Petised võtsid Eesti firma meilivestluse üle ja 30 000 eurot oligi läinud

Usutlus RIA küberturbe ekspertidega

Kas sina saaksid aru, kui kirjavahetus poole pealt kaaperdatakse? RIA eksperdid õpetavad, kuidas õnge minemisest pääseda.Foto: Shutterstock

Juunis langes sõidukite müügiga tegelev Eesti ettevõte arvepettuse ehk BEC-skeemi (business e-mail compromise) ohvriks. Ettevõte suhtles meili teel enda koostööpartneriga ega märganud, kui ühel hetkel võtsid kirjavahetuse üle hoopis kurjategijad. Firma sai äripartneri kaaperdatud meilikontolt võltsitud arve ning tasus selle. Alles hiljem saadi pihta, et makse tehti petiste kontole – kahjusummaks ligi 30 000 eurot.

RIA intsidentide lahendamise osakond (CERT-EE) registreeris eelmisel kuul 243 mõjuga intsidenti (st intsidenti, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele). Sarnase skeemi ja kahju kohta, nagu eespool kirjeldatud, sai RIA teate ka veel teiselt Eesti ettevõttelt.

Millised ohud kübermaailmas valitsevad, kuidas eestlasi kõige tihemini lohku tõmmatakse ja mis nippidega ennast selle kõige eest kaitsta, räägivad RIA analüüsi- ja ennetusosakonna juhataja Märt Hiietamm ja juhtivanalüütik Marju Hendre. See RIA üksus tegeleb ohuhinnangute, juhtumite analüüsi ja küberruumi ülevaadete kirjutamisega ning on tänavu valmis saanud kübertesti, mis võimaldab igaühel oma teadmised kriitilises valdkonnas proovile panna.

CERT-EE registreeris juunis 243 mõjuga intsidenti, mis on viimase poole aasta keskmisel tasemel. Meedias kuuleme peamiselt juhtumitest, kuidas mõni vanaproua telefonitsi pangaandmed kelmidele usaldab. Kas see on vaid jäämäe tipp?

Märt: See teema on kindlasti mitmetahulisem. Mõjuga intsidentide hulka kuuluvad näiteks õngitsused, kontode ülevõtmised, teenusetõkestusründed, krüptopettused, pahavaraga nakatumised. Viimasel ajal oleme kõige rohkem tuvastanud õngitsuslehtedega seotud juhtumeid, nii ka juunikuus – iga päev leiame kuni kümmekond uut õngitsuslehte, mille kaudu petavad kelmid inimestelt pangakaardi andmeid ja PIN-koode välja.

Kõigest meile teada ei anta. Küberturvalisuse seadus ütleb, kes peab RIA-t teavitama, kui midagi juhtub. Kasvõi tavalisel eraettevõttel sellist kohustust ei ole, nad lähevad võib-olla hoopis politseisse või mõne küberturbeettevõtte juurde. Seetõttu kõike me RIA-s ei näe. Ma ei ütleks, et see päris jäämäe tipp on, aga ilmselt jääb ikkagi suhteliselt palju meie eest varjatuks.

Marju: Mina ütleks, et nii vanaprouade kui üldiselt eraisikutega juhtuvaid intsidente on ikkagi üllatavalt palju.

Kui palju on neid ohte, mille eest ei ole kaitstud ka keskmisest teadlikum inimene?

Märt: Oleme kunagi öelnud, et kui hoiad põhiasjad korras, oled juba 95 protsendi ohtude vastu kaitstud. See oli küll kõhutunde pealt öeldud, aga kujutan ette, et umbes nii ongi. Pigem on ikkagi väike tõenäosus, et asjad juhtuvad teadlike ja kaitstud kasutajatega.

Marju: Aga seda võib küll öelda, et pettused lähevad järjest nutikamaks. See tähendab, et neid ei ole enam nii kerge ära tunda. Üks näide on Omniva nimel saadetud sõnumid, mille õnge on läinud ka inimesed, kes muidu selliseid rumalusi ei tee – kui ootad pakki, siis saadetakse sõnum, et pakk on kohal ja sisesta oma andmed. Tavaliselt saab telefoninumbri järgi aru, et tegemist on näiteks välismaa numbriga, aga on juhtumeid, kus võltsitakse ka numbrit, nii et SMS läheb samasse kohta, kus on samalt ettevõttelt varem tulnud sõnumid. Petturid arenevad ja mõtlevad järjest uusi skeeme välja.

