Monthly Archives: November 2017

Kuidas internetist ostes raha, närve ja arvutit säästa?

Autor: CERT-EE

Allikas: https://astri.ee/orsay/must-reede-1510843316357/

Sel reedel tähistatakse juba 65. korda ostlemispüha must reede (Black Friday). 1952. aastast alates tähistab tänupühade (Thanksgiving) järgne reede Ameerika Ühendriikides jõuluhooaja algust ning selle puhul langetatakse paljudes poodides märkimisväärselt hindu. Veebipoodide levikuga lisandus suurele ostlemisreedele ka ostlemisesmaspäev, kuna paljud ettevõtjad said suure kasumi just tänupühadele järgnenud esmaspäeval. Alates 2005. aastast nimetataksegi tänupühadele järgnevat esmaspäeva küberesmaspäevaks (Cyber Monday).

Kui algselt olid musta reede allahindlused ainult füüsilistes poodides ning küberesmaspäeva allahindlused vaid veebipoodides, siis praegusel ajal kehtivad allahindlused mõlemal päeval nii füüsilistes- kui ka netipoodides. Lisaks on nii musta reede kui küberesmaspäeva traditsiooni üle võtnud paljud teised, eriti Ameerika Ühendriikidega tihedaid kaubandussuhteid omavad riigid.

Mustast reedest on saanud ka küberkurjategijate üks lemmikpäevi, sest allahindluse protsendile pööratakse rohkem tähelepanu kui veebipoe turvalisusele. Juhul kui Sa ei taha ebameeldivaid üllatusi nagu pahavaraga nakatunud arvuti või nutiseade ning tühjakstehtud krediitkaart või pangakonto (eeldusel, et see polnud Sina, kes ostlemisega liiale läks), loe allolevaid nõuandeid enne kui tooteid ostukorvi lisama ja makset kinnitama asud.

Soorita ost turvalises võrgus

Juhul kui Sa ei saa ostu sooritada turvaliselt oma parooliga kaitstud koduvõrgust, siis pea alati tasuta ja paroolita Wi-Fi võrkude puhul meeles ütlust, et “tasuta lõunaid ei ole olemas” ning toote või teenuse kasutamisel võib olla varjatud “hind”. Selles samas tasuta ja turvamata traadita võrgus võib parasjagu tegutseda pahasoovlik küberkurjategija, kes vastavalt soovile saab koguda kas Su isikuandmeid, sisselogimisandmeid, makseinfot, kasutusharjumusi või ka neid kõiki korraga. Aga kui muud varianti kui avatud Wi-Fi võrk parasjagu ei ole? Võimalik on kasutada virtuaalset privaatvõrku ehk VPN-teenust. VPN on võrk, mis võimaldab Sinu võrgu andmeid edastada turvaliselt läbi teise võrgu. Lisaks asutuse poolt kasutatavatele VPN-võrkudele on saadaval sadu VPN-teenuse pakkujaid, kelle hulgast saab iga soovija valida endale meelepärase variandi.

Allikas: https://www.mailguard.com.au/blog/account-verification-hoax-email-phishing-scams-targeting-paypal-customers

Kas see veebileht on ametlik koduleht/veebipood ja turvaline?

Enne ühegi veebilehe külastamist jäta meelde kuldne reegel – kui tegemist on Su kirjakasti juhuslikult sattunud ulmelisi allahindlusi pakkuva kirjaga tundmatult veebipoelt või kirjaga stiilis “meie pakkumised leiate manusest!”, on ainuõige tegevus vajutada nuppu “Kustuta”!

Võltslehtede loomisel pööratakse kõige enam rõhku visuaalsele äratundmisele – et lehel olev sisu tekitaks kasutajas äratundmise just tänu näilisele sarnasusele päris kaubamärgiga. Kontrolli alati, kas veebiaadress, millel oled, on täht-tähelt seesama, mis peaks olema. Juhul kui Sa siiski pole selles veel kindel, võid teha teises aknas lahti Google’i otsingu ning sisestada sinna soovitud kaubamärgi või teenusepakkuja nime ning pidada meeles, et otsingumootorites kuvatakse eespool just tegeliku kaubamärgi ametlik koduleht.

