Kodėl „nespausk nuorodos“ nebeveikia: smishing anatomija ir kaip realiai apsaugoti telefoną

Kabliukas: dvi sekundės, kurios pakeičia viską

Pokalbis prasidėjo paprastai: „Labas." Atsakymas – „Papuoliau." Tarp šių dviejų žinučių telefone atsirado trečioji – tariamai iš „epolicijos", su pranešimu apie „privalomą patikrinimą" ir nuoroda epolicija.e-vmi.ltd.

Atrodo akivaizdu, tiesa? Tikras VMI domenas baigiasi .lt, o čia – .ltd. Pavadinimas susideda iš dviejų pažįstamų žodžių („epolicija" + „e-vmi"), sujungtų taip, kad sukurtų pasitikėjimo iliuziją. Bet šis straipsnis nėra apie tai, kaip „atpažinti" suklastotą nuorodą – apie tai jau prirašyta tūkstančiai straipsnių. Šis straipsnis apie kažką nepatogesnio: kodėl tie patys žmonės, kurie skaitė tuos straipsnius, vis tiek paspaudžia.

Hakerio žvilgsnis: kodėl smishing yra pigiausia ir efektyviausia ataka

Užpuolikui SMS phishing (smishing) yra dėkingas dėl trijų priežasčių:

  • Kanalas yra patikimas iš prigimties. Žmonės dešimtmečius mokomi nepasitikėti el. pašto nuorodomis, bet SMS žinutės vis dar suvokiamos kaip „asmeniškesnis", saugesnis kanalas – bankas, kurjeris, gydykla rašo SMS.
  • Ekranas yra mažas, dėmesys – trumpas. Mobiliuose naršyklės UI dažnai paslepia pilną URL, o pranešimų sąsajos (push preview) rodo tik nuorodos tekstą, ne tikslų domeną.
  • Kaina nuliui artima. SMS siuntimo įrankiai ir nutekinti telefonų numerių sąrašai kainuoja centus. Net 0,1% atsako rodiklis užpuolikui yra pelningas.

Šiuo konkrečiu atveju užpuolikas panaudojo autoritetą (valstybinė institucija) + skubą (pilnas patikrinimas „privalomas"). Tai klasikinis Cialdini įtikinėjimo principų derinys – ir jis veikia nepriklausomai nuo IQ ar IT žinių, nes veikia ne logiką, o instinktą.

Gynėjo atsakas: kodėl pakartotiniai įspėjimai turi ribas

Šis kliento atsakymas – „Papuoliau" – nėra atsitiktinis. Saugumo bendruomenėje tai vadinama awareness-behavior gap (žinojimo ir veiksmo atotrūkiu). Žmogus žino taisyklę, bet konkrečioje, emociškai įtemptoje situacijoje taisyklė nebeaktyvuojasi. Trys pagrindiniai veiksniai:

  • Kognityvinė nuovargis. Vidutinis vartotojas per dieną gauna dešimtis pranešimų. Smegenys naudoja euristiką („atrodo kaip iš banko" = tikra), nes pilna analizė kiekvienai žinutei energetiškai nepakeliama.
  • Konteksto sutapimas. Jei žmogus tuo metu tikrai turi neapmokėtų mokesčių, laukia siuntinio ar nerimauja dėl dokumentų – sukčiavimo žinutė „pataiko" tiksliai į esamą rūpestį.
  • Mobilus aplinka sumažina matomus signalus. Desktopyje matome pilną URL juostoje. Telefone – dažnai tik mygtuką su tekstu „Tikrinti čia".

Išvada edukatoriams: vien pakartotinis „būk atsargus" nebeveiks geriau po dešimtosios kartos nei po pirmos. Reikia dviejų sluoksnių apsaugos – žmogaus (suvokimas) ir technologijos (sistema, kuri sulaiko grėsmę dar prieš žmogui priimant sprendimą).

Praktinė apsauga: 5x patikrinimo metodas

Jei nuoroda jau atėjo ir sistema jos nepažymėjo, peržiūrėkite šiuos penkis punktus prieš paspausdami:

  1. Domeno galūnė. .lt.ltd, .lt.lt-vmi.com. Tikrinkite ne žodžius prieš domeną, o pačią galūnę.
  2. Siuntėjo numeris ar ID. Institucijos retai rašo iš atsitiktinio mobilaus numerio.
  3. Skubos kalba. „Privalomas", „nedelsiant", „bus blokuota" – tai emocinio spaudimo žymės, ne teisinė kalba.
  4. Ar tikrai tikitės šios žinutės? Jei VMI, bankas ar kurjeris nesusisiekė su jumis savaime – tai signalas, ne sutapimas.
  5. Patikrinkite per kitą kanalą. Atsidarykite naršyklę patys, įveskite žinomą institucijos adresą ranka – niekada per gautą nuorodą.

