laiku persiunčia jūsų 2FA kodus.
  • Aparatiniai saugos raktai (YubiKey, FIDO2) yra vienintelė iš principo apsaugota nuo sukčiavimo gynybos priemonė.
  • Slaptažodžių tvarkyklės apsaugo jus atsisakydamos automatiškai užpildyti formas netinkamame domene.
  • Prieš įvesdami prisijungimo duomenis patikrinkite tikslų domeną ir niekada neprisijunkite paspaudę nuorodą el. laiške.

Kas yra sukčiavimas (phishing)?

Sukčiavimas – tai socialinės inžinerijos ataka, kai užpuolikas sukuria įtikinamą teisėtos svetainės kopiją — dažnai atrodančią identiškai iki pikselio — ir apgauna auką, kad ji ten įvestų prisijungimo duomenis. Kai tik auka pateikia formą, užpuolikas perimia vartotojo vardą, slaptažodį ir bet kokį antrą veiksnį, o tada per kelias sekundes juos panaudoja perimti tikrąją paskyrą.

Terminas kilęs iš „žvejojimo" (angl. fishing) aukų su masalu (paprastai el. laišku) metaforos. Rašyba pakeista siekiant pabrėžti, kad užpuolikai dažnai naudoja telefoną (SMS sukčiavimas arba „smishing") ir profesionaliai atrodančią infrastruktūrą.

Kodėl sukčiavimas vis dar yra grėsmė Nr. 1

Dauguma šiuolaikinių didelių masto paskyrų pažeidimų nesusijusi su įsilaužimu, slaptažodžių laužymu ar šifravimo apeitymu. Jie susiję su žmogumi, įvedančiu slaptažodį į netikrą svetainę. Sukčiavimas yra:

  • Pigus — užpuolikas gali siųsti milijonus el. laiškų už virtualaus serverio ir suklastoto domeno kainą
  • Sunkiai filtruojamas — šiuolaikiniai rinkiniai rotaciškai keičia domenus, naudoja teisėtą prieglobą ir prisitaiko prie filtrų realiu laiku
  • Veiksmingas — net saugumo srities išmanantys vartotojai pasiduoda gerai parengtiems taikomiems bandymams (sukčiavimas taikant asmenines žinias)
  • Keičiamo masto — vienas sėkmingas sukčiavimo atvejis dažnai suteikia prieigą prie dešimčių susijusių paslaugų per pakartotinį slaptažodžių naudojimą

2024 m. „Verizon" duomenų pažeidimų tyrimų ataskaitoje nustatyta, kad sukčiavimas buvo pradinė prieigos priemonė daugiau nei 36 % visų pažeidimų — daugiau nei bet kuri kita atskira priežastis.

Kaip veikia šiuolaikinis sukčiavimas

Sukčiavimas pažengė toli nuo 2000-ųjų „Nigerijos princo" el. laiškų. Šiuolaikinė sukčiavimo ataka paprastai apima:

1. Įtikinamas masalas

Paprastai tai el. laiškas, tekstinė žinutė ar pokalbių žinutė, kurianti skubumą („jūsų paskyra bus sustabdyta"), autoritetą („Microsoft saugumo komanda") arba smalsumą („kažkas pažymėjo jus nuotraukoje"). Taikomas sukčiavimas eina toliau — naudoja asmenines detales, surinktas iš LinkedIn, nutekėjusių duomenų bazių ar ankstesnio susirašinėjimo.

2. Iki pikselio tikslus netikras puslapis

Užpuolikai naudoja jau paruoštus sukčiavimo rinkinius, klonuojančius tikslinio puslapio HTML, CSS ir JavaScript kodą. Daugelis rinkinių parduodami kaip paslauga (phishing-as-a-service) su veikiančiomis valdymo skydeliais ir klientų aptarnavimu.

