Käes on ITSPEA eelviimane nädalateema pealkirjaga “Andmeturve: tehnoloogia, koolitus ja reeglid” Andmeturve on tänases Interneti-keskses ühiskonnas olulisel kohal. Ei saa jääda lootma kaasinimeste headusele, sest võrgus on palju pahalasi. Pahalaste motivatsioonid võivad olla erinevad, mõni näiteks tahab saavutada rahalist kasu või kuulsust, teine tegutseb põhiliselt “lõbu pärast”. Sõltumata motivaatorist, on karmimatel juhtudel siiski tegu seaduserikkumistega. Seekordseks blogiülesandeks on analüüsida ühte suurematest IT-turvariskidest.

Siinkohal käsitlen pettuste teemat. Olen antud temaatika ühe aspektiga lähemalt tuttavaks saanud alates eelmisest aastast, kui avastasin scambaiteri, kes esineb Kitboga nime all. Nagu ühele scambaiterile kohane, on ka tema põhiliseks ülesandeks petturite aja raiskamine. Kitboga on asjasse pühendunud, võib öelda, et scambaiting on tema jaoks enam kui hobi, see on justkui tema kutsumus. Muuhulgas kasutab ta erinevate tegelaskujude mängimiseks häälemodulatsiooni ning tal on oma fake bank, mille abil ta pettureid ninapidi veab. Kitboga livestreamib oma scambaitimisi Twitchis.

Ma olen Kitboga striimide ja videote kaudu saanud tuttavamaks võtetega, mida kasutavad mitmed petturid. Minu jaoks üks huvitavamaid petuskeeme on refund scam, mis kuulub tehnilise kasutajatoe pettuse alla. Selle raames annavad petturid teada, et tuntud tehnoloogiaettevõtte klienditel on võimalik saada rahatagastus näiteks sellise põhjendusega, et ettevõte või selle alamteenus lõpetavat oma tegevuse. Kui ohver on võtnud petturiga telefonitsi ühendust, siis kinnitatakse talle, et ta võib saada (tüüpiliselt mitmesajadollarilise) rahatagastuse. Järgmiseks eesmärgiks on saada tema arvutile ligi üle kaugtöölaua tarkvara. Kui see on saavutatud, siis palutakse ohvril logida oma panka sisse. Pärast seda räägib pettur, et ta tegeleb rahatagastuse üle kandmisega. Tegelikkuses ta varjab ohvripoolse ekraanipildi ära (ohver näeb musta ekraani) ning selle varjus teeb ta ohvri brauseris Inspect Element, et jätta mulje, nagu ohvrile oleks ekslikult üle kantud plaanitust märksa suurem summa (ehkki tegelikkuses ei kantud üle midagi). Seejärel tehakse ekraanipilt ohvrile taaskord nähtavks. Pettuse skeem näeb ette, et pettur mängib siinkohal üllatumist ning nõuab “liigmakstud” raha tagasimaksmist. Tavaliselt tahetakse seda raha mingisuguste rahaliste kinkekaartide näol, et vähendada raha liikumise jälgitavust.

Leian, et see ja analoogilised pettused on vähemtuntud ja sestap ohtlikumad kui näiteks “Nigeeria kirjad”. Jah, minusugune arvutientusiast saab kohe aru, et midagi on valesti, kui raha tagasi saamiseks on vaja alustada kaugtöölaua sessiooni. Aga mina ei olegi selliste pettuste sihtrühm. Sihtrühma kuuluvad inimesed, kes on arvutite osas võhiklikumad ning on vähem skeptilised.

Kuidas siis sellistest pettustest võitu saada? Järgnev põhineb “Mitnicki valemil”.

  • Tehnoloogilise poole pealt langeb kaalukauss minu arvates kaugtöölaua teenuse pakkujate poolele — viimased peaksid tugevdama petturluse tuvastamist. Samuti oleks abiks, kui internetiturvalisuse tarkvara hoiataks kasutajat, et kaugtöölauasessiooni ei tohiks alustada kergekäeliselt.
  • Asjakohane koolitus oleks ilmselt siinkohal kõige efektiivsem. Esiteks võiksid need, kes on tehnoloogiaga rohkem sina peal, rääkida andmeturbe ning pettuste teemal oma lähedastega, olles esmalt ise end asjaga lähemalt kurssi viinud. Laiema ühiskonna tasandil võiksid tulla kasuks avalikud teavituskampaaniad.
  • Reeglite pool lähtub otseselt sellest, mille tõin eelmises punktis välja. Tuleks panna paika selged piirid. Näiteks võiks kehtestada reegli, et arvutivõhiklikum pereliige ei alusta kaugtöölaua sessiooni enne, kui ta on kindla pereliikmega nõu pidanud.

Eelnevas analüüsisin pettuste teemat. Rääkisin scambaiterist Kitboga, kelle kaudu ma sain selle maailmast rohkem aimu. Seejärel tõin välja tehnilise kasutajatoe pettuse. Käsitlesin täpsemalt refund scami. Tõin välja enda mõtted selle IT-turvariski maandamiseks.