15min laišką parašiusi Lina (vardas pakeistas, bet redakcijai žinomas) pasakojo, kad „Payseros“ platforma naudojosi jau seniai ir jokių nesklandumų iki balandį įvykusio incidento nekilo: ji atlikdavo pervedimus, mokėjimus, naudojosi „Paysera“ kortele. Iš viso moters sąskaitoje buvo beveik 8 tūkst. eurų.
Visgi balandžio 4 dieną prisijungusi prie savo elektroninio pašto ji pastebėjo „Payseros“ atsiųstą laišką, kuriame platforma informavo apie pastebėtą įtartiną prisijungimą prie jos paskyros, kuris buvo atliktas iš kito įrenginio.
„Viskas pasirodė labai keista, iš karto ėjau žiūrėti, kas ten vyksta. Prisijungiu ir matau, kad į kažkokio asmens sąskaitą padaryti du pavedimai iš mano sąskaitos, lyg aš būčiau juos dariusi“, – nerimą keliantį atradimą nupasakojo skaitytoja.
Iš viso ji neteko 7800 eurų, sukčiai sąskaitoje moteriai paliko tik apie šimtą eurų. Lėšos buvo pervestos į pinigų perlaidų platformą „TransferWise“.
Lina dėl įvykio kreipėsi ir į policiją. Jos atstovas Ramūnas Matonis nurodė, kad šiemet jau pradėti 735 ikiteisminiai tyrimai dėl sukčiavimų – 42 proc. daugiau nei pernai per tą patį laikotarpį.
Preliminariais duomenimis, per pastaruosius metus policijoje užregistruoti 154 pranešimai, susiję su „Paysera“, pradėti 38 ikiteisminiai tyrimai, dar 28 atvejais aiškinamos aplinkybės ir renkama patikslinama medžiaga.
Su panašia istorija į 15min kreipėsi ir kitas skaitytojas Tomas. Iš jo „Paysera“ sąskaitos dingo 4200 eurų.
„Susisiekus su „Paysera“, jie pripažino, kad tai buvo nelegalus pervedimas. Man reikėjo sumokėti 10 eurų siekiantį neautorizuoto pavedimo atšaukimo mokestį, bet ir jį sumokėjus pinigai man nėra grąžinti iki šiol. „Paysera“ vis kartoja, kad aš atsidariau kažkokią nuorodą. Šią sąskaitą aš naudoju retai, tik grįžęs į Lietuvą ir jokių nuorodų nespaudžiau“, – teigė Tomas, manantis, kad incidentas įvyko dėl įmonės sistemos saugumo spragų.
Aš nesuprantu – juk pinigai ne iš stalčiaus dingo.
Vyras sakė praradęs visas santaupas, skirtas atostogoms ir vaikams.
„Paysera“ sakė, kad jei jie atgaus pinigus iš banko, į kurį nukeliavo mano pinigai, tada ir aš juos atgausiu. Kitu atveju padėti niekuo negali. Bet aš nesuprantu – juk pinigai ne iš stalčiaus dingo. „Paysera“ bando nusimesti atsakomybę“, – kalbėjo vyras.
Sukčių siųstų nuorodų teigia nespaudę
Abu skaitytojai teigė, kad jokių sukčių siųstų nuorodų nespaudė ir prie „Payseros“ paskyros jungėsi tik per saugius kanalus – pavyzdžiui, mobiliąją programėlę. Lina tvirtino, kad neva iš „Payseros“ siųstas žinutes pastebėjo tik vėliau, nes tuo metu, kai pavedimai buvo atlikti, ji dirbo.
„Tuo metu nesinaudojau „Payseros“ paskyra, nedariau jokių pavedimų, nebuvau net šalia telefono ir nieko nespaudžiau“, – tvirtino ji.
Išvydusi, kad neteko pinigų, ji sakė iškart puolusi skambinti į „Payseros“ aptarnavimo liniją, išsiuntė ir kelis laiškus. Galiausiai ji sulaukė žinios, kad skundas bus užregistruotas ir perduotas tuo užsiimančiam skyriui.
Skaitytoja pasakojo susisiekusi ir su platforma „TransferWise“, į kurią buvo pervesti pinigai, jie moterį informavo, kad klausimu pasidomės.
Visgi išsiaiškinti, kaip pinigai atiteko sukčiams, jai taip ir nepavyko.
