Category Archives: küberturvalisus

Ülevaade olulistest turvanõrkustest ajavahemikul 12.-19. september 2022

RIA analüüsi- ja ennetusosakond võttis kokku viimase nädala olulisemad turvanõrkusesed ning lisas iga nõrkuse juurde tähelepanekud ja soovitused.

Apple paikas mitu turvanõrkust, sealhulgas erinevaid seadmeid mõjutava nullpäeva turvanõrkuse

Apple teatas hiljuti mitmest turvanõrkusest enda toodetes, mille likvideerimiseks väljastas 12. septembril uued tarkvarade versioonid. Eriti paistab silma turvanõrkus nimetusega CVE-2022-32917, mis mõjutab nii iPhone´i, iPadi  kui ka macOSi kasutavaid seadmeid ning väidetavalt on Apple’ile teada, et seda turvanõrkust võidi üritada aktiivselt ära kasutada. (Apple, RIA).

CVE-2022-32917-nimelise turvanõrkuse abil on ründajal võimalik teoreetiliselt pääseda kasutaja seadmesse ja seal siis pahandust korda saata – näiteks on ründajal võimalik potentsiaalselt kasutada seadme kaamerat, sisse lülitada seadme mikrofon, teha kuvatõmmiseid jms.

Kes ja mida peaks tegema?

Apple pakub iPhone’idele kahte versiooni, kus turvanõrkus on parandatud: iOS 16 ja iOS 15.7.

iPadide puhul tuleks rakendada iPadOS 15.7 ning macOSi kasutavate seadmete puhul on see paigatud nii versioonis macOS Big Sur 11.7 kui ka macOS Monterey 12.6. Kui sinu Apple’i telefon, tahvelarvuti või arvuti on andnud märku nende versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!

Kirjeldatud nõrkuse parandamiseks on uuendused iOS 15.7 või iPadOS 15.7 kättesaadavad järgmistele mudelitele:

iPhone 6s ja uuemad;
iPad Pro (kõik mudelid):
iPad Air 2 ja uuemad;
iPad viies generatsioon ja uuem;
iPad mini 4 ja uuem;
iPod touch (seitsmes generatsioon)

iOS 16 saab rakendada järgmistele mudelitele:
iPhone 8 või uuem

Microsoft paikas septembri uuendustega 63 turvanõrkust

Microsoft paikas septembri uuendustega enda toodetes 63 haavatavust, sealhulgas aktiivselt ära kasutatud Windowsi nullpäeva turvanõrkuse ning viis kriitilist haavatavasust, mis võimaldavad koodi kaugkäivitust. Tutvu Microsofti ametlike juhistega siin ja vajadusel paika tarkvara.

Turvanõrkused mõjutavad järgmisi tooteid:

Microsoft Windowsi
Azure
Azure Arc
.NET-I
Visual Studio
Microsoft Edge (Chromium)
Office
Windows Defender

Aktiivselt ärakasutatud nullpäeva turvanõrkus CVE-2022-37969 mõjutab Windowsi operatsioonisüsteemi Log File System Driver komponenti. Eduka ärakasutamise korral on võimalik ründajatel omandada haavatavas süsteemis kõrgendatud tasemel (SYSTEM) õigused. Turvanõrkuse ärakasutamiseks peab neil olema sihtmärgiks valitud süsteemi siiski juba ligipääs ja samuti võimalus käivitada seal koodi.

Lisaks eelnevale haavatavusele juhitakse veel tähelepanu viiele kriitilisele turvanõrkusele, mille abil on võimalik ründajatel teostada mõjutatud süsteemis koodi kaugkäivitust. Esimest neist kutsustakse nimetusega CVE-2022-34718 (9.8/10.0) ja see mõjutab nii Windows Serveri kui ka Windowsi OSi erinevaid versioone. Turvanõrkus võimaldab ründajale koodi kaugkäivitust juhul, kui ta saadab spetsiaalse IPv6 paketi haavatava süsteemi suunas, millel on IPSec lubatud. Süsteemid, millel on IPv6 keelatud, ei ole haavatavad. Microsoft hindab turvanõrkuse ärakasutamise katsete tõenäosust pigem võimalikuks.

