Tag Archives: pahavara

Crash Override ehk krahhiv sürjutamine

Foto: ML Banner, allikas: http://www.mlbanner.com

Autor: CERT-EE

Turvaettevõttega Dragos võttis juuni alguses ühendust Slovakkia antiviiruse tootja ESET, kes teavitas neid tööstuslike juhtimissüsteemide jaoks kirjutatud pahavara leidmisest. Dragose meeskond leidis tänu laekunud teavitusele pahavara näidiseid, tuvastas uued funktsionaalsused ning võimalikud käivitusstsenaariumid. Lisaks leidis Dragos ka kinnituse, et tegemist on sama pahavaraga, mida kasutati 2016. aasta detsembris Kiievis kõrgepinge alajaama juhtimissüsteemi ründamiseks põhjustades ulatusliku elektrikatkestuse.

“CrashOverride” või siis maakeeli “krahhiv sürjutamine”, on teadaolevalt esimene pahavararaamistik, mis on disainitud spetsiaalselt elektrivõrkude ründamiseks. Oluliseimad koostisosad on tagauks, mis tagab ligipääsu nakatunud süsteemile, laadimismoodul, mis sõltuvalt sihtmärgist valib sobiva lasti ning individuaalsed lastimoodulid.

CrashOverride käivitamise ja sõltuvuse ülevaade. Allikas: https://arstechnica.com

Mis teeb Crash Override nii kõrgetasemeliseks, on selle võime kasutada elektrivõrkude spetsiifilisi andmeside protokolle, mida kasutavad elektrivõrgu juhtimissüsteemid alajaamadega suheldes. Sellest tulenevalt on pahavara veelgi märkimisväärsem, et pahavara omab eraldiseisvaid mooduleid kõikidele tänasel päeval globaalselt levinud elektrivõrgu juhtimisprotokollidele. Pahavara kasutati Ukrainas juhtimissüsteemi matkimiseks, mis edastas alajaama lülititele korraldusi liinide sisse ja välja lülitamiseks. Lisaks elektrikatkestustele võib kõrge koormusega elektriliinide korduv lülitamine füüsiliselt kahjustada alajaamade lülitusseadmeid, põhjustades märkimisväärset varalist kahju võrguettevõttele.

Olulist:

  • Pahavara identifitseerib ennast ise mitmetes kohtades “krahhina” (crash), mille tõttu on pahavara raamistik ka oma nime saanud.
  • CrashOverride on esimene pahavararaamistik, mis on disainitud ja kasutusse võetud elektrivõrkude ründamiseks.
  • CrashOverride on teadaolevalt neljas tööstuskontrollsüsteemide vastu suunatud pahavara (esimesed kolm olid Stuxnet, BlackEnergy ja Havex) ning teine, mis on disainitud ja loodud füüsiliste protsesside halvamiseks (esimene oli Stuxnet).
  • CrashOverride ei ole unikaalne ühelegi konkreetsele seadmetootjale või konfiguratsioonile ning selle asemel kasutab ta kahju tekitamiseks ära teadmisi elektrivõrgu juhtimissüsteemide toimimise põhimõtetest ja võrgukommunikatsioonist, olles seega kasutatav nii Euroopas kui ka osades Lähis-Ida ja Aasia riikides.
  • CrashOverride on laiendatav ning mõningase vaevaga, nagu näiteks DNP3 protokollimooduli lisamisega, on see kohaldatav ka Põhja-Ameerika elektrivõrkudele.
  • CrashOverride’i saaks samaaegselt käivitada ka mitmetes asupaikades, kuid tänu kohapealsete ümberlülituste võimekusele elektrivõrgus ei oleks see stsenaarium kataklüsmiline ning sellele järgneks mõnetunnine, halvimal juhul mõnepäevane katkestus, mitte mõne-nädalane või pikem.
  • CrashOverride’i raamistik ei ole loodud spionaaži eesmärgil ning pahavara ainsaks eesmärgiks on elektrivõrgu teenuse katkemiseni viivate rünnete tekitamine.
  • CrashOverride oleks laiendatav teiste tööstusharudeni lisaprotokollimooduleid kasutades, kuid ründajad ei ole ilmutanud põhjalikke taustateadmisi teistest füüsilistest tööstusprotsessidest ning antud oletus on praegusel hetkel hüpoteetiline.
  • Dragos on tuvastanud, et CrashOverride’i taga on grupeering nimega Electrum ning Dragose hinnangu alusel on Electrumil otsesed seosed Sandwormi meeskonnaga.

