Neljateistkümnes nädal: Andmeturve: tehnoloogia, koolitus ja reeglid

-

 Selle nädala teemaks oli IT-turvariskid. Kuna viimased aastad on petukõned väga aktuaalne teema, siis otsustasin sellest veidi kirjutada. Eesti Pangaliidu andmetel langes 2025. aastal Eestis pettuste ohvriks 3685 inimest ning kokku peteti inimestelt välja üle 29 miljoni euro. Kõige suurema osa kahjudest moodustasid petukõned, millega kaotati ligi 11,5 miljonit eurot.

Suur osa petuskeemidest põhineb inimese mõjutamisel ja manipuleerimisel. Eesmärk ei ole niivõrd süsteemi sisse murda, vaid panna inimene ise vajalikku infot või ligipääsu ära andma.

Tavaline stsenaarium on see, et helistatakse inimesele ja väidetakse, et tema pangakontol toimub kahtlane tegevus, mida ainult pin koodidega saab peatada või tema lähedane on õnnetusse sattunud ning nüüd ja kohe on vaja raha kanda. Inimene satub paanikasse ja tahab olukorra kiiresti lahendada. Lõpuks kinnitabki ta Smart-ID päringud ning annab ligipääsu enda kontodele. Pangaliidu andmetel kasutatakse väga tihti just inimeste hirmu, sest inimene reageerib emotsioonile enne, kui jõuab olukorra rahulikult läbi mõelda. Üks viis, kuidas petturid tegutsevad, on ka helistamine keset tööpäeva ja kasutades ära seda, et inimene mõtleb parasjagu mingitele tööasjadele ja ei suuda see moment läbi näha, et Omniva klienditeenindaja asemel palus sisestada pin koodi hoopis telefonikelm. Tõenäosus, et keegi ootab parasjagu mingit pakki on ju päris suur. 

Muidugi on ka veidi teistlaadi pettusi, kui eelnevalt kirjeldasin. Näiteks pettused, kus inimest töödeldakse pikemat aega, tavaliselt keegi esineb politseinikuna ja ohver on siis abiks mingisugusele petuskeemi peatamisele. “Päti” tabamiseks peab ta viima suurema summa raha mõnda pakiautomaati. Või investeerimispettused, ohver kannab kuskile platvormile raha ja luuakse talle pilt, et tõepoolest tema investeeringud kannavad vilja. Mida aeg edasi, seda rohkem survestatakse ohvrit raha üle kandma. Sageli arvatakse, et selliste skeemide ohvriks langevad ainult kergeusklikud ja väheste tehnoloogiliste teadmistega inimesed. Lugesin hiljuti Jaan Aru “Aju vabadus’’ raamatut ning seal oli päris heaks näiteks Briti füüsik Paul Frampton, kes sattus romantilise petuskeemi ohvriks. Tegemist oli väga intelligentse ja haritud inimesega, kuid sellest hoolimata õnnestus petturitel teda pikema aja jooksul manipuleerida. Asi lõppes sellega, et Frampton arreteeriti 2012. aastal Argentiinas pärast seda, kui tema kohvrist leiti kaks kilogrammi kokaiini.

Kevin Mitnick on öelnud, et turvalisus koosneb tehnoloogiast, koolitusest ja reeglitest. Tehnoloogia poole pealt, kui võtta näiteks Smart-ID, siis tegu on küll mugava lahendusega, aga petturitel on kui lapsemäng teha kasutajale üldse uus Smart-ID või saada need pin koodid kätte. See jutt läheb nüüd pankade ja kiirlaenukontorite kapsaaeda. Miks ei ole teatud tehingute puhul(nt laenu võtmine) lisaks veel võetud kasutusele mõnda lisa isikutuvastussüsteemi, et olla täielikult kindel selles, et tehingut soovib teha ikka seesama inimene? Võimekus oleks ju nagu olemas, aga kas asi siis jääb raha ja mugavuse taha? 

Pangaliit, RIA ja Politsei- ja Piirivalveamet teevad pidevalt teavituskampaaniaid, samuti räägitakse pidevalt nendel teemadel ka uudistes. Samas langevad ikka inimesed petturite lõksu. Võimalik, et enamus ohvritest elab mingis teises inforuumis?

Reeglite alla võiksid minna ehk ka seadused. Alles 2025. aastal hakati Eestis tõsisemalt arutama seadusemuudatusi, mis annaks pankadele õiguse pettusekahtluse korral makseid ajutiselt peatada ning sellest politseile teada anda. Minule tuli tegelikult üllatusena, et pankadel ei ole juba praegu õigust selliseid ilmselgelt kahtlaseid tehinguid peatada. Näiteks olukorras, kus inimese nimele võetakse suur laen ja raha kantakse kohe edasi välismaale. Olin alati arvanud, et pankadel on selliste olukordade jaoks juba olemas automaatsed piirangud või võimalus tehing ajutiselt kinni pidada.


