14 - Mitnick ja IT turvariskide maandamine

Viimastel aastatel on Eestis ja ka mujal Euroopas hüppeliselt kasvanud telefonipettuste arv, mis on seotud pangakontode tühjendamisega või isikutuvastuse vahendite, nagu Smart-ID kuritarvitamisega. Enamasti esinetakse kui panga, politsei või muu tuntud asutuse töötajana. 

Petturid kasutavad tihti helistaja maskeerimist, proovides tekitada usaldusväärsust läbi telefoninumbri, mis ei ole näiteks välismaalt. Tüüpilise skeemina tekitatakse olukord, kus on vaja tegutseda kohe. 

Tehniliselt ei "häkita" kuskile süsteemi, vaid ohver teeb kõik ise. Sellised ründed on klassikaline näide sotsiaalsest manipulatsioonist ning neid saab hästi analüüsida Kevin Mitnick „valemi“ abil: tehnoloogia, koolitus ja reeglid.

Tehnoloogia

Tehnoloogia roll telefonipettuste puhul on keeruline, kuna rünnaks toimub inimese kaudu. Siiski on juba rakendatud tehnoloogijaid, et riske vähendada. Hea näide on Smart-ID-s rakendatud QR koodi skanneering. Alguses minu jaoks arusaamatu lisafunktsioon, aga peale esimest kasutamist sain kohe aru, miks see kasulik on. Kahju, et täna ei ole seda kõik teenusepakkujad rakendanud.

Koolitus

Koolituse roll telefonipettuste ennetamisel on kõige kriitilisem, kuna rünnak on suunatud konkreetse inimese suunas, mitte tema kasutatava tehnoloogia suunas. Telefonipettuse puhul ei aita ka kõige turvalisem süsteem, kuna inimene annab ise oma andmed või raha vabatahtlikult petturile.

Õnneks on Eestis jõuliselt panustatud koolitustele läbi mitmete teavitus- ja ennetuskampaanijatele, mille on läbi viinud pangad või Politsei ja Piirivalveamet. Nende kampaaniate eesmärk ja sõnum on olnud selge ja lihtne:

• Pank või Politsei ei küsi kunagi PIN koode. 
• Survestamine, et tegemist on ülikiire asjaoluga, kus peab kohe reageerima, on ohumärk.
• Kõik kahtlased kõned on tark kohe katkestada.

Samas sellised kampaaniad on vaid pool võitu. Petturid kasutavad psühholoogilisi võtteid ja tekitavad paanika või usalduse ja sellised olukorras võib ka teadlik inimene valesti käituda. 

Reeglid

Reeglite kohalt võib telefonipettused kokku võtta kahe minu lemmik lausega - "ära näpi, ära topi, ära käpi" ja "tasuta lõunaid ei ole olemas"

Ära näpi, ära topi, ära käpi

• Ära kunagi jaga oma delikaatseid andmeid(PIN koode) võõrastele
• Ära kinnita toiminguid, kui sa ise ei ole neid algatanud
• Usalda, aga kontrolli - kahtlaste kõnede korral võta ühendust alternatiivseid kanaleid pidi - helista ise panka ja uuri kahtlaste toimingute kohta näiteks

Tasuta lõunaid ei ole olemas

Kui mingi pakkumine tundub liiga hea, et tõsi olla, siis seal on mingi aga. Ja see aga võib varem või hiljem rängalt kätte maksta.

Nende reeglite jälgimine kasvatab küberhügieeni ja aitab ennast paremini kontrollida. Samuti on hea, et meedias pidevalt sellistest pettustest kirjutatakse, see hoiab inimeste meele teravana iga kahtlase kõne korral.Sellel on ka tagasilööke, kus näiteks maksuameti, kõnesid peetakse pettuseks, aga see on paratamatus.