Puust ja punaseks: kuidas internetis mitte tünga saada?

8-9 minuti lugemine

Aastaid tagasi öeldi, et me liigume suunas, kus ei varastata mitte asju, vaid andmeid. Reaalsuskontroll: selline tulevik on täna kätte jõudnud. Veebipettused on laiemalt levinud kui kunagi varem. Kuidas end nende eest kaitsta?

veebipettus

Kui Su andmed peaks Sinu teadmata võõra kätte langema, on olukord päris tõsine. Tagajärjed ulatuvad mõnest piinlikust Facebooki postitusest või e-mailist kuni reaalse identiteedi varguseni või rahast ilma jäämiseni. Kindlasti ei tasu mõelda, et roosade põskede ja tudiseva piimamannerguga tädi Maali jääb petturite radaritest välja. Reaalsuses pole palju vaja: kui Sul on interneti ühendusega arvuti, siis kuuludki juba automaatselt häkkerite sihtgruppi.

Uurime lähemalt, kuidas pettuseid ära tunda ja oma isiklikke andmeid kaitsta.

Millist sorti pettused hetkel ringi liiklevad?

Pettuste vältimise teekonnal on esimeseks peatuseks teadlikkus võimalikest levinud pettustest. See on nagu metsas käimine – kui tahad nõgeseid vältida, pead esmalt teadma, millised nad välja näevad ja kuidas neid ära tunda.

Wangiri – jaapani keelest otsetõlkes „üks kutsumine ja kõne kinni töötab nii, et ohver leiab telefoniekraanilt vastamata kõne ning samale numbrile tagasi helistades suunatakse kõne lisanduva tasuga välismaa numbrile. Tulemusena peab helistaja hiljem kalli kõne ise kinni maksma.

Phishing ehk õngitsemine – Häkker on kalur, Sina oled aga kala. Kalal käiakse tavaliselt SMSi või e-maili teel. „Söödaks“ on tavaliselt veebilink, telefoninumber või e-posti aadress. Helistades või klikates „sööda“ peale, satud õnge ja ongi petturil kalal käidud.

Veateated ja viiruste „kaitse“ – need on katsed Sind meelitada klikkama võlts-abilingile või helistama valenumbrile selliselt, et Sinu arvutis hüppab lahti lisaaken veateatega, mis võib tunduda nagu Sinu operatsioonisüsteemi või viirusetõrjetarkvara veateade. Veateatel võivad kasutusel olla ka usaldusväärse või tuntud veebisaitide logosid, et Sind klikkama julgustada. Sellistele teadetele klikates jõuad lõpuks kuritegijateni, kes Sulle valeteenust osutades Sind „päästma“ hakkavad. Tulemusena kas varastatakse Sinu andmeid või küsitakse „teenuse“ eest pärast tasu.

Äppidele erinevate lubade andmine – kui laed alla uue äpi ja lihtsalt ei jõua ära oodata, et seda juba kasutama hakata, siis tasub lähemalt uurida, milleks Sa täpsemalt luba oled andmas. Äpid võivad näiteks küsida luba Sinu telefoniga kõnede tegemiseks. Kui Sa oled selleks loa andnud, võib Sinu telefon hakata iseseisvalt helistama tasulistele numbritele, mille tulemuseks tekib Su rahakotti kiiresti auk.

International Revenue Sharing Fraud ehk IRSF – kõige tuntum pettus telekommunikatsiooni valdkonnas, kus petturid kasutavad operaatori võrku pääsemiseks ebaseaduslikke ressursse ja tekitavad n-ö liiklust tasuliste numbrite pakkujalt hangitud telefoninumbritele. See võib endaga kaasa tuua suuri kahjusid.

Kui oled sellistest pettustest varem kuulnud või isegi nendega kokku puutunud, siis tead, et tegemist on arenenud petturitega ning seega tasub oma andmete turvalisusse investeerida. Võtame eelnevast nimekirjast hetkel ühe levinuma pettuse – õngitsuskirjad – ja uurime, kuidas neid ära tunda.

Kuidas ära tunda õngitsuskirju?

Ma ei tea kedagi, kes ei teaks kedagi, kel ei oleks vähemalt ühte meiliaadressi. Valem on lihtne: on meiliaadress, on oht saada õngitsuskiri. Kui suudad taolise kirja ära tunda, on Sinu andmed turvalisemalt hoitud ja riskid ka maandatud.

