Category Archives: RIA küberkirjutised

Oma kodulehe või e-posti turvalisust saab testida igaüks

Tõnu Tammer, CERT-EE juht

Igal kodulehe omanikul või e-posti kasutajal tekib varem või hiljem küsimus: kui turvaline on minu IT-lahendus ja kuidas see kogu maailmale välja paistab? Selleks, et üht või teist nüanssi testida, ei ole vaja IT-haridust ega arusaamist Linuxi konsoolist. Kodulehe või e-posti turvalisuse testimine pole kunagi varem olnud nii lihtne kui praegu.

Internetist leiab mitmeid turvalisuse testimise tööriistu, mida saab kasutada igaüks. Näiteks blogi pidaja või ettevõtte juht saab nende abil vaadata, kui hästi või halvasti on tema koduleht või e-posti server seadistatud.

Toome välja mõned tööriistad, mida kasutame ka ise, et üht või teist nüanssi testida.

Tööriistad, millega saab testida kodulehe ja e-posti seadistusi

Hardenize

https://www.hardenize.com/

See on eriti hea ja universaalne tööriist, mis võimaldab kontrollida, et sinu internetiaadressi ehk domeeni seadistused oleksid sellisel tasemel nagu tänapäeval olla võiksid. Samuti saab sealt kontrollida, kas meiliserveri seaded tagavad heal tasemel sõnumisaladuse ja andmekaitse ning kas kodulehe puhul on tagatud kasutajate turvalisus. Eesti turult leiab teenusepakkujaid, kelle kõige odavama, vähem kui 10€ kuus maksva paketiga on võimalik koduleht ja e-post seadistada nii, et enamik testitavatest aspektidest läbitakse edukalt ehk tulemus on roheline. See tähendab, et teenusepakkuja on teinud enda poolt mõistlikud sammud ja kodulehe/domeeni haldaja on teinud ära teise poole.

Näide Hardenize'ist

Näide Hardenize’ist: kõik testid on võimalik läbida edukalt

Security Headers

https://securityheaders.com/

Sobib kodulehe pisut põhjalikumaks testimiseks.

Tööriist võimaldab testida, milliseid juhiseid annab koduleht brauserile. Nende juhistega on võimalik piirata või keelata ebasoovitavaid tegevusi. Näiteks saab vähendada seda infohulka, mis muidu kasutaja kohta edasi liiguks, kui ta sinu kodulehelt ära läheb.

A+ ja A on eeskujulikud tulemused, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide Security Headersist

Security Headers: A tulemuse saavutamine ei ole samuti keeruline

Qualis SSL Labs

https://www.ssllabs.com/ssltest/analyze.html

Hea ja universaalne tööriist, millega saab kontrollida, kas suhtlus kodulehega on krüpteeritud selliselt, et tagatud on andmete turvalisus ja kasutaja privaatsus. Tänapäeval võiks juba iga veebileht avaneda vaid TLS 1.2 või TLS 1.3 protokolliga. Kindlasti ei tohi enam kasutada SSL 3 ja SSL 2 protokolle, mis ei taga turvalisust. Protokollide TLS 1.0 ning TLS 1.1 kasutamine on samuti mõistlik lõpetada, sest neis esineb turvanõrkusi, mis on uuemates versioonides parandatud.

Tulemused A+ ja A on eeskujulikud, kuid B, C, D ja F nõuavad kindlasti kodulehe omaniku tähelepanu.

Näide SSL Labsist

SSL Labs: A+ tulemuse saamine ei ole keeruline

TLS

https://www.checktls.com/TestReceiver

Võimaldab testida meiliserveri seadistusi.

See tööriist on samuti väga võimekas. Kui valida „Output format“ alt „SSLProbe“, siis kaardistatakse kõik e-posti serveri võimalused (sarnaselt eelmises punktis toodud SSL Labsi testiga). Ka e-posti serverite puhul võiks kirjavahetus käia vaid TLS 1.2 või TLS 1.3 protokolliga. SSL 3 ja SSL 2 kasutamine ei taga turvalisust ning protokollide TLS 1.0 ja TLS 1.1 kasutamine on samuti mõistlik lõpetada. Testi tulemuste lugemise teeb lihtsaks asjaolu, et punasega kuvatavaid tulemusi ei tohiks olla ning sobilikud on üksnes roheliselt kuvatud tulemused.

Hea tulemuse näide TLSist

Rohelisega kuvatakse hea tulemus

Halva tulemuse näide TLSist

Punasega kuvatakse need aspektid, mis nõuavad kindlasti meiliserveri omaniku tähelepanu

MECSA

https://mecsa.jrc.ec.europa.eu

Euroopa Komisjoni teadus- ja arendustegevuse üksus JRC on loonud e-kirja testimiseks universaalse tööriista. Erinevalt paljudest teistest võimaldab see testida nii e-kirja saatmise kui vastuvõtmise turvalisust. Kuna saatmise ja vastuvõtmise seadistusi tuleb e-postiserveris seadistada eraldi, võivad eri suunas liikuvatel e-kirjadel olla erinevad seadistused.

Selle testi eripära on see, et testimiseks tuleb sisestada testija e-posti aadress ning saadud kirjale tuleb saata vastuskiri.

Ekraanipilt tulemustest

Üldine ülevaade on “Summary” all ning vahelehelt “Advanced” näeb rohkem tehnilist infot.

