Tag Archives: gmail

Kaheastmeline autentimine: Gmail

CERT-EE juhendab, kuidas aktiveerida kaheastmeline autentimine Gmailis.
Blogisse on hiljem lisandunud on ka juhised Facebooki, Twitteri ja Microsofti kontode kohta.

Kaksikautentimine (2FA, two-factor authentication, ka kahefaktoriline autentimine, kaheastmeline kinnitamine) on turvategevus, mis nõuab kasutajalt sisselogimisel enese identifitseerimist kahel sõltumatul viisil: näiteks ID-kaardi puhul on kasutusel füüsiline vahend, kuid sellele lisaks nõutakse veel teadmist, mida ei tohiks olla kellelgi peale kaardiomaniku (PIN-kood). Autentimise alustest ja kasutusel olevatest terminitest loe RIA blogi eelnevast kirjutisest.

Kaksikautentimine on eriti oluline just sotsiaalmeediasaitide puhul, mis ID-kaarti ei tunnista. Tänases turvaolukorras ei piisa Google’i ja Facebooki kasutamisel enam lihtsalt paroolist. Selleks, et oma kontost mitte ilma jääda, tuleb kindlasti sisse lülitada 2FA. Esimese asjana tuleb oma konto kaitsmiseks valida turvaline parool – üks lahendus turvalise parooli valimisel võib olla näiteks Tehnokratt Peeter Marveti loodud tööriist, mis genereerib kasutajatele parooliks neli levinud sõna, mida saab suurte tähtede, erimärkide ja numbrite lisamisel veelgi turvalisemaks muuta https://rabool.eu/.

Õngitsustest ja pettustest, mille vastu 2FA aitab, on juttu blogipostitustes:

Allpool õpetame kasutajaid, kuidas populaarsetes keskkondades (Google, Facebook) kasutada ajakohast turvalisust ning kaitsta sellega oma kontosid ülevõtmise eest.

Moodne autentimine Gmailis

Google kasutab kaksikautentimise (2FA) tähistamiseks omaenda tõlketerminit „kaheastmeline kinnitamine“.

Vali „Minu Konto“. Sealt leiad seaded, mis võimaldavad muuta Gmaili turvalisemaks ning häälestada autentimise ajakohaseks:

Ekraanikuva

Klõpsa menüüpunktil „Google’isse sisselogimine“:

Ekraanikuva

Avaneb kaheastmelise kinnitamise menüü. Siin klõpsa „2-astmeline kinnitamine“:

Ekraanikuva

Siin klõpsa “Alustage”:

Ekraanikuva

Turvakaalutlustel, s.o et keegi ei lukustaks sinu kontot oma telefoninumbriga, küsitakse sinult uuesti parooli:

Ekraanikuva

Edaspidi hakkab Google’i turvasuhtlus Sinu suunas toimuma tekstisõnumite vahendusel. Sisesta selle mobiiltelefoni number, millele soovid edaspidi turvasõnumeid saada:

Ekraanikuva

Seejärel saad Google’ilt SMSi teel ühekordse toimingukoodi. Alloleval ekraanipildil on mitmeid sõnumeid koodidega – see näitab, et turvalist sisselogimist on varemgi kasutatud:

Ekraanikuva

SMSiga saadud ühekordne kinnituskood tuleb nüüd sisestada turvahäälestuste häälestamise lehele. Veidi konarliku tõlke üle ei tasu naerda, kõrgema turvalisuse nimel tuleb tõlkevead ja -konarused lihtsalt ära kannatada:

Ekraanikuva

Ettevalmistused on nüüd tehtud, on aeg moodsa, mitmeastmelise autentimise kasutuselevõtuks. Igapäevaseks kasutamiseks tuleb 2FA eraldi sisse lülitada:

Ekraanikuva

Oledki pääsenud järgmisele tasemele. Ekraanile ilmub info, et kaheastmeline kinnitamine on nüüdsest aktiveeritud:

Ekraanikuva

Ent kuidas toimub sisselogimine edaspidi, pärast kaheastmelise kinnitamise sisselülitamist?

Ekraanikuva

Palju õnne – oledki aktiveerinud kaheastmelise autentimise!

Kas panid tähele – on olemas valik „ära selles arvutis enam küsi“. Need eriti paranoilised kasutajad, kes kardavad rünnakut ka omas kodus, võivad selle linnukese ju maha võtta ning siis saadetakse telefonile iga sisselogimise käigus uus kinnituskood.

