Põhisisu algus

Internetis püütakse petuskeemidega jõuda miljonite inimesteni päevas

02.10.2019

Internetis levivad petuskeemid on kujunenud omaette äriliigiks, kus virtuaalmaailma kurikaelad püüavad õngitseda inimeste väärtuslikke andmeid või meelitada neid kusagile raha üle kandma. Petuskeemid varjavad endas põhjalikult läbimõeldud psühholoogiat, mille abil inimlikke nõrkuseid ära kasutatakse. Millele kurikaelad rõhuvad, kui üritavad inimesi „haneks tõmmata“, räägib Elisa ärikliendiüksuse juht, juhatuse liige Margus Vaino.

Kas teadsite, et Gmail blokeerib ligi 100 miljonit õngitsuskirja päevas. Kõigele lisaks on Google avaldatud andmete järgi Gmaili poolt blokeeritud phishing ehk õngitsuskirjades 68% uudsed variatsioonid, mida pole varem nähtud.

Phishing ehk andmepüük või kalastamisrünne on teatud tüüpi internetipettus, mille eesmärgiks on saada teada inimeste isiklikke või diskreetseid andmeid illegaalselt raha teenimise eesmärgil.

Kuidas seda tehakse?

Andmepüük toimub siis, kui usaldusväärseks isikuks maskeerunud ründaja petab ohvri avama meili, sotsiaalmeediasõnumit või lühisõnumit. Seejärel saadakse ohver vajutama pahatahtlikule lingile, mis võib viia pahavara paigaldamisele arvutis, avada arvuti lunavara rünnakule või viia tundliku info avaldamisele.

Kuigi kontseptsioon on lihtne, siis arenevad sarnased andmepüügi meetodid pidevalt. Möödas on ajad mil raha jagas rikas Prints Nigeeriast või teavitati üllatuslikust pärandusest varalahkunud Kanada Onult. Skeemid on läinud kompleksemaks, intelligentsemaks ja inimlikumaks.

Kõige lihtsam on toimimisest rääkida läbi näidete. Mõne firma raamatupidajale või personalitöötajale saadetakse kiri, kus palutakse kõrgema ülemuse poolt kiirelt raha kanda ühele kontole või muidu võib ettevõtte jaoks juhtuda midagi väga halba. Esmapilgul võib tunduda tõesti, et kirja saatis ülemus, kes palub sind näiteks nimeliselt ja kuna olukord tundub olevat tõsine tahab üldjuhul iga töötaja käituda sellises olukorras kiirelt ning operatiivselt. Tegelikult võib aga juhi konto olla pahalaste poolt kaaperdatud või on tegu lihtsalt emailiga, mis on väga sarnane ülemuse omaga.

Antud kiri mõjub töötajale aga mitmel erineval viisil, mis võivad kallutada teda mõtlematult ülekannet tegema:

  • Võimusuhte ja autoriteedi esile toomine

Sarnane kiri tuleb alati kõrgemalt ülemuselt või juhilt ning seda eesmärgil, et töötaja tunneks tööalast kohustust kuulata ülemuse palvet. Mõnikord lisatakse kirjale juurde ka inimlik palve, et näiteks tema unustas seda teha, nüüd on kontorist väljas ja kohe-kohe peab olema arve makstud. Inimestena püüame ikka üksteist mõista ja võimalusel appi tulla.

  • Kiirus

Alati on õngitsuskirjad seotud lühikese ajalise piiranguga. Raha on vaja kiirelt kanda, andmeid on vaja kärmesti uuendada või tasuta pakutavast tootest on alles viimased eksemplarid. Kiiruse faktor on oluline, et inimene kaotaks valvsuse ja ei asuks teksti süvitsi analüüsima.

  • Emotsionaalne silmapaistvus

Emotsionaalsel tasandil kirjaga sideme saavutamine on üks mõjukaimaid viise, kuidas inimene konksu otsa saada. Sarnastel juhtudel seotakse õngitsus näiteks heategevuse ja kahjutunde tekitamisega või rõhutakse hoopis inimese ahnusele ning kasu saamise motiivile.

Alati aga ei soovita koheselt raha saada. Nagu on paljud eestlased omal nahal tundnud, siis piisab sellest, kui sisestad oma telefoninumbri valesse kohta ja juba oled liitunud igakuise teenusega, mis sulle mitte midagi ei anna, aga mille eest küsitakse sinult iga kuu paar eurot. Äsja levis ka Smart-ID andmeõngitsus, kus paluti emaili teel uuendada andmeid.

Petuskeemid on pidevas arengus ja kogu aeg otsitakse uusi viise, kuidas inimeste varale või andmetele ligi pääseda. Ühelt poolt üritatakse aina arenevaid phishing filtritest mööda pääseda ja teisalt millegi uuega inimeste postkasti saada, sest uute skeemide kohta puuduvad inimestel teadmised ning kogemused. See aga ei tähenda, et inimesed andmepüügist üldiselt teadlikud oleksid.

Siiski selgub Google poolt läbiviidud uuringust, et 45% inimestest ei tea või ei mõista, mis on andmepüük ja õngitsuskiri. Vähene teadlikus probleemist suurendab oluliselt andmepüügi riski ja võib piirata kasutajate seas ennetavate meetmete rakendamist.

Kuidas ennetada ohvriks langemist?

Näiteks tabas Elisat mõni aeg tagasi rünnak, kus ründajad kehastasid ühte ettevõtte juhti ja saatsid korrektses eesti keeles kirja, kus palusid vahetada kontonumbrit, millele laekub juhi palk. Kasutati juhi nime ja esmapilgul tundus, et isegi korrektset emaili aadressi. Tegelikkuses oli tegu aga osava võltsinguga.

Üheks meetmeks selle vastu oleks kui ettevõte rakendaks avalduste ja teiste dokumentide digitaalset allkirjastamist. Nii on alati kindel, et dokumendi või avalduse esitaja on ka tegelikult ise selle taga ning nii on kindlam töötajal kui ettevõttel.

Kõige parem viis andmepüügi ennetamiseks on inimeste ja töötajate harimine, et nad aru saaksid, millega on tegu, kuidas seda tuvastada ja kuidas end kaitsta. Sellele lisaks on soovituslik kõigil kasutada, kus vähegi võimalik, kaheastmelist autentimist. See muudab kasutajate kontode kompromiteerimise oluliselt keerukamaks ja kasutajate jaoks turvalisemaks.

Lisainfo ja allikad:

https://security.googleblog.com/2019/08/understanding-why-phishing-attacks-are.html

https://elie.net/talk/deconstructing-the-phishing-campaigns-that-target-gmail-users/