Samuti on koodi kaugkäivitamisega seotud turvanõrkused CVE-2022-34721 (9.8/10.0) ja CVE-2022-34722 (9.8/10.0). Haavatavused peituvad Windows Internet Key Exchange protokollis ja neid on võimalik ründajal ära kasutada, kui ta saadab mõjutatud süsteemide suunas spetsiaalse IP paketi. Microsoft hindab nende turvanõrkuste ärakasutamise katsete tõenäosust pigem tagasihoidlikumaks.

Viimased kaks kriitilist turvanõrkust CVE-2022-35805 (8.8/10.0) ja CVE-2022-34700 (8.8/10.0) mõjutavad lokaalseidMicrosoft Dynamics 365 installatsioone. Antud turvanõrkuste abiga on audentitud kasutajatel võimalik käivitada SQL-käske. Nad võivad ka üritada enda õigusi suurendada ja käivitada suvalisi SQL-käske andmebaasi omaniku õigustes.

Kuidas edasi käituda?

Lisaks siin põhjalikumalt välja toodud turvanõrkustele paikas Microsoft veel teisigi haavatavusi enda erinevates toodetes. Soovitame tutvuda Microsofti ametlike juhistega siin ja rakendada vajadusel vajalikud turvapaigad mõjutatud tarkvaradele.

Adobe parandas mitu turvanõrkust enda erinevates toodetes

Adobe parandas 63 turvanõrkust, mõjutatud on nii Windowsi kui Maci arvutite jaoks mõeldud tarkvarad nagu Adobe Bridge, InDesign, Photoshop, InCopy, Animage ja Illustrator (SW).

Adobe Bridge: Parandati nii kriitilisi (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid. Eduka ärakasutamise korral on nende abil võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak).

Adobe InDesign: Tarkvara uuendatud versioon parandas mitmeid kriitilise (7.8/10.0; 7.5/10.0) või olulise (5.5/10.0) tasemega haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi, lugeda failisüsteemi ja on oht mälulekkele (memory leak).

Adobe Photoshop: Tarkvara uuendatud versioon parandas mitmeid kriitilisi (7.8/10.0) või olulise tasemega (5.5/10.0) haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi ja on oht mälulekkele (memory leak). Mõjutatud tarkvarade seas on Photoshop 2021 ja 2022 versioonid Windowsile ning macOSile.

Adobe InCopy: Turvanõrkuste eduka ärakasutamise korral on võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak). Tootja parandas nii kriitilise (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid.

Adobe Animate: Parandati kaks kriitilist turvanõrkust (7.8/10.0), mille abil on võimalik ründajal käivitada kasutajana suvalist koodi.

Adobe Illustrator: Väljastati turvapaigad ühele kriitilisele (7.8/10.0) ja kahele olulise (5.5/10.0) tasemega turvanõrkusele, mille eduka ärakasutamise korral on võimalik ründajal käivitada süsteemis suvalist koodi või on oht mälulekkele (memory leak).

Tootjal puudub info selle kohta, et nende turvanõrkuste ärakasutamiseks oleks õnnestunud luua rakendatavat pahaloomulist programmi.

Kuidas edasi käituda?

Kui kasutate mõjutatud tooteid, soovitame tutvuda ametlike juhistega tootja kodulehel (millele on ka siin erinevate toodete puhul viidatud) ja uuendada mõjutatud tarkvara kõige uuemale versioonile.

Kriitiline WordPressi turvanõrkus ohustab maailmas ligi 300 000 veebilehekülge

Nullpäeva turvanõrkus tähistusega CVE-2022-3180 (9.8/10.0) ohustab WordPressi lehti, mis kasutavad WPGateway-nimelist laiendust. Turvanõrkuse abiga on võimalik autentimata ründajal lisada lehele uusi administraatori õigustega kasutajaid. Loodud kasutaja/kasutajate abil on ründajal võimalik leht täiesti üle võtta ja lisada lehele näiteks pahavara. (WF, HN).