Enamasti kasutaja nii keerukat süsteemi ei vaja. Edaspidi tunneb sotsiaalvõrk ära tema koduarvuti ja töökoha WiFi – see toimub IP-aadressi alusel – ning varem tuntud kohast sisse logimisel koodimängu ette ei võeta. Kuid hoiatus – sama juhtub ka kooli või kohviku avalikes WiFi-des, mis on oma olemuselt palju ohtlikumad. Teisisõnu, kasutajal tuleb ise teha õige valik – näiteks selline, mis tagab piisava turvalisuse, kuid ei pommita pidevalt koodidega.

Rakenduse Google Authenticator seadistamine

Vahel juhtub, et inimene satub välismaale, kus andmerändlus (roaming) ja SMSid on kallid. Turvaline arvuti leidub ehk sõbra kodus, kuid kuhu saata sel juhul koodid?

Selgub, et Google’il on olemas spetsiaalne nutitelefonirakendus olukordadeks, kus ei taheta telefoniside peale raha kulutada. Rakendus genereerib lühiajaliselt kehtivaid koode, millega on võimalik Google’i teenustesse sisse logida. Turvalisuse tagab siin täpne kellaaeg ja telefon, mida kasutaja usaldab.

Et Google Authenticator saaks töötada, tuleb see autentimisviis esmalt oma Google’i konto tarbeks aktiveerida (lubada).

Klõpsa Google’i konto alt „Rakendus Authenticator SEADISTUS“:

Ekraanikuva

Koodi turvaline arvutamine toimub Androidis ja iPhone’is pisut erinevalt, mistõttu on ühtlasi vaja ära märkida ka oma telefoni tüüp:

Ekraanikuva

Google’i konto on nüüd Authenticator’i kasutamiseks seadistatud.

Ekraanikuva

Järgnevalt tuleb rakendus nutitelefoni poest alla laadida. Siinse näite puhul on tegemist Android-seadmega, seega suundume Play poodi ning leiame õige rakenduse:

Ekraanikuva

Järgnevalt tuleb rakendus siduda kontoga, kuhu hakatakse koodigeneraatori abil sisse logima. Selleks tuleb siseneda valikusse „Lisa konto“:

Ekraanikuva

Kõige mugavam on vajalikku andmeülekannet sooritada QR-koodi kaudu. Toimub see küllaltki sarnaselt e-hääletusega (kus samuti pildistatakse QR-kood ekraanilt maha). Ei maksa ehmuda, kui QR-koodi skannimiseks/pildistamiseks küsitakse kaamerakasutusluba (piltide/video salvestamise luba). Ning taas kord – Google’i konarlikku eestikeelset tõlget ei maksa lihtsalt tähele panna.

Ekraanikuva

QR-koodi pildistamine ekraanilt näeb välja umbes sedasi:

Ekraanikuva

Pärast rakenduse seadistamist teeb Google kasutajale puust ette, kuidas koodi genereerimine käib. Kood tuleb sisestada arvuti veebivormi:

Ekraanikuva

Kood saadakse rakendusest Google Authenticator. Koode meelde jätte pole vaja, iga kord genereeritakse uus kood.

Ekraanikuva

Google Authenticator ongi kasutamiseks valmis:

Ekraanikuva

„Kaheastmelise kinnitamise“ info Sinu Google’i konto küljes näeb nüüdsest välja umbes selline:

Ekraanikuva

Sisselogimine pärast rakenduse Google Authenticator kasutuselevõttu toimub sedasi:

Ekraanikuva

Kuidas aktiveerida kaheastmeline autentimine Facebookis?

Kokkuvõtteks

Enamik Sinu konto ülevõtmiseks suunatud rünnetest toimub läbi Interneti kusagilt kaugelt (ja üldsegi mitte Sinu kodust, koolist, töökohast või lemmikkohvikust). Seetõttu, kui kontrollida sisselogimisel IP-aadressi ja veebilehitseja tüüpi (just seda teevad nii Google kui ka Facebook), õnnestub enamik ründeid ära hoida. Tõsi on paraku ka see, et kui rünnak lähtub Sinu enda lähiümbrusest ning ründajal on füüsiline ligipääs Sinu telefonile, siis pole kaksikautentimisest kuigivõrd kasu.

Multiautentimisest

Tänavu on kõige populaarsem turvasõna 2FA. RIA analüütik Anto Veldre selgitab, mida multifaktorsus tähendab, mida kõigi nende fa-fa-faa’dega peale hakata ning miks on mõne säärase pruukimine hädatarvilik.