„Aš jų klausiu, kokia eiga, kas vyksta, gal galite paaiškinti, kaip tai įvyko, tačiau į daugumą mano elektroninių laiškų nebuvo atsakoma, į kai kuriuos atsakoma aptakiai ir nieko konkretaus. Dar tą pačią dieną, kai paskambinau pasiteirauti, ar vyksta progresas, konsultantė pasakė, kad tai jau yra žinomas atvejis“, – pasakojo ji.
Komentuodamas šį atvejį, „Paysera“ generalinis direktorius Gintautas Mežetis 15min sakė dėl asmens duomenų saugumo viešai negalintis aptarinėti tyrimo aplinkybių, tačiau teigė suprantantis nusivylimą dėl sukčių pavogtų pinigų.
Visgi G.Mežetis nurodė, kad tai yra įprastas „fišingo“ atvejis, kai žmogus gauna netikrą žinutę iš institucijos ar banko, kai iš tiesų tai tėra sukčių užmestas jaukas išvilioti svarbiems duomenims.
„Pastaraisiais metais tarp interneto sukčių išpopuliarėjo nenaujas, tačiau iki šiol retai naudotas sukčiavimo būdas. Pasitelkę šiuolaikines technologijas, sukčiai ėmė siųsti SMS žinutes, nurodę bet kokį siuntėjo vardą – „fintech“ bendrovės, banko ar valstybės institucijos pavadinimą. Būtent tokiu būdu jie bandė išvilioti prisijungimo duomenis ir autorizuoti mokėjimus balandžio mėnesį. Keletu atvejų jiems tai pavyko“, – sakė G.Mežetis.
Jo teigimu, gyventojai gavo SMS žinutes su raginimu pateikti daugiau informacijos apie neva atliktą pervedimą. Žinutėse buvo pridėta nuoroda į suklastotą „Paysera“ svetainę.
„Dėl šių pranešimų mes apie suklastotą „Paysera“ svetainę operatyviai pranešėme atsakingoms institucijoms, kurios per kelias dienas netikrą svetainę uždarė, be to, įvairiais kanalais skatinome klientus būti atidesniais. Visgi Lietuvoje buvo keli klientai, kurie ant sukčių kabliuko užkibo“, – sakė G.Mežetis.
Lietuvos bankas: bendradarbiaukite su mokėjimo įstaiga
Centrinis šalies bankas komentare 15min teigė, kad nukentėję žmonės pirmiausia turi kreiptis į policiją ir užfiksuoti nusikaltimą. Tada derėtų raštu kreiptis į mokėjimo paslaugų teikėją, išdėstyti visą padėtį ir prašyti grąžinti pinigus.
„Jeigu mokėjimo paslaugų teikėjas per nustatytą laiką (paprastai – per 15 darbo dienų) neatsako arba atsakymas klientų netenkina, jie gali kreiptis į Lietuvos banką. Kieno naudai būtų išnagrinėtas ginčas, priklausys nuo kiekvieno atvejo aplinkybių“, – teigė Lietuvos bankas.
G.Mežetis antrino institucijai, nurodęs, kad patekus į sukčių spąstus reikėtų nedelsiant susisiekti su finansų įstaiga ir pateikti jai išsamią ir tikslią informaciją, prireikus bendradarbiauti.
„Pinigų atgavimo tikrai nepagreitina tokios situacijos, kai kliento apibūdintas įvykio aplinkybes paneigia vidinių sistemų išrašai“, – sakė „Payseros“ vadovas.
Pasak Lietuvos banko, nagrinėjant ginčą ir sprendžiant, kam – vartotojui ar mokėjimo paslaugos teikėjui – reikėtų padengti dėl sukčių atakos atsiradusius nuostolius, būtų vertinami ir mokėjimo paslaugų teikėjo, ir paties vartotojo veiksmai (pavyzdžiui, kokiomis aplinkybėmis buvo autorizuotas mokėjimas, kokie veiksmai atlikti po autorizavimo ir panašiai).
Lietuvos bankas pabrėžė, kad vartotojai turėtų būti atidūs – niekada nesijungti prie savo finansų įstaigos spaudžiant elektroniniu paštu ar SMS žinute atsiųstas nuorodas ir netvirtinti mokėjimų, kurių vartotojas pats neinicijavo.
„Atminkite, kad pagal Mokėjimų įstatymą mokėjimo paslaugų teikėjas turi mokėtojui grąžinti visą neautorizuoto mokėjimo sumą, išskyrus tuos atvejus, kai pateikiami įrodymai dėl mokėtojo sukčiavimo arba didelio neapdairumo“, – akcentavo centrinis bankas.
