Nepasitikėk pirmu numeriu: kaip sukčiai grobsto telefono numerius Google paieškoje ir DI atsakymuose

Kabliukas: vienas skambutis, kurio neinicijavai

Įsivaizduok įprastą situaciją. Reikia paskambinti į banką — kortelė užblokuota, dingo pinigai, nesiseka prisijungti. Į Google įrašai „bank of america phone number", o viršuje puikuojasi DI apžvalga (angl. AI Overview) su paryškintu numeriu: 1-800-432-1000, darbo valandos, viskas atrodo tvarkinga. Paskambini ir kalbi su maloniu „operatoriumi".

Klausimas, kurį per mažai kas užduoda: iš kur žinai, kad tas numeris tikras?

Šiuo konkrečiu atveju numeris teisingas — tai oficiali Bank of America linija. Bet tokia pati paieška su banku, oro linija, prekės ženklu ar pristatymo tarnyba vis dažniau grąžina numerį, kuris priklauso ne įmonei, o sukčiams. Ir žmogus jo net nepatikrina, nes atsakymą pateikė „protingas" dirbtinis intelektas, o ne kažkoks abejotinas forumas.

Šis straipsnis apie tai, kaip tokia apgaulė veikia, kodėl DI atsakymai ją padarė pavojingesnę nei bet kada, ir ką konkrečiai daryti, kad neįkliūtum.

Kodėl „patikima vieta" nebūtinai patikima

Yra sena, gerai žinoma sukčių schema: internete pasėti melagingus klientų aptarnavimo numerius ir laukti, kol kas nors jais patikės. Skirtumas tas, kad anksčiau tie numeriai slėpėsi paieškos rezultatų apačioje ar abejotinuose puslapiuose — dabar jie kartais atsiduria pačiame viršuje, DI sugeneruotame „atsakyme", kuris atrodo autoritetingas.

Esmė paprasta: paieškos sistema ir DI nerodo tikrų faktų — jie rodo tai, ką dažniausiai kartoja internetas. Jei sukčiai savo numerį pakankamai dažnai „prilipdo" prie įmonės pavadinimo įvairiuose puslapiuose, algoritmas ilgainiui pradeda jį laikyti tiesa.

Kaip sukčiai tai daro: nuo SEO iki DI „nuodijimo"

Techniškai tai kelių sluoksnių žaidimas. Verta suprasti mechanizmą, nes tada pavojaus ženklai tampa akivaizdūs.

  1. SEO nuodijimas (angl. SEO poisoning). Sukčiai kuria puslapius, prikimštus raktinių žodžių („banko klientų aptarnavimas", „oro linijų pagalbos numeris") ir dirbtinių nuorodų, kad apgautų Google reitingavimo algoritmą ir pakiltų į viršų. Ypač taikomasi į „skubias" paieškas — dingęs siuntinys, atšauktas skrydis, užblokuota kortelė — nes tada žmogus skambina neapgalvodamas.
  2. Numerių sėjimas ten, kur DI „skaito". Sukčiai savo numerius palieka atsiliepimų svetainėse, forumuose, „Yelp" verslo puslapiuose, „YouTube" aprašuose, net PDF failuose, įkeltuose į nulaužtus universitetų ar valstybinių įstaigų (.edu, .gov) tinklalapius. Nuoroda iš tokio patikimo domeno suteikia melui autoriteto svorį.
  3. Turinys, specialiai „pagamintas" dirbtiniam intelektui. Kibernetinio saugumo bendrovė Aurascape 2025–2026 m. aprašė reiškinį, kurį vadina GEO/AEO nuodijimu (Generative / Answer Engine Optimization). Skirtumas nuo klasikinio SEO esminis: jei anksčiau tikslas buvo pakilti reitinguose, tai dabar tikslas — tapti tuo vieninteliu turiniu, kurį DI pasirenka, apibendrina ir pateikia kaip „atsakymą". Todėl sukčiai savo numerius pateikia tvarkingu, struktūruotu, „klausimas–atsakymas" formatu, kurį kalbos modeliai ypač mėgsta perpasakoti.

Svarbi detalė: Aurascape tyrimas parodė, kad problema neapsiriboja vienu įrankiu. Net kai modelis pateikia teisingą atsakymą, jo cituojami šaltiniai kartais būna užnuodyti — pavyzdžiui, „Yelp" puslapis, apkrautas botų sukurtais atsiliepimais su sukčių numeriais. Tai sisteminė, o ne vieno tiekėjo problema.

