12.05.2022
Viimastel päevadel on mitmed ettevõtted teatanud RIA-le, et nad saanud oma koostööpartneritelt e-kirju, mis viivad peale klõpsates lõngitsuslehele. E-kiri saadetakse välja ehtsalt meiliaadressilt. See tähendab, et koostööpartneri meilikonto on kompromiteeritud ehk kurjategijate kontrolli all ja seda kasutatakse õngitsuskirjade saatmiseks. Õngitsuse esmane eesmärk on saada kätte töötajate kasutajatunnused ja paroolid, et nende abil uusi kontosid üle võtta ja järjest uusi õngitsusi saata ning levida. CERT-EE-le teadaolevat sai üks suur Eesti ettevõte taolisi õngitsusi kümnekonnalt koostööpartnerilt, kellest ainuüksi ühe kaudu oli juba läinud liikvele tuhatkond õngitsuskirja. Nendest lõviosa ei saavuta oma eesmärki, aga piisab vaid mõnest õngeminejast, et kurikaelad saaks kiiresti oma haaret laiendada.
Kuidas õngitsust ellu viiakse?
- Koostööpartneri meiliaadressilt tuleb kiri, mis teavitab, et saatja on saajaga jaganud faili
Vajutades Open nupule, suunatakse kirja saaja legitiimsele Adobe leheküljele, millelt avaneb järgnev vaade
Kui vajutad Access Document, suunatakse lõplikule õngitsuslehele, mis palub end sisse logida
Sisestades oma kasutajatunnuse ja parooli, liiguvad need automaatselt kurjategijatele, kes võtavad konto enda kontrolli alla ja saadavad sealsetele kontaktidele sadu uusi analoogseid õngitsusmeile. Nii on võimalik lühikese aja jooksul tekitada endale võrgustik üle võetud meilikontodest, mille kaudu juba tõsisemaid rünnakuid sooritada.
Seda tüüpi õngitsused on edukad, kuna kasutatakse tegelikke meiliaadresse ja legitiimseid keskkondi. Sestap ei ole selle õngitsuslaine saajatel ilmselgeid ohumärke lihtne leida. CERT-EE soovitab kahtlustäratava kirja saajatel käituda järgmiselt:
- Mõtle rahulikult, kas sa ootad kirja saatjalt mõne faili jagamist. Igaks juhuks küsi koostööpartnerilt üle, näiteks telefoni teel, kas ta päriselt ka saatis selle e-kirja.
- Kahtluse korral soovitame kirja edastada cert@cert.ee. CERT-EE aitab tuvastada, kas tegemist on pahaloomulise kirjaga või mitte.