Mida tasub jälgida, kui saad kahtlase kirja:

1. Mitteloetav või arusaamatu kirja saatja e-posti aadress

Ole ettevaatlik, kui e-mail on saadetud avalikust domeenist, sest ükski legitiimne organisatsioon ei saada e-maili aadressilt, mis lõppeb @gmail.com (isegi mitte Google!). Enamikel organisatsioonidel on enda e-posti domeen, nt Google’i kirjad lõppevad @google.com. Tea, et peaksid kirja koheselt kustutama, kui see on pärit arusaamatult ja ebaloogiliselt e-maili aadressilt, nt paypal@access-invoice-385.com.

2. Grammatilised kirjavead või veider sõnastus

Sageli tunned pettuse ära grammatikavigade järgi. Õngitsuskirju luues kasutavad petturid tihti õigekirjakontrolli või tõlkemasinat, mis annab neile kõik õiged sõnad, kuid mitte tingimata õiges kontekstis. Näiteks võid avastada, et ühel heal päeval on proua Aloisia Viktoria Eberhartinger Sulle kauni kirjakese valmis vorpinud:

veebipettus

3. Kahtlased manused või lingid

Õngitsuskirjad sisaldavad nakatunud manuseid või linke, mida palutakse Sul alla laadida või mis suunavad Sind võltsitud veebisaidile. Selle eesmärgiks on saada ligipääs Sind puudutavale tundlikule infole nagu näiteks sisselogimisandmetele, krediitkaadi andmetele, telefoninumbritele, kontonumbritele jne. Tüüpiliselt tunned ära võltsingu, kui saadetakse manus, mille pealkirjaks on nt Arve.pdf. See aga ei tähenda, et võid edaspidi kõik vee- ja elektriarved jätta tasumata :)

4. Sõnum on kiireloomulise või nõudliku sisuga

Paljud õngituskirjad nõuavad, et tegutseksid koheselt, sest vastasel juhul on liiga hilja. Seda tehakse, sest tuntakse inimeste viivitamisharjumusi. Kui meile saadetakse midagi olulist, siis me tavaliselt „tegeleme sellega hiljem“. Ja mida kauem meil aega on, seda suurem on võimalus, et paneme midagi kahtlast tähele. Kuid kiireloomulisust rõhutades on suurem võimalus, et tegutsed koheselt ja ilma liiga kaua mõtlemata. Netflix, Paypal, Spotify ja Windows on teenused, mida paljud meist kasutavad regulaarselt ja nende kontodega seonduvad probleemid põhjustaksid meile viivitamatuid ebamugavusi. Seega võime käituda hooletult ja õnge minna, kui meil palutakse nt Netflix’i andmeid uuendada.

5. Ebarealistlikud ähvardused

Hirmutamine on samuti saanud petturite populaarseks taktikaks. Tead, et tegemist on pettusega, kui saad e-kirja, milles hoiatatakse nt „Sinu konto koheselt sulgeda“. Reaalseid probleeme ei lahendata kunagi nii, et esimese sammuna kukutakse Su koheselt Su kontot sulgema – see on nii Sinu enda kui ka vastava ettevõtte huvides selline probleem lahendada, et saaksid teenust edasi nautida ja ettevõttele käivet tekitada.

6. Pakkumine tundub liiga hea, et tõsi olla

Kui midagi kõlab liiga hea, et päris olla, siis ta ilmselt seda ka ongi. Tead, et tegemist on pettusega, kui Sulle lubatakse saata raha, kahtlasi kaalulangetavaid tooteid või loteriivõitu. Kindlasti tasub ka meenutada, kas oled üleüldse mingisuguses loosis viimasel ajal osalenud – kui mitte, siis tead kirja koheselt kustutada.

7. Kirjas palutakse jagada isiklikku infot

Kui kirjas palutakse Sul saata oma isiklikke andmeid, et võidusumma kätte saada, siis tead samuti, et tegemist on pettusega. Kellelgi ei ole õigust küsida Sinu isiklikke andmeid sellises formaadis – isegi mitte pankadel!