Uku Särekanno: vaba maailma küberkiusamine

RIA peadirektori asetäitja Uku Särekanno tekst avaldati 14. veebruaril 2019 Postimehe rubriigis “Meie Eesti”.

Uku Särekanno, RIA peadirektori asetäitja küberturvalisuse alal

Kuidas kaitsta demokraatiat oludes, kus sõnumit jagavad robotid, uudisvoogu kujundavad algoritmid ning faktid ei huvita kedagi? See pole utoopia, vaid kohanemist vajav uus reaalsus.

Valija ujub päev-päevalt üha selgemas vees. Pole eriarvamusi, pole debatti, pole probleemi. On lihtsad lahendused, mis mahuvad 280 tähemärgiga Twitteri säutsu. On must ja valge, meie ja nemad.

Elu on mugav, sest algoritm võimaldab ise valida, keda kuulata ning mida järgida. Maksma ei pea, lugemist asendab visuaal ja igapäevane uudisvoog kinnitab seniste veendumuste ainuõigsust.

Robotid ja ruuporid

Pealtnäha pole sotsiaalmeedias ja trollimises midagi uut. Inimene on alati otsinud tähelepanu ning gruppi, kellega samastuda. Sama käib ka propaganda ja populismi kohta. Valetati ja laimati eile, seda tehakse ka täna ning homme.

On siiski paar uut momenti. Esiteks asjaolu, et sotsiaalseid gruppe luua ja mobiliseerida on võrdlemisi lihtne, kiire ning odav. Sõnumi saatmiseks ei pea ilmtingimata olema võimul, omama palju raha või parteid. On lihtsalt vaja õiget hetke.

Suured protestid said Prantsusmaal alguse kahe autojuhi sotsiaalmeedias jagatud üleskutsest blokeerida teed ja sillad. Need olid väikesest Seine-et-Marne’i departemangust pärit täiesti tavalised mehed, kel oli villand aktsiisitõusudest ja hallist argipäevast. Paari päevaga sai üleskutse sõnumiks sadadele tuhandetele ning kollased vestid olid tänavatel. Need on uue aja võimalused.

Teiseks on uus asjaolu, et tihtipeale kipuvad sotsiaalsetes gruppides inimhäält asendama robotid ja kõikvõimalikud fiktiivsed tegelased. Botid on programmeeritud jagama sõnumeid, imiteerima inimest ning töötama seitse päeva nädalas ööpäev läbi. Botid ja virtuaalsed arvamusliidrid on suurepärane vahend sõnumite edastuseks laiale auditooriumile.

Ameerika Ühendriikide presidendivalimistel kasutasid nii Clintoni kui ka Trumpi toetajad aktiivselt roboteid. Bot @amrightnow ujutas üle oma kümned tuhanded järgijaid kõikvõimalike vandenõuteooriatega ning tootis ainuüksi viimase teledebati ajal 1200 postitust. Pilti ilmusid fiktiivsed arvamusliidrid, nagu Nicole Mincey. Daam, keda pole olemas, ent kelle arvamisi jagas Trump ning keda jälgisid kümned tuhanded inimesed.

Uutest võimalustest on kinni hakanud aktiivselt ka Vene eriteenistused. Üks suurimaid trollivabrikuid paikneb Tallinnast 300 kilomeetri kaugusel Peterburis, kust juhitakse üliedukalt infooperatsioone, mille sisu on Euroopa avaliku arvamuse lõhestamine, NATO ja Euroopa Liidu lõhkumine. Imbutakse sotsiaalmeediasse ning võimendatakse rahulolematuid gruppe, ujutades neid üle meemide ja vandenõudega.

Sõnumi saatmiseks ei pea ilmtingimata olema võimul, omama palju raha või parteid. On lihtsalt vaja õiget hetke.

Inimkäitumist on päev-päevalt võimalik ennustada üha suurema täpsusega. Enda kohta tahtmatult või tahtlikult internetti riputatav teave on meie küberruumi DNA. Ja see võimaldab üsna palju järeldada.

2014. aastal usaldas Facebook teaduslikel eesmärkidel Cambridge’i ülikoolile andmed oma kasutajate kohta. Eesmärk oli töötada kasutajate profiilidega, mis võimaldaks paremini aimata kliendi soove ja tahtmisi. Ei midagi halba, ühel poolel teaduslik huvi ning teisel lihtlabane soov toodet parandada.

Häda oli aga selles, et uuringuteks eraldatud andmed väidetavalt varastati ning neid kasutati suurte mõjutusoperatsioonides. Andmestiku najal profileeris Cambridge Analytica nimeline firma välja Ühendriikide Kesk-Lääne osariikide valijad, keda veendi siis süsteemselt presidendivalimistel mitte osalema.

Taktikaline eesmärk oli veenda demokraatide sisemises konkurentsis kaotajaks jäänud Bernie Sandersi toetajaid loobuma hääletamast Hillary Clintoni poolt. Peenelt profileeritud valijad ujutati üle lihtlabaste sõnumitega: sinust ei sõltu midagi, istu protestiks kodus ning ära raiska oma häält Clintoni toetuseks.

Kirjeldatud profileerimise ja trollikampaania mõju üle vaieldakse, ent fakt on see, et Cambridge Analytica juhtis sihipärast kampaaniat võtmeosariikides ning Vene eriteenistused tegutsesid agaralt Ühendriikide valimistega.

