Armsad kliendid! Vahemikus 23. kuni 29.detsember on Trikato jõulupuhkusel. Sel perioodil ei ole me kättesaadavad ega tee raamatupidamistöid.
Vähemalt korra nädalas leiab mõnest päevalehest ja tehnoloogiauudiste portaalist ridamisi hoiatusi ja nõuandeid, kuidas turvalisemalt ja targemalt internetti kasutada ning sotsiaalmeediat ja nutitelefone tarbida. Siiski peetakse küberit ja kõike sellega seonduvat jätkuvalt pigem itimeeste pärusmaaks, mis tavainimesi ei puuduta. Miks peaksin mõtlema selliste IT-meeste teemade peale nagu küberturvalisus ja sellega kaasnevad näiliselt mitte midagi ütlevad sõnad: kahetasemeline autentimine, õngitsusleht, lunavara, kompromiteeritud meilikonto? Kasutan ju arvutit vaid töötegemiseks, arvete maksmiseks, uudiste ja meilide lugemiseks ning sotsiaalmeedia külastamiseks.
Kuna arvutid ja teised nutiseadmed on kõikidele soovijatele kättesaadavad ja nende kasutamine on osa meie igapäevaelust, puudutab ka küberturvalisus meid kõiki. Kõikidel, kes seda artiklit loevad, on võimalus ennast internetiga ühendada. Ka selle artikli leidsid sa kõikvõimsa sotsiaalmeedia, Google’i või näiteks tuttava kaudu, kes pärast su mitmeid “Ärge avage mu postitusi, mul on viirus!” postitusi selle sulle saadab või su mõne postituse all ära märgib. Kõik see annab aga märku, et ühel või teisel moel puudutavad nii küber, IT kui tehnoloogia ka sind isiklikult. Ja mitte ainult siis, kui loed seda kirjutist arvutist, vaid ka siis, kui loed seda oma nutitelefonist, nutitelerist või isegi nutikellast. Küberturvalisus algab iga kasutaja internetikäitumisest ning järgida tuleks peamisi turvalisuse põhimõtteid, mis laienevad nii öelda pärismaailmast kübermaailma.
Igasse tänapäeva keskkonda konto loomiseks on vaja valida endale kontoga seotav meiliaadress või kasutajanimi ning keskkonnas kasutatav parool. Mitmed Eesti teenusepakkujad võimaldavad turvalist kaheastmelist sisselogimist kas ID-kaardi, mobiil-ID või Smart-IDga. Need on kättesaadavad kõikidele ning kasutajatel pole vaja luua eraldi kontot ega meeles pidada veel üht parooli. ID-kaart on kohustuslik isikut tõendav dokument kõikidele Eesti kodanikele ja kehtib Euroopa Liidus ka reisidokumendina. Samuti on võimalik omale tellida mobiil-ID – kõikidele mobiiltelefonidele saadaolev isiku tõendamise ja digitaalse allkirja lahendus. Erinevalt Smart-IDst ei ole mobiil-ID kasutamiseks vaja nutitelefoni. Kuna kõik Eesti pangad sulgevad 2018. aasta jooksul klientide koodikaardid, ei kajasta me neid sisselogimise võimalusena.
Kui pead looma konto keskkonda, kuhu ei ole võimalik ID-kaardi, mobiil-ID või Smart-ID abil siseneda, on sul vaja kasutajanime ja parooli. Paljudesse keskkondadesse on võimalik siseneda olemasoleva sotsiaalmeedia või Google’i (Gmaili) konto kaudu. Näiteks Postimees online’i keskkonda sisenemiseks on võimalik luua eraldi konto või kasutada olemasolevat Facebooki, Twitteri või Google’i kontot.
Enamasti, eriti väiksemate teenusepakkujate juures, tuleb omale luua aga eraldi kasutajakonto.
Kui sa ei kasuta paroolihaldurit, mis sulle iga keskkonna jaoks eraldi parooli loob ning selle salvestab, tuleks kontot luues vastata turvalisuse huvides allolevatele küsimustele (paroolihaldurite soovitusi võid lugeda paroolisoovituste punktist). Samuti võiksid kriitiliselt mõelda ka oma olemasolevate kontode turvalisuse peale!
Kui vastasid esimesele neljale küsimusele jaatavalt, pea meeles – kui su parool on nõrk ja sa ei kasuta kaheastmelist autentimist, võib pahatahtlik tuttav või sootuks küberkurjategija su kontole sisse logida ja seal omasoodu tegutsema hakata. Näiteks saata sinu nimel sõnumeid või jagada pahatahtliku sisuga linke, mis võivad su sõprade seadmeid pahavaraga nakatada.
Parooli valides mõtle oma konto turvalisuse peale ning pea meeles järgmised soovitused.
