Mai Kraft, Elisa infoturbejuht

Sellel aastal on Eestis hoogustunud erinevad petuskeemid, mis heausksetelt inimestelt üritatavad paroole või raha välja petta. Õnge otsa sattumise vastu aitab kriitiline mõtlemine ja paar lihtsat nõuannet, mida järgida. Neid selgitab Elisa infoturbejuht Mai Kraft.

Petuskeemid on muutunud viimastel aastatel professionaalsemaks. Kui veel mõni aeg tagasi olid petuskeemid vigases eesti keeles saadetud e-kirjad, mis soovisid kirja saaja krediitkaardiandmeid jms, siis nüüd on Eesti küberruumis esinenud skeemid eriilmelised, läbimõeldumad ning isikupärasemad. Viimast just seetõttu, et sotsiaalmeedia kaudu on inimeste kohta info kätte saamine väga palju lihtsustunud. Ei tasu arvata, et kirjad tulevad vaid näiliselt võõrastelt isikutelt või asutustelt. Levinud on näited, kus petukirjad on pealtnäha saabunud tuttavatelt, töökaaslastelt või lausa iseendalt. Toon näited mõnest esinenud skeemist:

• Tegevjuhi petuskeem – See on petuskeem, mis on suunatud raamatupidajate/finantsjuhtide vastu. „Juht“ saadab kirja raamatupidajale ning palub teha kiirelt ülekanne teatud summa ulatuses välismaa kontole.
• Töötajate kirjad – Selle pahatahtliku skeemi sihtrühmaks on personali- ja palgaosakonna töötajad, kus e-kiri tuleb „oma ettevõtte töötajalt“, kes palub edaspidi kanda palga uuele pangakontole.
• Libaloosimised – On levinud, et näiteks Eesti mobiilioperaatorite, pankade või postiteenusepakkujate sümboolikat ära kasutades korraldatakse libamänge, kus tavaliselt tuleb vastata lihtsatele küsimustele, mille eest lubatakse võimalust võita näiteks nutitelefone või kõrvaklappe. Auhinna kättetoimetamiseks palutakse tasuda postikulu ning küsitakse panga- või krediitkaardi andmeid.
• Sekspressimiskirjad – E-kirjana leviv petuskeem, kus kirja saajale väidetakse, et isikust on tehtud kompromiteerivaid videoid ning nende avaldamata jätmise eest küsitakse ohvrilt bitcoin’e. E-kiri on näiliselt saadetud kirja saaja e-posti peale, millega üritatakse inimeses tekitada tunnet, nagu reaalselt oleks tema arvutisse sisse häkitud.
• Pankade õngitsussõnumid – Selle juhtumi puhul saadeti inimestele pankade nimel petusõnumeid SMSina, mis sisaldasid linki internetipankade õngitsuslehele. Eesmärk oli suunata inimene veebilehele Smart-ID või Mobiil-ID kaudu sisse logima. Kui inimene oli seda teinud, tehti isiku nimel tema teadmata Smart-ID kontosid või internetipangas ülekandeid.

Kuidas ennetada petuskeemide ohvriks langemist ehk ole kriitiline ja tähelepanelik

Petuskeem ei hüüa tulles – õngitsuskatse võib „rünnata“ ka telefonis või veebiavarustes.

• Tasuks meelde jätta, et petuskeemid ei esine vaid e-kirjadena. On levinud, et pahategijad proovivad inimesi eksitada ka SMSi ja telefonikõnega või esinevad suvalise veebilehe nime all.
• On oluline meeles pidada, et petukirjade, -sõnumite ja -lehtedega püütakse ohvreid lõksu, rõhudes inimeste omadustele nagu heatahtlikkus, uudishimu ja kasupüüdlikkus. Nende abil hajutatakse tähelepanu või kiirustatakse inimest tagant, et ta ei jõuaks langetada ratsionaalseid otsuseid.
• Alati võiks e-kirjades sisalduvaid linke kontrollida, viies kursori lingile ning uurida ega veebiaadress ei tundu kahtlane. Libalehe aadress on tavapärasest pikem ja lohisevam ning reeglina ei sisaldu nendes Eesti domeenitunnust .ee.
• Tasuks olla ettevaatlik, kui saad mõne teenusepakkujalt ootamatul ajal kirja. Näiteks, saabub kodupangalt kiri või sõnum jaanipäeval või muul pühal, aga miks mitte ka tavalisel reede õhtul pool kümme, ja see palub netipangas oma andmeid uuendada. Veel kahtlustäratavam on, kui inimene pole selle panga klientki, kellelt sõnum tuli.
• Kui kirja/sõnumi sisu jääb segaseks, siis kindlasti ei tohiks klikkida linkidel või avada manuseid. Selle asemel tasuks küsida abi spetsialistilt või pöörduda kirja saatnud isiku/ettevõtte poole ja uurida tema kavatsuse kohta. Oluline on mitte vastata sama kanali kaudu, kus teade tuli, vaid kasutada teisi (näiteks helistada, kirjutada Messengeris).
• Samuti peaks kontrollima, et veebileht, kuhu on tarvis sisestada isiklikke andmeid, on kaitstud turvalise krüpteeritud ühendusega: aadressi alguses on https.

Kui oled ohvriks sattunud ära jää ootama, vaid tegutse

Kui juhtub, et isik on siiski ohvriks langenud, tasub kasutusele võtta järgmised abinõud:

• Kui trikitati sisestama panga- või krediitkaardiandmeid, siis on soovitatav pangakaardil internetimaksed piirata või üldse kaart sulgeda. Selleks tuleks teavitada juhtunust panka, kes saab kaarditehinguid jälgida. Pangakontode puhul on soovitatav seadistada internetimaksetele limiidid.
• Kui inimest õhutati kasutajatunnuseid ja salasõnasid sisestama, tuleks paroolid selles keskkonnas ära muuta. Lisaks tuleks jälgida, et ei kasutataks samu salasõnasid erinevates internetikeskkondades.
• Teavitada tuleks juriidilist/füüsilist isikut, kelle nimelt petuskeem alguse sai. Näiteks Elisas soovitame alati klientidel petuskeemist teavitada meie klienditeenindust ning anname klientidele nõu, kuidas eristada ettevõtte saadetavaid pöördumisi või pakkumisi petukirjadest. Ettevõtte töötajad pöörduvad aga kahtluse puhul infoturbe osakonna poole.
• Petukirjade saamisest tuleks alati informeerida Riigi Infosüsteemi Ametit (cert@cert.ee) ja Politsei- ja Piirivalveameti küberkuritegude bürood (cybercrime@politsei.ee).

Kokkuvõttes tasuks meeles pidada, et petukirjade ohvriks langemise vastu aitab tähelepanelikkus ja kriitiline mõtlemine. Kui miski tundub liiga hea, et tõsi olla, siis ilmselt see nii ongi. Petuskeemi kahtlustamisel tasub olla osavõtlik ja teavitada teisi asjasse puutuvaid osapooli. Selliselt toimimine aitab kiiremini pettuseid tuvastada ning ohvriks langejate arvu vähendada. Ka ettevõtted saavad petukirjadega võitlemiseks paremini valmis olla, leppides kokku kindlad ettevõttesisesed protsessid ja protseduurid. Oluline on informeerida töötajaid ja kliente erinevate kanalite nagu siseveebi, sotsiaalmeedia ja ajakirjanduse kaudu liikvel olevatest petuskeemidest ning juhendada, kuidas nende tuvastamise korral toimida.