Trollimise kõrval häkiti 2016. aastal sisse Hillary Clintoni kampaaniat ohjanud demokraatide meilikontodele ning lekitati välja mahlakam osa. Samasugused katsed 2017. aasta Prantsusmaa presidendivalimistel andsid selgelt märku, et valimiste turvalisusele tuleb asuda vaatama uue pilguga.

Küsimus pole üksnes valimiskastides ja häälte korrektses kokkulugemises. Tähelepanu tuleb pöörata ka valimisprotsessi elektroonilisele turvamisele. Ja see puudutab absoluutselt kõiki valimissüsteeme, mitte ainult Eestit, kus hääletamine on võimalik ka interneti abil.

Igas valimistega seonduvas etapis on võimalik leida momente, kus on vaja riske maandada. Olgu selleks kandidaatide sotsiaalmeedia ja isiklike meiliaadresside turve, valijate nimekirjade koostamine või hääletustulemuste elektrooniline avaldamine meedias.

See on ka põhjus, miks riigi infosüsteemi amet ja valimisteenistus on võtnud Riigikogu ja Euroopa Parlamendi valimiste ettevalmistustes varasemast aktiivsema rolli: nad on koostanud riskide maandamise kava, testinud parteide veebiliideseid, valimiste infosüsteeme ning viinud läbi hulga küberturbe koolitusi kandideerijatele.

Riigi infosüsteemi ameti eestvedamisel on praeguseks välja töötatud rahvusvahelised soovitused valimiste elektroonseks turvamiseks. Soovituste koostamisse kaasati 20 riigi eksperdid ning need on mõeldud kõigile demokraatlikele riikidele kui parim praktika uue aja riskide maandamiseks.

Samm edasi

2007. aastal Eestit tabanud küberrünnakutest on möödunud 12 aastat. On aeg võtta ette uus teema ja hakata vedama jõuliselt demokraatlike protsesside kaitsmist rahvusvahelisel areenil. See on võitlus meile oluliste väärtuste, maailmapildi ja elukorralduse eest.

Esiteks, valimiste turve. Tehnilised soovitused on esimene samm. Siit edasi tuleb liikuda sellega, et need kujuneks igas demokraatlikus riigis miinimumstandardiks. Et nende üle peetaks valvet nagu ka kõigi muude valimiste heade tavade üle.

Teiseks, infosõda ja trollimine. Koostöös suuremate partneritega, nagu Prantsusmaa, tuleb arendada välja poliitiline raamistik infosõjale vastamiseks. Mehhanism, mis võimaldaks kõige muu kõrval trollivabrikute operaatorid veenvalt nurka suruda ning sanktsioonide, kaubanduspiirangute, varade arestimise ja mustade nimekirjadega valusalt vastu näppe lüüa.

Need on teemad, mis on eelseisvatel aastatel teravalt päevakorras kõigis demokraatlikes riikides. Eestil on kogemust, sisu ja isekat huvi. Oleme sõnavabaduselt maailma tipus. Oleme tuntud turvalise e-riigi ning küberrünnete tõrjumise poolest. Meie praktikat küberturvalisuse tagamisel on praeguseks kopeerinud enamik Euroopa riike. Meil on eksperte, kes on osalenud väga agressiivsete infooperatsioonide tagasilöömisel Eestis (2007), Gruusias (2008) ja Ukrainas (2014). Tuleb astuda samm edasi.

Trollivabriku viis sammu valimistesse sekkumisel

  1. Sihtrühm. Luuakse gruppe või imbutakse gruppidesse, kus ühine nimetaja on pettumus või rahulolematus (nt kollased vestid).
  2. Võimendatakse konfliktseid teemasid. Levitatakse lühisõnumeid teemadel, mis tekitavad enam vastukaja: migratsioon, identiteet, ebavõrdsus, maksupoliitika ning suured taristuprojektid.
  3. Trollimine. Kasutatakse bote ning võltsidentiteete sõnumiedastuse kiirendamiseks ja võimendamiseks.
  4. Kompromiteerimine. Kaaperdatakse võtmekandidaatide meilikontod ja profiilid, et lekitada infot avalikkusele ning viia läbi infooperatsioone.
  5. Veebide ja teenuste ründed. Rünnatakse aktiivselt kampaaniakeskkondi ja valimissüsteeme.

Soovitused valimistel kandideerijatele

  1. Kaitse oma profiile. Kasuta meili- ja sotsiaalmeedia kontodel mitmetegurilist autentimist ning tugevaid paroole. Eelista ametliku info töötlemiseks ametlikke võrke ja meilisüsteeme.
  2. Pööra tähelepanu turvalisusele avalikus võrgus. Eelista avalikele wifi pakkumistele enda 3G/4G andmeside ühendust ning kasuta virtuaalset privaatvõrku (VPN).
  3. Koolita kandideerijaid ja kampaania meeskonda küberhügieeni teemal. Tee või telli koolitus küberhügieeni põhitõdede teemal.
  4. Hoolitse oma serverite eest ja krüpteeri andmevahetus. Kasuta tasuta lahendusi, näiteks SPF, DKIM, DMARC, et maandada petukirjade ja rämpspostiga seonduvaid riske. Krüpteeri tundlikud andmed.
  5. Küsi nõu CERT.EE-lt või IT-teenuse pakkuja käest. Eesti küberturvalisuse eest seisev CERT.EE on pannud kokku hulgaliselt õppematerjale küberohtude maandamiseks, testinud parteide meiliservereid ning teinud küberhügieeni koolitusi.

