Võitluses digipettuste pandeemiaga tuleb jõud ühendada

Digipettuste tulemusel riisuvad petised maailmas kokku juba triljon USA dollarit aastas ning ka Eestis üha kasvava probleemiga võitlemiseks peame ühiselt pingutama, sest pettuste ohvriks ei lange juba enam ammu vaid digivõõrad, kirjutab ITL-i juhatuse liige ja Elisa Eesti AS regulatiivsuhete juht Triin Kalinin. 

Digipettused on globaalne megatrend, mille ulatus, mitmekesisus, keerukus ja haare on enneolematu. Europoli andmetel on organiseeritud kuritegevuse „DNA“ muutunud, sest see on jõudsalt kolimas virtuaalmaailma. Tehisintellekti roll sotsiaalse manipuleerimise toetamisel ja andmetele ligipääsu hõlbustamisel kiirendab arengut veelgi ning eeldatavasti ületab veebipettuste kasv peagi teised raske ja organiseeritud kuritegevuse liigid[1]. On hinnatud, et aastas varastavad petturid üle triljoni USA dollari.[2] 

See trend ei jäta puutumata ka Eestit..Mullu peteti eestlastelt  välja 29 miljonit eurot.  Tegelik kahju on aga veelgi suurem, sest paljud pettused on suunatud järgmisteks pettusteks vajalike andmete hankimisele. 2025. aasta aprillis viis Elisa oma klientide seas läbi uuringu, et kaardistada elanike digiturvalisuse taju ning tulemused kõnelevad probleemi ulatusest: vähemalt iga neljas vastaja kinnitas, et on langenud digipettuse ohvriks. Tegemist on olnud nii rahaliste pettustega, kuid siia hulka kuuluvad ka kontode häkkimised, jmt. Need numbrid ilmestavad, et digiturvalisusesse investeerimine pole mitte ainult vajalik, vaid tõenäoliselt parim investeering. 

Pettuse ohvriks langetakse kõrgest teadlikkusest hoolimata

Teadlikkus pettuste esinemisest on kõrge: Elisa uuringule[3] vastanutest mõtleb 59% digikeskkonnas varitsevatele ohtudele iganädalaselt ning koguni kaks kolmandikku ülemaailmses uuringus[4] osalejatest usub, et nad oskavad pettust ära tunda. 

Hoolimata sellest on pettused laialt levinud ja põhjustavad suuri rahalisi kaotusi, sest petturid teevad oma kodutöö hästi ja tunnevad sihtgruppe. E-posti aadressid, telefoninumbrid ja harjumused on sageli vabalt kättesaadavad, sotsiaalmeediaski jagatakse infot oma töökohast, reisidest, ning kasutatavatest teenustest. Järjest ulatuslikumaid ja usutavamaid pettuseid võimaldavad luua ka tehisintellekt ja automatiseerimine. Ja kahjuks tänaseks juba üsna korrektses eesti keeles. Uusi võrguohte lisandub pidevalt, kuid inimesed ei suuda nendega sammu pidada. 

Eesti suur tugevus on meie digitaalsete teenuste osakaal, kuid samal ajal muudab digiteenuste ja nendega seotud teavituste pidev lisandumine keeruliseks ehtsa tuvastamise võltsist. Nii võib igapäevaste askelduste keskel pettus sulanduda infomürasse ka digiteadliku inimese jaoks.

Pettur ei ründa seadet, vaid inimest 

Digipettus ei ole enam pelgalt tehniline häkkimine, vaid hästi läbimõeldud manipulatsioon. Kui võrrelda seda füüsilise sissemurdmisega, siis pahalane ei murra ust maha jõuga, vaid veenab meid ennast sisse kutsuma ja kogu varagi ära andma. Kõikide pettuste puhul on teguriteks usaldus, emotsioon ja kiirustamine.

Lähtuvalt kanalist, kus pettus toimub, võib levinumad digipettused jagada neljaks.