Inimesele saabunud õngitsussõnum ülal koos legitiimse sõnumiga all.
Õngitsussõnum saabunud paki kohta.

Mida siis teha, kui sõnum näebki täiesti tõetruu välja ja ei oska kuidagi kontrollida, kas see on päris või mitte?

Marju: Kui pank või postifirma pöördub sinu poole ja palub mingeid andmeid sisestada, siis ära kliki lingile, vaid mine panga või mistahes ettevõtte ametliku kodulehe kaudu. Näiteks kui LHV saadab sõnumi, et palun uuenda internetipangas andmeid, siis lähed brauserist LHV kodulehele ja logid sisse, mitte ei sisene sõnumi kaudu. Ükskõik kas tegemist on pettusega või mitte, ametliku kodulehe kaudu saad selle asja nagunii tehtud. Ja kui selgub, et tegelikult pole vaja andmeid uuendada vms, saad sealtkaudu ka ettevõttele teada anda, et nende nimel on õngitsuskiri saadetud.

Kui palju intsidente juhtub ikkagi sellest, et inimestel lihtsalt ei ole piisavalt teadlikkust?

Marju: Muidugi on ka selliseid pettusi ja õngitsusi, mille puhul tekib küsimus, kas inimesed üldse ei mõtle. Näiteks eelmisel aastal levis skeem, kus inimestele saadeti politseid imiteeriv e-kiri, väites, et kahtlaste või keelatud saitide külastamise tõttu on alustatud juurdlust ning inimene peaks kohe ühendust võtma lisatud meiliaadressil. Edasi küsitakse juba raha, et menetlus ära jätta. Selliste pettuste puhul aitaks vähenegi teadlikkus kahju ära hoida.

Märt: Kui “Eesti politsei” helistab sulle inglise või vene keeles, siis see ei ole Eesti politsei. On kahetsusväärne, et inimesed ikka selliste asjade õnge lähevad.

Hiljuti oli Eestis arvepettuse keiss, kus sõidukite müügiga tegeleva ettevõtte kirjavahetus kaaperdati poole pealt ja firma kandis 30 000 eurot valele arvele. Kas siin on süüdi tähelepanematus või saavad petturid jäljendamisega tõesti nii hästi hakkama?

Marju: Arvepettuseid tehakse nii keerukamaid kui labasemaid. Keerukamate puhul hakkab koostööpartneri asemel sinuga ühel hetkel suhtlema hoopis pettur ja see võib tegelikult päris ehtne välja näha. See ei ole niiviisi, et lambist tuleb meil, et palun kanna raha hoopis sinna arvele. Alles siis kui usaldus on loodud, edastatakse info, et pank muutus. Või siis ei öeldagi seda välja, vaid arve peal lihtsalt number muutub. Kui ettevõtte raamatupidaja ei tea, et selliseid pettusi tehakse ja peale tema keegi arveid ei vaata, siis võibki kergesti õnge minna.

Kuidas petturid niimoodi kirjavahetusse vahele satuvad?

Marju: Näiteks pääsevad nad sisse ettevõtte võrku ja võtavad kellegi inbox’i üle. Võib-olla on kunagi lekkinud mõne töötaja parool ja kasutajanimi, või siis on ettevõte enda teadmata nakatunud pahavaraga. Kurjategijad jälgivad meilivestlust ja n-ö õigel ajal sekkuvad. See on keerukam viis, lihtsamal juhul tuleb petturi kiri ikkagi valelt meiliaadressilt.

Mida teha, et sellist pettust ära tunda?

Marju: Meie soovitus on alati, et kui tuleb koostööpartnerilt info, et arve number on muutunud, siis kontrolli see muud kanalit kasutades üle. Paraku on olnud ka juhtumeid, kus pettur on võltsinud ka näiteks WhatsAppi konto ettevõtte nimel, nii et ka ülekontrollimine toimub tegelikult libakanalist. Selliseid keerukaid skeeme ongi väga raske tuvastada.