Küberturvalisuse ABC

Autor: CERT-EE inforturbe ekspert Sille Laks

Vähemalt korra nädalas leiab mõnest päevalehest ja tehnoloogiauudiste portaalist ridamisi hoiatusi ja nõuandeid, kuidas turvalisemalt ja targemalt internetti kasutada ning sotsiaalmeediat ja nutitelefone tarbida. Siiski peetakse küberit ja kõike sellega seonduvat jätkuvalt pigem itimeeste pärusmaaks, mis tavainimesi ei puuduta. Miks peaksin mõtlema selliste IT-meeste teemade peale nagu küberturvalisus ja sellega kaasnevad näiliselt mitte midagi ütlevad sõnad: kahetasemeline autentimine, õngitsusleht, lunavara, kompromiteeritud meilikonto? Kasutan ju arvutit vaid töötegemiseks, arvete maksmiseks, uudiste ja meilide lugemiseks ning sotsiaalmeedia külastamiseks.

Kuna arvutid ja teised nutiseadmed on kõikidele soovijatele kättesaadavad ja nende kasutamine on osa meie igapäevaelust, puudutab ka küberturvalisus meid kõiki. Kõikidel, kes seda artiklit loevad, on võimalus ennast internetiga ühendada. Ka selle artikli leidsid sa kõikvõimsa sotsiaalmeedia, Google’i või näiteks tuttava kaudu, kes pärast su mitmeid „Ärge avage mu postitusi, mul on viirus!“ postitusi selle sulle saadab või su mõne postituse all ära märgib. Kõik see annab aga märku, et ühel või teisel moel puudutavad nii küber, IT kui tehnoloogia ka sind isiklikult. Ja mitte ainult siis, kui loed seda kirjutist arvutist, vaid ka siis, kui loed seda oma nutitelefonist, nutitelerist või isegi nutikellast. Küberturvalisus algab iga kasutaja internetikäitumisest ning järgida tuleks peamisi turvalisuse põhimõtteid, mis laienevad nii öelda pärismaailmast kübermaailma.

Paroolid ja kasutajakontod

Igasse tänapäeva keskkonda konto loomiseks on vaja valida endale kontoga seotav meiliaadress või kasutajanimi ning keskkonnas kasutatav parool. Mitmed Eesti teenusepakkujad võimaldavad turvalist kaheastmelist sisselogimist kas ID-kaardi, mobiil-ID või Smart-IDga. Need on kättesaadavad kõikidele ning kasutajatel pole vaja luua eraldi kontot ega meeles pidada veel üht parooli. ID-kaart on kohustuslik isikut tõendav dokument kõikidele Eesti kodanikele ja kehtib Euroopa Liidus ka reisidokumendina. Samuti on võimalik omale tellida mobiil-ID – kõikidele mobiiltelefonidele saadaolev isiku tõendamise ja digitaalse allkirja lahendus. Erinevalt Smart-IDst ei ole mobiil-ID kasutamiseks vaja nutitelefoni. Kuna kõik Eesti pangad sulgevad 2018. aasta jooksul klientide koodikaardid, ei kajasta me neid sisselogimisvõimalusena. Lisalugemist koodikaartidest loobumise kohta leiab nii RIA veebilehelt kui ka pankade kodulehtedelt.

Portaali sisenemine. Sisene ID-kaardiga. Sisene Mobiil IDg. Sisene panga kaudu.

Ekraanipilt riigiportaali eesti.ee sisselogimislehest.

Kui pead looma konto keskkonda, kuhu ei ole võimalik ID-kaardi, mobiil-ID või Smart-ID abil siseneda, on sul vaja kasutajanime ja parooli. Paljudesse keskkondadesse on võimalik siseneda olemasoleva sotsiaalmeedia või Google’i (Gmaili) konto kaudu. Näiteks Postimees online’i keskkonda sisenemiseks on võimalik luua eraldi konto või kasutada olemasolevat Facebooki, Twitteri või Google’i kontot.

Konto loomine: e-posti aadress, salasõna, korda salasõna, loo konto. Lisavariantidega nupuf: logi sisse Facebookiga:, logi sisse Google'iga, logi sisse Twitteriga.

Ekraanipilt Postimees Online’i konto loomise lehest koos sisselogimise võimalustega

Enamasti, eriti väiksemate teenusepakkujate juures, tuleb omale luua aga eraldi kasutajakonto.

Registreeritud kasutaja. Oman juba kontot. E-posti aadressi lahter, parooli lahter, link: unustasin parooli, nupp: sisene.

Ekraanipilt tavalisest sisselogimislehest väikese teenusepakkuja keskkonnas

Kui sa ei kasuta paroolihaldurit, mis sulle iga keskkonna jaoks eraldi parooli loob ning selle salvestab, tuleks kontot luues vastata turvalisuse huvides allolevatele küsimustele (paroolihaldurite soovitusi võid lugeda paroolisoovituste punktist). Samuti võiksid kriitiliselt mõelda ka oma olemasolevate kontode turvalisuse peale!

