TV ja meelelahutus
3 min lugemine
Kuigi turunduse jaoks on oluline, et ettevõtte ja töötajate info on veebist kõigile kättesaadav, muudab see neid kergeks saagis kurjategijatele, kes - kehastudes mõneks kodulehelt või sotsiaalmeediast leitud juhtivtöötajaks - petavad meilide teel igal aastal välja miljoneid eurosid.
“Mida rohkem on kodulehel ja LinkedInis infot ettevõtte enda ja töötajate kohta – näiteks, kes on raamatupidaja ja finantsjuht – seda kergem saak on nad petturitele,” nendib Telia küberturbe lahenduste arhitekt Matis Palm.
See ei tähenda, et sellist infot ei tohi veebist leida, küll aga peaks Palmi sõnul juhtkond mõistma sellega kaasnevaid ohtusid, töötajaid neist teavitama ja koolitama ohte märkama või võtma kasutusele meetmeid, mis teeksid pettuse õnnestumise võimalikult keeruliseks.
Business Email Compromise (BEC) ehk eesti keeles äriklientidele suunatud meilipete on järjest levinum küberpettuse vorm, kus kurjategija esineb näiteks ettevõtte juhina ja palub raamatupidajal kiiresti maksta ära mõni arve või teha ülekanne mõnele kontole. “Kurjategijad häkivad ettevõtte meilisüsteemi, jälgivad seal meililiiklust nädalaid ning kasutavad ära hetke, mil inimese tähelepanu on hajunud, olgu selleks viimane päev enne puhkust või muu olukord, kus kiiret tegevust nõudva kirja saamine ei tundu midagi kahtlast,” selgitab Palm.
Politsei- ja Piirivalveameti statistika järgi on Eesti ettevõtted käesoleva aasta 10 kuu jooksul BEC-skeemide ohvriks langenud 29 korral ja seeläbi kaotanud üle 2,4 miljoni euro. Ka Riigi Infosüsteemi Ameti (RIA) sõnul teavitavad ettevõtted neid enim just BEC-skeemi ohvriks langemisest.
“Levinumaks BEC-skeemi vormiks on tegevjuhi petuskeem ja arvepettused. Esimese korral saadetakse näiliselt tegevjuhi nime alt kiri ettevõtte töötajale, kelleks sageli on finantsjuht või raamatupidaja, palvega teha kiire ülekanne, mille tegelikuks kasusaajaks on pettur. Sellise petuskeemi korral on, kas ettevõtte juhi meilikonto kompromiteeritud või ei ole saatja nimi ja meiliaadress vastavuses,” selgitab RIA analüüsi ja ennetusosakonna analüütik Ingel Pilviste. Kuna tegevjuht on enamasti asutuse kõige kõrgem töötaja, kelle korraldusi tuleb kuulata, siis ei julgeta teda ka täiendavate küsimustega tülitada. Arvepettuse korral kompromiteerivad kurjategijad töötaja või koostööpartneri meilikonto, jälgivad sealset suhtlust ning sobival hetkel vahetatakse arvel kontonumber ja kontaktandmed, et ülekanne laekuks kurjategijate kontole.
Pilviste sõnul oli alles oktoobris juhtum, kus ühe Eesti tootmisettevõte töötaja meilikonto võeti petturite poolt üle ja ühele ettevõtte kliendile saadeti sealt kaudu võltsitud arve, kes, kelmust kartmata, tegi ligi 10 000 euro väärtuses makseid välisriigi panka. “Petturid olid jälginud vestlusi mitu kuud ja loonud postkastireeglid, millega pettusega seotud kirjad liikusid eraldi kausta. Seetõttu ei saanud töötaja teada, et tema nimelt saadab meile keegi teine,” räägib Pilviste.
Kui varem võis petukirja ära tunda kirjavigade tõttu, siis nüüd sellele Palmi sõnul lootma jääda ei saa, sest suurte keelemudelite (LLM) abil suudetakse järgi teha isegi konkreetsele inimesele iseloomulikku kirjastiili.
Viimasel ajal on kurjategijad üha rohkem kasutamas ka telefonipettusi, kus sama skeemiga üritatakse meelitada maksete tegemise õigusega töötajat kandma raha suvalisele pangakontole, paigaldama enda arvutisse kaugligipääsu tarkvara või algatama uut Smart-ID registreerimisprotsessi, et ohusubjektid saaksid ohvri nimel ise vabalt tegutseda.
Nii Palm kui ka Pilviste rõhutavad, et selliseid pettusi võimalik vältida, kuid paljudel ettevõtetel on senimaani arusaam, et nendega ei juhtu mitte midagi. “Ohustatud on kõik ettevõtted, kellel on avalik äritegevus ja kontaktid. Eriti hoiavad petturid silma peal ettevõtete LinkedIn-i kontodel, mis aitab neil sihtmärki kergemini profileerida,” räägib Palm.
Seetõttu soovitab ta alati kiireloomulised ja vahetult enne tööpäeva lõppu tehtavad tehingud mitme inimesega üle kontrollida – nii telefoni kui ka e-posti teel. Samuti peaks olema ärikliendil enda pangas kasutusel turvemeede, kus ettemääratud rahalisi piirmäärasid ületavad tehingud peavad olema kinnitatud kahe isiku poolt, näiteks peab makse kinnitama nii finantsjuht kui ka raamatupidaja. Kindlasti võiks vältida meilis olevate makselinkide avamist, vaid logida sisse arve saatnud asutuse iseteenindusse ja maksta arved sealtkaudu või kasutada varasemalt kokkulepitud arverekvisiite.
“Kindlasti tasub ettevõtetel kasutada meilisüsteemi kaitseks turvatarkvara, mis kontrollib e-kirju ja blokeerib või annab märku potentsiaalsetest ohtudest. Pettuste ohvriks langemist aitab vältida ka uus Smart-ID süsteem Smart-ID+, mis ei lase ründajal uut registreerimisprotsessi algatada, et autentimise kontroll enda kätte saada,” toob Palm välja mõned näited, mis kaitsevad ettevõtet juhul kui töötaja ohtu siiski ei märka.
Kuna kurjategijate petuskeeme on järjest keerulisem tuvastada, siis tuleb lisaks turvameetmetele tähelepanu pöörata ka töötajate järjepidevale koolitamisele. Silma tasub Palmi sõnul peal hoida ka Riigi Infosüsteemi Ameti „Ole IT-vaatlik“ veebilehel www.itvaatlik.ee , mis annab ülevaate levinumatest pettustest ja kuidas ära tunda, et kirjutajaks või helistajaks ei ole siiski kolleeg või mõne asutuse töötaja.