Märt: Ettevõtte puhul on kõige olulisem töötajaid pidevalt koolitada, et sellised ohud on olemas ja need ei pruugi olla kergesti äratuntavad. Kui teadlikkust pole, siis ei oska sellise pilguga isegi vaadata. RIA kodulehelt leiab ka lühijuhendi, kuidas arvepettusi ära hoida.

RIA analüüsi- ja ennetusosakonna juhataja Märt Hiietamm ja juhtivanalüütik Marju Hendre.Foto: RIA

Sellest aastast pakub RIA enda loodud kübertesti, mille eesmärk peakski olema just teadlikkuse tõstmine. Kellele see suunatud on ja mida test endast kujutab?

Märt: Meie aprillis valminud kübertest (kybertest.ee) on suunatud eelkõige riigiasutustele, sh valitsusasutused, põhiseaduslikud institutsioonid ja kohalikud omavalitsused, aga tegelikult ootame koolitusel osalema kõiki huvilisi. Selleks tuleb läbida küll teatud bürokraatlikud formaalsused, aga kui see on tehtud, tekib asutuse või ettevõtte töötajatele ligipääs platvormile, kus saab alguses läbida videokursuse erinevatel olulistel teemadel ning seejärel oma teadmisi testida. Uuendame seda igal aastal vastavalt küberturvalisuse trendidele, nii et korra aastas võiks iga (riigi)töötaja testi läbi teha. Nii koolitus kui ka test on kõigile tasuta.

Kui kaua see üks kord aega võtab?

Märt: Videod kestavad ca 30–40 minutit ja testi jaoks tasub arvestada teine samapalju juurde. Mina läbisin selle testi küll umbes 15 minutiga.

Kui keeruline test see on? Kas seda on mõtet teha ka nendel vanaprouadel, kellest enne rääkisime?

Märt: Väga teadlikule inimesele on see test pigem lihtne, RIA töötajate keskmine tulemus on ca 95%. Keskmisele riigitöötajale on seal ilmselt ikkagi õppemoment juures. Meil on olemas ka kõikidele inimestele suunatud lihtne ja lühike test, mille leiab aadressil itvaatlik.ee/test. Seal on üheksa lühikest, umbes minutilist lõbusat õppevideot ja 12 küsimust, mis põhinevad videotes räägitul. Selle eelis on, et ei ole vaja mingeid formaalsusi läbida ega kuhugi registreerida, vaid vaatad videod ära ja saad kohe küsimustele vastata.

Marju: Kui tahad, võid ka ilma videoid vaatamata kohe küsimuste juurde minna. Itvaatlik.ee test peaks olema jõukohane absoluutselt kõigile. Oleme aastaid teinud erinevaid kampaaniaid ja õppevideoid ning näinud, et teatud gruppideni ühiskonnas on küberturbeteemadega raske jõuda. Vanemaealistele tunduvad need teemad hirmutavad ja võõrad. Selle testiga püüdsime seda probleemi lahendada. Seal ei ole spetsiifilist sõnavara või kui on, siis see on lahti seletatud. See on hästi lihtsalt omandatav. Kutsun teadlikku Geeniuse lugejat üles itvaatlik.ee testi oma vanematele sugulastele soovitama.

Kas neist testidest joonistub ka see välja, millistele küsimustele kõige rohkem valesti vastatakse?

Marju: Kõige raskem on ikkagi õngitsuslehtede äratundmine. Samuti, et mida siis teha, kui oled juba sattunud õngitsuslehele või oma andmed kogemata sisestanud.

Enne rääkisime, et kui põhiasjad hoida korras, on 95% ohtudest juba maha võetud. Mis need põhiasjad on, millele tähelepanu pöörata?

Märt: Need on elementaarsed asjad, mida enamik teab, aga sageli mugavusest ei järgita. Itvaatlik.ee testis on kõik põhiteemad olemas, jagatud kolme plokki ja videotega näitlikustatud. Esiteks paroolid – paroolide tugevus, unikaalsus ja mitmeastmeline autentimine. See tähendab, et paroolid peavad olema tugevad, eri kohtades eri paroolid ja kus võimalik, seal kaheastmeline autentimine sisse lülitatud. Kui sellega on korras, on juba palju turvalisem. Seda peaks iga ettevõte ka oma töötajatele meelde tuletama.