Samuti tasub alati veenduda, et veebilehe ja Sinu arvuti vaheline liiklus oleks kaitstud HTTPSiga. Selle tähiseks on roheline ikoon “Secure” aadressiribal (Google Chrome) või roheline tabalukk (Mozilla Firefox, Internet Explorer) ning aadressiribal olev URL on algusega “https://”. Parimal juhul kuvatakse seal ka kaubamärgi registreeritud ärinimi. Tänapäeval tekib järjest rohkem võltslehti, kus on samuti kasutusele võetud HTTPS-ühendus, aga URL ei klapi.

PayPal makseteenuse ametlik koduleht

Selleks, et inimeste isikuandmeid ja/või makseinfot kalastada või klikke koguda (et saada oma lehele võimalikult palju külastajaid ning see hiljem edasi müüa), luuaks päris lehtedega sarnanevad võltslehed. Kasutatakse tuntud toodete nimesid või muudetakse neid natuke, vahetades näiteks ära kas üks või kaks tähte või lihtsalt sõnade järjekorra. Näiteks “MihcaelKors” või “KorsMichael”.

Samuti tuleb kontrollida veebilehe tippdomeeni. Juhul kui tegemist on rahvusvahelise kaubamärgi ametliku kodulehega, on üldjuhtudel tegemist .com (commercial) tippdomeeniga või asukohariigi tippdomeeniga, näiteks .ee. Siiski peaks suhtuma skeptiliselt hiinakeelsesse lehesisusse, kui kasutajale presenteeritakse seda kui .ee lõpuga kohalikku poodi. Kindlasti ei tohiks piirduda turvalisuse üle otsustamisel ainult veebilehe visuaalse vaatlusega. Selleks, et saada kätte enda jaoks huvipakkuv info, on küberkurjategijad nõus üsna palju vaeva nägema. Lisakahtlusega peaks suhtuma kindlasti veebilehtedesse, mis nõuavad Sinult liigset lisainformatsiooni. Näiteks vahel kuvatakse kasutajale teksti stiilis “(Püsi)kliendi kogemuse parandamise huvides…” ning tahetakse teada ka sellist infot, mis pole ostuks vajalik info nagu makseinfo, kohaletoimetamise ja maksja aadress ja nimi. Võimalusel tuleks alati kasutada “külalisena” ostmist, mis tähendab, et Sa ei loo omale online-kliendikontot.

Kasuta tootja ametlikku mobiilirakendust!

Tänapäeval tehakse palju oste telefonis. Veendu kindlasti, et kasutad telefonis ostu sooritades veebipoe ametlikku rakendust. Rakendust telefoni paigaldades kuvavad nii Google Play pood, Apple’i App store kui Microsofti pood suurelt kirjas oleva rakenduse nime all ka rakenduse arendaja/omaniku nime.

Ekraanipildid Amazoni rakendusest. Vasakult: App store, Google Play pood, Microsofti pood.

Rakendus tuleks telefoni tõmmata kindlasti üksnes ametlikust rakenduste poest või ettevõtte enda kodulehelt. Paljud suurettevõtted kuvavad mobiilses veebilehitsejas kodulehte külastavale kasutajale ka teavitust, et veel mugavamaks kasutamiseks on võimalik kasutada ka mobiilirakendust. Lisaks tuleks ka maksmiseks kasutada kindlasti panga enda loodud mobiilirakendust ja Smart-ID rakendust või mobiil-ID-d.

Maksa turvaliselt!

Arvutis makse sooritamisel on kõige olulisem jälgida, kas keskkonna makseosa kasutab ikka kindlasti HTTPSi. Juhul kui tegemist on välismaise veebipoega, tuleb enne hoolega mõelda, millist makseviisi oma finantsturvalisuse huvides kasutada. Üks turvalisemaid meetodeid on maksta läbi turvalise keskkonna nagu PayPal, kus aga tuleb kontot luues kindlasti aktiveerida kahetasemeline autentimine.

Makstes krediitkaardiga on turvaliseks ostlemiseks võimalik kasutada näiteks lühikese kehtivusajaga (nt 40 päeva) pangakontoga seotud virtuaalset krediitkaarti. Kuna Eestis pööratakse küberturvalisusele tihti rohkem rõhku kui mujal maailmas, siis Eestis väljastatavad krediitkaardid on juba liidetud “Turvaliste e-ostude” programmiga. Samuti on kauba mitte kohale jõudmise korral võimalik panga poole pöördudes ka makse tagasi kutsuda.