NB! Mõned seni avaldatud näpunäited, kuidas ära tunda, et leht on selle turvanõrkuse abiga kompromiteeritud või lehte on üritatud sellega rünnata:

  1. Kui lisatud on pahaloomuline administraatori õigustega kasutaja nimega rangex, on teie leht suure tõenäosusega kompromiteeritud.
  2. Kui leiate lehe access logist järgneva päringu //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 tähendab see, et teie lehte on üritatud rünnata, kuid see ei viita ilmtingimata sellele, et see on ka õnnestunud.

Kuidas edasi käituda?

Kui kasutate WordPressi lehel WPGateway-nimelist laiendust, soovitame selle seniks eemaldada, kuni turvapaik on avaldatud ning siis see pärast avaldamist rakendada. Kui arvate, et teie leht on kompromiteeritud, teavitage sellest CERT-EE-d meiliaadressile cert@cert.ee.

Ülevaade Follina turvanõrkusest Windowsi operatsioonisüsteemis

Nimetus: CVE-2022-30190 või Follina
Rahvusvaheline turvanõrkuse riskiskoor: 7.8/10

Taust
20.06.2022

Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest. Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat.  Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi[1].

Mõju maailmas ning Eestis

Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused[2] ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada[3][4]. Ründekatseid on märganud näiteks ka Ukraina CERT[5][6]. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara[7], mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus

CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhime tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14.06.2022 mõjutatud süsteemidele ametliku turvapaiga[8]. Tuletame kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.

Turvanõrkuse kirjeldus ning kuidas seda ära kasutatakse

Algsete näidiste puhul üritati esmalt alla laadida välisest veebiserverist HTMLi fail. Viide sellele failile asus document.xml.rels nimelises failis, mis kirjeldab manusobjektide (embedded objects)kasutamist dokumendis. Manusobjekte kasutab Office’i tarkvara näiteks Exceli tabelite lisamisel Wordi dokumenti[9]

HTMLi faili sisu käivitati omakorda MSDT protokolli URI skeemiga. MSDT protokolli[10] kasutatakse Windowsi operatsioonisüsteemis veateadete edastamiseks Microsofti kasutajatukke. Paraku õnnestub sellega käivitada ka ohvri seadmes pahaloomulisi Powershelli käske.

Mai lõpus avastatud näidise puhul tuvastati, et HTMLi faili oli lisatud rida väljakommenteeritud A tähti[11]. See tundus uurijatele veider, sest kommentaarid ühtegi protsessi ei käivita. Hiljem selgus, et pahavara käivitamiseks olid need tähed siiski hädavajalikud. Nimelt pidi HTML fail olema vähemalt 4096 baiti suur, et Microsofti HTMLi moodul seda töötleks. Kuna pahaloomulised koodiread moodustasid kokku alla 4096 baidi, oli koodi lisaks sisse kirjutatud kommentaaridena ka just needsamad A tähed. Seetõttu sarnaneb Follina turvanõrkus omapäralt haavatavusele CVE-2021-40444, millest on täpsemalt kirjutatud siin.

Viimastel aastatel on palju räägitud makrodest, mida pahaloomulised Microsoft Office’i failid kasutavad pahavara käivitamiseks. Microsoft teatas sel aastal, et blokeerib vaikimisi makrode kasutamise Office’i failide puhul, mis pärinevad internetist [12]. Paraku ei kasuta Follina turvanõrkust kuritarvitav pahavara makrosid, seega ei ole Microsofti kaitsemeetmest siin kasu. Selleks, et pahavara käivituks, peab ohver pahaloomulise Wordi dokumendi avama ja lubama selle redigeerimise.

Ründajal on võimalik pahavara ohvri seadmes käivitada ka selliselt, et ohver ei avagi pahaloomulist dokumenti. Selle jaoks kasutatakse RTF vormingus faili. RTF ehk Rich Text Format on Microsofti loodud vorming, mida suudavad avada paljud erinevad rakendused. Seega kasutatakse seda peamiselt tekstide redigeerimiseks erinevate tekstitöötlustarkvarade vahel. Pahalastel õnnestub RTF faile kuritarvitada aga nii, et pahavara käivitamiseks ei ole ilmtingimata vajalik pahaloomulise dokumendi avamine. Kui kasutajal on Windowsi operatsioonisüsteemis eelvaatepaan (preview pane) lubatud, parsitakse pahaloomulise dokumendi sisu automaatselt ja tema süsteem ongi halvimal juhul kompromiteeritud.