8. "It just doesn’t look right’" ehk sisetunne, et midagi lihtsalt ei klapi

Kui Sul tekib vähimatki kahtlust, et tegemist võiks olla pettusega, siis kustuta e-kiri koheselt. Kui tegemist siiski ei ole pettusega ja keegi tõepoolest üritas Sinuga kontakti saada, siis võtab ta Sinuga ilmselt korduvalt ühendust. Kui mitte, siis ilmselt ei olnudki asi piisavalt oluline :)

9. Kui leiad tundmatult välismaa numbrilt vastamata kõne, siis ära tagasi helista

Selliselt väldid Wangiri ohvriks langemist. Siinkohal kehtib samuti loogika, et reaalse kontaktisoovi puhul võtab inimene Sinuga uuesti ühendust. Kui peaksid mitu sellist kõne saama, siis teavita oma sideteenuse pakkujat, nt Tele2te.

Kuidas oma andmeid turvatuna hoida?

A ja O – turvaline parool

Hea parool ei ole parool, kuhu on paar numbrit lõppu lisatud. Eriti halb on kui paroolis sisalduvad numbrid on Sinu või Su kallima sünnikuupäev. Selliselt on parool Sinuga otseselt seotud ja seega lihtsamini tuvastatav. Kui tunned, et ei suuda välja mõelda piisavalt turvalist parooli, siis on võimalik kasutada LastPass’i või (iOS kasutajate puhul) täiesti tasuta Keychain-i, mis genereerivad vajadusel uued ja tugevad paroolid ning salvestavad need turvaliselt, et saaksid järgmine kord neid muretult kasutada.

Mitmefaktoriline autentimine

Sisuliselt on tegemist olukorraga, kus Sulle kui arvutikasutajale antakse ligipääs veebisaidile või infole ainult pärast seda, kui oled kaks või enam lisanduvat tõendusfaktorit autentimismehhanismile esitanud ehk näiteks kinnitanud sisselogimisel ka SMSiga saadetud koodi telefonis või sisestanud automaatselt genereeritud koodi mõnest autentimisäpist, nt Authenticator. Mida rohkemate erinevate viisidega Sa end tuvastad ja kinnitad, seda väiksem tõenäosus on häkkeril sama teha.

Avalike Wi-Fi võrkude vältimine

Avalikes Wi-Fi võrkudes on oht, et häkkerid asetavad end Sinu ja ühenduspunkti vahele – lõppkokkuvõttes saadad kogu oma info veebisaidi asemel häkkerile. Kõige turvalisem valik on avalikke võrke pigem vältida ning oma telefoni kuumkoha (hotspot) põhist internetti kasutada.

Väldi avalikes kohtades USB-juhtmega laadimist

Ilmselt tuleb selline kiusatus kõige rohkem peale hotellides, lennujaamades ja kohvikutes, kui telefon on tühjaks saamas ja kõik võimalikud laadimispesad kinni. Siingi tasub olla ettevaatlik: tundmatud laadimispordid võivad sisaldada ohtlikku pahavara. Asetades oma ühendatud telefoni avalikku USB auku, millesse on paigaldatud pahavara, saavad häkkerid kogu Sinu telefonis oleva info ilma sellest otsest jälge jätmata.

Regulaarne küpsiste kustutamine

Küpsis on väike tekstifail, mille veebisait salvestab Sinu arvutisse või mobiilseadmesse, kui Sa veebisaiti külastad. Lisaks sellele, et Sinu brauser töötab kiiremini, on ka väiksem tõenäosus saada õngitsuskirju, kuna Sinu veebitegevustest puudub jälg. Seega tasub igakuiselt oma brauseri settingute alt küpsised ja ka cache ära kustutada.

Turvatarkvara kasutamine

Kasutades turvatarkvara (nt AVG, Avast või Malwarebytes), väldid pahavara ja otseseid häkkerite poolseid rünnakuid, mis üritavad ligi pääseda Sinu isiklikule infole. Sellised abimehed aitavad Sul silma peal hoida igapäeva arvuti tegevustel, et saaksid muretult ringi surfata.

Lõppsõna

Loodetavasti said küberturvalisuse kohta midagi uut teada või värskendasid lihtsalt mälu. Kuna petturite loomingulisus areneb kiiresti, ei tasuks üllatuda kui juba homme potsatab Sinu postkasti täiesti uus ja usutav õngitsuskiri, mida Sa selleks sildistada veel ei oska. Soovitame Sul end regulaarselt kursis hoida ringlevate pettustega, sest meie lubame, et teeme sama!

P.S. Kas oled võimeline eristama päris kirja õngitsuskirjast? Pane end proovile: https://phishingquiz.withgoogle.com/

Rebeka Dronia

05.08.2020