Erinevalt Eesti netipoodidest, kus pangalingiga maksmine on tavapärane, peaks ettevaatlikult suhtuma välismaistesse vähetuntud/tundmatutesse veebipoodidesse, mis krediitkaardiga maksmise võimalust ei paku ning aktsepteerivad vaid pangaülekannet. Juhul kui kasutasid ostu sooritamiseks füüsiliselt olemasolevat krediitkaarti virutaalkaardi asemel, jälgi tulevate kuude jooksul krediitkaardi tehinguid. Isegi kui kasutaja kaarti kasutatakse väikeste summade maksmiseks, mida kasutaja üldse tähelegi ei pruugi panna, näiteks Xboxi või Playstationi 5-eurone kinkekaart või 5€ Skype krediiti, koguneb ka sealt lõpuks märkimisväärne summa. Või siis oodatakse kuni kasutaja valvsus kaob ning ühel hetkel tehakse kaart korraga tühjaks. Juhul kui avastad, et Su krediitkaarti on Sinu teadmata ostudeks kasutatud, pöördu kohe oma panga poole!

Kõik pole kuld, mis seinal hiilgab

Sotsiaalvõrgustikes ja internetilehtedes võib tihti näha erinevaid reklaambännereid ja viiteid, mis suunavad tuntud kaubamärkide lehtedele (kus võib vahel kohata ka kirjavigu). Seal võib omakorda kohata fantastilisi pakkumisi, mis lubavad lausa mitmesajaprotsendilisi allahindluseid. Näiteks võid väidetavalt soetada mitmetuhande eurose kohvimasina vaid 130€ eest või pool miljonit eurot maksva teemantidest aluspesukomplekti vaid paari tuhande euro eest.

Ülisoodsa kohvimasina sooduspakkumine krediitkaardiinfot varastavalt lehelt

Selliseid lehti külastades võid sattuda veebilehele, mis ei ole turvaline ning kuhu oma andmeid sisestades võid kaasa aidata klikisöödale või muule pahatahtlikule eesmärgile. Kui tegemist on ettevõtte ametliku lehega sotsiaalmeedias, on nime juures sinine kontrollmärk.

Kuvatõmmis ametlikust Amazoni lehest Facebookis

Kontrollmärgis lehel tähendab, et ettevõte on ennast keskkonnas autentinud ning ettevõte on sotsiaalmeediakeskkonna poolt tuvastatud.

Lisalugemist leiab taaskord RIA blogiartiklist “Kõik pole kuld, mis seinal hiilgab”.

Turvalist netiostlemist!

Krüptorahad ja virtuaalne kaevandamine

Allikas: Wikimedia Commons

Autor: CERT-EE

2017. aasta alguses tuli ilmsiks, et Pärnu haiglas kaevandati kahe aasta vältel krüptoraha. Suurimateks kahjudeks peeti haiglale tekitatud suurt elektriarvet ning töötajate ebaeetilisust. Tihti mõeldakse krüptorahast kuuldes eelkõige Bitcoinile, kuid lisaks on kasutusel ka teisi krüptovaluutasid. Neist suurima kasutajate arvuga on Ethereum, Monero, Ripple ja Litecoin, lisaks on kasutusel üle 700 väiksema kasutajate arvuga krüptovaluutat.

Sisukord:

Mis on krüptoraha ja mille poolest see erineb tavalisest rahast?

Traditsioonilise raha puhul räägime kõigepealt füüsilisest rahast ehk sularahast, milleks võis ajalooliselt lisaks (vääris)metallidele ja hiljem võlakirjadele olla veel näiteks merevaik, margid ja ka pesupulber, millele on antud ühiskonna poolt teatav väärtus. Alates pankade internetti kolimisest on tänapäeval muutunud tavaliseks plastikkaardi kui peamise maksevahendi olemasolu rahakotis ning mõningatel harvematel juhtudel leiab sealt veel ka sularaha. Siiski on see väike plastikkaart seotud Sinu konkreetse panga ja seal avatud kontoga. Krüptoraha on digitaalne valuuta, mis pakub võimalust teha partnerite vahel kiireid, turvalisi ja madalate kuludega makseid ilma panga vahenduse või keskse protsessorita. Tehingud digiallkirjastatakse unikaalsete privaatvõtmetega kasutajate digitaalsete rahakottide vahel, mis tõestavad et tehingu on teinud rahakoti omanik.