Allikas: http://10ways10days.org/wordpress/defense-of-identity/

Identiteet

Teenuste kasutamiseks Internetis tuleb inimesel masinale tõestada, kes ta on. Turvaõpik räägib identiteedist, asjast, mis (vahel ka mitu) on olemas igal inimesel.

Eestis on asi lihtne – riik annab igale inimesele isikukoodi ja see ongi inimese esmane identiteet. Kõik teised identiteedid toetuvad isikukoodile. Eestlane ei saa maksuametisse minnes väita, et ta on Miki Hiir või Sammalhabe.

Seevastu Facebookis ja Google’is saab igaüks luua kasutajakonto, tuginedes vabalt valitud nimele ja suvakohas loodud meiliaadressile. Kindlasti tuleks eristada identiteeti kontost – esimene neist määratleb indiviidi, teine moodustub alles teenuse ning kasutaja koostoimes. Eestis tagab isikusamasuse eelkõige riik, muus kontekstis võib identiteedi ja konto mõiste kergesti sassi minna.

Autentimine

Turvaõpikute järgi on autentimine tegevus, mille käigus tarbija (või teenust saada sooviv isik) masinale tõestab, et ta on just tema ja mitte keegi teine. Õpik ütleb, et turvamehega suheldes tuleb teha kaht asja: alustuseks esitada mingi väide selle kohta, kes sa selline üldse oled, teise asjana tuleb esitada identsustõend – miski, mis tõestab, et sina ikka oled sina.

Allikas: https://en.wikipedia.org/wiki/RSA_SecurID

Identsustõendeid saab liigitada kolmeks:

miski, mida Sa tead – (something you know) – näiteks PIN-kood või parool.
miski, mis Sul on – (something you have) – näiteks puuhalg, RSA tõuken riistvarapääsmik või ID-kaart.
miski, mida Sa oled – (something you are) – siia liigituvad biomeetrikud (ehk biomeetrilised tõendid) – sõrmejäljed, vikerkestamustrid, klaviatuuril tippimise viis jms.

Allikas: http://lifehacker.com/5932700/please-turn-on-two-factor-authentication

Topelt ei kärise

Identsustõenditega on see häda, et keegi võib need ära varastada ja siis kuritarvitada. Parooli sisestamist võidakse pealt vaadata, või kui veebisait ei kasuta https’i, siis võrgukihis pealt kuulata. ID-kaart võidakse varastada ning võõra inimesena esinedes kallis telekas osta.

Mistõttu, kui on vaja saavutada keskmisest kõrgemat turvalisust, nõutakse kaht identsustõendit korraga, eelistatult eri liikidest. Kui inimeselt tahetakse saada kaht identsustõendit korraga, siis öeldakse, et tegu on kaksikautentimisega ehk kahefaktorilise autentimisega (lühendist 2FA – two factor authentication). Kasutusel on ka sõnad kaheastmeline autentimine või kinnitamine.

Purism

Seega – turvaõpikute ja AKITi järgi on 2FA säärane autentimisviis, kus korraga pruugitakse kaht eri kategooriasse kuuluvat ning ühtlasi sõltumatut identsustõendit. Näiteks – ID-kaart (miski, mis mul on) avaneb vaid juhul, kui sisestada õigesse kohta õige PIN-kood (miski, mida ma tean). eIDAS lausa nõuab, et kõrge turvalisusega autentimisvahend sisaldaks mõlemat aspekti: eset (turvalist, mittelahtimurtavat eset) ja teadmust.

Nii nagu sel pildil kujutatud, et tohi kunagi teha!!!

Allikas: http://www.wikihow.com/Keep-Your-Debit-Card-Number-(PIN)-Safe

Milline on tõenäosus, et kurjategija saab korraga oma valdusse nii ID-kaardi kui minu peast PIN-koodi? Nullilähedane! See on põhjus, miks ei peaks PIN-koode kaardi tagaküljele kirjutama ega tohi neid ka (pihtapandavas) rahakotis hoida. Siis pole ju tegemist eri kategooriatesse kuuluvate tõenditega, sest omanik omaenda käega tõstis PIN-koodi “ma tean”-sahtlist ümber “ma oman” sahtlisse.

