Küberintsidendid Eestis

Küberrünnakud ettevõtetes: need on levinud skeemid, mida kelmid Eesti firmade vastu kasutavad

Eelmisel nädalal anti RIA-le teada kahest kasutajakonto ülevõtmisest ja ühest finantspettusest.Foto: Scanpix

Rubriiki toetab

Järjest sagedasemaks muutuvad küberrünnakud peaksid ettevõtjaid valvsaks muutma, sest kurjategijate põhjustatud kahju võib heal juhul piirduda mõne tuhande euroga, kuid võib küündida ka üle 100 000 euro.

Riigi Infosüsteemi Ameti (RIA) juhtivanalüütik Lauri Tankler kommenteeris, et üldiselt viiakse ettevõtete suunal läbi rünnakuid, mida on odav korda saata. “Mida soodsamalt saab rünnakut või pettust korraldada, seda tulusam on see kurjategija jaoks,” märkis ta.

IT-teenuseid ja lahendusi pakkuva OIXIO küberturbe ja võrgu ärisuunajuhi Andres Vallistu sõnul on Eestis kõige enam kahju tekitatud ilmselt arvepettustega. Ta ütles, et ettevõtted üritavad pigem hoiduda rünnakute avaldamisest, sest loodavad sellega vältida mainekahju.

Vallistu tõi ka ühe näite hiljutisest rünnakust, mis läks ettevõttele kalliks maksma. “Üks edukas ja tuntud kohalik hulgimüügifirma kannatas arvepettuste tulemusel kokku otsest rahalist kahju, kus kahjusumma puhul oli tegemist kuuekohalise numbriga. Õnneks kõigil nii pahasti ei lähe ja sageli jäävad otsesed rahalised kahjusummad mõne tuhande kuni mõnekümne tuhande euro piiresse,” sõnas Vallistu.

Levinud rünnakud Eesti ettevõtete vastu hõlmavad andmevargusi, arvepettusi, lunavararünnakuid, aga on ka tekkinud uuemaid viise raha väljapressimiseks.

Andmevargus

Tankler selgitas, et üks kurjategijate strateegia on saada ettevõtte töötajatelt kätte nende andmed. Selleks luuakse õngitsusleht. “Selle loomisel pannakse enim rõhku sellele, et leht oleks sarnane päris kaubamärgiga ja tekitaks tunde, et oled õigel lehel. Näiteks proovitakse jäljendada tuntud teenuste veebilehti: pankade, Netflixi, Amazoni jt sisselogimise lehekülgi,” kirjeldas ta.

Kui õngitsuslehe kaudu on ettevõtte töötaja parool käes, siis üritavad kurjategijad siseneda töötaja töökontole. See õnnestubki, kui inimene on sama parooli kasutanud ning ettevõte ei kasuta kahetasemelist autentimist.

Kui kontole pääsetakse ligi, siis panevad kurjategijad meilikontod saatma e-kirjade koopiaid ja originaalarveid jäljendades tehakse libaarveid. Seejärel saadetakse meilidelt välja järgmisi õngitsuskirju lootuses, et uued kasutajad sisestavad sinna oma andmeid. Kontoandmete abil pääsetakse ettevõtte serverisse ja paigaldatakse sinna pahavara või lunavara ning varastatakse andmed ja/või küsitakse andmete tagasi saamiseks lunavara.

Andres Vallistu märkis samuti, et andmeid õnnestub kurjategijatel tavaliselt kätte saada eduka identiteedivargusega ning seda, kas õngitsuse, nõrga autentimismeetodi või turvanõrkuse ärakasutamisega. Tema sõnul aitab selle vastu järjepidev panustamine töötajate küberhügieeni ja IT-taristu turvameetmete hindamine ning pidev täiendamine. “Oluline rõhk on sõnal pidev – küberturvalisuse tagamine ei saa olla kunagi ühekordne projekt, see peab olema pidev protsess,” toonitas Vallistu.

