Jei per pastarąjį mėnesį spustelėjote „Leisti" iššokančiame naršyklės lange, tikėdamiesi gauti nemokamą mobilųjį internetą ar vyriausybės kompensaciją – jūsų telefonas dabar galimai siuntinėja pranešimus sukčiams. Ir jūs to net nepastebėjote.
Būtent taip veikia „Sniper Dz" – sukčiavimo platforma, kurią praėjusį mėnesį INTERPOLas oficialiai uždarė. Tačiau iki tol ji spėjo tapti vienu pavojingiausių fišingo įrankių Viduriniuose Rytuose ir Šiaurės Afrikoje. „Group-IB" tyrėjai, išnarstę šią platformą po kaulelį, nustatė, kad tai nebuvo eilinis slaptažodžių vagystės įrankis. Už pavadinimo slėpėsi daugiasluoksnis mechanizmas, kuris aukas paversdavo pinigų srautu – ir ne vienu, o keliais būdais vienu metu.
Viskas prasidėdavo nuo, atrodytų, nekaltos reklamos feisbuke. Sukčiai kurdavo netikras paskyras, prisidengdami politikų, įžymybių ar patikimų organizacijų vardais. Alžyre jie apsimesdavo „Algérie Télécom" – nacionaliniu telekomunikacijų milžinu, ir siūlydavo „nemokamus mobiliuosius paketus". Kitur – finansines kompensacijas ar vyriausybės subsidijų programas. Viskas atrodė autentiškai: logotipai, spalvos, net tekstai lietė konkrečias vietines aktualijas. „Group-IB" analitikai Anna Yurtaeva ir Viacheslav Shevchenko pažymėjo, kad kiekviena kampanija buvo kruopščiai lokalizuota – sukčiai investavo laiką, kad jų masalas neatrodytų kaip eilinis automatinis vertimas.
// reklamaČia gali būti jūsų reklamaSusisiekite →Tačiau spustelėjus nuorodą, vartotojas nepatekdavo tiesiai į sukčių svetainę – tai būtų per daug akivaizdu. Vietoj to, jis būdavo nukreipiamas per grandinę tarpinių puslapių, kurie atrodė visiškai teisėti. Tyrėjai nustatė, kad sukčiai naudojo „Linkbio", „Linktree" ir panašias nuorodų agregavimo platformas – tokias, kuriomis kasdien naudojasi influenceriai ir smulkus verslas. Šios platformos veikė kaip buferis tarp feisbuko skelbimo ir tikrojo spąsto, ir būtent dėl to dauguma saugumo filtrų nieko neįtardavo.
Tik pasiekęs galutinį puslapį, vartotojas pamatydavo pažįstamą langelį: „Spustelėkite „Leisti", kad tęstumėte". Dauguma spustelėdavo net nemirktelėję – juk tiek daug svetainių prašo šio leidimo. Bet būtent šis „Leisti" buvo auksinis raktas.
Užkulisiuose puslapyje veikė kodas, užregistruojantis naršyklę į stumiamųjų pranešimų sistemą, naudodamas VAPID viešąjį raktą. Nuo to momento sukčiai galėjo siųsti pranešimus tiesiai į įrenginį – net kai naršyklė uždaryta. Ir ne bet kokius pranešimus: reklamas, generuojančias pajamas už peržiūrą, nuorodas į „premium" SMS prenumeratas, kurios kas savaitę nurašydavo pinigus, ar raginimus skambinti mokamais numeriais.
Dar vienas gudrus mechanizmas buvo vadinamasis „atgal mygtuko kalėjimas". Puslapis dirbtinai sukurdavo dešimt istorijos įrašų naršyklėje, todėl spaudžiant „atgal", vartotojas niekada neišeidavo iš sukčių puslapio – jis sukdavosi ratu, matydamas vis naujas reklamas, kol sukčiai rinko pajamas už kiekvieną parodymą. Kartu veikė ir „tab-under" technika – kol vartotojas skaitė vieną puslapį, fone atsidarydavo naujos kortelės su papildomu reklaminiu turiniu.
„Group-IB" atrado dar vieną įdomią detalę – tą patį VAPID raktą, naudojamą pranešimams siųsti, jie aptiko skirtingose kampanijose: ir Alžyro telekomunikacijų apsimetinėjimo atveju, ir investicinių sukčiavimų schemose kituose regionuose. Tai reiškia, kad skirtingos grupės naudojosi bendra infrastruktūra – veikiau vienu dideliu pranešimų tinklu, o ne atskiromis, izoliuotomis sistemomis. Kitaip tariant, „Sniper Dz" buvo ne tik įrankis – tai buvo ištisa sukčiavimo ekosistema, veikusi kaip daugiabutis, kuriame kiekvienas aukštas priklausė vis kitai nusikaltėlių grupuotei, bet liftas ir kanalizacija buvo bendri.