Telefonipettused, kus helistaja esineb pangatöötaja, politseiniku, muu riigiametniku või sugulasena ja räägib veenva loo probleemist, mis vajab kohest lahendust. Enamasti on petukõnede puhul helistaja number manipuleeritud (spoofed). See tähendab, et pettur manipuleerib enda numbrinäitu nii, et kõne saajale näidatakse hoopis teist, usaldusväärsemat numbrit. Nii on võimalik, et välismaise numbri asemel näib, et kõne tuleb Eesti numbrilt. 

Mobiilsideoperaatorid on sattunud äraspidisesse olukorda: meie ülesanne on kvaliteetse kõneside tagamine, kuid pettuste tõttu peame tegelema hoopis kõnede massiline blokeerimisega. Oleme välja töötanud ja kasutusele võtnud tehnilise lahenduse, mille abil blokeerisid Elisa, Telia ja Tele2 möödunud aastal kokku 35 miljonit petukõne katset. See on muljetavaldav number, ent 100% kaitseni ei ole kunagi võimalik jõuda. Blokeeringute rakendamine on võimalik vaid juhul, kui tegu on selge pettusemustriga kõneliiklusega.    

Esmasteks ohumärkideks on PIN ja muude kinnituskoodide küsimine, keeld helistada tagasi ametlikule numbrile, salatsemine, palve kolmandatele isikutele mitte midagi rääkida. Kui tegu on manipuleeritud numbriga, siis on kasulik teada, et kõne katkestades ja tagasi helistades jõuab selline kõne numbri tegeliku omanikuni, mitte petturini, kes on numbrinäitu manipuleerinud.

Õngitsuskirjade ja -sõnumite (phishing) puhul võib olla tegemist kirjaga pangalt, riigiasutuselt, kullerfirmalt või mõnelt muult tuntud teenusepakkujalt, kuid stsenaariumid võivad olla ka tööalased. Nii võib näiliseks kirjutajaks olla hoopis ettevõtte juht, koostööpartner või raamatupidaja. Pangaliit on viidanud, et kelmid keskenduvad eriti hoolega eraisikutele, kellel on selliseid seoseid ettevõtetega, mis võimaldaksid ligipääsu nii eraisiku kui ka ettevõtte kontole. Ärikirjapettus, mille puhul esineb kelm ettevõtte juhina, tekitas mullu Eestis 2,7 miljonit eurot kahju.

Pettusteks kasutatakse ka sms sõnumeid, sest need on odavad ja automatiseeritavad. Siingi on mobiilioperaatorid kasutusele võtnud lahendused pettuselinke sisaldavate sõnumite blokeerimiseks, kuid täieliku kaitse saavutamine pole võimalik. Lisaks tuleb arvestada, et kui ühes kanalis leitakse hea lahendus pettuste tõkestamiseks, kolivad pettused mujale. Näiteks tõhus petulinkide vähendamine sms-ides suunab pahalased WhatsAppi. 

Peamisteks ohumärkideks on veebilink, mis viib sisselogimislehele (isegi kui see näeb usutav välja), ebatavaline asjaajamise kiirus ja konfidentsiaalsuse nõudmine, väike muudatus arveldusandmetes, palve tavapärasest protsessist mööda minna.

Sotsiaalmeediapettuste ja kontode ülevõtmise puhul on kirjutajaks on sõber, kellega oled selles kanalis ja konkreetse konto alt varem suhelnud, kuid pettuse toimumise ajaks on konto juba petturi kontrolli all. Sõber saadab emotsionaalset infot, millel klikkida või palub abi, näiteks sisselogimisel kontole, millele ta väidetavalt enam ise sisse ei saa.

Peamisteks ohumärkideks on veebilingid, mis nõuavad sisselogimist, kiire ja ebatavaline suhtlusstiil, palve kinnitada koode jms, ebaloogilised vastused lisaküsimustele.

