Šiame „Vakaro pokalbių“ epizode kalbamės apie internetinį sukčiavimą ir kodėl jis veikia ne tik technologiškai mažiau patyrusius žmones. Organizacijų psichologė ir emocinio intelekto ekspertė Giedrė Skupienė paaiškina, kaip sukčiai taikosi į mūsų emocijas, dėmesį ir skubėjimą, kokie šiandien populiariausi „people hacking“ būdai, ir kaip ugdyti psichologinį atsparumą. Pabaigoje aptariame, ką daryti, jei vis dėlto apgavo, ir kaip apie tai kalbėti su artimaisiais. Tai tema, kuri palietė beveik kiekvieną iš mūsų. Todėl studijoje ne IT specialistas, o organizacijų psichologė. Žmones „nulaužti“ šiais laikais darosi lengviau negu kompiuterius. Ir mus gali apginti nebe technologijos, o supratimas, kaip veikia mūsų pačių psichika ir emocijos.
Kai kalbame apie sukčiavimą, kiekvienas galvoja: „tai tikrai tikrai ne apie mane, aš tikrai suprasiu, būsiu gudrus“. Kodėl vis tiek tai nutinka?
Tam, kad atpažintume, turime žinoti. Sukčiai nestovi vietoje, jie tobulėja. Jei anksčiau būdavo paprasčiau ir žmonės prispaudydavo, sureaguodavo, atiduodavo net jautrius duomenis, tai dabar sukčiai darosi išmanesni ir lengviau pagauna ant emocijos arba ant mūsų išsiblaškymo, užimtumo, lėkimo ir skubėjimo.
Kas yra kibernetinis sukčiavimas, jei apibrėžtume paprastai?
Labai dažnai naudojami du žodžiai: people hacking, įsilaužimas į žmones. Kompiuterinė technika dažnai yra atsparesnė negu mes su savo emociniu reagavimu. Išnaudojamos mūsų emocijos, pasitikėjimas, kartais lengvabūdiškumas, kartais tas perdėtas pasitikėjimas, kad „man taip nebus“.
Dažnai išnaudojamas „prakeiksmas žinojimo“: kai galvojam, kad aš žinau, atpažinsiu, su manim tikrai taip neatsitiks. Ir dar: „aš niekam neįdomus, paprastas žmogus, niekas man neskambins ir nerašys“. O tada taip ir atsitinka – ir brangiai kainuoja ne tik finansiškai, bet ir emociškai.
Kokie pagrindiniai sukčiavimo būdai šiandien?
Yra phishing’as per el. laiškus, kai prašo spausti nuorodas, atsidaryti dokumentus, suvesti prisijungimus, arba nukreipia į fiktyvų puslapį.
Yra smishing’as – SMS žinučių phishing’as. Ten dažnai provokuojama baime, reikalaujama padaryti skubiai: susimokėti baudą, atsiimti prizą, kad neužblokuotų paskyros, ar kad neva pradėta byla ir reikia „susipažinti su dokumentais“.
Yra quishing’as – kai siūlo nuskanuoti QR kodą, kad „užsiregistruotum“ ir gautum prizą, arba atsiimtum „mokesčius“. O realiai tada suvedi duomenis, PIN kodą, ir jis nukeliauja ten, kur nori sukčiai.
Yra voice phishing’as – kai skambina telefonu. Dažnai apie investavimą, bet būna ir scenarijai apie artimąjį avarijoje ar bėdoje, kur „reikia pinigų čia ir dabar“. Yra buvę, kad žmonės sumoka už „sūnaus avariją“, nors sūnaus net neturi – taip veikia emocija ir skuba.
Dirbtinis intelektas čia dar labiau sustiprina sukčių galimybes?
Taip. Dabar yra ir deepfake’ai – gali padaryti ne tik balso, bet ir vaizdo skambutį. Specialistai rekomenduoja su artimaisiais susitarti „patikros klausimus“ ar žodžius, kuriuos žinotų tik tas žmogus. Ar tikrai kalbu su savo dukra, sūnum, žmona ar tėvais. Nes balsą galima atkurti, ypač jei daug kalbam viešai, socialiniuose tinkluose, telefonu.
Iš kur sukčiai gauna duomenis? Kaip jie žino, ką sakyti?
