Vos ne kasdien žiniasklaidos antraštėse matome pranešimus apie sėkmingas sukčių atakas, pavogtus prisijungimo duomenis, nutekintą konfidencialią informaciją, prarastus pinigus ir kitą padarytą žalą. Taip pat nuolat mirga patarimai, kaip apsisaugoti: raginama nespausti įtartinų nuorodų, nieko neatskleisti svetimiems asmenims. Tačiau žmonės vis tiek užkimba ant nusikaltėlių jauko.
Dalis sukčių siunčia masinius laiškus ir ieško aukų el. paštu, SMS žinutėmis ar socialiniuose tinkluose. Kita dalis investuoja daugiau pastangų ir kuria suasmenintas, itin įtikinamas atakas.
Žinau, kad šioje vietoje dalis skaitančiųjų jau gali užverti šį langą ir pereiti prie kito straipsnio – juk apie tai girdėta tūkstančius kartų. Tačiau aš noriu papasakoti apie kitą sparčiai populiarėjančią ataką: telefonu skambinančius sukčius, kurie (bent jau pradžioje) kalba lietuviškai. Ir ilgainiui gali prabilti… jūsų artimojo balsu.
Svarbiausi straipsnio akcentai:
- Sukčiai išmoksta prabilti jūsų artimųjų balsais, naudodami pažangius dirbtinio intelekto įrankius.
- Skaitmeniniam balso dvyniui sukurti pakanka vos kelių sekundžių švarios jūsų kalbos įrašo.
- Bandymas „pažaisti“ su sukčiais ar juos pašiepti telefonu yra didžiulė klaida.
- Kaip apsisaugoti nuo numerio klastojimo (angl. Caller ID Spoofing) ir sukčių, kurie gali skambinti naudodami artimųjų balsus?
Kaip įmanoma prabilti svetimu balsu ir ko tuo siekiama?
Balso nukopijavimas nėra visiškai nauja technologija. Jei prisijungtumėte prie šiuolaikinių dirbtinio intelekto (DI) platformų, pamatytumėte funkciją, leidžiančią įgarsinti bet kokį tekstą jūsų pačių balsu – tai vadinama balso klonavimu.
Ar saugu savo balsą ar veidą patikėti tokioms sistemoms? Tai priklauso nuo to, ką įmonė gali legaliai daryti su jūsų duomenimis. Jų naudojimo sąlygose dažniausiai aprašyta, ar klonas bus naudojamas tik jūsų turiniui kurti, ar bus pasitelktas DI modeliams apmokyti, o gal taps prieinamas kitiems platformos naudotojams ar trečiosioms šalims. Kai kurie įrankiai prieš klonavimą pasiteirauja, ar tikrai turite teisę naudoti konkretų garso įrašą, kiti – ne. Tačiau leidimo paklausimas savaime saugumo negarantuoja.
Taigi, vienas iš šaltinių, iš kurių nusikaltėliai gali gauti mūsų balso ar vaizdo šabloną – tai platformos, kurioms mes patys, siekdami greito rezultato ar pramogos, savanoriškai atiduodame duomenis, nepasidomėję jų panaudojimo galimybėmis.
Kiek laiko reikia balso klonavimui?
Pamenu, prieš keletą metų DI platformoms reikėdavo pateikti keliolikos ar net 30 minučių trukmės kokybišką garso įrašą, kad sugeneruotas rezultatas skambėtų įtikinamai.
Kaip tai daroma dabar? Šiandien užtenka vos kelių sakinių – kelių sekundžių švarios kalbos, ir jūsų skaitmeninis balso dvynys jau paruoštas.
Viešumoje dominuoja nuomonė, kad telefonu skambinantys sukčiai visada iškart bando išvilioti pinigus. Tačiau pirminis jų tikslas gali būti kitas – gauti švarų jūsų balso įrašą.
