• 02.10.19, 11:26
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Küberpettuste taga on põhjalikult läbimõeldud psühholoogia

Petuskeemid varjavad endas põhjalikult läbimõeldud psühholoogiat, mille abil inimlikke nõrkuseid ära kasutatakse. Millele kurikaelad rõhuvad ja kuidas üritavad inimesi "haneks tõmmata", räägib Elisa ärikliendiüksuse juht Margus Vaino.
Elisa juhatuse liige, ärikliendiüksuse juht Margus Vaino.
  • Elisa juhatuse liige, ärikliendiüksuse juht Margus Vaino. Foto: Aali Lilleorg
Järgneb Margus Vaino kommentaar:
Internetis levivad petuskeemid on kujunenud omaette äriliigiks, kus virtuaalmaailma kurikaelad püüavad õngitseda inimeste väärtuslikke andmeid või meelitada neid kusagile raha üle kandma.
Kas teadsite, et Gmail blokeerib ligi 100 miljonit õngitsuskirja päevas? Kõigele lisaks on Google´i avaldatud andmete järgi Gmaili poolt blokeeritud phising ehk õngitsuskirjades 68% uudsed variatsioonid, mida pole varem nähtud.
Phising ehk andmepüük või kalastamisrünne on teatud tüüpi internetipettus, mille eesmärgiks on saada teada inimeste isiklikke või diskreetseid andmeid illegaalselt raha teenimise eesmärgil.
Kuidas seda tehakse? Andmepüük toimub siis, kui usaldusväärseks isikuks maskeerunud ründaja petab ohvri avama e-kirja, sotsiaalmeediasõnumit või lühisõnumit. Seejärel saadakse ohver vajutama pahatahtlikule lingile, mis võib viia pahavara paigaldamisele arvutis, avada arvuti lunavara rünnakule või viia tundliku info avaldamisele.
Andmepüügi meetodid arenevad pidevalt
Kuigi kontseptsioon on lihtne, siis arenevad sarnased andmepüügi meetodid pidevalt. Möödas on ajad, mil raha jagas rikas prints Nigeeriast või teavitati üllatuslikust pärandusest varalahkunud Kanada onult. Skeemid on läinud kompleksemaks, intelligentsemaks ja inimlikumaks.
Kõige lihtsam on toimimisest rääkida läbi näidete. Mõne firma raamatupidajale või personalitöötajale saadetakse kiri, kus palutakse kõrgema ülemuse poolt kiirelt raha kanda ühele kontole või muidu võib ettevõtte jaoks juhtuda midagi väga halba.
Esmapilgul võib tunduda tõesti, et kirja saatis ülemus, kes palub sind näiteks nimeliselt ja kuna olukord tundub olevat tõsine tahab üldjuhul iga töötaja käituda sellises olukorras kiirelt ning operatiivselt. Tegelikult võib aga juhi konto olla pahalaste poolt kaaperdatud või on tegu lihtsalt emailiga, mis on väga sarnane ülemuse omaga.
Antud kiri mõjub töötajale aga mitmel erineval viisil, mis võivad kallutada teda mõtlematult ülekannet tegema:
•Võimusuhte ja autoriteedi esile toomine
Sarnane kiri tuleb alati kõrgemalt ülemuselt või juhilt ning seda eesmärgil, et töötaja tunneks tööalast kohustust kuulata ülemuse palvet. Mõnikord lisatakse kirjale juurde ka inimlik palve, et näiteks tema unustas seda teha, nüüd on kontorist väljas ja kohe-kohe peab olema arve makstud. Inimestena püüame ikka üksteist mõista ja võimalusel appi tulla.
•Kiirus
Alati on õngitsuskirjad seotud lühikese ajalise piiranguga. Raha on vaja kiirelt kanda, andmeid on vaja kärmesti uuendada või tasuta pakutavast tootest on alles viimased eksemplarid. Kiiruse faktor on oluline, et inimene kaotaks valvsuse ja ei asuks teksti süvitsi analüüsima.
•Emotsionaalne silmapaistvus
Emotsionaalsel tasandil kirjaga sideme saavutamine on üks mõjukaimaid viise, kuidas inimene konksu otsa saada. Sarnastel juhtudel seotakse õngitsus näiteks heategevuse ja kahjutunde tekitamisega või rõhutakse hoopis inimese ahnusele ning kasu saamise motiivile.
Alati ei soovita koheselt raha saada
Nagu on paljud eestlased omal nahal tundnud, siis piisab vahel ka sellest, kui sisestad oma telefoninumbri valesse kohta ja juba oled liitunud igakuise teenusega, mis sulle mitte midagi ei anna, aga mille eest küsitakse iga kuu paar eurot. Äsja levis ka Smart-ID andmeõngitsus, kus paluti e-kirja teel uuendada andmeid.
Petuskeemid on pidevas arengus ja kogu aeg otsitakse uusi viise, kuidas inimeste varale või andmetele ligi pääseda. Ühelt poolt üritatakse aina arenevatest phising-filtritest mööda pääseda ja teisalt millegi uuega inimeste postkasti saada, sest uute skeemide kohta puuduvad inimestel teadmised ning kogemused. See aga ei tähenda, et inimesed andmepüügist üldiselt teadlikud oleksid.
Siiski selgub Google´i uuringust, et 45% inimestest ei tea või mõista, mis on andmepüük ja õngitsuskiri. Vähene teadlikkus probleemist suurendab oluliselt andmepüügi riski ja võib piirata kasutajate seas ennetavate meetmete rakendamist.
Kuidas ennetada ohvriks langemist?
Näiteks tabas Elisat mõni aeg tagasi olukord, kus ründajad kehastasid ühte ettevõtte juhti ja saatsid korrektses eesti keeles kirja, kus palusid vahetada kontonumbrit, millele laekub juhi palk. Kasutati juhi nime ja esmapilgul tundus, et isegi korrektset emaili aadressi. Tegelikkuses oli tegu aga osava võltsinguga.
Üheks meetmeks selle vastu oleks, kui ettevõte rakendaks avalduste ja teiste dokumentide digitaalset allkirjastamist. Nii on alati kindel, et dokumendi või avalduse esitaja on ka tegelikult ise selle taga ning nii on kindlam töötajal kui ettevõttel.
Kõige parem viis andmepüügi ennetamiseks on inimeste ja töötajate harimine, et nad aru saaksid, millega on tegu, kuidas seda tuvastada ja kuidas end kaitsta. Sellele lisaks on soovituslik kõigil kasutada, kus vähegi võimalik, kaheastmelist autentimist. See muudab kasutajate kontode kompromiteerimise oluliselt keerukamaks ja kasutajate jaoks turvalisemaks.

Seotud lood

  • ST
Sisuturundus
  • 05.09.24, 15:53
KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus
Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendused, näiteks allahindluste ja lao optimeerimine, aga ka senise käsitsitöö automatiseerimine.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi ITuudised esilehele