  1. Kas see kasutajanimi või meiliaadress on mul juba kusagil mujal kasutusel?
  2. Kas sama kasutajanimi ja parool koos on juba kusagil mujal kasutusel?
  3. Kas mu valitud parool vastab turvalise parooli nõuetele, et keegi seda lihtsasti ära arvata ei saaks?
  4. Kas valitud parool on juba mujal kasutusel koos teise kasutajanimega?
  5. Kas keskkond pakub kahetasemelist autentimist ja kas olen selle juba aktiveerinud?
  6. Kas olen aktiveerinud tundmatutest asukohtadest sisse logimise teavituse?
  7. Kas olen määranud Facebookis usalduskontakti, kes saab vajadusel minu isikut kinnitada, et saaksin oma konto tagasi?

Kui vastasid esimesele neljale küsimusele jaatavalt, pea meeles – kui su parool on nõrk ja sa ei kasuta kaheastmelist autentimist, võib pahatahtlik tuttav või sootuks küberkurjategija su kontole sisse logida ja seal omasoodu tegutsema hakata. Näiteks saata sinu nimel sõnumeid või jagada pahatahtliku sisuga linke, mis võivad su sõprade seadmeid pahavaraga nakatada.

Ukse ees olevas turvariivis on metallpulga asemel maisikepike.

Kasutajanime admin ja parooli admin turvalisuse tase. Allikas: https://knowyourmeme.com/photos/1379666-cheeto-lock

Parooli valides mõtle oma konto turvalisuse peale ning pea meeles järgmised soovitused:

  1. Parool peab sisaldama suuri ja väikeseid tähti.
  2. Parool peab sisaldama numbrit ja/või erimärki.
  3. Parool ei tohi olla kergesti äraarvatav (näiteks sinu või pereliikme ees- ja perekonnanimi või sünniaeg, lemmiklooma nimi, ametinimetus vms).
  4. Väldi parooli ristkasutust ehk ära kasuta sama parooli mitmes kohas.
  5. Uuenda oma paroole regulaarselt ja ära jaga neid teistega.
  6. Veendu, et veebileht, kuhu on tarvis isiklikke andmeid sisestada ja/või sisse logida, on kaitstud turvalise krüpteeritud ühendusega (httpS).
  7. Proovi vältida ühiskasutatavate ja avalike seadmete kasutamist. Kui see ei ole võimalik, veendu, et oled kõikidest külastatud ja sisselogitud kohtadest alati välja loginud.
  8. Kui keskkond võimaldab kaheastmelist autentimist, siis aktiveeri see kindlasti. (Populaarsemate keskkondade puhul saad juhiseid siinsest blogist: Gmail, Microsoft, Facebook ja Twitter)
  9. Unikaalse ja meeldejääva paroolipõhja loomiseks võid kasutada lehte https://rabool.eu.
  10. Kasuta paroolihaldurit. See aitab sul iga veebilehe jaoks genereerida unikaalse parooli, säästab sind paroolide meeles pidamise vaevast ja lihtsustab veebilehtedele sisse logimist, täites sinu eest automaatselt kasutajanime ja parooliväljad. Tuntumad paroolihaldurid on näiteks LastPass, Bitwarden, 1Password, Dashlane ja KeePass.

Eestlaste paroolide top 20

123456, parool, qwerty, 123456789, lammas, 12345, minaise, maasikas, kallis, killer, armastus, lollakas, samsung, 123123, teretere, lilleke, martin, 12345678, kiisuke, kallike

Eestlaste paroolide top 20

Loe täpsemalt

Õngitsuslehed ja õngitsuskirjad

Õngitsuslehtede ja -kirjade eesmärk on varastada kasutaja isiklikke andmeid ja/või finantsinfot. Kirjade loomisel pööratakse kõige enam rõhku visuaalsele sarnasusele ja usaldusväärsusele – lehel olev sisu peab olema sarnane päris kaubamärgiga. Õngitsuskirjas sisalduv tekst peab olema võimalikult sarnane kirjale, mille teenuseosutaja sulle probleemi korral saadaks. Kui satud kirja kaudu sellisele lehele, kontrolli alati, kas veebiaadress on täht-tähelt seesama, mis peaks olema. Väga levinud on nii asutuse IT-teenistuse kui ka meiliteenuste (näiteks Gmaili, Hotmaili, Yahoo või näiteks kodumaise Online.ee) nimel saadetavad õngitsuskirjad, mille eesmärk on kasutajainfo (kasutajanimi ja parool) kalastamine hilisemaks meilikonto kasutamiseks. Eesmärk võib olla selle meiliaadressi kaudu arvukalt õngitsuskirju levitada; teha finantspettuseid, näiteks krediidipakkumisi; saata reklaamposti või tegelik huvi töötaja postkasti sisu vastu. Lisalugemist ülevõetud kontode kasutamise kohta:

Tihti on õngitsuskirja sisu ähvardav, näiteks teatatakse, et kui kasutaja oma kontot ei kinnita, siis see sulgetakse. Mõnikord teatatakse, et kontolimiit on ületatud, kuid tegelikult on seda tänapäevaste postkastide suurust arvestades üsna raske saavutada. Praegu on tavapärane tasuta antava kirjakasti suurus 1–2 gigabaiti, kunagi oli see 10 megabaiti (https://et.wikipedia.org/wiki/Bait).

"Teie e-posti konto on praegu ületanud selle ladustamispiirangu, suurema suurusega sissetulevad kirjad on ootel. On aeg oma uue kohustusliku turvalisuse täiustamiseks isikupärastatud soovitustega, et tugevdada piiramatu salvestusruumi e-posti konto turvalisust. Värskendamiseks järgige alltoodud kiiret protsessi."