Ši platforma veikė pagal vadinamąjį „fišingas-kaip-paslauga" (angl. phishing-as-a-service, PhaaS) modelį. Užuot kūrę savo infrastruktūrą nuo nulio, pavieniai sukčiai galėjo tiesiog nusipirkti prieigą prie paruošto įrankių rinkinio – maždaug taip, kaip legalus verslas perka „Shopify" prenumeratą. Tai dramatiškai sumažino įėjimo barjerą į kibernetinių nusikaltimų pasaulį: nebereikėjo būti programuotoju, pakako mokėti naudotis paruoštais šablonais.
Nors INTERPOLas, bendradarbiaudamas su „Group-IB", platformą uždarė praėjusį mėnesį, jos palikimas išlieka – šimtai tūkstančių vartotojų, kurių naršyklės vis dar gali būti užregistruotos sukčių pranešimų sistemose. Regione, kuriame skaitmeninis raštingumas nelygus, o mobiliųjų duomenų kaina verčia žmones griebtis bet kokių „nemokamų" pasiūlymų, tokios schemos yra ypač pavojingos.
Ką daryti? Pirmiausia – atsidaryti naršyklės nustatymus ir peržiūrėti, kurioms svetainėms esate suteikę leidimą siųsti pranešimus. Jei sąraše yra kažkas, ko neatpažįstate – pašalinkite. Antra – niekada nespauskite „Leisti" svetainėse, kurių nepažįstate, kad ir koks viliojantis būtų pasiūlymas. Trečia – jei feisbuke matote per daug gerai atrodantį pasiūlymą (nemokamas internetas, kompensacija, subsidija), patikrinkite jį oficialiame įmonės ar institucijos puslapyje prieš spustelėdami.
Ši istorija yra dar vienas priminimas, kad kibernetiniai sukčiai nebeatakuoja tiesiogiai – jie stato ištisus mechanizmus, kurie atrodo taip pat, kaip legalios paslaugos. Ir dažniausiai jų auka net nežino, kad jau yra įsitraukusi.
Tuo tarpu regiono mastu problema yra gilesnė nei viena platforma. Viduriniuose Rytuose ir Šiaurės Afrikoje išmaniųjų telefonų naudojimas auga sparčiausiai pasaulyje, tačiau skaitmeninio raštingumo programos smarkiai atsilieka. Pasaulio banko duomenimis, regione apie 60 procentų gyventojų turi išmanųjį telefoną, bet tik trečdalis yra gave bent minimalų mokymą apie saugumą internete. Ši atotrūkis ir yra ta terpė, kurioje tokios platformos kaip „Sniper Dz" klesti. Užtenka kelių šimtų dolerių ir prieigos prie „Telegram" – ir bet kas gali tapti skaitmeniniu sukčiumi, aukų net neatpažįstant.
Saugumo ekspertai prognozuoja, kad kitas evoliucijos žingsnis bus dar pavojingesnis: DI generuojami lokalizuoti tekstai, kurie ne tik atrodys kaip tikri, bet ir mokės prisitaikyti prie konkrečios šalies kultūrinių niuansų. Jau dabar matome užuominas – kai kurie „Sniper Dz" šablonai naudojo vietinius posakius ir idiomatinius pasakymus, kuriuos grynai automatinis vertimas niekada nesugeneruotų. Tai reiškia, kad net ir raštingesni vartotojai ateityje gali neatskirti tikro banko pranešimo nuo sukčių žinutės. O kai neatskiria raštingieji – ką kalbėti apie milijonus tų, kurie telefoną pirmą kartą paėmė į rankas tik prieš porą metų.
Dažnai užduodami klausimai
- Kas yra „Sniper Dz"?
- Tai fišingo-kaip-paslaugos (PhaaS) platforma, kurią sukčiai naudojo kurdami netikras feisbuko kampanijas, vagiančias asmens duomenis ir generuojančias pajamas per naršyklės pranešimus, SMS prenumeratas ir investicinius sukčiavimus. Platformą 2026 metų gegužę uždarė INTERPOLas.
- Kaip patikrinti, ar mano naršyklė užkrėsta?
- Atidarykite naršyklės nustatymus, raskite skiltį „Pranešimai" arba „Leidimai" ir peržiūrėkite svetainių, kurioms leidžiama siųsti pranešimus, sąrašą. Jei radote nepažįstamų įrašų – pašalinkite juos.
- Ar tai gali paveikti vartotojus Lietuvoje?
- Nors pagrindinis taikinys buvo Viduriniai Rytai ir Šiaurės Afrika, pati platformos infrastruktūra ir metodai yra universalūs. Panašios schemos jau veikia ir Europoje – tad budrumas būtinas visiems.