Kodėl DI atsakymas pavojingesnis nei įprasta nuoroda

Anksčiau Google grąžindavo dešimt mėlynų nuorodų, ir žmogus bent teoriškai galėjo palyginti kelis šaltinius. DI apžvalga duoda vieną, pasitikintį, apibendrintą atsakymą — be palyginimo, be konteksto, dažnai su įspūdžiu, kad tai galutinė tiesa.

Prie to prisideda psichologija. DI atsakymas atrodo neutralus ir „mašininis", todėl mažiau įtarus nei reklama ar forumo komentaras. O jei žmogus dar ir skuba (kortelė užblokuota, reikia perbukuoti bilietą), kritinis mąstymas išsijungia visiškai.

Būtent todėl kai kurie paieškos ekspertai sako, kad Google apskritai neturėtų rodyti DI apžvalgų, kai ieškoma įmonės telefono numerio — taip tik atveriamos naujos durys sukčiams.

Realūs pavyzdžiai (ne teorija)

Kruizų kompanijos atvejis

Washington Post aprašė nekilnojamojo turto verslininką iš Las Vegaso, kuris ruošdamasis kelionei ieškojo Royal Caribbean klientų aptarnavimo numerio. Įmonės programėlėje numerio nerado, todėl paklausė Google — ir paskambino numeriu iš DI apžvalgos. „Operatorius" skambėjo įtikinamai: žinojo mikroautobusų kainas ir stoteles Venecijoje, mandagiai atsakė į visus klausimus, net pasiūlė atsisakyti tam tikrų mokesčių. Vyras sumokėjo kortele. Kitą dieną pamatė įtartinus nurašymus ir suprato kalbėjęs su apsimetėliu. Jo paties žodžiais — jis laiko save technologiškai pažengusiu ir vis tiek įkliuvo.

Tas pats numeris — kelios kompanijos. Žurnalistas nustatė, kad tas pats sukčių numeris „apsimetinėjo" ir kitų kruizų linijų pagalbos telefonais, iškildamas tiek Google, tiek ChatGPT atsakymuose.

Oro linijos ir kelionės

Vartotojai pranešė apie panašius atvejus ieškodami, kaip pataisyti klaidingai užrašytą vardą Southwest biliete, arba bandydami susisiekti su British Airways — DI grąžino sukčių numerius, kurie bandė nuskaičiuoti šimtus dolerių „už pakeitimą".

Pristatymo tarnyba, kuri išvis neturi telefono

Vienas žmogus ieškojo maisto pristatymo tarnybos „klientų aptarnavimo numerio", gavo jį iš DI ir paskambino. „Operatorius" liepė bendrinti ekrano vaizdą ir patvirtinti mokėjimo užklausą. Tik vėliau paaiškėjo, kad ta įmonė apskritai neturi telefoninio aptarnavimo — tik pokalbių langą. Numeris nuo pradžios iki galo buvo prasimanytas.

Vis kitas numeris

Vienas naudotojas pastebėjo, kad ieškant draudimo bendrovės numerio DI kiekvieną kartą grąžindavo skirtingą, su įmone nesusijusį numerį — aiškus ženklas, kad atsakymas paremtas ne oficialiu šaltiniu.

Statistika: JAV Federalinės prekybos komisijos (FTC) duomenimis, 2024 m. amerikiečiai pranešė praradę apie 12,5 mlrd. dolerių dėl sukčiavimo, o apsimetėlių schemos buvo dažniausiai pranešama kategorija.

Kita apgaulės kryptis: telefono numerių klastojimas (spoofing)

Iki šiol kalbėjome apie situaciją, kai tu skambini blogam numeriui. Bet apgaulė veikia ir priešinga kryptimi.

Numerio klastojimas (angl. caller ID spoofing) leidžia sukčiui pačiam paskambinti tau, o tavo telefone rodomas... tikras banko ar valstybinės įstaigos numeris. Technologija, kuri turėtų rodyti, kas skambina, seniai apgaudinėjama — numerį galima suklastoti taip pat lengvai, kaip užrašyti melagingą adresą ant voko.

Todėl klaidinga taisyklė „jei rodo banko numerį, vadinasi, tai bankas" neveikia. Sukčiai net taiko dvigubą triuką: iš pradžių pasėja melagingą numerį internete, o paskui juo pat ir skambina, kad viskas atrodytų nuoseklu ir įtikinama.

Auksinė taisyklė: niekada nepasitikėk skambučiu, kurio pats neinicijavai. Jei tau paskambino „bankas", padėk ragelį ir pats perskambink numeriu iš kortelės nugarėlės ar oficialios programėlės.