Ekraanipilt õngitsuskirjast, mis hoiatab ladustamispiirangu ületamise eest.

Ekraanipilt õngitsuskirjast, mis teavitab blokeeritud sõnumitest

Ekraanipilt õngitsuskirjast, mis kutsub identiteeti kinnitama

Ekraanipilt IT-teenistuse nimel saadetavast õngitsuskirjast

Ekraanipilt õngitsuskirjast, mis hoiatab kasutajat, et on kahtlus – keegi teine kasutab tema PayPali kontot

Ekraanipilt kasutajainfot kalastavast õngitsuslehest

Ekraanipilt PayPali kontode õngitsuslehest

Ekraanipilt Facebooki kasutajatele suunatud õngitsuslehest

Ekraanipilt Gmaili kasutajatele suunatud õngitsuslehest

Ekraanipilt Office365 kasutajatele suunatud õngitsuslehest

Vältimaks kasutajainfo sisestamist õngitsuslehele ning hilisemaid probleeme konto taastamisel:

  1. Veendu, et veebiaadress, mida külastad, on täht-tähelt seesama, mis peaks olema (google.com vs g00gle.com).
  2. Ära usu ähvardavaid ja kiiret tegutsemist nõudvaid kirju tundmatutelt saatjatelt, kellest sa pole kunagi varem kuulnud või kellega sul pole kunagi tegemist olnud.
  3. Kahtluse korral tee teises aknas lahti otsingumootor ning sisesta sinna soovitud kaubamärgi või teenusepakkuja nimi. Otsingumootorites kuvatakse eespool just tegeliku kaubamärgi ametlik koduleht.
  4. Veebiaadressis veendumiseks ei loeta aadressi mitte vasakult paremale, vaid aadressiribal olevast kõige vasakpoolsemast kaldkriipsust (/) kaks kohta vasakule. Vasakult lugedes kuvatakse esimestena alamdomeenid, näiteks mail.google.com tähistab Google’i meiliteenust Gmail.
  5. Pea meeles, et kui su kasutajanime ja parooli küsitakse telefonitsi, ei saa olla tegemist sinu IT-osakonnaga, sest neil ei ole vaja sinu kontole sinu parooliga sisse logida.

Kui oled õnnetul kombel oma kasutajainfo õngitsuslehele sisestanud, vaheta kohe oma konto parool ning veendu, et sul on aktiveeritud kaheastmeline autentimine. Samuti vaheta parool kõikides keskkondades, kus sama parooli kasutad ning väldi edaspidi parooli ristkasutamist (ehk sama parooli kasutamist mitmes kohas).

Kui küberkurjategijad on üle võtnud mõne su tuttava meilikonto ja kasutavad seda nt laenupakkumiste või rahasaatmispalvete saatmiseks, siis ära kindlasti vasta sellisele kirjale. Teavita tuttavat kohe mõnda teist kanalit pidi. Soovita tal kindlasti vahetada parool ning aktiveerida kaheastmeline autentimine. Kui sinuni jõuab kiri tuttavalt või mõnelt kunagiselt äripartnerilt, kes on nimepidi tuvastatav, kuid sul puudub tema kontaktaadress, edasta kiri CERT-EE meeskonnale (cert@cert.ee). NB! Kui meiliaadressi järgi ei ole võimalik inimest tuvastada, näiteks on kasutajanimi kiisuke666, võid kirja kohe kustutada.

Ekraanipilt ülevõetud Gmaili kontolt. Kasutaja kontaktidele saadetud kiri, milles „kasutaja“ kojusaamiseks raha palub

Lisalugemist samal teemal

Sotsiaalmeedia, mu õnn ja rõõm!

Libaloteriide eesmärk võib olla nii klikisööt lehe külastatavuse suurendamiseks ja selle hilisemaks kõrgema hinnaga edasimüümiseks või kasutajate tasulise sõnumiteenusega liitmine. Klikisööt põhineb eelkõige pilkupüüdvatel (“Tasuta!”) pealkirjadel või pisipiltidel, mis suunavad kasutaja lõpplehele, kuhu parimal juhul ei ole pahavara paigaldatud ning tahetakse lehe küljastajate arvu suurendada. Kuidas saada aru, et tegemist on pettusega?

  • Lihtne matetmaatika. Libapakkumistes lubatakse tavaliselt ära kinkida sadu või tuhandeid hinnalisi tooteid. Kui tegemist oleks tegeliku kampaaniaga, kaasneks ettevõttele sellega suur majanduslik kahju.
  • Absurdsus. “Anname ära X (suur arv) toodet, sest pakend on kahjustatud ja neid ei saa enam müüa”. Kui mõelda firma seisukohast, on kasulikum need tooted uuesti pakendada või hinda 5–10% võrra langetada, mitte avatud kile tõttu mitmekümne või isegi mitmesaja tuhande euro väärtuses tooteid ära anda. Huumoriga peaks suhtuma kampaaniatesse, kus firma jagab konkurendi tooteid, näiteks Samsung annab ära Apple’i telefone.
  • Osalemistingimused. Võltsloosimiste puhul on ettevõtte ja/või loositava auhinna taustainfo puudulik. Enamasti ei selgu, miks loosimist korraldatakse (kas on tegu näiteks koolilõpu-, jaanipäeva- või jõululoosiga). Sageli on puudu ka osalemistingimused ja see, millal loosimine toimub, kuidas valitakse võitjad ning kuidas nendega ühendust võetakse.
  • (Liiga) uued leheküljed. Enamasti on ettevõtetel sotsiaalmeediakontod juba mitu aastat ning neil on ka vastav verifitseerimismärk. Sotsiaalmeediateenuse pakkuja kinnitab selle märkega, et kontoomaniku taust on üle kontrollitud ning leht tõepoolest kuulub sellele inimesele või asutusele. Kui Mercedese eile loodud leht pakub tasuta uut luksklassi autot , tuleks valida Facebookis “Esita kaebus” ja Instagramis “Report page.” Sel moel saad sobimatust lehest teada anda ning sellega ehk nii mõnelegi vähem turvateadlikule kasutajale abiks olla.