Kvantsiire

Biomeetrikutega peaks ette vaatama – firmad kipuvad neid liiga kergekäeliselt pruukima multiautentimise ühe faktorina. Sest kui pättidel on ikka väga vaja uksest sisse saada, siis võib juhtuda õnnetus – tabamatust “miskist”, mida ma just olin, võib saada ese, mida pätid omavad.

Kaader filmist Purustaja (Demolition Man). Allikas: http://actionagogo.com/2016/01/13/demolition-man-send-a-maniac-to-catch-a-maniac-2/

Biomeetria pole ehk veel päris kasutusküps. Lekkinud parooli vahetamine on imelihtne. Kui pihta pannakse ID-kaart, siis saab üsna kiiresti uue, ent kui mõnest andmebaasist pannakse pihta sõrmejäljed, siis kuidas peaks inimene oma sõrmi vahetama?

https://blog.kaspersky.com/biometric-atms/13259/

Parooli või turvaseadme puhul, kui just pole juhtunud mõnd räiget teostusviga, saab isiku tuvastada 100% täpsusega. Biomeetria numbrid on kehvemad – valepositiivsete ja valenegatiivsete otsuste hulk on ikka häirivalt kõrge.

Allikas: http://www.helpmecore.com/two-factor-authentication/

Pooleteisttoobine 1,5FA

Kui eelneva pinnalt hinnta Google’i või Facebooki autentimist, siis lühend 2FA tekitab pisut segadust. Meenutame: ID-kaardi kasutamine Eestis on üsna unikaalne. Turvaline kandja, mille sees olevat sertifikaati saab kasutada vaid PIN-koodi abil – seda muidu IT eesliinil paiknevas USAs lihtsalt pole. Kuid identiteedikuritegusid on neil rohkem kui meil. Ainult paroolist ei piisa pangas käimiseks ega blogipidamiseks – pahaaimamatu kasutaja identiteet võidakse ära varastada.

Selles olukorras, et mitte kliente kaotada, tuleb midagi välja mõelda. Mõeldigi. Teise faktorina saab kasutada midagi, mis on kasutajal olemas – näiteks telefoninumber või e-mail.

Paar aastat tagasi, kui identiteedivarguste hulk USAs hakkas kasvama, taasloodi 2FA, kuid kasutati turvaõpikus toodust pisut erinevaid „faktoreid“. Kontoomanik logib sisse küll parooli abil, kuid: omanikule antakse igast sisselogimiskatsest teada e-kirja või SMSiga. Google’i või Facebooki nn „2FA“ on seega pigem 1,5FA – segu teadmusest, kokkulepitud sidekanalist ning kasutaja senisest käitumisajaloost. Mingit kaitset see meetod ju ikkagi pakub, sest kui kurjategija üritab kontot kaaperdada, siis esimesest „võõrast“ sisselogimisest antakse konto omanikule kohe teada, või isegi küsitakse luba, kas võõralt IP-aadressilt tulnu üldse tohib tema kontole minna.

Allikas: https://www.telesign.com/mobile-identity/

1,5FA puudus – et see töötaks, peab teenusepakkuja kliendi kohta parasjagu palju teadma (et mitte öelda – pidevalt juurde nuhkima).

Samas on stsenaariume, kus sedasorti 2FA-st pole kasu. Seda eriti siis, kui ründaja saabub sama IP-aadressi tagant sama seadet kasutades – nii juhtub näiteks kodus ja töö juures. Sestap tuleks säärast kontrolliviisi pigem nimetada pooleteistfaktoriliseks autentimiseks (1,5FA).

Siiski on Google ja Facebook oma klientide kaitseks teinud parima, mis neis tingimustes võimalikuks osutus. Meil siin on peamine aru saada, et sertifikaatidega sisselogimine, eriti kui neid hoitakse turvalises seadmes, on ikkagi kordades turvalisem 1,5FA teavitusskeemidest. Aastal 2016 on pelgalt parooliga Facebookis käimise riskid juba liiga suured. Kui 1,5FA meetodit pakutakse, olgugi siis „2FA“ nime all, tuleks seda sellegipoolest kasutada.

Kõige põnevamalt on käitunud Microsoft – kasutades termineid Duo Authentication ja Modern Authentication.

Boonus

Alljärgnev otsusepuu peegeldab parooliga ringikäimise õiget viisi aastal 2016.

