Nädal 14

 Mina pean kõige suuremaks turvariskiks just pettusi. Nad ei ole otseselt IT-turvarisk aga kasutatakse IT vahendeid pettuse läbi viimiseks alates lihtsatest emailidest kuni rakendusteni, mille ohver vabatahtlikult paigaldab oma seadmesse ja laseb pahalase sinna ligi.
Ma olen töötanud kahes ettevõttes, ühes oli väga range IT juht, kes andis kasutajatele minimaalsed õigused, ise ei saanud mitte midagi arvutisse paigaldada, paroole tuli iga veidi aja tagant vahetada, USB pesadesse ei saanud väliseid seadmeid ühendada ja kõike muud sellist. Võib-olla see lõi kasutajates sellise turvatunde, et valvsus kadus ära. Raamatupidaja emailile tuli arve, suur firma, ei ole raamatupidajal aega taga ajada, kelle tellitud kaup see oli, lihtsam on ära maksta, pole suur summa ka. Hiljem selgus, et sellise nimega ettevõte ei ole midagi müünud meile. Huvitav, kui palju selliseid arveid igapäevaselt saadetakse ja ka makstakse ja mis ei tulegi välja, et tegemist oli pettusega. 50€ väärtuses arveid saata firmadele, mille käive on sadades tuhandetes, Kuskil ikka läheb õnneks. Teine juhtum oli, kus klient sai nagu meie käest emaili, mis nägi täpselt välja nagu oleks meie firma selle saatnud, sisuga, et palume viimane arve kanda tavapärasest erinevale pangakontole, sest me vahetame panka või mingi muu selline jutt oli juures. Klient maksiski sinna, ligi sada tuhat eurot.

Praeguses firmas on veidi lõdvemad tingimused, enamusel kasutajatel on arvutites admin õigused. Paroolide vahetamisele mingeid tingimusi ei ole. Igaüks võib paigadalda oma arvutisse mida soovib. Kuna firma on väiksem, siis sarnased petukirjad läbi ei lähe, sest kontori juht ajab enne arvete maksmist näpuga järge ja veendub, et iga arve on mingi toote ja teenusega seotud. Siiski õnnestus ka siin ettevõttes ettevõtte krediitkaardilt kolmel järjestikusel päeval võtta 2400 eurot. Tegevjuht küll märkas seda kohe ja sai panga abiga teenused tühistatud aga tundus, et natuke oli vaeva nähtud, sest makse selgitus oli Google Ads, reklaami me küll ei kasuta aga serveriteenust ostame Googlest, et lohakas lugeja vaatab, et Google, ok serverid on seal, kõik ok. Aga kuna me reklaami ei telli Googlest, siis taipas juht, et tegemist on pettusega, kust nad kaardi andmed said ei olegi selgunud.

Ma ise olen väga suur skeptik, koguni nii suur, et mõnikord ka õiged kirjad lendavad prügikasti, kommentaariga, et kui lolliks te mind peate. Näiteks teatud tingimustel DPD-ga Inglismaalt paki tellimisel tuleb paki Prantsusmaale jõudes kiri DPD-st, mis näeb välja nagu selle oleks kujundanud viie aastane:

Nupule klikkides avaneb hoopis chronopost.fr-i makse lehekülg, mis on samuti viieaastase kujundatud. Esmapilgul täielik pettus aga ongi õige asi. Olen ka saanud kõnesid, kus palutakse TeamViewer arvutisse paigaldada, võimaldada helistajale ligipääs mu arvutisse ja siis hakkame koos investeerima ja saame miljonäriks. Kui see nii lihtne on, siis milleks mind siia vaja on. Mine võta pangast laenu ja saa üksi. Samuti on helistanud mulle politsei, kes tahab kahtlast ligipääsu pangakontole tõkestada ja selleks on vaja minu PIN koode. Kõik need kõned tunduvad nii jaburad, et on raske uskuda, et keegi selle õnge läheb aga äkki ka siin käib osav töö, et jabur kõne/sms/email ei tunduks enam nii jabur. Tihti visatakse nalja nende sms-ide või sotsiaalmeedia võrgustike otsesõnumite üle, kus mõni kuulsus küsib raha, üks jaburamaid näiteid siin:

Äkki ka see on teadlik tegevus, et saata ülijaburaid raha küsimise kirju ja hiljem veidi mitte nii jabur, mis peale Michael Jacksoni 600$ küsimist tundub päris usutav. 

Üks, mis ma saadud kõnede juures tähele panin, oli see, et rääkija oli osav, toon oli nõudlik ja kõneviis selline, et tekitab tunde, et peab tegutsema kohe. Minu peal see enamus ajast ei tööta aga mõni inimene, kes ei julge väga ei öelda, läheb lihtsalt kaasa, et mitte teise inimesega ebaviisakas olla. See kehtib ka igasugu telefonimüügi kohta, osad inimesed ostavadki igasugu pahna kokku, sest ei oska ei öelda.

Kuidas selle kõigega võidelda? Internet peaks olema küll ju vaba suhtluse ja infovahetuse jaoks loodud aga kas ta ikka peab nii vaba olema? Sotsiaalvõrgustikes saab määrata, kes sulle kirjutada tohivad, kes ei tohi, selle kiri läheb sõnumi taotlustesse. Äkki peaks ka emailidega olema nii? Tahad mulle kirjutada, saada taotlus, tutvusta ennast ja siis ma otsustan, kas selle aadressi pealt saab mulle edasisi kirju saata. Sama telefonikõnede ja sõnumitega, tahad helistada, saada sõnum, kes sa oled ja kui soovin, siis luban sul helistada. Androidil vist on saada mingeid selliseid rakendusi, mis tundmatute numbrite kõned välja filtreerivad. Tundub võib-olla jõhker aga kodu uksed meil ju ka ei ole pärani lahti, et igaüks võib sisse astuda ja hakata midagi seletama. Kui keegi tahab tulla tuppa, siis ta peab ikka kella andma ja ennast tutvustama.

Riik käib kontrollib kodusid, et oleks suitsuandurid ja tulekustutusvahendid olemas, kontrollitakse, kas turvavöö on autos kinnitatud, miks mitte teha ka pistelisi kontrolle ja saata sarnaseid emaile nagu petturid saadavad ja teha kõnesid nagu petturid teevad. Kui inimene ei tunne ära, et tegemist on pettusega, siis teha talle koolitus. Jällegi tundub võib-olla privaatsuse räige rikkumine aga kuidas muidu? Rääkida ju võib lõpmatuseni aga kui ikka agressiivne "politseinik" on toru otsas, et kohe on vaja tegutseda, sest muidu kogu teie raha läheb Dimitri Sergejevi kontole, kui "politseinik" teie kontole ligi ei saa, siis on kogu loetud õpetus meelest läinud.