Koroonaviiruse kardetud teine laine võib tuua kaasa petu- ja õngitsuskirjade tsunami, kuna paljud töötavad kodukontoris, kus sageli kiputakse elementaarsetele infoturbereeglitele läbi sõrmede vaatama.

Avaldasime hiljuti Datafoxi veebilehel meie raamatupidaja kontaktandmed ja olime juba mõni päev hiljem tunnistajaks “huvitavale” vahejuhtumile: ettevõtte tegevjuht justkui saatis raamatupidajale e-kirja küsimusega, kas meil on hetkel firma pangakontol piisavalt raha, et kiiresti 16 000 eurot ühe arve tasumiseks üle kanda. Umbes nädala pärast sai tegevjuht e-posti teel Office365 grupitöötarkvara “teavituse”, et tema saadetud 20 e-kirja pole serverist välja läinud, kuna vajavad täiendavat “kinnitust”. Millegipärast oli väidetava kinnituse andmisel vaja sisestada ka krediitkaardi andmed.

Muidugi ei olnud tegevjuht saatnud raamatupidajale kiireloomulist maksepalvet ega ka tema e-kirjad ei olnud serverisse kinni jäänud, vaid tegemist oli üsna levinud petuskeemiga. Kas tõesti monitoorivad pahalased miljonite ettevõtete veebilehti üle maailma ning laseb oma kurikavalad plaanid käiku näiteks niipea, kui ettevõte avaldab näiteks tegevjuhi ja raamatupidaja kontaktandmed?

Küberkuritegevuse anatoomia

Taoliste küberrünnakute anatoomia on selline, et ettevõtte veebilehti monitoorib robotsüsteem ehk bot, mis korjab õngitsusründeks vajaliku info kokku avalikest allikatest mõneti sarnaselt nagu Google ja teised otsimootorid indekseerivad maailma veebilehti. Robot kontrollib veebilehtedel teatavate märksõnade esinemist (näiteks tegevjuht ja raamatupidaja) ning kui neil märksõnadel on küljes kontaktandmed, kirjutatakse kogu info häkkerite andmebaasi, mille alusel robot koostab näiliselt tegevjuhi nimel esimese petukirja raamatupidajale ning sisestab kirja päisesse vale vastusaadressi (reply-to). Kui raamatupidaja arvab pahaaimamatult, et vastab tegevjuhi kirjale (näiteks, et piisav summa on kontol olemas), siis tegelikult saab vastuse hoopis kurikaelte robotsüsteem, mis koostab uue kirja juhistega tegevjuhilt raha häkkerite kontrolli all olevale kontole ülekandmiseks.

Laialt levinud on ka selline arvepettuste loogika, et ettevõtte töötajatele saadetakse õngitsuskirjad, mis meelitavad inimesi lingile klikkama ja meilikontoga seotud infot sisestama. Kui seda on tehtud, kopeeritakse töötaja meilikonto täies mahus häkkeri serverisse, kus kurjade kavatsustega inimene hakkab arveldamisega seotud kirjavahetust analüüsima. Selle alusel koostatakse reaalsete kirjadega sarnane e-mail, mis teavitab koostööpartnerit pangarekvisiitide muutusest ja palub edaspidi tasuda arved uuele pangakontole. Kui raha on võltsarve alusel teele pandud, kannavad pahalased seda välkmaksetega paari minutiga juba läbi 5-6 erineva panga nii, et summa jõuab lõpuks eksootilisse maksuparadiisi, kus see kohe ka sularahana häkkeri kontolt välja võetakse. Sel viisil on raha liikumist hilisema uurimise käigus keeruline jälitada ning pettuse tulemusel väljamakstud rahasumma tagasisaamine on vähetõenäoline.

Infoturbe tagamist tasub alustada lihtsatest asjadest

Mida ette võtta taoliste küberrünnete tõrjumiseks? Nii nagu me ei osta oma kodu kaitseks kohe tanki, nii tasub ka ettevõtte küberturvet alustada lihtsamatest asjadest, millest paljud ei maksa peale IT-spetsialisti tööaja sentigi. Näiteks tasub kontrollida, et sisevõrk oleks külalistele mõeldud WiFi-võrgust eraldatud, mitmeastmeline sisselogimine ettevõtte süsteemidesse aktiveeritud, tavakasutajate kontodel poleks administraatoriõigusi, võrguliiklust monitooritaks ning et sisemised failiserverid või tööstusettevõtete tootmisliinid poleks internetist lihtsasti ligipääsetavad. Kindlasti on praegu viimane aeg võtta tööarvutites kasutusele keskselt hallatav ja monitooritav viirusetõrjesüsteem ning korralik andmevarunduslahendus. Mõistlik on ka kokku leppida protsessireeglid turvariskide maandamiseks, näiteks kuidas töötajad saavad muuta pangakontot palga ülekandmiseks.

Tehnoloogia võib olla kenasti uuendatud ja tööprotsessid täpselt paigas, ent infoturbe tagamisel oli, on ja jääb nõrgimaks lüliks inimene ise. Seetõttu on just praegu eriti terav vajadus lihtsasti sõnastatud turvalise kaugtöö reeglite järele, sest kodukontoris ei ole inimesel juures IT-spetsialisti, kellelt ta saaks koheselt abi küsida.

Turvalise kaugtöö reeglitesse tasub kirja panna ka elementeersemaid asju, näiteks millal võib traadita võrku kasutada ja millal mitte, miks on oluline vahetada koduse WiFi-ruuteri tehase vaikeparoolid turvaliste salasõnade vastu ning miks kasutada üksnes krüpteeritud WPA2 või WPA3 ühendust. Lähtuda tuleb sellest, et kasutajate koolitamine küberhügieeni tagamiseks on igikestev protsess, mis ei lõpe kunagi. Näiteks kui 10 aastat tagasi peeti turvaliseks suur- ja väiketähti, numbreid ja erimärke sisaldavaid 8-kohalisi paroole, siis täna on elementaarseks vähemalt 12 tähemärgiga salasõna ja mitmeastmeline autentimine. Kui turvaliste paroolide vajadus on paljudele selgeks saanud, siis nüüd on vaja muuhulgas paika panna see, mis IT-lahendusi saab töötaja kodukontoris kasutada, millist IT-tuge pakutakse ning kuidas käivad ettevõtte äriprotsessid nagu arvete kinnitamine kaugelt tööd tehes.