Ühe võimaliku ründe iseloomustus:

  1. Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
  2. Kasutaja laeb selle alla enda lokaalsesse süsteemi.
  3. Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud:
    A) Ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (vt Pilt1, Pilt2).
    B) Ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)[13].

Pilt 1. Pahaloomuline Wordi dokument avaneb kaitstud vaates. Redigeerimise lubamisel käivitatakse pahavara.

Pilt 2. Pärast redigeerimise lubamist kuvatakse testkeskkonnas teade, et kasutaja süsteem on kompromiteeritud.

Kõik oleneb muidugi ka süsteemile rakendatud kaitsemeetmetest – kas viirusetõrjetarkvaral õnnestub pahaloomuline fail kahjutuks teha, kas süsteemiga seotud tulemüür suudab ohtu tõrjuda jne. Testimise käigus tuli meil näiteks Windows 10 operatsioonisüsteemi viirusetõrjetarkvara välja lülitada, kuna pahaloomulise koodi käivitamine ei olnud muul viisil võimalik. See aga ei tähenda, et viirusetõrjetarkvara suudab igal korral ohte tõrjuda – ründajad on leidlikud ja leiutavad pidevalt uusi versioone pahavaradest, et viirusetõrjetarkvarad neid ei tuvastaks.

Soovitused

  1. Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele[14]. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
  2. Kui teie organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
  3. Microsoft on avalikustanud alternatiivse vastumeetme[15], millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
  4. Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega. 

Kuidas sai turvanõrkus endale Follina nime?

Rahvusvahelises kogukonnas tuntakse nõrkust ka nimega „Follina“. Sellise nimetuse andis haavatavusele üks esimesi turvanõrkuse analüüsijaid. Ta märkas, et pahaloomulise Wordi dokumendi nimetuses olid numbrid 0438. Kuna seda numbrikombinatsiooni kasutab suunakoodina Follina-nimeline piirkond Itaalias, andiski ta turvanõrkusele just taolise nime[16]. Sel hetkel puudus turvanõrkusel CVE tähis, seega kinnistus selline nimetus mitteametlikult paljude uurijate ja teemast huvitunute seas.

Joonealused viited


[1] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[2] https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/

[3] https://threatpost.com/follina-exploited-by-state-sponsored-hackers/179890/

[4] https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/

[5] https://cert.gov.ua/article/40559

[6] https://cert.gov.ua/article/160530

[7] https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/

[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[9] https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/

[10] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

[11] https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[12] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked

[13] https://isc.sans.edu/forums/diary/Quickie+Follina+RTF+Explorer+Preview+Pane/28734/

[14] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[15] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[16] https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

RIA analüüsi- ja ennetusosakond ning CERT-EE

Mida pahaloomuliste e-kirjade puhul tähele panna ja kuidas käituda?

Taust

09. juuni 2022

Mida pahaloomuliste e-kirjade puhul tähele panna ja kuidas käituda?

Meiliteenuse kui ründevektori ärakasutamine on ründajate seas juba pikka aega väga populaarne. Populaarsuse taga peituvad mitmed asjaolud – väga madal kulu ründajale, meetodi lihtsus ja paraku ka piisavalt suur ohvriks langenute arv. Piisab vaid ühest veenvast e-kirjast, mis palub minna andmeid õngitsevale lehele või pahavara sisaldava manuse avamisest, et ründaja enda esmased eesmärgid täidaks. Eesmärkideks on tavaliselt andmete varastamine, kompromiteeritud kontodelt uute pahaloomuliste kirjade saatmine või süsteemide kompromiteerimine, alustades esmalt ohvri seadmest.

Iganädalaselt, igakuiselt, kvartaalselt kui ka iga-aastaselt kirjeldab RIA levinumaid trende Eesti küberruumis, mis põhinevad CERT-EE kogutud andmetel. Statistikast järeldub üldjuhul ülal nenditud fakt, et meiliteenusega seotud ründed on ühed levinumad ka Eesti suunal.

