Įspėjo VMI ir policija

"Sukčiai siunčia laiškus prisidengdami VMI vardu." Tokį pranešimą praėjusią savaitę išplatino Valstybinė mokesčių inspekcija (VMI). Kitą dieną apie apgaulingus jos vardu siuntinėjamus e.laiškus įspėjo ir Lietuvos policija.

"Lietuvos gyventojams siunčiami e.laiškai, kurių siuntėjas no-replay-lietuvos-policija@epoIicija.lt apgaulingai pateikiamas, lyg jie būtų gauti iš Policijos departamento sistemų. Šie laiškai nebuvo siųsti iš policijos pašto serverių, siuntėjo domenas ne epolicija.lt, vietoje l raidės naudota I. Laiške pateikiama klaidinanti informacija apie neva įvykusį Kelių eismo taisyklių (KET) pažeidimą", – visuomenę informavo Lietuvos policijos atstovai.

Apgaulingi laiškai buvo siųsti dėl esą užfiksuoto KET pažeidimo. Laiškuose pridėta nuoroda, kur galima neva susipažinti su pažeidimo protokolu. "Laiške nuoroda www.epolicija.lt iš tiesų nukreipia į svetainę, kurioje jūsų duomenys gali būti pavogti, arba jūsų įrenginiai užkrečiami", – atkreipė dėmesį pareigūnai.

VMI vardu siųstuose apgaulinguose laiškuose informuota apie pateiktos metinės pajamų deklaracijos už 2019 m. atmetimą. "Siunčiamuose e.laiškuose sukčiai naudoja vizualiai panašų į VMI e.pašto adresą – vietoj galūnės @vmi.lt adrese naudojama @vrni.lt, o juose nurodytos nuorodos nukreipia į interneto sukčių serverį, kuriame pateikiama prisijungimo prie VMI informacinių sistemų imitacija. Tokiu būdu, prisidengdami VMI vardu, sukčiai galimai bando surinkti gyventojų prisijungimo prie interneto banko duomenis", – pranešė inspekcijos atstovai, atkreipę dėmesį, kad VMI e.pašto adresai baigiasi galūne @vmi.lt bei ragino neatidarinėti įtartinų laiškų, prie jų prisegtų failų ir nespausti juose esančių nuorodų, o apie galimus sukčiavimo atvejus pranešti VMI pasitikėjimo telefonu 1882.

Paaiškėjo: apgaulingus laiškus siuntinėjo ne sukčiai. Tai tebuvo mokymų dalis.

Nuorodų įtartinuose e.laiškuose nereikėtų spausti ir tais atvejais, kai, užvedus ant jų kompiuterio pelės žymeklį, rodomos visai kitos, nei atvaizduojamos e.laiške nuorodos.

Biudžetinę įstaigą "Parkavimas Kaune" taip pat pasiekė informacija apie apgaulingus laiškus, siųstus esą jų vardu.

Ėmėsi aiškintis

VMI duomenų apsaugos pareigūnė Jūratė Karpavičienė "Kauno dienai" teigė, kad VMI apie minėtus apgaulingus laiškus sužinojo, kai gavo "gyventojo kreipimąsi dėl jam atsiųsto įtartino e.laiško".

"Inspekcija skubiai atliko pirminį incidento tyrimą. Jo metu nustatyta, kad gyventojo gautas e.laiškas suklastotas, jame pateikiamos HTML nuorodos nukreipia į trečiųjų šalių serverį, kuriame pateikiama prisijungimo prie VMI informacinių sistemų imitacija. Šis trečiųjų šalių serveris nebuvo nei vmi.lt, nei suklastotame e.laiške naudotame vrni.lt domene. Incidentas nedelsiant tolimesniam tyrimui perduotas NKSC, apie galimą bandymą sukčiauti prisidengiant VMI vardu informuota visuomenė", – teigė J.Karpavičienė.

Policijos departamento Komunikacijos skyriaus vedėjas Ramūnas Matonis pirmadienį, kai kreipėmės komentaro, užsiminė, kad dar "renkama ir analizuojama medžiaga". Trečiadienį jis patvirtino "Kauno dienos" informaciją, kad tai ne sukčių darbas, o "vienos įmonės IT mokymai saugumo tema".