Mes patys labai daug atskleidžiam socialiniuose tinkluose: nuotraukos, vietos, sužymėti žmonės, įpročiai. Daug informacijos atskleidžiam ir skambučio metu, net jei klausimai atrodo neutralūs. Pavyzdžiui, „skambinu iš banko, jūsų sąskaita užblokuota“, žmogus pasako: „aš šiame banke neturiu, turiu tokiam ir tokiam banke“. Ir štai jūs jau atskleidėt informaciją.
Sukčiai renka duombazes. Yra tarsi „sukčiautojų fermos“, kur žmonės sėdi ir sistemingai kaupia informaciją, kaip klientų aptarnavimas – tik apie mūsų asmeninius duomenis. Todėl vėliau atrodo, kad apie jus „daug žino“.
Be pinigų išviliojimo, ką dar daro sukčiai? Ką gali padaryti užgrobę paskyras?
Gali užgrobti socialinių tinklų paskyras, siuntinėti žinutes jūsų vardu. Buvo populiaru, kai SMS žinutė „Facebook vardu“ gąsdino, kad per 24 valandas reikia „atnaujinti duomenis“, o per 72 valandas paskyra bus ištrinta. Žmonės spaudžia nuorodą, suveda prisijungimą ir slaptažodį, ir sukčiai gauna prieigą.
Tada gali vykti sukčiavimas per jūsų paskyros kontaktus: „draugas prašo pinigų“ ir žmonės lengviau perveda, nes atrodo, kad tai artimas žmogus.
Kartais tai ne tik finansai, bet ir įvaizdis, reputacija. Pavyzdžiui, laiškai, kad neva turi jūsų naršymo istoriją ir vaizdą iš porno puslapių, ir jei nepervesite pinigų (dažnai bitkoinais, net su instrukcija kaip nusipirkti), viską išsiųs jūsų kontaktams. Reaguoja net tie, kurie žino, kad ten nesilankė – ypač jei turi vaikų ir bijo „o gal vaikai kažkur nuklydo“ iš smalsumo ir žmonės nenori rizikuoti.
Pažinčių puslapiai – gera terpė sukčiams?
Taip. Viena dažniausių manipuliacijos formų: pradžioje romantika, emocijų daug, kritinio mąstymo mažai. Po kažkurio laiko prašo nedidelės paslaugos, pavyzdžiui, paskolinti 100 eurų – juos grąžina. Vėliau prašo daugiau, o galiausiai gali prašyti 10 tūkstančių, jei žino, kad turite. Tada nebegrįžta nei pinigai, nei žmogus. Vardą ir nuotraukas galima susikurti, paretušuoti, prisiregistruoti iš naujo.
Kokie psichologiniai metodai veikia sukčiavime? Kodėl mes pasiduodam?
Vienas svarbiausių dalykų – sukčiai naudoja mūsų žmogiškumą prieš mus. Pirmiausia įaudrinamos mūsų emocijos, ypač baimė. Baimė labai stipri, ir kai bijome, mažiau mąstome. Tada prisideda grėsmė prarasti pinigus, paskyrą, ar „prizą“. Prie „prizo“ prisideda ir lašelis godumo. Tikslas per emocinį reagavimą nukreipti mūsų dėmesį.
Antra dedamoji – spaudimas ir skuba: „darykite dabar“, „jei nesureaguosi, bus per vėlu“. Iš skubėjimo irgi nemąstome kritiškai, tiesiog spaudžiam mygtukus ir atiduodame duomenis, kurie vertingi sukčiams.
Trečia – pareigingumas, pasitikėjimas, įsipareigojimai, užuojauta. Jei atrodo, kad prašo kolega ar draugas, galime sureaguoti greitai, nes norime padėti.
Kas valdo mūsų dėmesį, tas valdo mūsų sprendimus ir pasirinkimus.
O godumas – kiek jis svarbus? Ar svarbiausia tiesiog išmušti iš racionalaus mąstymo?
Pirmiausia – išmušti iš racionalaus kritinio mąstymo. Bet galimybė „pasipelnyti“ yra stiprus kabliukas. „Tik jums“, „tik iki vidurnakčio“, „98 procentai klientų įvertino“. Tai primena marketingą. Veikia autoritetas ir pamėgdžiojimas: institucijos, žvaigždės, net artimieji.
Pavyzdžiui, investicijų schemose naudojami žinomų žmonių vardai – autoritetas suveikia.
Ar yra „specifinių žmonių“, kurie pasiduoda? Ar bet kas gali užkibti?
Visiškai bet kas. Labai priklauso nuo konteksto, kuriame gaunam žinutę ar skambutį. Buvo realus atvejis: žmogus kamštyje prie šviesoforo pasižiūrėjo į telefoną ir pamatė SMS, kad už parkavimą gauta bauda, „paspauskite čia“. Susinervino, paspaudė, sumokėjo. O tik po to atėjo kritinis mąstymas: „ar aš apskritai kažkur parkavau?“. Bet jau per vėlu. Mes gyvename skuboje, įsipareigojimuose, ir kai kažkas netikėtai užklumpa, sureaguojame, sprendžiame, o tik paskui pagalvojam.
O gal žinote dar Lietuvoje nutikusių sukčiavimo istorijų?
Viena iš paskutinių, kur labai ilgai kalbinau pasidalinti, nes sakė – gėda, nenoriu, bet pasidalino: naudojasi sūkčiai metų pabaiga – žinutė nuo SEB banko, jie tiesiog informavo, kad jie rengia prieškalėdinę akciją (labai įdomu, kad net metus sumaišė, kad nuo 2026 metų lapkričio 25d. iki gruodžio 25d., net to nepastebėjo), kad kiekvienas dalyvis gaus du šimtai du eurus, kablelis šešiasdešimt centų, labai labai įdomi suma, į savo banko sąskaitą: ,,Akcija ribota, paspauskite čia, daugiau informacijos”. Ir kai žmogus paspaudė ten, nežinau, kodėl ta du šimtai du suma tokia reikšminga pasirodė tam žmogu, bet pasirodė, tereikia paspausti mygtuką, paprašė suvesti prisijungimo vardą ir pinkodą – žmogus suvedė, tada paprašė dar kartelį, paprašė dar kartelį, ir po trečio karto, žmogui kilo klausimas – tai kas čia darosi, kodėl mane tie kartų prašo prisijungti. Prisijungė prie savo banko paskyros ir aptiko, kad prarado virš dviejų tūkstančių eurų.
Kitas vėlgi konkretus pavyzdys – kur mus tiesiog gaudo, na pavyzdžiui, jūs sakot, parkavimas yra nedidelės sumos, bet jeigu išsiuntė bot’ukai, dirbtinis intelektas, išsiuntė daugybei adresatų, tai jeigu iš tos daugybės – kelių tūkstančių – paspaudė ir sumokėjo tuos keliasdešimt eurų, keli šimtai žmonių, tai paskaičiuokim visai neblogai už dieną uždirbome. Ir aš pati esu gavusi prie šventės tokią labai gerą žinutę, kad penktadienį tokią ir tokią valandą buvo priparkuotas automobilis JUDU aikštelėje ir nesumokėta bauda – ,,spauskite čia”. Labai įdomu, kad data yra, kuri pagauna mūsų dėmesį, atrodo, kad yra skaičiai. Ir net nesvarbu, kad be lietuviškų raidžių ar su klaidomis parašyta. Mes juk turime tą mąstymo savybę, kuri šiaip yra labai gera, padeda pavyzdžiui mums greitai skaityti, bet šiuo atveju sukčiai ją išnaudoja. Mes kuo puikiausiai galime skaityti tekstą su klaidom, arba netgi tekstą, kur yra apkeisti skiemenys vietomis – mūsų smegenys, jeigu tai yra gimtoji kalba, kuo puikiausiai viską sustato į savo vietas. Ir jeigu iš skubos ir strese, kuriame daugelis žmonių gyvena, mes skaitom tokius e-mail’us arba žinutes, tai mes sukoreguojame sau mintyse visus neatitikimus.
Ar impulsyvumas kaip charakterio savybė prisideda?
Taip. Greito būdo žmonės dažniau prisidirba, nes reaguoja greitai. Jei žmogus lėtesnis, net emocijos pagautas jis lėtesnis – daugiau šansų, kad įsijungs protas, kritinis mąstymas. Jei reaguojam impulsyviai, greitai užsikuriame, patiriame stiprią emociją, tai esame „skanesnis kasnelis“.
Ar emocinis intelektas gali padėti apsisaugoti? Kaip?
Gali. Emocinis intelektas ir emocinė branda padeda atpažinti: kas su manimi vyksta, kodėl sureagavau, ar tikrai yra reali grėsmė. Jei stabteliu ir paklausiu savęs: „Ar tikrai yra grėsmė? Kas bus, jei nesumokėsiu dabar, o padarysiu tai grįžęs namo?“ – tada įsijungia kritinis mąstymas.
Ir svarbu tikrinti oficialiais kanalais: jei tikrai yra bauda, ją rasi oficialiame puslapyje, ne tik žinutėje.
Kuo labiau sugebame skaityti emocijų siunčiamas žinutes – tuo labiau esame atsparūs, nes mokame stabtelėti.
Mano mylimiausias klausimas: „tai kas čia vyksta?“
Kaip ugdyti psichologinį atsparumą ir kritinį mąstymą?
Svarbu atpažinti, kad sukilo emocija: baimė, panika, grėsmė, godumas. Kai emocija stipri, būtina stabtelti, leisti jai nurimti – tik tada įsijungs kritinis mąstymas. Labai gerai įvardinti, kokia emocija.
Jei godumas – paklausti: „ar ne per gerai skamba?“.
Jei baimė – „ko aš išsigandau? ar yra realus pavojus?“
Žmonės dažnai susikuria „baisiausią grandinėlę“: nesumokėsiu, ateis antstolis, atims butą, gyvensiu gatvėje – o tada reaguoja.
Reikia duoti sau erdvės pamąstyti.
Padeda ir pasitarti su kitu žmogumi. Kartais vien tai, kad perpasakoji, jau leidžia išgirsti save ir suprasti, kad kažkas ne taip. O kartais kito žmogaus komentaras padeda patikrinti: „paskambink draugui ir įsitikink, ar tikrai jis prašo pinigų“.
Taip pat svarbu nepasiduoti spaudimui ir terminams.
Gal naudinga atsitraukti ir savęs paklausti: „ką patarčiau draugui?“
Kartais taip, bet priklauso nuo situacijos. Jei labai asmeniškai pataikė – sunkiau „pamatuoti ties draugu“. Bet, pavyzdžiui, jei draugas gautų žinutę ir turėtų prie šviesoforo mokėti baudą ar suvesti duomenis – greičiausiai rekomenduotumėte sustoti ir patikrinti. Toks klausimas gali sugrąžinti kritiškumą.
Ar verta žinoti savo silpnybes? Ar tai padeda apsisaugoti?
Taip. Žinoti savo stiprybes ir silpnybes yra privalumas, nes tada žinai kabliukus, už kurių gali sužvejoti. Jei žinai, kad greitai išsigąsti, panikuoji, kuri drastiškus scenarijus – tai žinant apie save ir sau vis primenant – galime taip būti atsargesni.
Bet svarbu netapti paranojišku. Reikia būti kritiškam ir atpažįstančiam, bet nebijoti savo šešėlio, nes tada stresas tik didėja. Ir galime taip nukeliauti į kitas problemas.
Kodėl svarbu apie tai kalbėti?
Nes kuo daugiau kalbame ir dalinamės pavyzdžiais – tuo didesnė tikimybė, kad atpažinsime „griovį“ ir jį apeisime. Ir labai svarbu neįkliūti į „aš tikrai per protingas“ spąstus. Beje, statistiškai vieni iš dažniausiai apgaunamų žmonių yra IT specialistai – nes jie „viską žino“, todėl dingsta atsargumas.
Ar žmonės dažnai apie tai nepraneša, nes gėda?
Tikrai taip. Žmonės nenori pripažinti, kad juos tai palietė, ypač jei prieš tai sakė „man tai tikrai ne“. Ir čia yra problema, kurią sukčiai išnaudoja: mes patylim. Net organizacijose, jei kažkas „primaigo“, vietoj to, kad prisipažintų, praneštų ir būtų galima greitai reaguoti, dažnai nutyli. Galvoja: „gal čia nieko tokio, gal niekas nenutekės“. O paskui, jei situacija rimta, jau nueina iki vadovų ir IT skyriaus, kai pasekmės būna daug rimtesnės.
Todėl verta dalintis ir prisipažinti – nesvarbu, kad „užkibai“. Geriau, kad kažkas pasijuoks ir tu pasakysi „nesijuokit, nes ir jums taip gali būti“, negu tylėti. Tam tikra prasme tylėjimas yra socialinis neatsakingumas: jei pastebėjau, bet nutylėjau, sudarau sąlygas tam plisti toliau.
Ir statistika taip tikrai neatspindi realios situacijos kažkiek. Realų vaizdą pamatome, kai daromi surežisuoti kibernetinės atakos atvejai ir tada matom realią situaciją – kiek žmonių paspaudė, kiek žmonių suteikė savo asmeninius duomenis. Nes būna paspaudžia, bet supranta, kad kažkaip keista.
Koks procentas tada efektyvumo? Marketingą aplenkia?
Jo, labai neblogai. Metų gale buvo visai šaunus tyrimas atliktas – Nacionalinis kibernetinio saugumo centras, kam įdomu, tą informaciją skelbė. Ir ten irgi galima pranešti apie tai, kad buvo kažkokia kibernetinė ataka, visiškai nesvarbu, kokio ji dydžio.
Kalėdinės akcijos apklausa buvo: joje paspaudė 26 procentai darbuotojų, kuriems buvo išsiųsta, ir 15 procentų suvedė savo asmeninius duomenis.
Kitas surežisuotas atvejis – kur vadovams buvo išsiųstos anketos iš fiktyvios gydymo įstaigos: „baigėsi jūsų medicininės apžiūros pažyma, be kurios vairuoti negalima“. Ir „greitai supildykit anketą, kuri prikabinta prie laiško, ir rytoj turėsite tą pažymą“. Ten iš viso buvo 17 procentų, kurie suteikė savo duomenis: vardas, pavardė, asmens kodas, visokie sveikatos dalykai, nes žmogus patikėjo – labai patogu, niekur eiti nereikia. Ir žmogus net nepasitikrino, ar tokia medicininė įstaiga egzistuoja (nes tokios nėra), ir ar iš tikrųjų baigė galioti tas dokumentas. Tai su tuo kritiniu mąstymu čia irgi – ne godumas, bet tokia kitokia “nauda”.
O kaip kalbėti su artimaisiais: vaikais, tėvais, vyresniais žmonėmis, kad neišgąsdintume?
Šviesti ir rodyti realius pavyzdžius. Jei vaikas turi telefoną, jis jau tokio amžiaus, kad reikia apie tai kalbėti (pritaikant informaciją pagal amžių). Kviesti pasitarti.
Su vyresniais artimaisiais – irgi prašyti nereaguoti staigiai, ypač jei žinutė gąsdinanti arba „per gerai skamba“. Jei kažkas tikrai gerai, tai nesibaigs šią minutę. Pasitarkime.
Rodyti konkrečius pavyzdžius: SMS iš „VMI“, kur vietoje “i” yra “l” raidė (VMI vs VML). Mažame ekrane lengva nepastebėti. Kai parodai ir paaiškini – žmogus tampa dėmesingesnis.
Jeigu vis dėlto apgavo – ką daryti?
Pirmiausia – pasidalinti, kitų apsaugai. Taip pat pranešti Nacionaliniam kibernetinio saugumo centrui (NKSC), nes ypač jei ataka plati – svarbu imtis priemonių.
Jei atskleidėte banko duomenis – kuo greičiau blokuoti. Jei kyla įtarimas dėl paskyrų – pakeisti slaptažodžius. Slaptažodžiai turi būti stiprūs, skirtingi, rekomenduojama bent 12 simbolių, su raidėmis ir simboliais. Patogu naudoti slaptažodžių generatorius ir tvarkykles (pvz.: NordPass ir pan.).
Jei tai įvyko organizacijoje – nedelsiant informuoti kibernetinio saugumo specialistus.
O psichologiškai – kaip sau padėti po apgaulės?
Graužtis nėra prasmės. Svarbu išmokti pamoką: kas čia buvo, kodėl sureagavau? Buvau pavargęs, skubėjau, buvau sankryžoje, suveikė baimė ar godumas. Ką man daryti, kad kitą kartą taip nesuveiktų?
Jei graužatis, gėda ir mintys grįžta – gali padėti specialistai. Kai kuriems žmonėms tai tampa trauma. Praradimų mastas skiriasi: viena, kai sumokėjai keliasdešimt eurų, kita – kai praradai santaupas ar dideles sumas. Kartais reikia ir finansinių patarėjų, ir pasitarimo su finansine institucija – kai ką kartais įmanoma atšaukti, bet priklauso nuo situacijos.
Kokia svarbiausia mintis, kurią klausytojas turėtų išsinešti?
Pažinti save ir savo reagavimo būdus. Atpažinti, kai užputoja emocijos, kokios jos bebūtų. Ir kai kažkas skubina – būtinai stabtelti ir nedaryti to, ko reikalauja padaryti greitai. Jei kažkas atrodo per gerai, per skubiai, ar kelia baimę – stabtelėkite.
Parengta pagal interviu su organizacijų psichologe ir emocinio intelekto eksperte Giedre Skupiene. Laidą vedė Jonas Vitkauskas.
“Vakaro pokalbiai” šeštadieniais, 18 val. per Vilnius FM.