Lühikirjeldused erinevatest ründetaktikatest

Nagu jalgpallis ei kasutata eesmärkide saavutamiseks ainult ühte ründetaktikat, ei kasutata ainult ühte ründetaktikat ka pahaloomuliste e-kirjade puhul. Järgnevalt kirjeldame lühidalt erinevaid aspekte, mida pahaloomuliste e-kirjade puhul kohtab:

Inimest huvitava info ärakasutamine – Saatja on kirja sisu põiminud mõne saajat puudutava teemaga – näiteks võib keskkonnavaldkonnas töötav inimene saada näiliselt kutse konverentsile, kus arutatakse rohepöördega seotud teemasid (näiline kutse kirja manuses sisaldab pahavara või palutakse sisestada andmed õngitsuslehele, et konverentsile registreerida) või võib näiteks tervishoiusektoris töötav inimene saada näiliselt COVID-19 viiruse levikuga seotud kirja. Ründajad võivad kasutada suunatud lähenemist, kui inimese kohta on võimalik avalikult kätte saada erinevat informatsiooni, mida saab omakorda usalduse tekitamiseks ära kasutada.

Saatja nime võltsimine – See on üks levinumaid tunnusmärke pahaloomuliste kirjade puhul. Kirja saajas üritatakse tekitada usaldust, võltsides kirja saatja nime. Nimena kasutatakse kirja saajale tuttavat inimest (nt asutuse teine töötaja). Kuna mõned meilirakendused ei kuva automaatselt saatja meiliaadressi, vaid ainult nime, on selle võltsimine ka üsna populaarne.

Lekkinud meilivestluste kasutamine – Ühe ründetaktikana kasutatakse ka eelnevalt lekkinud meilivestluseid. Tavaliselt on ühe meilivestluses osalenu seade mingil ajahetkel nakatunud pahavaraga, mille abil kirjavahetus kätte saadakse. Vestlusele saadetakse aja möödudes (ajavahemik varieerub, kuid sageli on see tavatult pikk) vastus vestlusega mitteseotud meiliaadressilt (võltsides sealjuures saatja nime). Kirjas palutakse sageli avada kirjaga kaasa pandud manus, mis aga sisaldab pahavara. Pahavara abil varastatakse siis omakorda uue ohvri postkasti sisu, mida hiljem järgmiste ohvrite saamiseks ära kasutatakse, sh rahalise kasu eesmärgil.

Kompromiteeritud kontolt teiste ohvrite püüdmine – Kui näiteks organisatsioonis on ühe töötaja meilikonto kompromiteeritud, siis üritatakse selle konto abil sageli ka organisatsiooni sees teisi ohvreid püüda. Kuna legitiimse töötaja meilikontolt saadetud kiri tekitab saajas pea alati usaldust, on see ka üks mõjusamaid viise, kuidas meilikontosid püüda.

Nõuanded

  • Ära ava tundmatuid kirju, linke ja manuseid. Kui su tuttav või töökaaslane saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi temalt alati üle alternatiivsete suhtluskanalite kaudu, millega on tegu.
  • Märka saadud kirjade puhul ebakõlasid – kohati veider lausete ülesehitus, grammatikavead jm. Kuigi masintõlge, mida ründajad kasutavad, areneb pidevalt, on võimalik siiski selle kasutust kirjastiili põhjal ära tunda.
  • Veendu, et meilidomeen, millelt kiri saadeti, on täht-tähelt sama, mis organisatsioonil peaks olema (nt google.com vs g00gle.com).
  • Kui kahtled kirja kavatsustes, tuleks see kindlasti edastada analüüsimiseks asutuse infoturbeosakonda. Samuti saab CERT-EE vajadusel aidata kahtlase sisuga kirjade analüüsiga. Selleks tuleks kiri saata aadressile cert@cert.ee.
  • Ära usu ähvardavaid ja kiiret tegutsemist nõudvaid kirju tundmatutelt saatjatelt, kellest sa pole kunagi varem kuulnud või kellega sul pole kunagi tegemist olnud.
  • Ole IT-vaatlik!