Kuidas ära tunda andmepüüki ja mis on sotsiaalne sahkerdamine?
Erakordselt heade ja pealtnäha mitte kuskile sülle kukkunud suurepäraste pakkumiste puhul on sageli tegemist andmepüügiga. Edukamateks rünnakuteks võetakse sageli appi ka sotsiaalne sahkerdamine.
"Hei! Tahad tasuta PlayStationi kinkekaarti?! Vajuta lingile ja järgi juhiseid."
"Netflix pakub praegu kolm kuud tasuta vaatamist. Rohkem infot leiad lingilt."
"Sinu konto on lukustatud ja kustutatakse lõplikult 24 tunni pärast, kui sa oma salasõna ei muuda! Salasõna saad muuta sellelt lingilt."
Stopp!
Võib ju tunduda, et sinu päev läks praegu kas super heaks või erakordselt kehvaks – kinkekaarti ja Netflixi tahaks, samas konto juurdepääsust ilma jääda ei soovi. Peatu ja küsi iseendalt "Miks need sõnumid just mulle saadeti?"
Sageli on erakordselt heade ja pealtnäha mitte kuskilt sülle kukkunud suurepäraste pakkumiste puhul tegemist andmepüügiga. Link, mis väidetavalt juhatab sind tasuta konsoolimängude kinkekaardini või võimaluseni kolm kuud tasuta Netflixi vaadata, teeb pahatihti kõike muud, kui esialgselt lubatut.
Andmepüügi ehk kalastusründe (ingl k phishing) eesmärk on sinult välja petta erinevaid andmeid, näiteks kasutajanimesid, paroole ja pangaandmeid. Eelnevalt mainitud link võib juhatada sind lehele, kus tuleb sisestada teada-tuntud kontode andmed, näiteks sinu e-posti aadress ning Facebooki parool või Google'i konto parool – sinu isik tuleb ju teatud viisil kindlaks teha, sest muidu pole võimalik kinkekaarte või muid pääsmeid sulle edastada.
Samas pole kõik ootamatult saabunud teated positiivse tooniga. Kui saabunud sõnum üritab külvata paanikat või hirmu ning seejuures suunata sind viivitamatult reageerima, on tõenäoliselt tegemist andmepüügiga. Eelnevalt toodud konto blokeerimise näide on väga levinud viis, kuidas internetikelmid inimestelt kasutajanimesid, paroole ja muid andmeid välja petavad. Paanika tekitatakse kunstlikult eesmärgiga sinu tähelepanu kõrvale juhtida. Olles sinu tähelepanu hajutanud, on suurem tõenäosus, et sa ei märka kirja või sõnumi saatjat puudutavat teavet ning neis esinevaid vigu või ebakõlasid.
Andmepüük on tänapäeval enimlevinuim viis inimeste andmeid ja kontosid kaaperdada ning inimestele seeläbi kahju tekitada. Kaaperdatud andmeid ja kontosid on võimalik edasi müüa või tulevikus toimepandavates pettustes ära kasutada. Klassikaline andmepüük toimub e-kirjade teel, kuid tehnoloogia arengu tõttu õngitsetakse inimeste andmeid ohtralt ka telefonikõnede, lühisõnumite või sotsiaalmeedia kaudu.
Üldistavalt saab öelda, et juhul, kui sinuga on üht või teist kanalit kaudu võimalik ühendust võtta, siis on sama kanalit kasutades võimalik sind ka lõksu tõmmata. Kuigi erinevad suhtluskanalid loovad kelmidele erinevaid võimalusi lõksude seadmiseks ning "saagi" püüdmiseks, on kõige olulisem siiski viis, mil moel sihtmärgiks võetud ohvriga kontakt luuakse. Seda lihtsal põhjusel, et andmepüügi õnnestumiseks on vaja edukalt töödelda inimest, mitte "tinistada" tehnoloogiat.
PlayStationi kinkekaardi või tasuta Netflixi pakkumine ehk präänikuga meelitamine ning konto sulgemist puudutav ajaliselt piiratud hoiatus ehk piitsaga hirmutamine pole juhuslikult valitud võtted, mida küberkurikaelad rakendavad. Selliste mõjutustehnikate kasutamist inimestevahelises suhtluses nimetatakse sageli ka sotsiaalseks sahkerdamiseks (ingl k social engineering).
Sotsiaalse sahkerdamise eesmärk on panna inimest vabatahtlikult tegema asju, mida ta tavasituatsioonis muidu ei teeks – klõpsama lingil, sisestama avanenud võltsveebilehel oma kasutajanime ja parooli või avama sõnumiga kaasas olnud manust. Kogu sõnumis või kirjas olev meelitamine ja hirmutamine ongi seal selleks, et panna sind kiiremini tegutsema, tegutsedes vähem mõtlema ning pisidetaile eirama.
