Tarmo Randel CERT-EEst annab hiljutise Apple’i seadmeid tabanud väljapressimislaine näitel nõu, kuidas tunda õngitsusrünnakut ja mida sellisel puhul ette võtta.
Viimastel nädalatel on meedia ilmutanud uudiseid pantvangi võetud Apple’i seadmetest, kus ‘Oleg Pliss’ nime all esinev küberkurjam Austraalia ja Uus-Meremaa iPhone kasutajatelt 55 naela nõuab seadme vabastamise eest.
Pakutud on välja ka põnevaid teooriaid, kuidas seade on pantvangi sattunud, põhjus on sedapuhku üsnagi triviaalne – pantvangi sattunud on klikkinud veebilingil, mis saabus postkasti õngitsuskirjaga, ning avanenud veebivormile sisestanud enda iKonto andmed. Ka Eesti kasutajatele on Apple kontode õngitsuskirju saadetud – vihjeid selle kohta leiab juba selle aasta algusest – ent saadetud kirju on seni olnud väga vähe.
Küberkriminaalid on kasutaja saadetud andmeid kasutanud konto ülevõtmiseks Apple portaalis ning sealtkaudu lukustanud seadme. Lukustamiseks kasutakse sõnumit, mis pakub “pantvangikriisi” lihtsat lahendadamist mõõduka summa kandmisega härra Plissile.
Raha vahendaja on hetkel küll lubanud kõik maksed arvatavale pantvangistajale kinni pidada, ent varem või hiljem valivad kriminaalid ilmselt sellise rahaliigutamise meetodi, mida on raskem jälitada ja tõkestada.
Õngitsuskiri võib kanda pealkirja “Apple ID expired” ning juhatada läbi mitme vahendaja veebilehele, mis näeb välja üsnagi sarnane Apple’iga seotud veebilehtedega. Üks CERT-EEle saabunud õngituskirja näidistest suunab innsaa.com veebilehe kaudu appcostumers.com veebilehele, millelt avanev leht on äravahetamiseni sarnane itunesconnect.apple.com’iga.
Erinevus pärislehega – õngitsusleht ei kasuta HTTPS meetodit (veebisirvikus ei ole veebiaadressi riba roheline või puudub tabalukk) ning veebiaadress ei ole apple.com’iga mingil moel seotud (lisatud pildil alla joonitud punasega).
Kui oled saanud siin kirjeldatud tunnustega kirja ning sisestanud enda Apple’i konto andmed veebi, mille internetiaadressil ei ole seost apple.com’ga, siis logi sisse Apple’i iseteeninduskeskkonda ning vaheta ära oma parool. Pantvangi võetud seadet aitab vabastada juba Apple’i klienditeenindus, ent see on mõnevõrra pikem ja keerulisem protsess.
Vältimaks konto andmete jõudmist küberpättide kätte soovitatakse Apple’i toodete kasutajatel kasutusele võtta turvalisem autentimisviis. See meetod paraku Eestis veel ei toimi, seega tuleb Eesti kasutajatel tervet talupojamõistust kasutada ning jätta tähelepanuta kirjad, mis meilitsi teavitavad konto aegumisest või andmete muutmisest ning lisavad viite, millel ei tundu mingit seost olevat teenusega.
Kui meilis toodu tundub klikkimiseks ikka väga ahvatlev, siis üks kindlaid viise vältida õngitsejate püünistesse sattumist on tippida teenusepakkuja veebiaadress veebisirviku aadressireale käsitsi, mitte klikkida meilis olevat.
Turvalist suve!
Tarmo Randel
CERT-EE
Sarnane juhtum oli ka mul. Saadeti “usaldusväärselt” isikult, kes varem turvalisi kirju saatnud on, õngitsuskiri. Kirjas oli link, mille kaudu selle saatja palus alla laadida PDF’i, see leht oli äravahetamiseni küllaltki sarnane google drive sisselogimise lehega. Olgu öeldud, et seda PDFi hakkasin alla laadima läbi telefoni, hiljem arvutist urli vaadates, ei olnud seal vähimatki seost google drivega). Peale kasutajatunnuse ja parooli sisestamist hakkaski pdf’i alla laadima. Hetke pärast tuli SMS’iga kinnituskood, umbes 10 minutilise vahega tuli teine kinnituskood. See viitas selgelt, et kontole prooviti sisse logida võõrast kohast. Õnneks kahe astmeline sisselogimine tegi oma tööd ja kõige hullem jäi tulemata/olemata.