Võltspoodlemine algab tavaliselt veebis nähtud reklaamist, mis pakub toodet või teenust väga hea hinnaga. E-poe pettused on maailmas levinumaid digipettuste vorme, millega on kokku puutunud viiendik globaalsele uuringule vastajatest[5]. Eestis on e-poe pettused neljandal kohal – kahju 1,7 miljonit eurot. Nii et kahjuks kinnitasid ka Elisa uuringule vastajad samuti hulgaliselt võltside müügipakkumiste ohvriks langemist. Näiteks kirjeldati köögitarvikute ja muude soodsamat sorti kauba ostmist, kuid võltsid müügikuulutused võivad põhjustada  suurematki kahju. Üks vastaja tõi välja, et broneeris ööbimise puhkusereisiks, kuid hiljem selgus, et tegemist oli pettusega.[6]

ITL-i kuuluvad sideteenusepakkujad teevad tihedat koostööd Riigi Infosüsteemide Ameti, TTJA jt riigiasutustega, et tuvastada ja blokeerida pahatahtlikke veebilehti, kuid uusi petulehti tekib massiliselt. 

Peamised ohumärgid on ebatavaliselt madal hind, ainult ettemaks või kahtlane makselahendus, puuduvad kontaktandmed või juriidiline info.

Ülalkirjeldatud digipettused ei ole enam sugugi lihtsakoelised. Alanud aastal näeme süvenemas trendi, kus ründed on järjest personaliseeritumad ja mitmekihilisemad. Pettus ei toimu enam ühes e-kirjas, vaid justkui tervikliku stsenaariumina. Kombineeritakse erinevaid kanaleid, näiteks telefonikõnet, e-kirja ja võltsveebilehti. Iga kanal toetab eelmist, tekitades ohvris tunde, et olukord on päris ja kontrollitud.

Pettuste vastu saame vaid ühiselt

Hoolimata tegevusalast saab iga ettevõte palju ära teha, et vähendada pettuste riski. Nagu eelpool kirjeldatud, on teenusepakkujad lisanud mitmeid tehnilisi kaitsekihte, ka on turul hulgaliselt lisateenuseid, kuid isegi parim tehnoloogia ei kaitse inimest, kes ise võltsitud lingile klikib või PIN-koodid petturitele sisestab. Seepärast on oluline teadlikkuse kasvatamine. Regulaarne koolitus ja praktilised testid, näiteks simuleeritud õngitsuskirjade harjutused, aitavad töötajatel ohtusid ära tunda. 

Elisas on kasutusel tehniline lahendus, mis saadab ettevõtte töötajatele automaatselt õngitsuskirju. Koostatakse usutavaid e-kirju, mis matkivad tavalisi ründemalle, kasutades ettevõtte logosid, päriselt meil töötavate inimeste nimesid ja päevakajalisi teemasid. Eelmisel aastal klikiti petulinkidele 1,4% kirjade puhul, mis esmapilgul tundub tühise numbrina, kuid absoluutnumbrina võinuks tähendada enam kui 300 korral pettuse ohvriks langemist. Seda on 300 korda liiga palju. Samas aitab just selline mänguline petmine kõige paremini valvsust kasvatada. 

Pettust aitab märgata kahtlemine, kaalutletud ja rahulik tegutsemine, sest emotsioonid on petturi tööriist. Digipettuste läbiharjutamine aitab emotsiooni märgata, seda kõrvale lükata ja õpetab otsima väikest detaili, mis ei klapi. 

Lihtne reegel on see, et kurjategijad liiguvad sinna, kus saak on kõige lihtsamini kättesaadav. Töötajate järjepidev teadlikkuse kasvatamine aitab luua kultuuri, kus turvalisus on osa igapäevasest tööst, mitte eraldi projekt. Kui töötajad tunnevad, et nende tähelepanelikkus on väärtustatud, muutub ettevõte tervikuna vastupidavamaks küberohtudele.