Pikemalt libaloosimistest ja “seinal hiilgavast” kullast

Ekraanipilt libaloosimiste kampaaniast, millega lubati kasutajatele 2 aastat tagasi pankrotti läinud Estonian Airi lennukipileteid ning hiljem teiste lennufirmade tasuta lennukipileteid

Lisalugemist ja kuulamist Estonian Airi libaloterii kohta.

Lisaks ülaltoodud põhitõdedele sotsiaalmeedia rumaluste vältimiseks, soovitame lisaturvalisuse tagamiseks ja sotsiaalmeediast tuleneda võivate probleemide vältimiseks järgida allolevaid põhimõtteid:

  1. Ära aktsepteeri tundmatute kasutajate sõbrakutseid. Sa ei tea, kes nad on ja mida nad sinu kontolt saadava informatsiooniga peale võivad hakata. Soovi korral saad piirata, kes sulle näiteks Facebookis sõbrakutseid saata saavad. Selleks vali Seaded -> Privaatsus -> How people can find and contact you – > kes saavad sulle sõbrakutseid saata -> Sõprade sõbrad (juhul kui on kunagi tarvis sõbralisti lisada keegi, kellega ühised sõbrad puuduvad, on võimalik kas korraks seadeid muuta või üksteisega esmalt postkasti kaudu kontakteeruda.
  2. Ära jaga endast paljastavaid pilte või videosid võõrastele või juhututtavatele. Siinkohal tuleb ka meeles pidada tehnoloogia ajastu eripärasid, kus sa võid küll usaldada inimest, kellele foto või video saadad, kuid sa ei saa veenduda, et tema arvuti või nutiseade pole pahavaraga nakatunud ning su pilt ei satu kellegi tundmatu kätte.
  3. Vaata üle oma sotsiaalmeedia profiili seaded ning veendu selles, et su seinal olevad postitused on nähtavad ainult sõbralisti liikmetele.
  4. Facebooki kasutajad saavad Seaded-> Privaatsusseaded alt valida “Piira sõprade sõpradega või avalikult jagatud postitusi.” Pärast “piira” vajutamist muutuvad ka kõik eelnevad postitused nähtavaks ainult sõbralisti liikmetele.

Pahavara

Pahavara on tarkvara, mille eesmärk on ühel või teisel moel kasutaja seadmele kahju teha. Näiteks krüpteerida andmed ja nende avamise eest raha nõuda, kasutada arvuti jõudlust krüptoraha kaevandamiseks (mille saab endale loomulikult keegi teine), kasutaja seadmest infot varastada või liita seade robotvõrgustikuga, et seda hiljem rünnete läbiviimiseks ära kasutada. Pikka aega on liikvel olnud väärarusaam, et pahavara levib ainult e-kirjade kaudu. Pahavaraga saab nakatuda ka veebilehte külastades, pahatahtlikku mobiilirakendust alla laadides või ka tundmatuid mälupulki arvutisse ühendades juhul, kui arvutis on lubatud automaatkäivitus. Pahavarast ja selle eriliikudest saad lugeda näiteks http://www.arvutikaitse.ee/arvutikaitse-algtoed/ ja https://en.wikipedia.org/wiki/Malware. Lisalugemist ametlike rakenduste äratundmise kohta leiad blogipostitusest “Kuidas internetist ostes raha, närve ja arvutit säästa”.

Pahavaraga nakatumise kaitseks toimi nii:

  1. Veendu, et kasutad seadmes legaalset tarkvara ja selle uusimat versiooni ning turvauuendused on paigaldatud.
  2. Lae tarkvara alla ainult tootja ametlikelt kodulehtedelt.
  3. Paigalda arvutisse või nutiseadmesse viirusetõrje ainult tootja kodulehelt või ametliku poe edasimüüjalt.
  4. Laadi telefonirakendused ainult ametlikust poest (Google Play pood, Apple App Store, Microsoft Store).
  5. Ära sisesta oma arvutisse tundmatuid mälupulki ning keela seadmetes irdmeedia automaatkäivitus.
  6. Ära ava tundmatuid kirju, linke ja manuseid. Kui tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati üle, millega on tegu, eriti juhul, kui manuse nimi pole sulle näiteks tööga seoses tuttav (nt: juhtkonna_koosolek_kuupäev.docx)
  7. Tee oma telefonis ja arvutis olevatest olulistest asjadest regulaarselt tagavarakoopiaid ning veendu, et need ka toimivad. Tagavarakoopiate tegemise juhiseid uusimatele enamkasutatavatele operatsioonisüsteemidele leiab: Windows 10, Mac OS X.