Į 15min klausimą, ar apie šį incidentą „Paysera“ pranešė Lietuvos bankui, pastarasis atsakė, jog mokėjimo paslaugų teikėjai praneša tik apie „reikšmingus ir didelį poveikio lygį turinčius incidentus, kurie nustatomi pagal tam tikras taisykles.“
Ekspertas: kartais bijoma prisipažinti užkibus ant sukčių jauko
„ESET Lietuva“ saugumo inžinierius Lukas Apynis 15min teigė, kad kartais žmonės bijo prisipažinti, jog užkibo ant sukčių kabliuko ir atskleidė jiems savo duomenis.
„Mes patys darome „fišingo“ simuliacijas ir siunčiame tokius netikrus laiškus. Būna, patys įmonės darbuotojai neprisipažįsta, kad atidavė savo prisijungimus. Dažniausiai duomenys nuteka iš vartotojų pusės. Jie gauna suklastotą SMS žinutę, kuri yra panaši, pavyzdžiui, į „Payseros“ siųstą nuorodą, paspaudžia ją, norėdami prisijungti prie paskyros ar ją atblokuoti, ir taip atiduoda prisijungimo duomenis. Paskui, nieko neįtardami, prisijungę prie paskyros, jie pamato, kad sąskaita yra tuščia“, – aiškino L.Apynis.
Pasak jo, suklastoti įmonės vardą siunčiant tokias žinutes nėra sunku. Be to, atsiųsta netikra žinutė atsiduria prie anksčiau banko siųstų tikrų pranešimų, tad tampa dar sunkiau atskirti apsišaukėlišką žinutę.
Mes patys darome „fišingo“ simuliacijas ir siunčiame tokius netikrus laiškus. Būna, patys įmonės darbuotojai neprisipažįsta, kad atidavė savo prisijungimus.
„Šios paslaugos dažniausiai yra mokamos, jas teikia kaip paslaugą ir jomis naudojantis galima suklastoti siuntėjo pavadinimą. Taip galima apsigauti, nes prie kitų tikrų banko žinučių rodo ir tą netikrą. Tik nuoroda bus netikra ir mes ją paspaudę galime atiduoti savo prisijungimus“, – įspėjo ekspertas.
Pasak jo, dažniausiai nepasitaiko tokių atvejų, kad pinigai būna pervedami įsilaužus į žmogaus paskyrą.
„Tai labai retas atvejis. Tuo labiau, kad kai vykdomas incidento tyrimas, peržiūrimos sistemos, įrašai, tikrai matyti, iš kokios paskyros buvo prisijungęs vartotojas, iš kokios lokacijos. Jei būtų pažeistos „Payseros“ sistemos, tikrai būtų matyti“, – užtikrino L.Apynis.
Tad kaip neapsigauti?
Taigi, ką reikėtų žinoti, kad sukčiams neatiduotume savo pinigų? L.Apynis sakė, kad pirmiausia reikėtų neskubėti, nes dažniausiai žmonės tokiose situacijose yra skubinami, siųstose žinutėse gali būti pranešama, kad paskyra yra užblokuota.
Taip pat reikėtų naudoti tik unikalius slaptažodžius skirtinguose puslapiuose ir paskyrose.
„Dažnai vartotojai naudoja tuos slaptažodžius ir kituose puslapiuose, tai jei įsilaužiama vienur, jie gali bandyti tuos slaptažodžius ir kituose puslapiuose, kuriuos mes naudojame“, – nurodė ekspertas.
Tuo metu „Payseros“ vadovas pabrėžė, kad gavus tokias žinutes nereikėtų atidarinėti jokių nuorodų, o atidarius – jokiomis aplinkybėmis neįvedinėti jokių prisijungimo duomenų. Pasak G.Mežečio, jau vien tai, kad iš finansų institucijos atsiųstoje žinutėje yra nuoroda į kažkur, kur reikia prisijungti, jo teigimu, turėtų kelti nepasitikėjimą.
„Bendraudami su klientais mes pastebime dar gajų įsitikinimą, kad „man taip nenutiks“. Deja, realybė rodo, kad finansinių sukčių jaukams nei gyventojai, nei įmonės nėra tokie atsparūs, kaip jie norėtų. Praėjusių metų pabaigoje viena švietimo įstaiga, perdavusi sukčiams prisijungimo duomenis, sukčiams padovanojo 16 tūkst. eurų, visgi, istorija baigėsi laimingai – dėl greitos kliento ir mūsų reakcijos jau išsiųstus pinigus pavyko atgauti, nors jie buvo pasiekę banką Vokietijoje“, – kalbėjo „Payseros“ vadovas.