Tihti üritavad kelmid oma petuskeemidele usutavuse loomiseks ära kasutada riigis või maailmas toimuvaid päevakajalisi sündmusi. Tasuta Netflixi näide pärinebki petuskeemist, mida levitati 2020. aasta kevadel ja suvel. Kuna inimesed liikusid COVID-19 viiruse leviku tõttu vähem väljas ning veetsid varasemast rohkem aega kodus, oli tasuta voogedastusteenuse pakkumine paljudele üsnagi märkimisväärne ahvatlus, mille õnge minna.
Samuti kasutati viiruse leviku kevadisel kõrghetkel ära inimeste heasüdamlikkust – paluti teha annetusi olematutele heategevusorganisatsioonidele, sest inimene, kes ise on terve ja kes teab, kui paljud teised hetkel kannatama peavad, on koostööaltim ning hea teo tegemisele avatud. Seega on petusõnumite tuvastamisel oluline jälgida ka ümbritsevat konteksti, mida sõnumitele usutavuse loomiseks ära kasutatakse.
Alati on võimalik sõnumi tõepõhja kontrollida neutraalsest allikast, kasutades näiteks Google'i otsingut: kas selline heategevusorganisatsioon on olemas või kas Netflix pakub praegu tasuta vaatamise võimalusi.
Kui pakkumine tundub liiga hea, et tõsi olla, siis tõenäoliselt ongi tegemist pettusega. Tasub olla meediataiplik, sest tasuta lõunaid teadupärast ei eksisteeri. Kui sõnum tundub rõhutatult šokeeriv või hirmutav, on see mõeldud kohese reaktsiooni tekitamiseks, et vähendada sinu võimet kriitiliselt mõelda ja sõnumi sisu ning tõepärasust hinnata. Ehk kurikaelte eesmärk on saada sind vähem mõtlema ja rohkem tegutsema.
Meediataibukas inimene võtab sõnumi või kirja saamisel hetke, et hinnata erinevaid asjaolusid, mis aitavad eristada lõksu tõmbamiseks saadetud sõnumit tõesest suhtlusest:
- Õngitsussõnumid suunavad sind alati teatud järgmist sammu tegema – lahtreid teabega täitma, kontole sisse logima, kirja või sõnumiga kaasas olnud manust avama.
- Sageli on petusõnumite tekstis ohtralt kirjavigu. Andmepüük on rahvusvaheline must äri ning selles osalevad kelmid vajavad oma sõnumite kohandamiseks Google'i masintõlke abi.
- Andmepüügi e-kirjad ei pöördu üldjuhul kunagi sinu poole isiklikult, mis tähendab, et kasutatakse üldisi tervitusi "Tere" või "Kallis klient". Sama kehtib ka kirjade lõpu kohta ehk kirja lõpust ei leia sinuga ühendust võtnud inimese nime. Näiteks on kirjas välja toodud üksnes "Teie IT meeskond".
- Kõige kindlam on lühisõnumeid ja sotsiaalmeedias saadud kahtlasi pakkumisi või hoiatusi lihtsalt eirata. Juhul, kui sõnum näib saabuvat inimeselt, keda sa isiklikult tunned, on sul alati võimalus sama inimesega ühendust võtta mõnel muul moel – näiteks tuttavale helistades, kasutades selleks varasemast teadaolevat telefoninumbrit. Parim viis petuskeemide ohvriks langemise vältimiseks ongi täielikult saadud sõnumit eirates. Kui sul on vaja kontrollida sõnumis tehtud pakkumise tõesust, otsi vastavat pakkumist Google'i otsingust või mis tahes muust allikast, mis pole otseselt seotud kahtlase sõnumi originaaliga.
- Ära vajuta linkidele ega ava sõnumitega kaasas olnud manuseid, kui sa pole kindel saatja isikus või kui sa just mõnda konkreetset manust ei oota. Nutiseadme või arvuti pahavaraga nakatamise levinud viis on peita pahavara petusõnumiga kaasasolevasse manusesse, mis aktiveeritakse hetkel, mil manuse avad ja seda kasutama hakkad.
ÜLESANNE: Andmepüügi teema lõpetuseks pakun teile väikese mõtlemisülesande: kuidas käituksid järgnevates olukordades?
- Sulle saabub Facebookis sõnum tundmatult isikult, kes lubab, et lingile vajutades saad juurdepääsu veebilehele, mis võimaldab tasuta filme vaadata.
- Sulle saabub lühisõnum, milles väidetakse, et sulle on määratud trahv. Sõnumis on toodud ka lühendatud link, millelt saab määratud trahvi kohta täpsemalt lugeda.
- Inimene, keda tunned isiklikult, paneb sulle saadetud e-kirjale kaasa manuse ja palub sul seda esimesel võimalusel vaadata. Miskipärast tundub kiri kahtlane, aga sa ei tea täpselt miks.
Oktoobri lõpus, 26. 10–30. 10. 2020 toimub teist korda Eestis meediapädevuse nädal, mille eesmärk on tõsta nii laste ja noorte kui õpetajate ja laiema avalikkuse teadlikkust ümbritseva inforuumi võimalustest ja ohtudest ning pöörata tähelepanu kriitilise mõtlemise olulisusele. Vaata lisa ERR-i erilehelt.
Toimetaja: Jaan-Juhan Oidermaa