3. Realaus laiko tarpinis serveris 2FA apeiti

Pavojingiausia dalis: šiuolaikiniai rinkiniai ne tik fiksuoja jūsų slaptažodį. Jie veikia kaip vidurio atakos tarpinis serveris, per kelias sekundes persiunčiantis viską, ką įvedate — įskaitant jūsų TOTP kodą — į tikrą svetainę, taip apeibdami daugumą 2FA. Ši technika vadinama priešininku viduryje (AiTM) ir naudojama tokiuose įrankiuose kaip Evilginx2 ir Modlishka.

4. Sesijos rakto vagystė

Kai autentifikuojatės per tarpinį serverį, užpuolikas perimia jūsų sesijos slapuką ir gali jį naudoti, kad liktų prisijungęs net po to, kai pakeisite slaptažodį. Štai kodėl reaguojant į sukčiavimą visada reikia atšaukti aktyvias sesijas, o ne tik keisti slaptažodį.

Kas iš tikrųjų sustabdo sukčiavimą

Aparatiniai saugos raktai (FIDO2 / WebAuthn)

Tai vienintelė gynybos kategorija, kuri yra apsaugota nuo sukčiavimo iš principo. Kai prisijungiate naudodami FIDO2 raktą, jis kriptografiškai patikrina tikslų autentifikacijos prašančios svetainės domeną. Netikra svetainė — kad ir kokia vizualiai tobula būtų — turi kitą domeną, todėl raktas atsisako atsakyti. Kriptografinis rankos paspaudimas tiesiog neužbaigiamas.

Google garsiai įpareigojo naudoti YubiKey visus daugiau nei 85 000 darbuotojų 2017 m. ir vėlesniais metais pranešė apie nulines sėkmingas sukčiavimo atakas prieš įmonės paskyras.

Slaptaraktiai (passkeys)

Slaptaraktiai yra vartotojui draugiška FIDO2 evoliucija. Jie naudoja tą pačią domenu pagrįstą kriptografiją ir yra integruoti į iOS, Android, macOS ir Windows. Jei svetainė, kurią naudojate, palaiko slaptarakčius, juos įjungus ta paskyra tampa apsaugota nuo sukčiavimo.

Slaptažodžių tvarkyklės

Slaptažodžių tvarkyklė yra antroji gynybos linija, nes automatiškai užpildo prisijungimo duomenis tik tiksliai tame domene, kuriame jie buvo išsaugoti. Jei atsidursite paypaI.com (didžiąja I) vietoje paypal.com, tvarkyklė tyliai atsisakys užpildyti formą. Tas atsisakymas yra ryškus įspėjimas, kad kažkas negerai.

El. pašto ir DNS filtravimas

El. pašto paslaugų teikėjai naudoja DMARC, SPF ir DKIM, kad aptiktų suklastotus siuntėjų adresus. Dauguma šiuolaikinių teikėjų sugauna akivaizdžius bandymus, tačiau taikomi išpuoliai vis tiek praslysta. Įjunkite mygtukus „Pranešti apie sukčiavimą" savo el. pašto kliente, kad padėtumėte gerinti filtrus.

Įspėjamieji ženklai, kurių reikia saugotis

Kai gaunate žinutę, prašančią prisijungti, patvirtinti ar nedelsiant veikti:

  • Skubumas ir grasinimai — „jūsų paskyra bus uždaryta per 24 valandas"
  • Bendri sveikinami — „Gerbiamas klientas", o ne jūsų vardas
  • Panašiai atrodantys domenaipaypaI.com, app1e.com, secure-microsoft-login.net
  • Netikėti priedai — ypač .zip, .html arba .pdf failai, prašantys prisijungti, kad galėtumėte juos peržiūrėti
  • Gramatikos ar formatavimo klaidos — didelės bendrovės korektūruoja savo el. laiškus
  • Nuorodos neatitikimas — užveskite pelę ant nuorodos ir patikrinkite, ar paskirties adresas atitinka tekstą

Jei kažkas atrodo įtartina, uždarykite el. laišką. Eikite į svetainę rankiniu būdu. Jei iš tikrųjų kyla problema, ją pamatysite prisijungę įprastu būdu.