Krüptorahad kasutavad turvaliste tehingute teostamiseks krüptograafiat oma infrastruktuuri raames, mis omakorda kujutab endast jagatud online-andmebaasi ehk „plokiahelat”. Plokiahel on andmebaasitehnoloogia, mis erinevalt tavapärastest tsentraalsetest andmebaasidest on jagatud ehk ta on samaaegselt ja sünkroonselt mitmes kohas korraga. Andmebaasi eesmärk on pidada arvestust kõikide seal kunagi tehtud tehingute üle. Teatav tehingute arv moodustab andmebaasi üksuse, mida nimetatakse plokiks. Igasse plokki on salvestatud ka eelmise ploki informatsioon ning iga tehing sisaldab infot ka eelnevalt tehtud tehingute kohta, tagades sel viisil täieliku läbipaistvuse. Näiteks lõi Bitcoini plokiahela infrastruktuur finantsandmete salvestamiseks meetodi, mis on kõikidele kättesaadav, ja ühiselt välja aretatud avatud lähtekoodi, kuulumata ühelegi eraisikule või ettevõttele. Selle asemel säilitatakse plokiahelat miljonite arvutite ühisjõul, mis tõendavad tehinguid ja lisavad neid „plokkidele”. Kuna miljonite arvutite poolt tõendatud tehinguid ei ole võimalik kustutada, tagasi kutsuda ega muuta, on iga tehtud makse vaidlustamatu.

Meelde võib jätta, et absoluutselt kõik Bitcoini tehingud on avalikud ja jälgitavad. Siiski on ainus teave tehingute kohta rahakoti aadress, mille järgi saab teada maksja ja kasusaaja rahakotiaadressid, mis luuakse privaatselt igale kasutajale. Juhul kui kasutajad tahavad krüptorahas makstes tellida päriselt olemas olevaid füüsilisi tooteid, peavad nad siiski oma identiteedi avalikustama. Kui ostad internetist omale arvuti ja tahad seda kindlasti ka kätte saada, pead Sa enda kohta ka mingid andmed maha jätma isegi pakiautomaati tellides. Bitcoini võrgustik on partnerilt partnerile suunatud võrgustik ja kasutaja IP-aadresse on võimalik välja uurida, isegi kui selleks kulub rohkem aega kui pangakonto omanike väljauurimiseks.

Allikas: Wikimedia Commons

Kuidas saab üldse mittefüüsilist raha kaevandada?

Kuidas ja miks on krüptoraha kaevandamine halb ja/või pahatahtlik tegevus?

Süsteem genereerib uusi Bitcoine automaatselt ja reguleerib ise selle protsessi kiirust. Uue ploki loomisel plokiahelas tasustatakse kaevandajaid automaatselt 12,5 Bitcoiniga. Tasu väheneb 2 korda pärast iga 210 000 ploki kaevandamist. Kaevandamine kulutab võrgustiku hooldamiseks vajalikku elektrit ja arvutivõimsust. Kuidas saada teistest kiiremini ja rohkem Bitcoine? Loomulikult kõikidele kehtivatest reeglitest mööda minnes. Selleks, et rohkem Bitcoine teenida, on vaja ise natuke rohkem vaeva näha ja soetada kaevandamiseks võimsam riistvara ning maksta suurem summa igakuise elektri eest. Kuna tavainimeste jaoks pole suur elektriarve just see, mida igal kuul näha tahaks, isegi seda raha tagasi teenides, tuleb leida alternatiive. Üks neist alternatiividest võibki olla kaevandamiseks mõeldud seadmete ülesseadmine kas tööandja või mõne vähemturvatud asutuse ruumidesse, kus suur elektriarve pole midagi ebatavalist. Kuigi rohkem pööratakse tähelepanu elektriarve maksumusele, unustatakse tihti ära suure elektritarbimisega kaasnev kahju keskkonnale. Väikeses Eestis on see kahju raskemini hoomatav kui näiteks üle miljardi elanikuga Hiinas, kus massiline krüptoraha kaevandamine toob kaasa ka massiivse kahju keskkonnale suuremahulise elektritarbimise näol.