Õngitsuslehtede ja -kirjade eesmärk on varastada kasutaja isiklikke andmeid ja/või finantsinfot. Kirjade loomisel pööratakse kõige enam rõhku visuaalsele sarnasusele ja usaldusväärsusele – lehel olev sisu peab olema sarnane päris kaubamärgiga. Õngitsuskirjas sisalduv tekst peab olema võimalikult sarnane kirjale, mille teenuseosutaja sulle probleemi korral saadaks. Kui satud kirja kaudu sellisele lehele, kontrolli alati, kas veebiaadress on täht-tähelt seesama, mis peaks olema. Väga levinud on nii asutuse IT-teenistuse kui ka meiliteenuste (näiteks Gmaili, Hotmaili, Yahoo või näiteks kodumaise Online.ee) nimel saadetavad õngitsuskirjad, mille eesmärk on kasutajainfo (kasutajanimi ja parool) kalastamine hilisemaks meilikonto kasutamiseks. Eesmärk võib olla selle meiliaadressi kaudu arvukalt õngitsuskirju levitada; teha finantspettuseid, näiteks krediidipakkumisi; saata reklaamposti või tegelik huvi töötaja postkasti sisu vastu. Lisalugemist ülevõetud kontode kasutamise kohta:
Tihti on õngitsuskirja sisu ähvardav, näiteks teatatakse, et kui kasutaja oma kontot ei kinnita, siis see sulgetakse. Mõnikord teatatakse, et kontolimiit on ületatud, kuid tegelikult on seda tänapäevaste postkastide suurust arvestades üsna raske saavutada. Praegu on tavapärane tasuta antava kirjakasti suurus 1–2 gigabaiti, kunagi oli see 10 megabaiti (https://et.wikipedia.org/wiki/Bait).
“Teie e-posti konto on praegu ületanud selle ladustamispiirangu, suurema suurusega sissetulevad kirjad on ootel. On aeg oma uue kohustusliku turvalisuse täiustamiseks isikupärastatud soovitustega, et tugevdada piiramatu salvestusruumi e-posti konto turvalisust. Värskendamiseks järgige alltoodud kiiret protsessi.”
Ekraanipilt õngitsuskirjast, mis hoiatab ladustamispiirangu ületamise eest.
Vältimaks kasutajainfo sisestamist õngitsuslehele ning hilisemaid probleeme konto taastamisel.
Kui küberkurjategijad on üle võtnud mõne su tuttava meilikonto ja kasutavad seda näiteks laenupakkumiste või rahasaatmispalvete saatmiseks, siis ära kindlasti vasta sellisele kirjale. Teavita tuttavat koheselt mõnda teist kanalit pidi. Soovita tal kindlasti vahetada parool ning aktiveerida kaheastmeline autentimine. Kui sinuni jõuab kiri tuttavalt või mõnelt kunagiselt äripartnerilt, kes on nimepidi tuvastatav, kuid sul puudub tema kontaktaadress, edasta kiri CERT-EE meeskonnale (cert@cert.ee). NB! Kui meiliaadressi järgi ei ole võimalik inimest tuvastada, näiteks on kasutajanimi kiisuke666, võid kirja kohe kustutada.
Loe lisaks SIIT.
Libaloteriide eesmärk võib olla nii klikisööt lehe külastatavuse suurendamiseks ja selle hilisemaks kõrgema hinnaga edasimüümiseks või kasutajate tasulise sõnumiteenusega liitmine. Klikisööt põhineb eelkõige pilkupüüdvatel (“Tasuta!”) pealkirjadel või pisipiltidel, mis suunavad kasutajat lõpplehehele, kuhu parimal juhul ei ole pahavara paigaldatud ning tahetakse lehe külastajate arvu suurendada. Kuidas saada aru, et tegemist on pettusega?
Lihtne matemaatika. Libapakkumistes lubatakse tavaliselt ära kinkida sadu või tuhandeid hinnalisi tooteid. Kui tegemist oleks tegeliku kampaaniaga, kaasneks ettevõttele sellega suur majanduslik kahju.
Absurdsus. “Anname ära X (suur arv) tooteid, sest pakend on kahjustatud ja neid ei saa enam müüa”. Kui mõelda firma seisukohast, on kasulikum need tooted uuesti pakendada või hinda 5–10% võrra langetada, mitte avatud kile tõttu mitmekümne või isegi mitmesaja tuhande euro väärtuses tooteid ära anda. Huumoriga peaks suhtuma kampaaniatesse, kus Samsung jagab konkurendi, näiteks Apple’i tooteid.
Osalemistingimused. Võltsloosimiste puhul on ettevõtte ja/või loositava auhinna taustainfo puudulik. Enamasti ei selgu, miks loosimist korraldatakse (kas on tegu näiteks koolilõpu-, jaanipäeva- või jõululoosiga). Sageli on puudu ka osalemistingimused ja see, millal loosimine toimub, kuidas valitakse võitjad ning kuidas nendega ühendust võetakse.