Ką daryti, jei patekote į spąstus

Veikite greitai — greitis svarbus, nes užpuolikai pradeda naudoti prisijungimo duomenis per kelias minutes.

  1. Nedelsiant pakeiskite slaptažodį kitame įrenginyje (pvz., telefone, jei patekote į spąstus naudodami nešiojamąjį kompiuterį)
  2. Atšaukite visas aktyvias sesijas paskyros nustatymuose — tai išmetė visus, kurie šiuo metu naudoja pavogtus sesijos raktus
  3. Įjunkite 2FA, jei jis dar nebuvo įjungtas, ir jei įmanoma, naudokite aparatinį raktą arba slaptaraktį
  4. Patikrinkite, ar nėra neleistinos veiklos — išsiųstų el. laiškų, naujausių prisijungimų, atsiskaitymo pakeitimų, naujų peradresavimo taisyklių
  5. Praneškite paveiktai įstaigai, jei tai finansinė ar darbo paskyra
  6. Patikrinkite kitas paskyras, kuriose naudojote tą patį slaptažodį — net jei esate tikri, kad slaptažodžių nekartojate, vis tiek patikrinkite

Apibendrinimas

Sukčiavimas klesti todėl, kad apeina technologijas ir taikosi į žmones. Geriausia gynyba apima tris lygius: slaptažodžių tvarkykles (atsisako automatiškai užpildyti formas netinkamuose domenose), sukčiavimui atsparius 2FA (aparatiniai raktai arba slaptaraktiai, susieti su tikru domenu) ir sveiką skepticizmą (niekada neprisijunkite paspaudę el. laiško nuorodą).

Pirmiausia įjunkite visus tris svarbiausiai paskyroje — el. pašte. Po to visa jūsų skaitmeninio gyvenimo dalis taps gerokai saugesnė.

Kaip apsisaugoti nuo sukčiavimo

Praktinis, nuoseklus kontrolinis sąrašas, padėsiantis apsunkinti paskyrų perėmimą sukčiavimo atakų metu.

  1. Naudokite slaptažodžių tvarkyklę:Įdiekite patikimą slaptažodžių tvarkyklę (1Password, Bitwarden, Proton Pass) ir leiskite jai automatiškai užpildyti prisijungimo duomenis. Ji atsisakys užpildyti formas panašiai atrodančiuose domenose — tai integruotas sukčiavimo aptikimo mechanizmas.
  2. Įjunkite sukčiavimui atsparų 2FA:Prie svarbiausių paskyrų pridėkite FIDO2 aparatinį raktą (YubiKey, Google Titan) arba slaptaraktį (passkey) — pirmiausia el. pašto, paskui bankininkystės, debesų saugyklos ir slaptažodžių tvarkyklės. Tai vieninteliai 2FA metodai, kurie iš tikrųjų sustabdo šiuolaikinį sukčiavimą.
  3. Niekada neprisijunkite paspaudę el. laiško nuorodas:Gavę el. laišką su prašymu prisijungti, uždarykite jį ir rankiniu būdu eikite į svetainę per žymę arba įvesdami URL. Nuoroda el. laiške gali vesti į tobulą kloną; žymė naršyklėje — ne.
  4. Prieš rašydami patikrinkite tikslų domeną:Prieš įvesdami bet kokį slaptažodį, pažiūrėkite į pilną URL adreso juostoje. Ieškokite https, taisyklingos rašybos ir neįprastų subdomenų, pvz., paypal.com.secure-login.net.
  5. Praneškite ir tęskite dieną:Praneškite apie sukčiavimo bandymą savo el. pašto paslaugų teikėjui (daugelis turi mygtuką „Pranešti apie sukčiavimą"). Tada tęskite dieną — sukčiavimas pavojingas tik tada, kai jis pavyksta, o sąmoningumas yra didžioji dalis kovos.

Dažniausiai užduodami klausimai