Kaitsesoovitused

Lisaks tavapärastele esmastele kaitsemeetmetele on rangelt soovituslik võtta kasutusele alltoodud kaitsemeetmed:

  • Elektriettevõtete turvameeskondadel peab olema selge arusaam, kus ja kuidas kasutatakse IEC104 ja IEC61850 protokolle. Erilist tähelepanu tuleb pöörata antud protokollide andmemahtude suurenemisele võrreldes tavaolukorraga. Lisaks tuleb süsteemidest otsida antud protokollide võrguliiklust, mis ei kuulu teadaolevatele seadmetele.
  • Ära unusta OPC protkolli! CrashOverride’i käivitumise puhul on täheldada ka OPC protokolliga seadmete skaneerimist, mis tekitab tavapärasest rohkem võrguliiklust.
  • Seadmete konfiguratsiooni- ja projektifailide tagavarakoopiad peaksid olema varundatud offline andmekandjatele ning eelnevalt testitud. See aitab maandada pahavara jälgede kustutamise funktsionaalsusest tulenevat kahju.
  • Valmistage eelnevalt ette intsidendi lahendamise plaan ning võimalusel viige läbi harjutus, kaasates vajalikud huvigrupid, kaasa arvatud tehnilise-, tootmise-, infotehnoloogia- ja turvapersonali. Stsenaarium peaks hõlmama alajaamade töö katkemist ning käsitsi teostatavate toimingute tegemist SCADA keskkonna taastamiseks ning sündmuse analüüsiks vajalike tõestusmaterjalide kogumist.
  • Otsige oma võrkudest YARA reeglite ja teiste kompromiteerumise indikaatorite abil.

Lisalugemist:

Lunavarajuhtumi ennetamine

Anto Veldre, Riigi Infosüsteemi Ameti analüütik

komando

Pilt lehelt komando.com

Aastal 2015 leidis Eestis aset vähemalt 150 lunavaraga seotud väljapressimisjuhtumit (kuid arvatavasti rohkemgi). Lunavarajuhtumite hulk ei kipu vähenema ka sel aastal. Kasutaja hooletu käitumise tõttu käivitub arvutis pahavara, mis muudab tuhanded failid mõttetuks bitijadaks. Olukorras, kus ravi puudub, tuleb pigem mõelda ennetusele.

Lunavara on erilist tüüpi kuri(tark)vara, mis krüpteerib ohvri failid ja nõuab siis taastamise eest lunaraha. Seni on võideldud põhiliselt tagajärgedega. Lunarahaviiruse külaskäigul on kindel hulk stsenaariume – kas varukoopia, kust oma failid taastada, eksisteerib või mitte?! Ning kui tekib küsimus kurjategijaile maksmisest, siis mõnikord saadakse omad failid tagasi, kuid vahel mitte.

Lunarahanõue tekitab keerulisi eetilisi dilemmasid – kurjategijatele makstes nimelt toetaksime kuritegevust täiesti otseselt. Ka pole garantiid, et ravim üldse saabub – on juhtunud ka sedasi, et pätid võtavad raha vastu, aga faile ikkagi lahti ei lukusta.

Alljärgnev kirjatükk käsitleb proaktiivseid lahendusi – ehk siis neid, millega peaks tegelema enne kui lunavara külla tuleb. Soovitused on kirja pandud CERT-EE ulatusliku kogemuse põhjal.

Pahavara-03

Põhilised vastumeetmed

Olgu tegu koduarvuti või firma arvutisüsteemiga, ennetava sekkumise kohti on põhiliselt neli:

  1. Panna filter vahele, et lunavara ei jõuakski arvutisse. Üldisemalt tähendab see asjalikku viirusetõrjet ning netis sirvimise keskkonna pisukest häälestamist.
  2. Takistada lunavaral käivitumist.
    Esimeseks filtriks on inimene, kes ei peaks uudishimust või tegevuslustist kõigel klikitaval klikkima. Inimeste teadlikkust saab oluliselt tõsta.
    Teiseks filtriks on operatsioonisüsteemide keerulisem timmimine nii, et tundmatu või vales kataloogis asetsev fail lihtsalt ei käivituks (Windows Group Policy, DEP; (SE)Linux).
  3. Teha varukoopiaid süsteemselt ja sageli (ning ühtlasi viisil, mida lunavara ei suudaks rünnata).
  4. Panna päitsed kahju ulatusele – ennetavalt luua piirangud (näiteks kasutajaõiguste piirangud), et pahalane ei ulatuks asutuse failiserverit kokku krüptima ega varem tehtud varukoopiat solkima.

Korporatiivse võrgu iseärasused

Asutuse või firma arvutisüsteemi puhul on väga palju kasu keskhaldusest. Kui pahavara ühes tööjaamas ära tuntakse, siis saab vastumeetmed hetkeliselt käivitada ka kõigis teistes tööjaamades. Kodu puhul säärased kallid automaatseadmed puuduvad ning pigem tuleb loota planeerimise ja ettevalmistuse kvaliteedile.

