Kommunikatsiooniründe tunneb ära suunamisest konkreetsele teole
Kuritegusid, mis seisnevad peamiselt kahe poole omavahelises vestluses, on kriminoloogias praegu eelistatava teooriaga keeruline uurida. Sellest tulenevalt on petukõned ja -kirjad olnud kriminoloogias seni ebapiisavalt mõtestatud. Tartu Ülikooli doktoritöö pakub välja võimaluse, kuidas suhtluspõhiseid rünnakuid ära tunda ja ennetada.
"Minu hinnangul oli vaja mingisugust lahendust tühimikule, mis kriminoloogilises kirjanduses manipulatsioonirünnete kohta esines," ütleb sotsioloogia doktorant Kristjan Kikerpill. Oma peagi kaitstavas doktoritöös kritiseeris ta praegu eelistatavat argitegevuse teooriat (routine activities approach) ja pakkus vastukaaluks välja idee kuritööst kui kommunikatsioonist. Kui kogu kuritegu seisnebki selles, et kaks inimest, inimene ja arvuti või kaks arvutit omavahel suhtlevad, siis kuidas saavad kriminoloogid seda uurida?
Sõnade jälil
"Täielikult kommunikatsioonil põhinev süütegu on näiteks ähvardamine," sõnab Kristjan Kikerpill. "Sa ei pea tegema midagi muud, kui kedagi usutavalt ähvardama ja juba panedki lihtsalt rääkides süüteo toime." Samamoodi on süütegu näiteks valeütluste andmine: kes kindlas kontekstis toob kuuldavale tõele mittevastavad laused, võib samuti süüdi jääda.
"Samamoodi kelmuste juures, mida mina uurin, on väga suur osa just kommunikatsioonil," märgib doktorant. Nii piisab ka küberkuriteo toimepanekuks, kui ründaja ja rünnatav istuvad kumbki oma arvuti ees, vahetades sõnumeid või rääkides videokõnes – lõpuks liigub raha või väärtuslik info ohvri käest ründaja kätte.
Kikerpilli sõnul käsitletakse sedalaadi kuritegusid kriminoloogia-kirjanduses lõdvalt ja näiteks online-tegevuse mõiste on liiga üldine. Siis jõutaksegi järeldusteni, nagu "ohvriks langevad inimesed, kes kasutavad internetti rohkem", mis on Kikerpilli hinnangul jaburad ja sisutühjad.
"IT-spetsialist võib suurema osa päevast ja nädalast olla online ning mitte langeda netikelmuse ohvriks. Samas võib inimene, kes kasutab netipanka korra kuus, saada petukõne, järgida kelmide juhiseid ning langeda ohvriks," osutab ta vajadusele uuendada suhtluskuritegude käsitlemise raamistikku. Asi oleneb doktorandi sõnul ikkagi sellest, kas ja mil määral suudab isik sissetulevat kommunikatsiooni tõlgendada siira või kuritegelikuna.
"Kuigi ma olen politseile tänulik nende töö eest, on ilmselgelt näha, et ennetustöö ei saa sealt otseselt tulla. Neil pole ressurssi, et küberkuritegude tohutust tulvast juhtum kinni püüda – nad võitlevad justkui hüdraga," jätkab doktorant.
Muutus saab tema sõnul tulla ainult petukirjade ja -kõnede ohvrite ehk inimeste endi seest. "Peaksime rohkem tähelepanu pöörama just sellele, kuidas inimesed sissetulevat infot tõlgendavad, sest ka netipanga avaleht on sõnum, mis meile saabub ja mida me muu hulgas tõlgendame, kui uurime aadressiribalt, kas tegemist õige veebiaadressiga ja turvalise ühendusega," selgitab ta.
Kanalist olenematu, tegutsema sundiv, meelitav või ähvardav
Selleks, et igaüks oskaks end manipulatsioonirünnete eest paremini kaitsta, soovitab Kristjan Kikerpill olenemata petuskeemi süžeest tähele panna teatud ühisjooni.
"Esimene samm ongi aru saada, et tegemist on kanalineutraalse asjaga," ütleb ta. See tähendab, et pole vahet, kas ründaja võtab ohvriga ühendust kirja teel, sõnumiga või helistab. Kirjanduse põhjal osutab doktorant, et inimesed võivad olla küll väga teadlikud ühest pettusetüübist, aga usaldada liigselt mõnd teist infokanalit. Samuti oleneb kanali valik suuresti ohvri harjumustest. "Näiteks nooremad inimesed väga paljud telefoniga enam ei räägi ja on rohkem kiirsõnumite peale üle läinud," osutab Kikerpill.
Teiseks tasub doktorandi sõnul tähele panna, kas kirja autor, sõnumisaatja või helistaja suunab ohvrit mingile konkreetsele tegevusele. "Ründesõnumid kõlavad üsna sarnaselt näiteks reklaamidega," märgib ta, kuid lisab, et erinevalt reklaamist nõuab ründaja väga kindlat tegevust. "Neid ei huvita üldised tegevused, nagu "tule meie poodi", vaid neile on oluline, et sa näiteks klõpsaksid just sellele lingile või avaksid manuse," võrdleb doktorant. Taolisi tegutsemisjuhiseid kohates võiks inimesel Kikerpilli sõnul juba esmane häirekell tööle minna.