Technologinė apsauga: nustatymai, kurie veikia net kai jūs „nepastebėjote"

Čia – svarbiausia šio straipsnio dalis. Štai kaip įjungti realią, automatinę apsaugą telefono nustatymuose.

Android (Google Messages)

Google Messages turi įmontuotą apsaugą, kuri įspėja apie pavojingas nuorodas ir blokuoja prieigą prie kenkėjiškų svetainių, jei žinutė pažymima kaip įtartina.

Kaip įjungti

  1. Atidarykite Google Messages programą.
  2. Spauskite savo profilio ikoną (viršuje dešinėje) → Messages settings (Žinučių nustatymai).
  3. Pasirinkite Spam protection (Šlamšto apsauga) (kai kuriuose telefonuose: „Protection & Safety" → „Spam Protection").
  4. Įjunkite jungiklį Enable spam protection.

Kai funkcija įjungta, sistema automatiškai tikrina žinutėse esančias nuorodas per Google saugumo bazę ir, jei nuoroda pripažįstama pavojinga, neleidžia jos atidaryti, kol patys nepažymėsite žinutės kaip „Not spam".

Svarbu žinoti: Android sistemiškai neturi atskiro jungiklio „blokuoti visas nuorodas iš nepažįstamų numerių" – apsauga veikia per grėsmės analizę, ne per kontaktų sąrašą. Todėl Spam protection rekomenduojama derinti su 5x patikrinimo metodu. Daugiau patarimų – Android telefono apsaugos gide.

iOS (iPhone Messages)

iPhone turi funkciją, kuri yra tiksliausiai tai, ko klausiate: ji fiziškai neleidžia atidaryti nuorodos iš siuntėjo, kurio nėra jūsų kontaktuose, kol jo nepatvirtinsite.

iOS 26 ir naujesnėse versijose

  1. Eikite į Settings (Nustatymai) → Apps (Programos) → Messages (Žinutės).
  2. Suraskite skiltį Unknown Senders (Nepažįstami siuntėjai).
  3. Įjunkite Screen Unknown Senders.
  4. Papildomai įjunkite Filter Spam, jei norite, kad sistema automatiškai pažymėtų įtartinas žinutes.

iOS 18 ir senesnėse versijose

  1. SettingsMessages.
  2. Suraskite Message Filtering.
  3. Įjunkite Filter Unknown Senders.

Kai šis nustatymas įjungtas, žinutės iš nepažįstamų numerių patenka į atskirą sąrašą „Unknown Senders" ir – svarbiausia – nuorodų jose tiesiog negalima atidaryti, kol siuntėjo nepažymėsite kaip žinomą arba neatsakysite į žinutę. Tai praktiškai įgyvendina lygiai tai, ko klausiate: nuorodos iš svetimų siuntėjų yra išjungtos pagal nutylėjimą.

Pastaba: jei kažkada atsakėte į žinutę net vieną kartą („Papuoliau" irgi būtų skaičiuojamas atsakymas), siuntėjas gali būti automatiškai pažymėtas kaip „žinomas" tolesnėms žinutėms – todėl niekada neatsakykite į įtartiną žinutę, net norėdami pasityčioti iš sukčiaus. Daugiau – iPhone apsaugos gide.

Greitos pergalės vs ilgalaikė strategija

Greita pergalė (5 min.)Ilgalaikė strategija
AndroidĮjungti Spam protectionReguliariai tikrinti „Spam & blocked" aplanką, mokyti šeimą atpažinti URL galūnes
iOSĮjungti Screen Unknown SendersNiekada neatsakyti į nepažįstamas žinutes, periodiškai peržiūrėti „Unknown Senders" sąrašą
AbuPridėti banko ar VMI numerį į kontaktus iš oficialaus šaltinioOrganizuoti trumpą šeimos ar komandos pratybą su realiu smishing pavyzdžiu (phishingo simuliacija)

Pabaigos žodis

Pažįstamas, kuris parašė „Papuoliau", nėra išimtis – jis yra statistika. Phishing ir smishing sėkmės rodikliai nekrenta dėl to, kad žmonės taptų protingesni vakuume, o krenta tik tada, kai technologija pradeda dirbti vietoj atminties.

Jūsų užduotis kaip mokytojo, vadovo ar tiesiog šeimos nario – ne tik priminti „būk atsargus", bet padėti žmonėms vieną kartą įjungti nustatymus, kurie saugos juos kiekvieną kitą kartą. Daugiau – kibernetinio saugumo paslaugos, mokymai ir phishingo simuliacija organizacijoms.

← Grįžti į blogą