Turvanõrkuste otsimine

Teine kurjategijate seas populaarne viis on turvanõrkuste otsimine. See käib Tankleri sõnul nii, et kurjategijad skaneerivad kindlaid IP-vahemikke ja servereid ning otsivad paikamata tarkvara, mille kaudu ettevõtte serverisse siseneda. Näiteks otsivad nad servereid, mis kasutavad veel turvanõrkusega Microsoft Exchange’i versiooni.

Kui kurjategijad leiavad turvanõrkuse, siis pääsevad nad selle kaudu kas ettevõtte veebilehele või serverisse. Tankler selgitas, et kui ollakse juba asutuse võrgus, siis krüpteeritakse või varastatakse andmed. Aga tehakse ka mõlemat, sest siis saab raha küsida andmete avamise kui ka nende müümise eest

Vallistu märkis, et äri jätkusuutlikkuse seisukohalt on kõige ohtlikumad lunavararünnakud, mille tagajärjel võib äritegevus sootuks seiskuda. “Sagenenud on juhud, kus lunavararünnakust toibumiseks on üksnes andmete taastamisest vähe, sest küberpätid kipuvad enne lunavaranõude esitamist andmeid kopeerima ja nõuavad lunaraha andmete mitte lekitamise eest,” tõi ta välja.

Kui kurjategijatel õnnestub pääseda veebiserverisse, siis toimub asutuse veebilehe ümbersuunamine, näotustamine (defacement) või pannakse see tööle kui uus õngitsusleht. Veebilehest võib saada pahavara juhtserver.

Kui õnnestub ligi pääseda ettevõtte turvanõrkusega seadmesse, näiteks ruuterisse või võrguseadmesse, siis paigaldatakse sinna pahavara, mis hakkab krüptoraha kaevandama või liidetakse seade robotvõrgustikuga, mille abil jagatakse järgmistele pahavara või tehakse teenustõkestusrünnakuid (DDoS).

Arvepettused

Veel üks levinud strateegia, mida kelmid kasutavad, on niinimetatud tegevjuhi petuskeem. See tähendab, et ettevõtte raamatupidaja või finantstöötaja saab näiliselt enda või asutuse juhilt natuke kohmaka sõnastusega eestikeelse e-kirja, milles palutakse hästi kiiresti tasuda üks arve. Tankleri sõnul rõhutab libakiri alati, et arve maksmisega on väga kiire. Kiri tuleb justkui asutuse juhilt, aga kui selle vastata, siis vastamisaadress on suvaline kurjategijatele kuuluv meiliaadress.

Tankler rõhutas, et alati tasub üle kontrollida, kelle nimelt tegelikult kiireloomuline arve tuli. Selle pettuse ohvriks langemist saab vältida, kui helistatakse tegevjuhile ning selgitakse välja, kas ikka tema saatis välja e-kirja.

Mullu augustis jõudis RIA-le info, et petturid said ligi Harjumaa ettevõtte ja selle kliendi kirjavahetusele ning saatsid õigel hetkel kliendile võltsarve, millel oli uus arvelduskonto number. Klient ei kontrollinud meiliaadressi ega arve autentsust, mistõttu kanti petturite rohkem kui 10 000 eurot.

Uuemad petuskeemid

Üks uuemaid petuskeeme, mida petturid kasutavad on, puudutab ettevõtete kodulehte või Facebooki lehte. Kurjategijad ähvardavad ettevõtte kodulehe SEO (Search Engine Optimization) sassi ajada, et inimesed seda enam Google’ist otsides ei leiaks. Või ähvardavad nad raporteerida ettevõtte Facebooki lehekülge, et see sealt kaoks või muutuks teatud ajaks kättesaadamatuks.

Eelmisel nädalal anti RIA-le teada kahest kasutajakonto ülevõtmisest ja ühest finantspettusest. Nädal varem aga kolmest konto kaaperdamisest ja kolmest finantspettusest. CERT-EE saab iga päev teateid õngitsuslehtedest, kus üritatakse arvutikasutajate andmeid kätte saada.

Populaarsed lood mujal Geeniuses

Telli Geeniuse kõige hinnalisemad lood oma postkasti

Saadame sulle igal argipäeval ülevaate DigiPRO ja Ärigeeniuse olulisematest lugudest.