Õngitsemine (phishing)

Phishing viitab pettusele, kus petised teesklevad, et nad esindavad mingit firmat või ametiasutust ja püüavad inimeste käest selle kaudu olulist infot kätte saada. Olulise info all pean silmas siis kasutajanimesid ja paroole, pangainfot jmt isiklikku informatsiooni.

Kuidas skeem töötab?

Üks levinumaid viise on e-maili teel saadetavad kirjad. Kirjas räägitakse midagi stiilis, et sa pead turvalisuse tagamiseks oma paroole uuendama või pead oma konto verifitseerima ning lisatakse ka link, kuhu tuleks klikkida. See link viib sind veebilehele, mis näeb välja, nagu õige lehekülg, kuid tegelikult on petiste poolt tehtud kloon, et sa sisestaksid sinna oma andmed.

Näiteks võidakse selliste skeemide kaudu proovida teada saada sinu gmaili paroole ning seejärel võib selle abil teada saada või ära muuta juba päris paljude teiste veebikeskkondade paroolid ning tekitada sulle märkimisväärset kahju. Samuti võidakse sihtmärgiks võtta sotsiaalse võrgustikuga lehti (näiteks facebook, instagram), kuna seal olevat informatsiooni saab kasutada identiteedivarguseks või sinu konto kaudu oma skeeme levitada.

Teise variandina kasutatakse näiteks telefoni teel helistamist. Näiteks on ettevõtetes kätte saadud paroole sedasi, et petis helistab ja ütleb, et ta on IT osakonnast ning tal on vaja mingeid paroole, et süsteemi testida. Kolmas variant on see, et soritakse näiteks sinu prügikastis või postkastis ja leitakse arvetelt või kirjade pealt vajalik informatsioon.

Veidi kõrgtehnoloogilisem versioon on selline, kus luuakse avalikus kohas wifi võrk, mis tundub olevat mingi asutuse oma ja kui keegi enda arvuti sellega ühendab, üritavad petised sinu paroole selle kaudu kätte saada. Lisaks võidakse kasutada ka erinevat nuhk- või pahavara, et vajalikku informatsiooni kätte saada.

Phishingu algusaastatel (1980’ndate aastate lõpp) saadeti kirju valimatult ja loodeti, et läheb täppi. Tänapäeval on aga see arenenud spetsialiseerunud organiseeritud kuritegevuse haruks ja sageli saadetakse kirju palju sihitumalt. Näiteks võid saada täiesti enda ja oma ettevõtte infoga kirja, kus kõik tundub justkui õige.

Kuidas selle ohvriks langemist vältida?

• Ära kliki võõrastes kirjades olevaid linke. Logi panka jmt kohtadesse sisse nii, et sisestad kodulehe aadressi veebilehitsejasse ise käsitsi. Kui sa ei ole kindel, et sa ise mõne parooli verifitseerimismeili tellisid (palusid saidil uus parool saata või alles registreerusid kasutajaks ning tuleb e-mail kinnitada).
• Kontrolli, et e-maili saatja on see, kes ta väidab end olevat. Sageli tulevad meilid kuskilt aadressilt stiilis paypal@gmail.com vmt avaliku e-maili teenusepakkuja aadressilt või hoopis kahtlase tähe- ja numbrikombinatsiooniga aadressilt. Mõnikord on saatja nimi üks, aga kirjas kasutatud nimi teine. Firmadel on tavaliselt enda domeeninimega e-maili aadress. Kuigi õige e-maili aadress ei tähenda veel, et kiri õige oleks, sest seda on kahjuks võimalik ka võltsida.
• Võta aeg maha. Enne kui klikid ja infot edastad, mõtle korraks läbi, kas see on ikka loogiline, et nad sellist infot tahavad. Ära karda keelduda teatud info jagamisest isegi siis, kui firma puhul kõik tundub klappivat.
• Enne andmete sisestamist, veendu, et tegemist on turvalise ühendusega ja õige sertifikaadiga kodulehega (vt aadressiribal rohelise tabaluku ikooni).
• Veendu, et url (veebilehe aadress) on õige. Näiteks, et www.seb.ee asemel ei oleks www-seb.ee.
• Kui tekib kahtlusi, siis pane leht kinni ja ära sinna andmeid sisesta.

• Ära viska prügisse oma isiklike andmetega dokumente. Põleta need kaminas ära või vähemalt rebi andmetega kohad väikesteks tükkideks, nii et ei oleks võimalik aru saada.
• Ära kunagi jaga telefoni, meili või sotsiaalmeedia vmt teel oma paroole või muid sensitiivseid andmeid.

Tõin välja vaid mõned soovitused, aga kindlasti mitte ei ole see lõplik soovituste nimekiri. Õnneks võitlevad selle vastu ka paljud muud organisatsioonid ja suurem osa neist phishing katsetest meie postkasti ei jõuagi. Samas on phishingu käigus tekitatav iga-aastane kahju siiski märgatav, nii et tasub sellisest ohust teadlik olla.

Lisalugemine:

• https://en.wikipedia.org/wiki/Phishing
• https://www.phishtank.com/
• https://en.wikipedia.org/wiki/Avalanche_(phishing_group)
• https://en.wikipedia.org/wiki/Russian_Business_Network