Allikas: Wikimedia Commons. https://commons.wikimedia.org/wiki/File:Earth%27s_City_Lights_by_DMSP,_1994-1995_(large).jpg

Kõik kolivad internetti!

Krüptoraha kaevandamiseks saab loomulikult soetada omale spetsiaalsed suurema arvutusvõimsusega seadmed ning maksta igakuiselt suuremat elektriarvet. Aga on ka muid variante, mis nii suuri väljaminekuid kaasa ei too. Näiteks võib teenida kellegi teise arvutite pealt, kui nemad internetis toimetavad ja meie veebilehte külastavad. Veebilehtede külastamine on kasutajate jaoks enamasti tasuta, välja arvatud loomulikult tasulised veebiteenused nagu näiteks Netflix.

Tavakasutaja tunneb rõõmu alati, kui ta saab mõnelt veebilehelt mõne lisaväärtuse, olgu selleks siis tasuliste teenuste tasuta kasutamine või kasvõi teatud aja kestev tasuta prooviperiood. Küll aga tuleks meeles pidada seda, et on palju internetilehti ja internetis tegutsevaid ärisid, kelle sissetulek sõltubki kas lehe külastajate arvust, veebilehe kaudu pakutavatest teenustest või edasimüüdavast reklaamist. Samuti ei tohi ära unustada, et samamoodi nagu päriseluski ei ole kõik inimesed internetis toredad ja head. Tihti nähakse just internetis võimalust kiiresti teiste arvelt raha teenida, olgu selleks siis pahavara levitamine või finantsinfo vargus. Küll aga on internetis raskem pahasoovlikke inimesi tuvastada, sest puudub otsene füüsiline ja visuaalne kontakt.

Allikas: Peter Steiner’s cartoon, The New Yorker, 5/7/1993

Enda teadmata kaevandajaks

Viimasel ajal on tõusev trend, et nii internetis tegutsevad firmad kui ka eraisikud kasutavad veebilehe külastajate arvuteid krüptoraha kaevandamiseks. Üks populaarsemaid on näiteks Monero krüptoraha. Kaevandamine toimub jätkuvalt tavapärasel viisil, ainult et selleks kasutatakse kellegi teise seadet pärast seda, kui külastaja krüptoraha kaevandavale veebilehele satub. Enamasti toimub kaevandamine veebilehitsejas lehele lisatud JavaScripti koodi käivitades. Seda tehakse ilma kasutaja teadmata ja üldjoontes on tegemist n-ö pimeda allalaadimisega (ingl. k drive by download). Veebilehe omaniku (või ülevõtja) jaoks on oluline tulu iga kasutaja arvelt maksimeerida. Seetõttu on tihti sihtmärkideks just lehed, kus inimesed kauem aega veedavad: mängivad näiteks online-mänge, vaatavad videoid või loevad uudiseid. Kasutaja jaoks ei ole tihti muud erinevust kui see, et arvuti muutub iga minutiga väljakannatamatult aeglasemaks.

Lähiminevikust saab näitena tuua meedias palju kajastatud juhtumi, kus populaarne torrentileht The Pirate Bay kasutas oma külastajate arvuteid Monero krüptoraha kaevandamiseks. The Pirate Bay väitis, et nad ei teinud seda kasutajate arvutite kahjustamiseks, vaid soovist lehe kasutamise pealt raha teenida. Reklaamipakkujad nimelt ei soovi torrentilehel oma teenuseid reklaamida ega ennast torrentilehtedega seostada.

Krüptoraha kaevandamine veebilehitseja kaudu

Tehnoloogia ja meetodite arenedes luuakse kaevandamiseks ka rohkem uusi lahendusi, nagu näiteks spetsiaalne, suurema võimsusega riistvara Bitcoinide kaevandamiseks. Praeguseks on loodud ka mitmeid süsteeme krüptoraha kaevandamiseks veebilehitseja kaudu. Neist esimene oli project Coinhive, millele järgnesid näiteks MineMyTraffic ja CryptoLoot. Lisaks on tehtud elu palju lihtsamaks nende kasutajate jaoks, kes soovivad oma tasuta sisuhaldustarkvarale kerge vaevaga kevandamislahendust paigaldada. Näiteks sisuhaldustarkvarale WordPress on loodud laiendus Bitcoin Plus Miner.

