Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC), siekdamas ugdyti darbuotojų gebėjimus atpažinti internetinio sukčiavimo žinutes, gruodžio 8–12 d. organizavo socialinės inžinerijos imitacines pratybas „PhishEx“. Jose dalyvavo 152 organizacijos, kurių darbuotojams buvo išsiųsta daugiau nei 121 tūkst. duomenų viliojimo žinutes imituojančių elektroninių laiškų. Daugiau nei ketvirtadalis gavėjų tokius laiškus atidarė, o daugiau nei 12 proc. – paspaudė juose esančias nuorodas. 

Pratybose buvo naudojami trys scenarijai, iš kurių „sėkmingiausias“ – tai tariama „kalėdinė“ apklausa. Jame elektroninis laiškas buvo siunčiamas kolegos vardu, o apklausa prasidėjo paprastais šventinio pobūdžio klausimais. Vėliau pateikti pertekliniai klausimai ir buvo prašoma nurodyti namų adresą, telefono numerį, gimimo datą ir kt. Jeigu tokia informacija būtų patekusi į sukčių rankas, jie galėtų ją išnaudoti kurdami tolimesnes atakas, imituoti tikrų darbuotojų tapatybes. 

„Sukčiams nėra neliečiamų datų ar įvykių. Jie stengiasi išnaudoti viską, kas leistų jiems pasiekti norimo tikslo, todėl net ir vyraujant šventiniam emociniam fonui, nereikėtų prarasti budrumo ir kritiškai vertinti visų elektroninių laiškų turinį“, – teigia NKSC direktorius Antanas Aleknavičius. 

Kalėdinės darbuotojų „apklausos“ imitacijos neatpažino ir laiške esančią nuorodą paspaudė 26 proc. darbuotojų, o apie 15 proc. suvedė savo asmeninius duomenis. 

Tuo metu kitas pratybų scenarijus, imituojantis prisijungimą prie „Office 365“, leido palyginti rezultatus su ankstesniais 2025 m. ketvirčiais vykdytų pratybų duomenimis. Analizė parodė, kad darbuotojų patikėjimas fiktyvių paslaugų pranešimų autentiškumu išlieka aukštas, nors nuorodų paspaudimų rodiklis mažėja. 2025 m. ketvirtame ketvirtyje „Microsoft Word“ scenarijuje nuorodą paspaudė apie 17 proc. dalyvių, palyginti su maždaug 24 proc. metų pradžioje. Vis dėlto slaptažodžio suvedimo dalis išlieka aukšta – apie 10 proc., kas rodo išliekantį rizikingą naudotojų elgesį. 

Mažiausiai sėkmingas buvo pratybų scenarijus, kuriame buvo žadama nemokama prieiga prie „ChatGPT Plus“ paslaugos. Tai rodo, kad darbuotojai yra atsparesni reklaminio pobūdžio el. laiškams, tačiau NKSC atkreipia dėmesį, jog netikri domenai ir fiktyvūs naršyklės langai vis dar gali būti pavojingi mažiau patyrusiems naudotojams. 

NKSC pabrėžia, kad didžiausias dėmesys darbuotojų budrumui turėtų būti skiriamas būtent prieš šventes, kai socialinės inžinerijos atakos tampa emociškai paveikesnės ir labiau suasmenintos. Reguliariai vykdomi mokymai https://www.nksc.lt/mokymai/ ir nuolatinis darbuotojų švietimas, budrumo ugdymas ir įtartinų laiškų tikrinimas yra esminės priemonės siekiant sumažinti kibernetinių incidentų riziką. 

NKSC kviečia visas organizacijas, įtrauktas į Kibernetinio saugumo subjektų sąrašą ir prisijungusias prie KSIS, reguliariai dalyvauti „PhishEx“ pratybose ir stiprinti kibernetinį atsparumą ištisus metus, nes socialinė inžinerija taikosi ne į technologijas, o į žmones.

KAM inf.