"Kolmas samm ongi, et sellele tegevusele suunatakse sind kas heaga meelitades või halvaga hirmutades," jätkab ta. Näiteks ähvardatakse inimest, et kui ta pangatöötajana esineva isiku juhiste järgi ei tegutse või ründajale oma andmetele ligipääsu ei anna, jääb ta oma rahast ilma. "Too hetk peaks olema see, kus sa ütled mõttes "Stopp!" ja hakkad teist kanalit või allikat kasutades kontrollima, kas tõesti on nii: paned kõne ära ja helistad ise panka," soovitab doktorant.
Oma töös jõudis Kikerpill järelduseni, et kõige olulisem kilp rünnaku vastu on iga inimese teadmised. Sõnumi üle kellegagi arutlemine on juba samm edasi, kuid esmalt peab inimene suutma sõnumi sisu ise tõlgendada. "Kui sulle saabub e-kiri võltspangatöötajalt, siis kas sul on kõrval keegi, kes teab täpsemalt? Just selles esimeses sõnumi vastuvõtmise hetkes me oleme väga üksinda," tõdeb ta.
Nigeeria printsist koroonavaktsiinini
Põhjalikkuse poolest ringleb Kristjan Kikerpilli sõnul seinast seina manipulatsiooniründeid. "Nigeeria printsi näide on kõige algelisem, aga samas on ka need, kes teevad väga põhjalikku eeltööd oma konkreetse sihtmärgi suhtes," võrdleb ta.
Näide põhjalikust eeltööst on ärimeilide kompromiteering (Business Email Compromise ehk BEC), kus kelm võtab äripartnerite suhtluses üle ühe äripartneri konto või suhtluskanalid ja hakkab edasises suhtluses seda partnerit matkima. "Sisuliselt ta ootab, et tuleks mõni suur arve, kus ta asendab ära näiteks ainult ühe rea: pangakonto numbri," selgitab Kikerpill. Sellise kelmuse õnnestumine eeldab sageli, et ründajad on enne jälginud, mis kanalites ja millise keelekasutusega partnerid omavahel suhtlevad.
"Tasemeid on hästi erinevaid, aga kui räägime massitasemest, siis leidsin oma töös, et mängitakse enim inimeste üldistele vajadustele," kirjeldab doktorant. Sageli kasutatakse ära inimeste üksindust, armastuse puudust, tervist ja soovi raha teenida. "Kui sa ei tea, keda konkreetselt püüad, pead võrgu võimalikult laialt viskama," põhjendab Kikerpill. Tihtilugu satuvad inimeste kirjakasti sõnumid, kus on kirjas üksnes tervitus: taolisi sõnumeid saadetakse doktorandi sõnul, et kontrollida, kas e-posti aadress on üldse kasutuses.
Agaramad kelmid kasutavad ära ühiskonnas aktuaalseid uudiseid ja muresid. "Just elatud kogemus, mida me praegu tajume ja mis meid huvitab, mõjutab, kuidas me tõlgendame sissetulevat infot," põhjendab Kikerpill.
Nii püüti näiteks peale USA korvpallur Kobe Bryanti saatuslikku helikopteriõnnetust 2020. aasta algul meelitada inimesi linke klõpsama lubadusega näidata pardakaamera videot kuulsuse surmahetkest. "Samamoodi käisid pettused päris pandeemia alguses 2020. aasta kevadel. Kusagilt polnud maske saada, aga kurjategijatel tekkisid maagilised varud maskidest, mida sai alati müüa," meenutab doktorant. Ühtlasi pakuti petulugude esimesel kevadel juba koroonavaktsiine ja -ravimeid, mille arendustöö alles algas.
"Edaspidi ma tahaks rohkem tähelepanu pöörata just sellele, kuidas inimesi selliste hooajaliste rünnete eest hoiatada," sõnab Kikerpill. Kuna nüüd on avalikult teada, et Eestis makstakse välja II pensionisamba raha, on oodata sellest innustatud petukõnede tulva.
Olgu tegu siis petukõnede või tavaliste reklaamidega, soovitab doktorant kõigil inimestel harjutada endale sisse fookustatud küünilisus. Poereklaam võib näiteks lubada, et kõigi kaupade hind on –70 protsenti, kuid ainult järgmise 24 tunni jooksul. "See on klassikaline juhtum, kus mõlemad elemendid on olemas," selgitab Kikerpill. "Lubatakse head, sest et –70 protsenti on taevast alla kukkunud, aga hirmutatakse, et kui sa järgmise 24 tunni jooksul ei liiguta ennast, siis jääd kõigest ilma." Samad mõjutusvõtted on olemas ka petukirjades ja -kõnedes ning Kikerpilli sõnul tasub neid võtteid märgata.
Kristjan Kikerpill loodab kaitsmisele lubatud väitekirja "Crime-as-communication: detecting diagnostically useful information from the content and context of social engineering attacks" kaitsta 2022. aasta alguses.