Pavojaus ženklai, į kuriuos verta reaguoti akimirksniu

  • Skubinimas ir spaudimas. „Reikia veikti dabar, kitaip prarasite pinigus / bilietą / paskyrą." Sukčiai gyvena iš panikos.
  • Prašo bendrinti ekraną arba įdiegti „pagalbos" programą (nuotolinės prieigos įrankį). Tikras aptarnavimas to niekada neprašo.
  • Prašo vienkartinio kodo (OTP), PIN ar viso kortelės numerio. Rimtos įmonės neprašo perskaityti prisijungimo kodo balsu.
  • Reikalauja mokėjimo neįprastu būdu — dovanų kortelėmis, pavedimu į „laikiną" sąskaitą, kriptovaliuta.
  • Numeris niekur „neveda atgal". Jei įvedus tą patį numerį atskirai jis nesusijęs su oficialiu įmonės tinklalapiu — tai raudona vėliava.
  • Įmonė išvis neturi telefono. Kai kurios paslaugos aptarnauja tik per pokalbių langą; „karštoji linija" tuomet yra išgalvota.

Pamokos: kaip apsisaugoti (paprasta ir veiksminga)

  1. Numerio ieškok oficialiame šaltinyje, o ne paieškos „atsakyme". Eik tiesiai į įmonės svetainę, patikrink kortelės nugarėlę, sąskaitos išrašą, gaminio dėžutę ar oficialią programėlę.
  2. Adresą įvesk pats. Vietoj paspaudimo ant nuorodos ranka surink bankas.lt ar imone.com. Saugokis panašių domenų su brūkšneliais ar klaidomis (canon.com-ijsetup.comcanon.com).
  3. Praleisk reklamas ir DI apžvalgą, kai ieškai numerio. Bankams, oro linijoms, valstybinėms įstaigoms — nesirink apmokamų ar sugeneruotų rezultatų viršuje.
  4. Patikrink numerį atskirai. Įvesk patį numerį į paiešką. Tikras numeris aiškiai susisies su oficialiu įmonės tinklalapiu.
  5. Jei DI vis tiek pateikė numerį — pasižiūrėk šaltinius. Gera DI apžvalga rodo, iš kur ėmė informaciją. Jei šaltinis — forumas, „Yelp" ar atsitiktinis PDF, o ne pati įmonė, netikėk.
  6. Niekada nediktuok vienkartinio kodo. Jei kas nors jo prašo telefonu — dėk ragelį.
  7. Skambučio niekada nepasitikėk, jei pats jo nepradėjai. Padėk ragelį ir perskambink oficialiu numeriu.
  8. Sulėtėk. Kelios papildomos minutės patikrinimui yra pigiau nei apvogta sąskaita. Skubinimas — tai ne aplinkybė, o įrankis prieš tave.
  9. Įsijunk dvigubą autentifikaciją (MFA). Net jei suklysi ir atskleisi slaptažodį, papildomas sluoksnis apsunkins prieigą.
  10. Įsimink svarbiausius numerius į žymes. Banko, draudiko, dažniausių paslaugų oficialius kontaktus išsaugok telefone iš anksto — tada nereikės jų ieškoti panikoje.

Ką daryti, jei jau įkliuvai

  • Nedelsdamas skambink į banką oficialiu numeriu ir blokuok kortelę.
  • Ginčyk mokėjimą. Sumokėjus kortele, dažnai galima inicijuoti chargeback ir susigrąžinti pinigus — svarbu reaguoti greitai.
  • Pasikeisk slaptažodžius paskyroms, kurių duomenis galėjai atskleisti, ir įjunk MFA.
  • Jei įdiegėi „pagalbos" programą ar bendrinai ekraną — atjunk įrenginį nuo interneto, pašalink programą, pasitikrink dėl kenkėjų.
  • Pranešk. Lietuvoje — policijai ir savo bankui; tai padeda blokuoti numerį ir apsaugoti kitus.

Pabaigos žodis

DI apžvalga atrodo kaip galutinis atsakymas — bet dažnai tai tik greičiausias interneto atspindys, kurį sukčiai jau iš anksto suformavo sau naudinga. Problema ne tame, kad žmonės kvaili, o tame, kad pasitikėjimo sluoksnis persikėlė iš oficialaus šaltinio į algoritmą, kuris neturi atsakomybės už tavo sąskaitą.

Kelios papildomos minutės patikrinimui — arba iš anksto išsaugoti oficialūs kontaktai — kainuoja mažiau nei vienas klaidingas skambutis. Jei norite padėti komandai ar šeimai atpažinti tokias schemas anksčiau, nei jos tampa skambučiu — phishingo simuliacija, kibernetinės higienos mokymai ir smishing gidas yra geras pradinis taškas. Organizacijoms — kibernetinio saugumo paslaugos.

← Grįžti į blogą