Autor: Anto Veldre, vabakasutus (copyleft)

Blogist leiad ka juhised:

Petukirjadest: GoogIe pole G00gle pole Google

Anto Veldre, RIA analüütik

Jõul saabub varsti, küberpätid vajavad pühatsemiseks raha ning sellega seoses on saabumas Gmaili identiteedivarguste järjekordne laine (mitte et vahepeal olnuks puhkuste periood). Eriti on löögi all nn kollektiivkontod, kus firmanimi@gmail.com stiilis postkasti tarvitavad vaheldumisi ja ühesama parooliga kõik väikefirma seitse töötajat.

Miks üldse väikefirmad Gmaili kolivad? Sest äärmuseni trellitatud e-postimaastikul suhtutakse igasse uude tulijasse kahtlusega ning omaenda serveri pidamine eeldab oskusi, mida enamikel pole. Oluliselt mugavam on jooksutada oma e-posti Google’i kaudu – asjaolu, et sealne robot kõiki kirju loeb, väikeärisid väga ei morjenda.

Seekordne Newcastle’i kiri on peaaegu eestikeelne, tühistest keele- ja stiilivigadest libiseb treenimata silm lihtsalt üle. CERT-EE on näinud ka variatsioone (käisin reisil Limassol, Küpros; käisin reisil Pariis, Prantsusmaa; raha saatmiseks kasutada Moneygram’i). Säärast kirja saades tuleks “ohvrile” kohe helistada – siis selgub, et too rabab tööl raha teenida ega ole Newcastle’i lähedalegi saanud. Mitte mingil juhul ei tohi helistada numbril, mida pakutakse samas kirjas – see telefon on siis juba kenasti suunatud mõnda teise riiki ning pätikontori HelpDesk juba ootab kliente.

Kollektiivse konto mured

Kollektiivsel postikontoga kaasneb mitu põhimõttelist ohtu. Esiteks, parooliks pannakse seal midagi väga lihtsat, mis igaühele meelde jääb … näiteks kümme A-tähte või muud sarnast. Sellevõrra lihtsam on siis ka konto lahtimurdmine. Teiseks, risk korrutub kasutajate arvuga. Viiest kasutajast üks kindlasti ei pea kiusatusele vastu ning läheb tähtsat kirja kaema mõnest pättide kontrolli all paiknevast kohvikuarvutist. Kolmandaks – ja kõige olulisem – mõisa kollektiivset köit on keeruline kasutada koos 2FA ehk kaheastmelise autentimisega… sestap jäetakse see elementaarne ning tänapäeval kohustuslik kaitsevahend pruukimata.

Lõpuks, nagu mõisa köite ja kolhoosi hobustega muiste, need pole ju õigupoolest kellegi omad. Vastutus hajub ning vead on kerged tekkima – oleme kuulnud juhtumist, kui sekretär kodust posti kontrollides küll nägi Google’i punast hoiatust ohtliku saidi kohta, kuid otsustas teadet ignoreerida, sest tema postikontoga ei saa ju ometi midagi valesti olla. Saab küll – ta sisestas paroolid hoopis pättide petusaidile, need aga tegid kontole kiiresti üks-null ära.

Andris Reinman on oma blogis kirjeldanud nippi, kuidas omi ameerika kontosid 18USD maksva U2F pulgakesega turvata, kuid see nipp eeldab ikka isiklikku kontot, mitte küla oma.

Pätt-psühholoogid

Sedakorda on küberpätid ära teinud kodutöö ning palganud konksusid poleerima psühholoogi. Kontoomanikule hakatakse valvsuse uinutamiseks saatma erinevaid “turvateateid”. Mõni neist teadetest on äravahetamiseni sarnane Google’i enda turvateatega … annab teada, et kusagilt kohast käidi kirju lugemas – kollektiivse firmakonto puhul näib ju tõesti kahtlane see kiirus, millega klient Missost Narva ja sealt Kuressaarde ümber paigutub, kuid samal põhjusel harjub ka kasutaja silm neid teateid eirama. Ühel hetkel aga saabub teade, et keegi on teie nimelt sisse loginud ja nüüd tuleks minna vaatama, kes see oli ja miks.