Nusikaltėliai skambučio metu gali užduoti banalius klausimus: „Ar mane girdite? Pas mus stringa ryšys, pasakykite taip arba ne“, „Ar užsisakėte paslaugą?“, „Skambiname iš kurjerių tarnybos, patvirtinkite savo adresą“. Taip jie provokuoja jus kalbėti, kad užfiksuotų specifines intonacijas, tarseną ir emocinius akcentus. Daugelis žmonių, supratę, kad skambina sukčius, nusprendžia „pažaisti“: tyčiojasi, bando pamokyti, klausinėja provokuojančių klausimų ar tiesiog tempia laiką. Tai – didžiulė klaida. Gavę šį jūsų balso šabloną, sukčiai gali priversti DI modelį jūsų balsu perskaityti bet kokį tekstą.
Be to, sukčiams nebūtina skambinti patiems. Jei keliate vaizdo įrašus į „TikTok“, „Instagram“, „Facebook“ ar vedate viešas paskaitas, jūsų balso pavyzdžių internete jau ir taip yra daugiau nei pakankamai.
Atakos anatomija
Žvelgiant iš etiško hakerio ir psichologinio saugumo perspektyvos, šis procesas užkulisiuose yra stebėtinai paprastas, bet itin pavojingas. Visas procesas susideda iš keturių etapų.

Gavę trumpą jūsų balso įrašą, sukčiai įkelia jį į generatyvinio DI priemones, kurios išanalizuoja tembrą, dažnį, kalbos tempą bei pauzes. Tuomet nusikaltėliams belieka įrašyti norimą scenarijų (pvz.: „Mama, aš policijoje, man bėda, skubiai pervesk pinigų“), ir sistema akimirksniu sugeneruoja audio failą, skambantį jūsų balsu.
Štai kodėl bandymas „pajuokauti“ su sukčiais vėliau atsigręžia prieš jus ar jūsų šeimą. Kai skambina nepažįstamas numeris, privalome būti budrūs.
Kai man skambina nežinomas numeris, aš pakeliu ragelį ir tiesiog kelias sekundes tyliai lukteliu. Jei skambina robotizuota sukčių sistema, ji, neišgirdusi žmogaus reakcijos, dažnai tiesiog paleidžia lietuvišką įrašą arba pati nutraukia ryšį. Tuomet aš tiesiog padedu ragelį.
Kaip surenkama kita informacija apie mus?
Ką sukčiai daro toliau, turėdami jūsų balsą? Jie tokius įrašus gali sujungti su kita informacija. Šiuolaikiniams nusikaltėliams nereikia būti visagaliais programišiais – didžiąją dalį detalių mes jiems atiduodame patys, arba tai už mus padaro nesaugios sistemos. Sukčiai tiesiog sujungia viską į vieną duomenų bazę ir pasiruošia tikslingam puolimui.
Socialiniai tinklai – nemokama žvalgybos bazė
Tai, ką savo noru skelbiame „Facebook“, „Instagram“ ar „LinkedIn“ (šeimos ryšius, nuotraukas iš atostogų, prie darbovietės ar vaikų mokyklos), išduoda mūsų kasdienius maršrutus, geolokaciją ir socialinį statusą.
Masiniai duomenų nutekėjimai
Dalis skaitančiųjų pasakys: „Aš nieko nepublikuoju, esu saugus“. Ir štai čia – ne visai tiesa, nebent gyvename negyvenamoje saloje be interneto ir technologijų. Bet ar tai reiškia, kad technologijos ir internetas kalti?
Aš mėgstu sakyti: tai, kas „išeina“ iš telefono, kompiuterio ar kito įrenginio į internetą, tai gali būti sunkiai suvaldoma, nes mes ne visada žinome, kaip ta informacija perduodama, kaip ji saugoma, kaip ji apdorojama ar archyvuojama.
Paprastai žmogus nesėdi vienoje vietoje. Pavyzdžiui, vykstama į kitą šalį, skrendama lėktuvu, apsistojama viešbutyje, kur dažnu atveju padaroma paso kopija ir surenkama kita informacija, tokia kaip vardas, pavardė, asmens kodas, namų adresas, telefono numeris, el. pašto adresas. Visa puokštė asmens duomenų. Ir kas nutinka, kai kibernetiniai nusikaltėliai įsilaužia į tokias sistemas, kur saugomi tūkstančiai ar milijonai tokių įrašų?