"Jie siuntė tokius laiškus savo įmonės darbuotojams, tačiau jų neįspėjo. Vienas iš gavusiųjų kreipėsi į policiją. Su įmone pabendravome, jie atsiprašė, joks tyrimas pradėtas nebus", – teigė R.Matonis.

Nei VMI, nei policijos atstovai nesiėmė vertinti apgaulingus laiškus siuntusių asmenų veiksmų, net jeigu tai, kaip ir "Kauno dienai" aiškino siuntėjų atstovai, tebuvo mokymai.

Registravo solidi bendrovė

"Kauno dienai" šią savaitę patikrino, kam priklauso domenai, iš kurių siųsti apgaulingi laiškai prisidengiant VMI, Lietuvos policijos vardu. Viešai pateikiami duomenys, kad minėti domenai registruoti vienos žinomos bendrovės, įsikūrusios Kaune, vardu.

Ši bendrovė yra dalis tarptautinės grupės, tiekiančios pramonės žaliavas. Jos veikla suskirstyta į devynias verslo grupes: žemės ūkio, tekstilės, maisto, plastiko, biokuro, pramonės, energijos, pakavimo ir paslaugų centro.

Nurodoma, kad įmonės prekybinius santykius vysto su 70 pasaulio valstybių, metinė apyvarta siekia 350 mln. eurų, o realizuojama po 1,5 mlrd. tonų žaliavų kasmet.

Nustebome, kam solidžiai bendrovei reikalingi domenai, primenantys valstybinių institucijų domenus. Gal bendrovė niekuo dėta? Bendrovės atstovai patvirtino, kad domenai registruoti tikslingai.

Naudojo pratyboms

"Minėti domenai yra mūsų nuosavybė. Jie buvo įsigyti vidiniams mokymams atlikti. Iš domenų buvo siunčiami skirtingo tipo laiškai darbuotojams į darbinius e.paštus. Taip buvo tikrinamas jų kibernetinio saugumo lygis", – "Kauno dienai" pasakojo bendrovės atstovas Robertas Gumbys.

Pagal bendrovėje galiojančias taisykles, gavę įtartiną laišką, darbuotojai apie jį privalo informuoti kolegas iš IT padalinio. "Taip neįvyko. Kai kurie darbuotojai, galvoju, paspaudę nuorodą susizgribo ir pradėjo rašyti institucijoms, iš kurių neva buvo gauti laiškai. Kilo bereikalingas triukšmas, ko mums visai čia nesinorėtų. Atsiranda reputaciniai dalykai. Nesinori nuskambėti iš tos pusės. Tai viso labo yra vidinių mokymų procesas", – kalbėjo atstovas.

Darbuotojai, jo teigimu, žinojo apie vykstančius mokymus. Iš pradžių dalis jų atliko testą apie saugumą elektroninėje erdvėje, paskui visiems buvo pateikta teorinė medžiaga. "Vidiniame tinkle patalpinome mokymų medžiagą, kurią visi turėjo peržiūrėti. Tai maždaug 40 min. trukmės vaizdo medžiaga. Visi buvo perspėti raštu, kad nebus atskirai informuojami, bet mokymai tęsis", – dėstė R.Gumbys.

Išsiųsta 300 laiškų

Mokymų tąsa tapo apgaulingi laiškai, išsiųsti platesniam darbuotojų ratui – maždaug trims šimtams. "Tam, kad žmonės ugdytųsi kibernetinės saugos higieną, mokėtų atpažinti netikrus laiškus. Vis daugiau nusikaltimų keliasi į elektroninę erdvę. Negalime tiesiog sėdėti ir laukti, kad tai mus aplenks. Jau turime karčios patirties", – teigė pašnekovas.

Kiek beaiškintume, kiek bekalbėtume, geriausias mokytojas yra praktika ir klaidos, iš kurių reikia mokytis. Tik gavosi mums patiems netikėtas šalutinis poveikis.