Säärase hoiatuse puhul ei tohi mitte kunagi klikkida ühelgi kaasa sokutatud lingil, vaid tuleb minna Google’i Security Center’isse otse peauksest. Kahtlastel linkidel klikkides suunatakse kasutaja läbi mitme vahenduskontori petusaidile, mis on välimuselt äravahetamiseni sarnane Google’i sisselogimisaknaga, kuid on tegelikult hoopis mingi muu koht. Näiteks goog1e.com või G00G1E.com (või mõni sarnane). Mõnikord ei pruugi teekond lõppeda petusaidil, vaid ehtsas Google’is, aga tee peal on näiteks läbitud ka pahavara jagav veebisait, kust munetakse kasutaja arvutisse käomuna. Vahel juhtub, et nn “Guugel” saadab teavituse, et keegi on esitanud paroolivahetustaotluse. Lisatud on link parooli vahetamiseks. Säärast linki ei tohi mitte mingil juhul klikkida – Security Centerisse tuleb siseneda peauksest, mitte kõrval- või tagauksest.

Uusim petutaktika tundub olevat, et hoiatusi tekitatakse inimesele järjest mitu tükki. Esimest ja teist inimene ehk uurib, kolmanda saadab ka itimehele kontrolli, kuid pärast neljandat valvsus hajub. Pauk saabub aga umbes viienda kirjaga:

Kogemustega kasutaja võib hiire ettevaatlikult lingi peale juhtida (mitte vajutada!!!) ning sirviku alaservast vaadata, kuhu link tegelikult viib (lingi sisu hindamiseks on paraku vaja teadmisi ja kogemusi). See nipp töötab arvutis, kuid kahjuks mitte mobiiltelefonis.

Lõpuks postituse pealkiri pisut teistsuguse šriftiga … kas nüüd näete, kus on probleem?

Petukirjadest: GoogIe pole G00gle pole Google.

CERT-EE soovitused

Kui te pole veel ohvriks osutunud, kuid teil on kaheastmeline autentimine aktiveerimata, siis tehke seda kohe leheküljel https://www.google.com/landing/2step/.
Vältige paroolide ristkasutust erinevatel kontodel.
Kui olete juba ohver, kuid ligipääs kontole on säilinud, vahetage viivitamatult parool ning aktiveerige kaheastmeline autentimine. Kui kasutate sama parooli ka teistes teenustes, siis vahetage parool kohe ka seal. Rangelt soovitame kasutada erinevaid paroole.
Korralik parool on kui väikene jutuke või laulusalm, mida on vürtsitatud väikeste vimkadega. Näiteks parool „PärastSodakell6” on päris hea ja samas kergesti meeldejääv.
Kui kontole ligipääs puudub, saate abi lingilt https://support.google.com/mail/answer/50270/.
Tihtipeale on ära muudetud ka teie konto keel. Keeleseadeid saate muuta lingilt https://myaccount.google.com/u/1/language.
Kui teie meilid on kustutatud ning neid ka prügikastis ei ole, külastage saiti https://support.google.com/mail/answer/78353/.
Mõelge, kas teil on mõni kaastundlik tuttav, kes võiks Newcastle’i kirja saades tahta teid aidata ning langeda selle pettuse ohvriks. Võtke temaga kohe ühendust ja pidurdage tema altruismi!
Kindlasti teavitage juhtumist ka Politsei- ja Piirivalveametit. Politseid saab teavitada ka elektrooniliselt. Teate võib esitada vabas vormis.

Prefektuuride meiliaadressid: http://www.politsei.ee/et/kontakt/prefektuuride-kontaktid.dot.

CERT-EE on tänulik, kui te annate meile informatsiooni küberpättide kohta. Infot selle kohta, kes on teie kontole sisse loginud, kuid kes pole kindlasti olnud teie ise, leiate enda kohta linkidelt
https://security.google.com/settings/security/notifications ja https://security.google.com/settings/security/activity. Info sisaldab järgmist: (seadmed, tarkvara, aeg, ligikaudne geograafiline asukoht, IP-d jms).

Suure tõenäosusega võib teie parool lekkinud olla näiteks mõne õngitsussaidi abil. Meenutage, kas olete oma parooli sisestanud mõnel kahtlasel veebilehel ning meenutage, kuidas täpselt te sinnani jõudsite. Teavitage CERT-EE’d sellest veebilehest ning kui on alles e-kiri, mis teid sinna suunas, saatke ka see – kui oskate, siis ikka koos päistega (seal sisaldub pätipüügiks olulisi numbreid).

CERT-EE’ga saab ühendust võtta meiliaadressi cert@cert.ee.

Meenutame ka varasemat kirjutist samal teemal:
https://blog.ria.ee/eesti-keel-meid-enam-ei-kaitse/.
Inglise keele oskajatele soovitame levinumate petukate kirjeldust Wikipedias.