Projekt Coinhive, mis oli oma valdkonna esimene “teenusepakkuja”, lubab veebilehtede omanikel vähese vaevaga üles seada krüptoraha kaevandamine JavaScripti rakendusliidese (API) abil. Kui sellise veebilehe külastaja lubab veebilehitsejas JavaScripti kasutada, siis aktiveerib ta sellega kaevuri ja kaevandab veebilehe omanikule Monero krüptoraha. Veebilehe omanik omakorda pakub külastajatele reklaamivaba sisu, mängudes kasutatavat valuutat või mõnda muud kasutajat paeluvat tasuta või mugavat hüve. Coinhive’i kaudu kaevandamist pakutakse veebilehtedele ka alternatiivina reklaamipõhise tulu tootmisele. Lisaks pakub Coinhive ka lisateenuseid Proof of Work Captcha ja Shortlinks. Mõlema teenuse kasutamiseks peavad kasutajad lahendama mingi hulga veebilehe omaniku poolt muudetavaid räsisid (digitaalseid sõrmejälgi) selleks, et saaksid oma sõnumit edastada. Kui paljud kasutajad samaaegselt räsisid lahendavad, toodab see veebilehe omanikule taas kasumit.

Coinhive on väljastanud ka turvalisema viisi Monero krüptoraha kaevandamiseks – AuthedMine, mille olulisim erinevus on see, et enne krüptoraha kaevandamise alustamist küsitakse kasutajalt selleks luba. AuthendMine veebilehel on kirjas, et kaevandamine ei alga enne kui kasutaja loa annab. Samuti on võetud kasutusele vastumeetmed AuthedMine teenuse kasutuspõhimõtete rikkumise vastu, mis ei luba teenuse kasutustingimustest mööda minna ega teenust kasutaja loata aktiveerida. Lisaks on maksimaalseks kaevandamissessiooni pikkuseks 24 tundi.

Ajaloolisi traditsioone jätkates on uute teenuste ja tehnoloogiate kasutusele tulles hakanud neid ära kasutama ka kurjategijad ning Coinhive’is nähakse kiiret tulu saamise meetodit. Näiteks paigaldati Coinhive’i krüptorahakaevur Chrome’i laienduse SafeBrowse sisse, mille kaudu käivitati veebilehitseja avamisel kood ning krüptoraha kaevandati terve Chrome’i lahtioleku vältel. Seejärel hakati Coinhive’i peitma domeenidesse, mis nime poolest sarnanesid populaarsete domeenidega, näiteks twitter.com.com, kuhu paigaldati Coinhive’i JavaScripti teek. Leitud on ka aegunud sisuhaldustarkvara (WordPress ja Magento) ja nõrka paroolipoliitikat kasutavaid veebilehti, mille koodi olid küberkurjategijad paigaldanud Coinhive’i JavaScripti. Samuti tuvastati mitmeid Google Play poest allalaetavaid rakendusi, mis kasutaja seadmes krüptoraha kaevandasid. Paljud neist olid loodud sellisteks, mida inimesed tihti kasutavad või mis alati sees on, näiteks rakendus, mis seadmes taustapilte vahetab.

Kuidas ennast kaitsta?

Õnneks on alates digiajastu algusest arendatud ka vahendeid enda digitaalse elu ja seadmete kaitseks. Mitmed reklaamiblokeerijad on väljastanud uuendused, mis Coinhive’i teadaolevat JavaScripti blokeerivad, näiteks AdBlock Plus ja AdGuard. Arendatud on laiendid (plugins) – näiteks AntiMiner, No Coin ja minerBlock, mis veebilehitsejat põhjalikult uurivad ning lõpetavad kõik tegevused, mis meenutavad Coinhive’i tegevust. Lisaks on alati võimalus keelata JavaScript lehtedel, mille turvalisuses Sa veendunud ei ole.

Huvitatud leiavad lisalugemist allolevatelt lehtedelt: