Straipsniai

Straipsniai

Straipsniai

Sukčiavimo banga 2025: naujausios tendencijos ir kaip nuo jų apsisaugoti

Oct 21, 2025

2025-ieji tapo metais, kai kibernetinis sukčiavimas peržengė ribas tarp asmeninių ir organizacinių grėsmių.
Naujos technologijos, dirbtinis intelektas ir automatizuotos atakos atveria naują sukčiavimo erą - ypač pavojingą kritiniams ir esminiams sektoriams, patenkantiems į TIS2 direktyvos taikymo sritį.

Jei 2023-2024 m. pagrindinės grėsmės buvo klasikiniai „phishing“ laiškai ir netikri tinklalapiai, tai 2025-aisiais atsirado nauja karta - labiau įtikinami, labiau personalizuoti ir sunkiau atpažįstami sukčiavimo modeliai.

1. Dirbtinio intelekto sukurti sukčiavimo scenarijai

Naujausia tendencija - AI generuoti el. laiškai, skambučiai ir net vaizdo įrašai, kurie tiksliai imituoja realius žmones ar organizacijų vadovus.
Naudojant vos kelias viešai prieinamas nuotraukas ar įrašus, nusikaltėliai geba atkurti balsą, veido mimiką ir rašymo stilių.

Pavyzdys iš praktikos:
Finansų sektoriuje registruoti atvejai, kai buhalteriai gavo „vaizdo skambutį“ iš tariamo vadovo, prašančio skubiai pervesti lėšas.
Tik po kelių valandų paaiškėjo, kad tai buvo deepfake technologijos pagrindu sukurta imitacija.

Ką daryti:

  • Niekada nepriimkite finansinių sprendimų vien pagal žodinį ar vizualinį prašymą.

  • Patvirtinkite visus mokėjimus antriniu kanalu (vidiniu chatu, telefonu ar sisteminiu prašymu).

  • Apmokykite darbuotojus atpažinti net mažus neatitikimus - intonaciją, šviesą, garso delsą.

2. Verslo el. pašto kompromitacija (BEC) - tylus, bet brangus sukčiavimas

BEC atakos 2025 m. pasiekė naują mastą. Nusikaltėliai nebeskuba pavogti duomenų - jie kantriai stebi vidinį susirašinėjimą, laukdami tinkamo momento.
Dažniausiai jie pasinaudoja realiais el. laiškais tarp partnerių ar tiekėjų, įterpdami klaidingas sąskaitas su vos pakeistu IBAN numeriu.

Tokių atakų žala dažnai siekia šimtus tūkstančių eurų, o svarbiausia - jos dažnai atrodo „autentiškos“.

Ką daryti:

  • Tikrinkite kiekvieną IBAN keitimą ar naują sąskaitą per antrinį kanalą.

  • Naudokite DMARC, SPF ir DKIM autentifikavimo įrašus - tai sumažina galimybę, kad sukčiai galės naudoti jūsų domeną.

  • Nustatykite el. pašto filtrus, kurie žymi įtartinus siuntėjus ar nukrypimus nuo įprasto tono.

3. Tikslinės atakos prieš TIS2 sektorius

Ypatingas dėmesys 2025 m. skiriamas energetikos, vandens tiekimo, sveikatos, transporto ir finansų sektoriams - visiems, kurie priskiriami prie TIS2 kritinių arba esminių subjektų.

Tokių organizacijų infrastruktūra dažnai turi:

  • senesnių sistemų jungtis,

  • daug trečiųjų šalių tiekėjų,

  • ir sudėtingą vidinę hierarchiją, kurioje lengva manipuliuoti informacijos srautais.

Sukčiai pasinaudoja šiais veiksniais, kurdami tikslinius phishing laiškus, imituojančius NKSC, tiekėjus ar auditorių pranešimus.
Net 40 % kritinių sektorių darbuotojų bent kartą per metus gauna netikrą laišką, atrodantį kaip iš valstybės institucijos.

Ką daryti:

  • Diegti vidinę phishing simuliacijų programą - tai ne bausti, o treniruoti reagavimo instinktą.

  • Naudoti centrinį tiekėjų registrą, kad būtų galima identifikuoti realius kontaktus.

  • Įtraukti šiuos rizikos scenarijus į organizacijos TIS2 rizikų vertinimą.

4. Socialinės inžinerijos atakos prieš IT tiekėjus ir partnerius

Nauja tendencija - netiesioginės atakos. Užuot puolę didelę organizaciją tiesiogiai, kibernetiniai sukčiai taikosi į mažesnius IT partnerius, turinčius prieigą prie vidinių sistemų.
Tai ypač pavojinga sektoriams, kurie naudojasi valdomomis paslaugomis (MSP/MSSP).

Ką daryti:

  • Reikalaukite, kad tiekėjai turėtų TIS2 atitikties įrodymus ar bent bazinį kibernetinio saugumo sertifikatą.

  • Įtraukite partnerių prieigų kontrolę į savo saugumo politiką.

  • Nustatykite, kad visos administracinės paskyros naudotų multi-factor authentication (MFA).

5. AI sukurtas socialinis spaudimas

Sukčiai vis dažniau derina dirbtinį intelektą su psichologiniais metodais.
Jie analizuoja vadovų kalbėjimo stilių, emocinį toną ir net darbo laiką, kad sukurtų tobulai įtikinamus scenarijus.

Pvz., penktadienio popietėmis siunčiami laiškai „nuo vadovo“, prašantys atlikti skubų mokėjimą iki dienos pabaigos.
Tai vadinama AI-driven urgency fraud - ir jis pasiteisina pavojingai dažnai.

Ką daryti:

  • Įmonės viduje įdiekite „dviejų žingsnių“ taisyklę visiems skubiems sprendimams: patvirtinimas + dokumentavimas.

  • Naudokite AI turinio analizės įrankius (pvz., ChatGPT detektorius, Grammarly tone checker) įtartiniems laiškams vertinti.

  • Stiprinkite vidinę kultūrą, kurioje „skubiai“ nebėra magiškas žodis.

Kodėl tai svarbu dabar

Pagal TIS2 direktyvą, organizacijos privalo ne tik turėti saugumo planus, bet ir įrodyti, kad taiko praktines priemones rizikai mažinti.
Tai reiškia, kad sukčiavimo prevencija turi būti ne vien IT departamento rūpestis - ji turi tapti visos organizacijos įpročiu.

2025 m. sukčiavimo banga neatslūgs. Ji tik tobulės.
Skirtumas bus tik vienas - ar jūsų įmonė pasirengusi, ar dar tik reaguoja po fakto.

Kaip užtikrinti pasirengimą

TrustGuru.ai leidžia organizacijoms iš kritinių ir esminių sektorių įvertinti bei sustiprinti pasirengimą TIS2 reikalavimams:

  • automatizuoti rizikų ir incidentų registrus,

  • generuoti politikų šablonus pagal NKSC rekomendacijas,

  • valdyti tiekėjus, įrodymus ir ataskaitas vienoje vietoje.