Advokaat Gregori Palmi artikkel küberpettustest

Gregori-Palm-Advokaadibüroo-LINDEBERG

21.09.2020

Internetis võib teadagi sattuda pettuste ohvriks. Halval juhul annavad nõrgast paroolist või mõnest muust lohakusest esmajoones märku tühjaks tehtud pangakonto või kaaperdatud sotsiaalmeediakonto. Seda tüüpi pettuste ohvriks ei ole meeldiv langeda, kuid vähemalt saab ohver sellest ruttu teada ning saab astuda samme, et midagi sellist ei korduks.

Alljärgnevalt toon välja kolm laialdaselt levinud, kuid sellegipoolest vähetuntud küberpettust, mis on lihtsast parooli lahtimuukimisest mõnevõrra salakavalamad.

Viimastel aastatel on sagedaseks muutunud n.ö BEC (business e-mail compromise) ehk ärikirja pettus. Kurjategija kehastub enamasti mõne suurettevõtja koostööpartneriks ning tellib koostööpartnerit imiteerides ohvrilt kaupa või laseb ohvril koostööpartneri poolt osutatud teenuse eest tasuda enda valduses olevale pangakontole.

Nimetatud pettuse muudab tähelepanuväärseks asjaolu, et sageli eelneb pettusele ohvri pikaaegne jälgimine. Paljudel juhtudel on kurjategijal enne pettuse toimepanemist juba mõnda aega olnud juurdepääs ohvri e-kirjadele või serverile. Kurjategija teab täpselt, mis ajal, kellelt ja millises mahus saab ohver arveid või kellele on ohver nõus kaupa ilma ettemaksuta väljastama. Edasi on fiktiivsete tellimuste või arvete loomine juba lihtne.

Sellise pettuse ohvriks langemine on vähemalt teoorias kergesti välditav, kui kõik ettevõtte töötajad hindavad kriitiliselt iga saabuvat e-kirja, tellimust ja arvet. BEC kelmuse nurgakiviks on tõsiasi, et inimesed ei süübi tehingutesse, mis on nende jaoks tavapärased. Välismaal on kohtu ette jõudnud juhud, kus ettevõtte advokaadiks kehastunud kelm helistab töönädala lõpus ning palub kohest ja kiiret ülekannet. Sellised ootamatud ja kohest täitmist vajavad palved tuleks paradoksaalsel kombel erilise hoole ja põhjalikkusega läbi analüüsida.

Populaarsust on hakanud koguma ka n.ö salaami lõikamise rünnak (salami slicing attack). Nimetus tuleneb loogikast, et kui salaami otsast väga õhukene viil lõigata, siis ei märka keegi, et salaamit on vähemaks jäänud. Ühel hetkel aga saab salaami otsa nii, et keegi pole selle vähenemist märganud.

Kõige lihtsam versioon sellest rünnakust on selline, kus ohvri pangakontole ligipääsu saanud kurjategija kannab ohvri kontolt enda kontole väikeseid, enamasti sentides mõõdetavaid summasid. Selliste summade liikumist ei pruugi ohver üldse märgatagi või kui ka märkab, siis sageli keegi selle pärast häirekella lööma ei hakka. Seega on kurjategijal võimalik säilitada juurdepääs ohvri kontole pika aja vältel. Salaami lõikamise rünnak muutub otstarbekas alles juhul, kui kurjategijal on ligipääs suurele hulgale kompromiteeritud pangakontodele.

Praktikas on siiski populaarsem rünnata suurettevõtteid. Sageli selliselt, et kurjategija moonutab ettevõttes kasutusel oleva arveldustarkvara koodi ja tehingute igakordsel ümardamisel tekib pisike, kurjategijale mõeldud, ülejääk. Kõige haavatavamad on ettevõtted, kes arveldavad rohkem kui ühe valuutaga. Nii on võimalik, et arveldustarkvara teisendab 66,648 eurot 66,64-ks ja esmapilgul väike 0,008 euro suurune vahe on pikapeale siiski tuntav. Näiteks mõisteti USA-s süüdi ühe ettevõtte töötaja, kes kaheksa aasta jooksul varastas ettevõttelt sellisel meetodil ca 200 000 dollarit.

Arvestatavat ennetustööd saab teha ettevõtte küberturvalisusesse panustamine selliselt, et ettevõtte arvutiprogrammide muutmine ei saa toimuda märkamatult. Oluline on ka perioodiliselt vaadata kriitilise pilguga üle ettevõtte raha liikumised ning informeerida panka ka sellest, kui kontolt on kahtlastel asjaoludel ära liikunud kasvõi paar senti. Halvimal juhul võib selline tehing tähendada, et ettevõtte süsteemides on parasiit.

Viimasena tasub välja tuua järjekordne küsitava nimega pettus data diddling. Sisuliselt on tegemist kõige lihtsama andmete moonutamisega enne või pärast selle arvutisüsteemi sisestamist. Seda tüüpi pettus ei ole iseenesest uus ning selle juured ulatuvad aastakümnete taha. Toona oli populaarne pettus, kus ettevõtte töötajad suurendasid süsteemis enda töötatud tundide hulka selleks, et süsteem genereeriks neile suurema palgasedeli. Tänapäeval on tavapärasem, et ettevõtte serverisse saab juurdepääsu kõrvaline isik, kes asub seal olevat infot moonutama. Näiteks murdis Venemaa häkker sisse kohaliku elektriettevõtte serverisse ning muutis süsteemi nii, et talle enam elektriarveid ei väljastataks.

Kõik kirjeldatud pettused saavad võimalikuks juhul, kui inimene või ettevõtja on olnud oma küberhügieeniga lohakas. Küberhügieen on teema, mis väärib omaette artiklit, kuid lühidalt saan anda paar soovitust, mis ei taga küll täielikku kaitset, kuid muudavad arvutisüsteemi kordades turvalisemaks.

Esmajoones vaata üle oma paroolid (loodetavasti ei ole ükski neist qwerty, 123456 vms). Hea parool on pikk, suurte ja väikeste tähtedega ning sisaldab ka numbreid. Alustuseks aitab kasvõi see, kui kasutad häid paroole võtmekohtades nagu e-post, sotsiaalmeedia ja pangakontod (ideaalis koos kaheastmelise autentimisega).

Ettevõtete puhul on lugu mõnevõrra keerulisem. Soovitatav on konsulteerida selles osas IT-turvalisuse spetsialistiga. Tema ettepanek on praktiliselt alati kulutada ettevõtte ressursse selleks, et tõrjuda teoreetilist tulevikuohtu. Sellist ettepanekut on kerge eirata, kuna ressurss (olgu see siis raha või tööaeg) tuleb ära kulutada kohe ning tulevikuoht ei pruugi kunagi saabuda. Siiski pole ma kunagi kohanud ettevõtjat, kes pärast küberkuriteo ohvriks langemist oleks endiselt rahul valikuga küberturvalisusesse mitte panustada.

Kokkuvõttes vastab tõele levinud arusaam, et iga turvasüsteemi kõige nõrgem lüli on inimene, kes seda kasutab. Ka kõige kallim seif maailmas ei kaitse, kui selle kasutaja pidevalt seifi ust lahti unustab.

Gregori Palm
Advokaadibüroo LINDEBERG advokaat

Artikkel on avaldatud Äripäeva veebilehel.