Jis aiškino, kad apgaulingais laiškais internetiniai sukčiai stengiasi patekti į įmonių vidinius tinklus, užkrėsti juos vadinamaisiais kirminais, kurie užrakina informaciją. Už informacijos atrakinimą reikalaujama išpirkos arba įmonės tinkle paleidžia kenkėjiškas programas vidinei informacijai, kuri yra įmonės turtas, gauti.

"Kiek beaiškintume, kiek bekalbėtume, geriausias mokytojas yra praktika ir klaidos, iš kurių reikia mokytis. Tik gavosi mums patiems netikėtas šalutinis poveikis", – pastebėjo R.Gumbys, turėdamas omenyje tai, kad kai kurie darbuotojai, nepaisydami bendrovės vidinės tvarkos, informavo ne darbdavį, o pranešė tarnyboms, kurių vardu prisistatyta apgaulinguose laiškuose.

Rezultatas – prastas

R.Gumbio turimais duomenimis, iš viso į tarnybas kreipėsi apie dešimt darbuotojų. Mokymų tikslais bendrovė registravo penkis domenus. Be epoIicija.lt, vrni.lt, parkavirnaskaune.lt, dar domenus, susijusius su "Sodra" ir COVID-19. Apgaulingi laiškai buvo siųsti iš jų visų.

"Į COVID-19 laišką iš viso niekas nereagavo", – pastebėjo atstovas.

R.Gumbys teigė, kad nebuvo svarstyta informuoti tarnybas, kurių vardu prisidengiant siųsti laiškai, nes nesitikėjo, kad šie mokymai išeis už organizacijos ribų: "Nepagalvojome, kad taip galėtų būti. Aišku, čia yra mūsų klaidelė tokia."

Pasidomėjome, kiek darbuotojų paspaudė apgaulingas nuorodas, kas kitu atveju galėjo atnešti žalos? "Turime tokią statistiką. Situacija visiškai netenkina. Rezultatas, sakykime tiesiai šviesiai, prastas", – neįvardijo tikslių skaičių R.Gumbys. Jis sutiko, kad rezultatas atitinka visos visuomenės kibernetinio saugumo raštingumą.

Į tarnybas kreipėsi apie dešimt įtartinus laiškus gavusių darbuotojų, nors, pagal bendrovės taisykles, iškart apie juos turėjo pranešti IT administratoriui.

Rezultatai bus aptarti su darbuotojais. "Dar kartą užtvirtinsime suvokimą, kad bet kuris paspaudimas ant nuorodos ar paveikslėlio gali priversti prie liūdnų rezultatų", – kalbėjo atstovas.

Jis patvirtino, kad bendrovė sulaukė kreipimųsi iš policijos ir NKSC. "Gavome. Rašėme paaiškinimus. Tikimės, kad supras mus", – sakė R.Gumbys.

Specialistai: tokie mokymai – efektyvūs

Nacionalinio kibernetio saugumo centro poziciją perdavė Krašto apsaugos ministerijos (KAM) Visuomenės informavimo skyriaus Strateginės komunikacijos ir viešųjų ryšių departamento darbuotojai.

"Įmonės atstovai patvirtino, kad domenų registravimą atliko kibernetinėms pratyboms", – komentavo atstovai. Jų žiniomis, visi laiškai iš minėtų penkių domenų buvo siųsti tik įmonės darbuotojams.

Įvertinę įvairius aspektus NKSC situacijos nedramatizavo. "NKSC teigiamai vertina vidinius įmonių kibernetinio saugumo mokymus, kai ne tik aiškinama teorinė dalis, bet kartu suteikiama galimybė praktiškai veikti tokiose situacijose. Tokio tipo mokymai vykdomi visame pasaulyje ir yra ypač efektyvūs didinant kibernetinio saugumo sąmoningumą", – dėstė atstovai. Tačiau pridūrė, kad "jeigu mokymuose yra imituojamos valstybinės įstaigos ir institucijos, tai turėtų būti suderinta su tomis šalimis bei NKSC".

Nagrinėdami šį atvejį NKSC analizavo suklastotas svetaines. "Jose nebuvo jokio duomenų surinkimo funkcionalumo, o visos nuorodos vedė į originalią imituojamos įstaigos svetainę, tad realiai surinkti duomenis galimybės nebuvo", – grėsmės neįžvelgė specialistai.