Yra ne vienas pavyzdys apie neatsakingą įmonių duomenų tvarkymą, ir įmonėms už tai yra skiriamos milžiniškos baudos už BDAR* pažeidimus. Pavyzdžiui, 2026 m. taksi programėlės “Yango” operatoriui skirta bauda 100.000.000 Eur. Tokios baudos skiriamos ir Lietuvoje esančioms įmonėms, pradedant valstybinėmis organizacijomis, baigiant privačiomis įmonėmis. Žinoma, finansinės sankcijos nepadeda sumažinti poveikio, kai duomenys jau yra pavogti, bet tokios priemonės bent paragina tas pačias įmones susitvarkyti saugumą bei kitas organizacijas imtis saugumo priemonių apsaugant konfidencialią informaciją.
Vieši registrai
Daugelyje šalių dalis informacijos apie įmonių vadovus, nekilnojamojo turto savininkus ar tam tikrų profesijų atstovus yra vieša. Sukčiai naudoja šiuos duomenis, kad nukreiptų atakas į aukštesnes pajamas turinčius asmenis.
Kur surinkta informacija patenka, kam ji gali būti naudinga?
Egzistuoja ilgas sąrašas šaltinių, iš kur informacija gali būti surenkama legaliais, pusiau legaliais ir nelegaliais būdais. Kam šie duomenys gali būti naudingi, ir kokia grėsmė gali kilti eiliniam žmogui?
Surenkama ar pavagiama informacija tampa prieinama taip vadinamoje juodojoje rinkoje (angl. Dark Web). Čia sukčiai ir nusikaltėliai gali įsigyti duomenų, toliau panaudoję OSINT, angl. Open Source Intelligence (atvirų šaltinių žvalgyba) metodus surasti apie žmogų papildomos informacijos, kuri vykdant ataką galėtų būti naudinga.
Ar verta jaudintis, kad vieną dieną paskambins artimuoju apsimetęs sukčius ?
Naudodami technologiją, vadinamą Caller ID Spoofing (telefono numerio klastojimu), sukčiai gali padaryti taip, kad jūsų ekrane skambinant būtų rodomas būtent jūsų artimojo telefono numeris, artimojo vardas ar įmonės pavadinimas. Įsivaizduokite situaciją: ekrane matote savo artimojo vardą, o atsiliepę girdite jo versmingą balsą, pasakojantį apie avariją ar nelaimę. Tokiu momentu žmogui akimirksniu „išsijungia“ savisauga ir visi anksčiau girdėti patarimai. Tuo sukčiai ir naudojasi.
Ar įmanoma apsisaugoti nuo tokių atakų?
Šiandien kiekvienai šeimai ar artimųjų ratui verta turėti sugalvojus unikalų saugumo slaptažodį – žodį ar trumpą frazę, kuri niekada nebuvo skelbta internete. Tai neturėtų būti augintinio vardas ar gimtadienio data, kurią sukčiai gali lengvai nuspėti.
Jei sulaukiate skambučio iš artimojo, kuris prašo pinigų ar teigia patekęs į bėdą, tiesiog ramiai paprašykite pasakyti jūsų šeimos kodą. Jei skambins sukčius, jis to jūsų slapto kodo nežinos, ir jo ataka akimirksniu bus žlugusi.
Kai saugumo instinktas sujaukia realybę
Prieš kelerius metus pati patekau į situaciją, kurią iki šiol atsimenu kaip puikią pamoką. Tuo metu kaip tik siautė investicinių sukčių banga.
Vieną dieną suskambo telefonas, pastebėjau, kad skambina nežinomas numeris. Atsiliepiau. Malonus balsas sako: „Laba diena, noriu patikslinti jūsų namų adresą, nes turime jums pristatyti siuntą“. Mano galvoje akimirksniu užsidegė ryškiai raudona lemputė – jokių siuntų aš nelaukiu. Griežtai nukertu: „Aš nieko neužsakiau, atstokite“.
Kurjeris nesutriko: „Oi, tik nepadėkite ragelio! Iš tiesų siuntą jums užsakė jūsų kolega, mums tiesiog labai reikia tikslaus adreso pristatymui“. O savisaugos instinktas man sakė kitaip: „Klasikinė socialinė inžinerija, bando išvilioti mano adresą“. Šaltai atsakiau, kad informaciją pasitikrinsiu, ir baigiau pokalbį.