Viited:

https://pangaliit.ee/pettuste-ennetamine

https://www.aps.org/archives/publications/apsnews/201301/uncphysicist.cfm

https://www.err.ee/1609940093/pangad-voivad-saada-oiguse-peatada-ise-pettusekahtlusega-ulekanded


Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Esimene nädal: Noppeid IT ajaloost

-
Kujutis
  Esimese nädala ülesandeks oli kirjeldada kolme põnevat IT-lahendust.  1.Tõeline revolutsioon IT-maastikul Tõeliseks revolutsiooniks saab kindlasti pidada personaalarvutite tulekut. Esimeseks edukaks personaalarvutiks peetakse Altair 8800(1974), mis müüdi ka kohe läbi. Altair 8800ga ei kaasnenud klaviatuuri, ekraani ega tarkvara, seetõttu sobis see rohkem tehnikaentusiastidele.  Oluline muutus toimus mõni aasta hiljem, kui turule ilmus Apple II. Erinevalt teistest masinatest suutis Apple II kuvada värvilist graafikat ning arvutil oli kaheksa laienduspesa. Apple käive tõusis 1977. aastal 2,5 miljoni dollarini ja 1978. aastal 15 miljoni dollarini. Dan Bricklin tutvustas tabelarvutusprogrammi VisiCalc, mis loodi Apple II jaoks, peale seda olid müüginumbrid plahvatuslikult tõusnud. Sellest ajast alates hakkasid personaalarvutid kujunema nišitootest massitarbetehnoloogiaks ning sündis personaalarvutite tööstus. Apple II 1979. reklaam           ...
Lisateave

Teine nädal: Arpanetist Facebookini

-
Kujutis
  See nädal oli tarvis kirjeldada kaht erinevat nähtust enne aastat 1991. Üks, mis on tänaseni ja üks, mis on tänaseks kadunud. E-post Kui rääkida nähtusest, mis on tänaseni säilinud, siis ilmselt kõige populaarsem valik neist oleks e-post. Esimeseks e-posti eelkäijaks peetakse sõnumisüsteemi, mis loodi 1962. aastal sõjaväelise AUTODIN-i võrgu jaoks. 1971. aastal leiutas Ray Tomlinson ARPAneti jaoks e-posti, tema versioon kasutas esimesena @ sümbolit. 1980. kasutasid e-posti peamiselt ülikoolid ja IT-spetsialistid. Kümme aastat hiljem oli e-posti kasutamine laialt levinud.  E-post on tänaseni kasutusel ilmselt seetõttu, et selle toimimise põhimõte on algusest peale olnud üsna universaalne. Kuigi igapäevases suhtluses kasutatakse palju ka Messengeri, Discordi või teisi suhtlusrakendusi, on e-post oluline just ametlikus suhtluses. Ei ole ühtegi märki, et e-post kuskile üldse kaduda võiks. Pilt pärit:  https://en.wikipedia.org/wiki/Email BBS ehk Bulletin board system Enne Wo...
Lisateave

Neljas nädal: Info- ja võrguühiskond

-
Kujutis
Ei ole üllatus, et praktiliselt kõik veebilehed, mida me külastame, koguvad meie kohta mingil määral andmeid. Üheks levinud andmete kogumise viisiks on küpsised, millega kasutaja peab tavaliselt enne veebilehe kasutamist kas nõustuma või need eraldi keelama. Olen aga tähele pannud, et viimasel ajal on küpsistest keeldumine tehtud paljudel veebilehtedel keerulisemaks ja tülikamaks. Samuti on tavaline, et kui olen mõnda toodet või teenust Googlest otsinud, ilmuvad peagi sama teemaga reklaamid näiteks Facebooki.  Pilt(minu enda brauserist) sellest, kuidas ma ka ise tegelikult ei hooma kui palju jälgitakse. Andmete kogumine ei piirdu aga ainult veebilehtedega. Viimastel aastatel on kiiresti kasvanud ka tehisintellekti kasutamine, kus inimesed jagavad sageli väga tundlikku infot. Näiteks küsitakse tehisintellektilt tervisega seotud nõu, laaditakse üles fotosid või lastakse endast uusi pilte genereerida. Tundub, et eriti ei mõelda sellele, kuidas neid andmeid võidakse tulevikus kasutada....
Lisateave