Teises plokis räägime tarkvara uuendamisest, andmete varundamisest ja sellest, et oma internetis olevatel seadmetel ei kasutataks tehasesätteid. Kõige lihtsam näide viimasest: paned WiFi ruuterile uue parooli, mitte ei jäta seda numbri- või tähekombinatsiooni, millega ruuter alguses tuli.

Viimane plokk ongi teadlikkus – ära jaga sotsiaalmeedias enda kohta liiga palju infot, ära kliki kahtlastele saitidele, õpi ära tundma õngitsuslehti.

Marju: Kui vaadata intsidentide registrit, siis väga palju asju juhtub sellepärast, et inimestel on erinevates keskkondades ühed ja samad paroolid. Kui parool mõnest suvalisemast keskkonnast lekib, siis saab sellega ligi sotsiaalmeedia- või meilikontole. Siis pole tugevast paroolist enam mingit kasu.

Ettevõtte puhul on see keerulisem. Ettevõte peab vastavalt oma suurusele ja äririskidele ise hindama, kas piisab küberi baastasemest või on neil näiteks andmeid, mille tõttu on vaja kõrgemat standardit järgida. Seda võib ka ettevõtetele südamele panna, et töötajate kohta väga palju ja väga detailset infot oma kodulehel ei tasu jagada. Ka selle võivad kelmid kokku korjata ja kurjasti ära kasutada.

Üks praktiline vaheküsimus. Kuidas kõik need paroolid meelde jätta, kui kasutad igal lehel erinevat tugevat salasõna?

Marju: On olemas paroolihalduri äpid, kuhu saad kõik oma paroolid salvestada. Siis tuleb teha kindlasti ise taustatööd, et veenduda äpi turvalisuses, kuna ka need andmebaasid on minevikus lekkinud. Minu meelest on ka see variant okei, kui kirjutad paroolid paberile ja paned ainult sulle teada olevasse kohta. See on juba vähetõenäoline, et keegi varastab paberi ära.

Märt: Minul on ka paroolid osaliselt paberi peal. Aga siis on tähtis, et see paber ei oleks märkmepaberiga arvuti küljes.

Kas kuidagi saab nii ka, et ei peaks muretsema? Tundub, et pettused muutuvad aina nutikamaks ja kogu aeg lisandub mõni uus oht.

Märt: Oleme ligi viis aastat teinud RIA-s igakuist ülevaadet toimuvast ja tegelikult pole registreeritud mõjuga intsidentide arv väga palju muutunud. Pigem joonistuvad välja trendid selles mõttes, et kindlat tüüpi pettused või ründed on mingitel perioodidel rohkem päevakorras.

Kui mõni oht lisandub, siis anname avalikkusele sellest alati teada. Samamoodi hoiavad politsei ja pangad kätt pulsil. Oleme aastast 2019 teinud koostööd statistikaametiga, kes meie palvel inimesi küberhügieeni teemadel küsitleb. Nende nelja aasta lõikes on näha, et inimesed on järjekindlalt muutunud teadlikumaks. Tahaksime loota, et see on muuhulgas tänu sellele, et oleme aastaid teinud teavitus- ja ennetustööd.

Marju: Tooksin analoogia n-ö tavamaailmaga. Kui sa tead liiklusreegleid ja hoolitsed sõiduki korrasoleku eest, siis see ei tähenda, et saad ennast liikluses “lõdvaks lasta”. Samamoodi peab ettevaatlik olema kübermaailmas, isegi kui ohte tead.

Et küberteemadega kursis olla, on kõige lihtsam jälgida RIA Facebooki lehte, kus jagame jooksvalt infot. Sinna jõuavad meie kuuülevaated ja ka jooksvad teavitused, kui on suurem kriis või mistahes oht.

Märksõnad: , , , , , , , , , , , , ,
Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Sisuturundus

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas spetsiaalne DigiPRO liikmetele tehtud uudiskiri, et sa midagi olulist maha ei magaks.