Istorijos kulminacija įvyko tą pačią dieną, per susitikimą su darbo komanda. Juokaudama papasakojau kolegoms apie bandymą išvilioti mano adresą. Vienas iš kolegų sutriko: „Palauk… Čia aš tau užsakiau dovaną-siurprizą kaip padėką už pagalbą organizuojant renginį. Nežinojau tavo adreso, todėl kurjeriams daviau tik telefoną…“
Teko raudonuojant ieškoti to nepažįstamo numerio ir perskambinti niekuo dėtam kurjeriui.

Kokia šios istorijos pamoka?
Tikimybė, kad kažkas jums užsakys siuntą-siurprizą ir neperspės, realiame gyvenime yra artima nuliui. Geriau dešimt kartų padėti ragelį tikram kurjeriui ir vėliau viską išsiaiškinti, nei vieną kartą atiduoti savo privačius duomenis tikram nusikaltėliui.
Kodėl negalima veltis į diskusijas su sukčiais?
Jei supratote, kad skambina sukčius, jokiu būdu nebandykite su juo „žaisti“, pamokyti ar tempti laiko. Štai trys priežastys, kodėl tai pavojinga:
-
- Jūs suteikiate galimybę klonuoti jūsų balsą.
Kuo ilgiau kalbate, tuo daugiau jūsų balso pavyzdžių (intonacijų, emocijų) jie gali įrašyti savo DI algoritmams.
- Jūs suteikiate galimybę klonuoti jūsų balsą.
-
- Patvirtinate, kad numeris aktyvus
Kibernetiniame pasaulyje aktyvių, į skambučius atsakančių žmonių sąrašai parduodami kaip duomenų bazės. Įsivėlę į pokalbį, patenkate į vertingų taikinių sąrašą – skambučiai gali tik dažnėti.
- Patvirtinate, kad numeris aktyvus
-
- Profesionalūs psichologiniai spąstai
Sukčiai dirba pagal griežtus scenarijus. Jie moka valdyti jūsų agresiją ir nepastebimai iškvosti asmeninę informaciją (su kuo gyvenate, kada būnate namie), net jei jums atrodo, kad situaciją kontroliuojate jūs.
- Profesionalūs psichologiniai spąstai
Ką daryti, jei skambina nežinomas numeris?
Geriausia gynyba prieš tokį telefoninį sukčiavimą – tyla. Išgirdote įtartiną klausimą, nepažįstamą balsą ar keistą pasiūlymą? Padėkite ragelį. Neatsiprašinėkite, nejuokaukite ir neaiškinkite. Tiesiog nutraukite ryšį. Jei kyla įtarimas, kad skambino „dėl jūsų artimojo“ – patys surinkite to artimojo numerį ir įsitikinkite, kad jam viskas gerai.
* Kas yra BDAR? Paprastai tariant, Bendrasis duomenų apsaugos reglamentas (BDAR) yra Europos Sąjungos taisyklių rinkinys, kuris veikia kaip jūsų skaitmeninis skydas. Jis įpareigoja įmones saugoti jūsų asmeninius duomenis (nuo telefono numerio iki ligos istorijos) taip pat rūpestingai, kaip bankai saugo pinigus. Jei įmonė jūsų duomenis praranda dėl aplaidumo – jai gresia milžiniškos baudos.
Straipsnį parengė dr. Renata Danielienė
VU Kauno fakulteto dėstytoja
Projekto Nr. 2024-1-LT02-KA220-YOU-000251256
Plačiau apie projektą https://youthink.itinstitutas.lt

Finansuojama Europos Sąjungos lėšomis. Tačiau išreiškiamas požiūris ar nuomonė yra tik autoriaus (-ių) ir tai nebūtinai atspindi Europos Sąjungos ar Jaunimo reikalų agentūros požiūrį ar nuomonę.
Nei Europos Sąjunga, nei dotaciją teikianti institucija negali būti laikoma už juos atsakinga.