Ekraanipilt Windowsi arvutist, mis teavitab kasutajat, et uuenduste paigaldamiseks on vaja seade taaskäivitada

Lunavara

Lunavara on üks pahavara alaliike, mis muudab kasutaja arvutis (praegusel ajal ka juba nutiseadmetes) olevad failid kasutuskõlbmatuks ning nõuab nende tavapärase töö taastamiseks üldjuhul lunaraha virtuaalses krüptorahas BitCoin. Loe pikemalt krüptorahade ja virtuaalse kaevandamise kohta.

Lunavara levitatakse nii e-kirjade kui ka veebilehtede kaudu. Sarnaselt õngitsuskirjadega kasutatakse ka lunavara sisaldavate kirjade puhul manipuleerivaid võtteid, et manus kindlasti avataks. Näiteks sisaldavad väga paljud lunavara manusega kirjad infot maksmata arve või muu finantstehingu kohta.

Kui varem oli võimalik selliseid kirju tuvastada kirjavigade järgi, siis praegu on ka küberkurjategijad muutunud teadlikumaks ning kirjade grammatika järgi neid enam väga lihtne eristada pole. Küll aga tuleks alati selliste kirjade puhul tähelepanelikult vaadata saatja aadressi. Näiteks ei saada DHL kohe kindlasti kirju aol.com või gmail.com aadressilt. Samuti tuleks tähelepanu pöörata meilis olevale allkirjale ning edastatud lisainfole. Kui ettevõtte põhitegevusala on näiteks lillede müük, ei ole reaalne saada inkassohoiatusi tasumata arve eest rebaste müügiga tegelevalt ettevõttelt.

Ekraanipilt tüüpilisest lunavara sisaldava manusega kirjast

Lunavaraga nakatumise ennetamise vältimiseks leiad juhiseid ja soovitusi:

Kui su seade või süsteemid on õnnetu juhuse tõttu juba lunavaraga nakatunud, soovitame intsidendist teavitada CERT-EE meeskonda, kes saab jagada soovitusi seadme või süsteemide töö taastamiseks juhul, kui konkreetsele lunavarale on ka juba väljastatud dekrüptor. Lunavara puhul soovitame kindlasti nõutud raha mitte maksta, sest puudub garantii, et failid saab tagasi. Lisaks finantseeritakse lunaraha makstes kuritegevust, mis paneb küberkurjategijaid veelgi suurema summa teenimiseks oma tegevust laiendama.
Lisainfot leiad No More Ransom projekti lehelt.

Nutiseadmete turvalisus

Üks tänapäeva maailma lahutamatu osa on nutitelefon. Nutitelefonid on kaasas kõikjal ning tihti ka magatakse nutitelefoni kõrval. Kuigi seadme nimes on „telefon“, ei täida seade enam ammu üksnes helistamise ja SMSide saatmise funktsiooni.

Allikas: https://imgur.com/gallery/sYzqutd

  1. Kasuta nutiseadmes tarkvara uusimat versiooni ning veendu, et sul on automaatsed turvauuendused sisse lülitatud.
  2. Juhul kui soetad seadme, mis tuleb vaikeparoolidega (default password), vaheta esimese asjana vaikeparool turvalise salasõna vastu. Vaikeparoolid on enamasti internetist leitavad ning neid saab kasutada kõikides konkreetsetes mudelites.
  3. Telefoni rakendusi ehk äppe laadi alla vaid ametlikust tootja poest (Google Play Store, Apple App Store ja Microsoft Store). Rakenduste allalaadimisel vaata ka rakenduse arendaja infomatsiooni ning kasutajate tagasisidet.
  4. Kontrolli rakenduse privaatsussätteid (ka pärast uuendusi) ning kontrolli üle, millisele telefonis olevale infole rakendused ligi pääsevad.
  5. Paigalda ka nutitelefoni viirusetõrje ning veendu, et see on aktiveeritud ja kasutusel.
  6. Kasuta oma telefoni ja privaatsuse kaitseks klahvilukku. Lisaks on võimalik paigaldada erinev parool/turvakood ka rakendustele, et isiklikku infot paremini kaitsta. Ära kasuta klahviluku puhul enimlevinud lihtsaid mustreid ega numbrikombinatsioone.
  7. Ära ava tundmatuid kirju, linke ja manuseid. Kui tuttav saadab tavapärasest erineva suhtlusviisi ja/või tekstiga lingi või manuse, küsi alati millega tegu on. Kuna nutiseadmed asendavad paljudele juba tavalist arvutit, on loodud ka nutiseadmetele suunatud pahavara.
  8. Kasuta võimalusel avalikes kohtades Wi-Fi asemel mobiilset andmesidet. Eemalda vähemalt kord poole aasta jooksul mittevajalikud Wi-Fi võrgud.
  9. Tähtsate kontaktide ja failide kaotsimineku vältimiseks tee oma telefonis leiduvatest failidest ja infost regulaarselt tagavarakoopiaid kas telefonisisesele mälukaardile või telefoniga seotud kontole.
  10. Lisaturvalisuse tagamiseks krüpteeri võimalusel Seadete alt kogu telefoni sisu. Samuti lülita telefonil sisse “Leia mu seade/Find my phone” funktsioon, et telefoni kaotsiminekul oleks võimalik see üles leida.