(Liiga) uued leheküljed. Enamasti on ettevõtetel sotsiaalmeediakontod juba mitu aastat ning neil on ka vastav verifitseerimismärk. Sotsiaalmeediateenuse pakkuja kinnitab selle märkega, et kontoomaniku taust on üle kontrollitud ning leht tõepoolest kuulub sellele inimesele või asutusele. Kui Mercedese eile loodud leht pakub tasuta uut luksklassi autot , tuleks valida Facebookis “Esita kaebus” ja Instagramis “Report page.” Sel moel saad sobimatust lehest teada anda ning sellega ehk nii mõnelegi vähem turvateadlikule kasutajale abiks olla.
Loe lisaks SIIT.
Lisaks ülaltoodud põhitõdedele sotsiaalmeedia rumaluste vältimiseks, soovitame lisaturvalisuse tagamiseks ja sotsiaalmeediast tuleneda võivate probleemide vältimiseks järgida allolevaid põhimõtteid.
Pahavara on tarkvara, mille eesmärk on ühel või teisel moel kasutaja seadme kahjustamine. Kas siis andmete krüpteerimisega raha välja pressimiseks, kasutaja arvuti jõudluse kasutamine krüptoraha kaevandamiseks (mille saab endale loomulikult keegi teine), kasutaja seadmest info varastamiseks või kasutaja seadme liitmine robotvõrgustikuga, et seda hiljem rünnete läbiviimiseks ära kasutada. Pikka aega on liikvel olnud väärarusaam, et pahavara levib ainult e-mailide kaudu. Pahavaraga saab nakatuda ka veebilehte külastades, pahatahtlikku mobiilirakendust alla laadides või ka tundmatuid mälupulki arvutisse ühendades juhul, kui arvutis on lubatud automaatkäivitus. Pahavarast ja tema eriliikudest saad lugeda näiteks SIIT ja SIIT. Lisalugemist ametlike rakenduste äratundmise kohta leiad blogipostitusest SIIT.
Pahavaraga nakatumise kaitseks toimi nii.
Lunavara on üks pahavara alaliike, mis kasutaja arvutis (praegusel ajal ka juba nutiseadmetes) olevad failid kasutuskõlbmatuks muudab ning failide tavapärase töö taastamise üldjuhtudel virtuaalses krüptorahas BitCoin lunaraha nõuab. Loe pikemalt küptorahade ja virtuaalse kaevandamise kohta SIIT.
Lunavara levitatakse nii e-mailide kui ka veebilehtede kaudu. Sarnaselt õngitsuskirjadega kasutatakse ka lunavara sisaldavate kirjade puhul manipuleerivaid võtteid, mis kindlasti manuse avamise kaasa tooksid. Näiteks sisaldavad väga paljud lunavara manusega kirjad infot maksmata arve või muu finantstehingu kohta.
Kui varasemalt oli võimalik selliseid kirju tuvastada suure hulga kirjavigade järgi, siis praegusel ajal on ka küberkurjategijad muutunud teadlikumaks ning kirjade grammatika järgi neid enam väga lihtne eristada pole. Küll aga tuleks alati selliste kirjade puhul tähelepanelikult vaadata saatja aadressi. Näiteks ei saada DHL kohe kindlasti kirju aol.com või gmail.com aadressilt. Samuti tuleks tähelepanu pöörata meilis olevale allkirjale ning edastatud lisainfole. Kui ettevõtte põhitegevusalaks on näiteks lillede müük, ei ole reaalne saada inkassohoiatusi tasumata arve eest rebaste müügiga tegelevalt ettevõttelt.
Lunavaraga nakatumise ennetamise vältimiseks leiad juhiseid ja soovitusi:
Kui su seade või süsteemid on õnnetu juhuse tõttu juba lunavaraga nakatunud, soovitame intsidendist teavitada CERT-EE meeskonda, kes saab jagada soovitusi seadme või süsteemide töö taastamiseks juhul, kui konkreetsele lunavarale on ka juba väljastatud dekrüptor. Lunavara puhul soovitame kindlasti nõutud raha mitte maksta, kuna puudub garantii failide tagasisaamise osas ning lunaraha maksmise kaudu finantseeritakse kuritegevust, mis küberkurjategijaid veelgi suurema summa teenimiseks oma tegevust laiendama paneb.
Lisaks saad uurida infot No More Ransom projekti lehelt.
Üks tänapäeva maailma lahutamatu osa on nutitelefon. Nutitelefonid on kaasas kõikjal ning tihti ka magatakse nutitelefon kõrval. Kuigi seadme nimes on “telefon”, ei täida seade enam ammu üksnes helistamise ja SMSide saatmise funktsiooni.