Asutuse/firma teine eelis on ülemaailmsesse reputatsioonisüsteemi ühendatud kallid riistapuud – tulemüürid, sisufiltrid jms, mis kasutajale märkamatult iga võrguühendust „nuusutavad“. Koos keskhaldusega moodustub reaalajalähedaselt tegutsev kaitse. Eraisik neid kaste osta ei jaksa, küll aga saab eraisik pingule timmida oma netisirviku häälestused.

Asutuse/firma kolmas eelis on palgaline itimees, kes orienteerub Windowsi Registry’s ja kasutajaõiguste finessides ning suudab arvutitele igasuguseid drakoonilisi piiranguid peale sundida.

Asutuse/firma iseloomulik probleem on töötajate arv. Ükski töötaja pole ilmeksimatu, saja töötaja puhul tõuseb tunduvalt tõenäosus, et mõni neist ikkagi klikib pahavaral. Piisab vaid ühest kasutajast ja mõnest ülearusest õigusest failiserveris, kui juba ongi tuhanded failid kasutamatuks muudetud. Halvimal juhul võib seetõttu peatuda kontori põhitegevus.

Varundamine

Varundamisel tuleb juhinduda 3-2-1 reeglist. Infost (failidest) peab olema vähemalt kolm eksemplari, vähemalt kahel erinevas tehnoloogias kandjal (magnet vs optiline) ning vähemalt üks eksemplaridest võiks asuda kusagil mujal (off-site), näiteks vanaema kapis või pangaseifis. Digitaalse info puhul on kohatu rääkida originaalist ja koopiatest, sest bitikombinatsiooni kõik esinemisjuhud on võrdväärsed. Originaal on koopiatest eristamatu.

Enne varundamist on oluline tuvastada unikaalne ja oluline info, mida pole võimalik mujalt hankida ega taastada. Näiteks pole eriti mõtet varundada Internetist kohale tiritud muusikat ja filme, seda kraami saab alati uuesti kohale tirida või vooteenusena vaadata. Oluline on varundada unikaalsed failid – perekonnapildid, originaalarved, kirjanduslik looming, asutuse töö käigus tekkinud dokumendid, patsiendi haiguslood – kõik see, mida nullist taastada polegi võimalik või mis nõuaks mahukat käsitööd.

Varukoopiate tegemist mõnikord kardetakse, kuivõrd planeerimisele kulub palju vaimuenergiat ja aega ning pole kindlalt teada, kas tagavarakoopiat üldse läheb kunagi vaja. Otsustamisel on abiks üks mõtteharjutus – küsige endalt, kui palju oleksite nõus maksma oma andmete tagasisaamise eest. Reeglina need, kel on kordki õnnestunud andmekaost pääseda ja oma failid varukoopialt tagasi saada, varundavad edaspidi palju agaramalt.

Mitte kõik varundusmeediad pole samaväärsed. Mistahes varukoopia on ikkagi parem kui selle puudumine, seejuures failiserver on parem kui üksik kõvaketas, pilv (Amazon, Google Drive) on parem kui USB pulk. USB pulkade ning isekõrvetatud DVDde lugemisega tekib sageli probleeme, kuid alustamiseks kõlbavad needki.

NB! Soovitusi. C: kettal teise kataloogi tehtud lisakoopia pole varundamine, vaid pelk julgestuskoopia (omaenda vigade vastu)! Riigiasutustes ja teravas konkurentsis töötavate firmade puhul pilv varundamiseks ei sobi – sest tundlikku infot ei sobi võõra onu juures hoida. Ka ei sobi pilv ülearu isiklike fotode jaoks, mis eiravad pilve asukohariigi konservatiivseid arusaamu kombekusest. Pilveketast (nagu DropBox) ei tohiks hoida kogu aeg arvuti küljes – või muidu suudab lunavara ära krüpteerida ka selle. Seevastu USB pulk võib äikeselise ilma või siidi ja villaste riiete vahelise hõõrdumise tulemusel tekkinud elektrilaengust hetkeliselt rikneda.

Eraldi küsimus on varundamise sagedus. Kodus tuleb normaalseks pidada üht korda nädalas, korraliku IT-osakonnaga firmas või asutuses vähemalt kaks korda päevas, aga võimalusel suisa jooksvalt. Et andmemahud ülemäära ei paisuks, toimetatakse varundamist inkrementaalselt, ehk siis, iga korraga lisandub varukoopiale vaid see osa failidest, mis vahepeal loodi või mida vahepeal muudeti.

Tuleb arvestada, et kui failimaht ületab 1–2 terabaiti, siis hakkavad oma mõju avaldama füüsikaseadused. Statistiliselt esineb kettal lugemisvigu nii sageli (10*E-14), et mõni fail ikka saab rikutud. Statistiliste vigade vältimiseks ei peaks varundamiseks kasutama liiga suuremahulisi (8TB) üksik-kettaid ning asutuse/firma IT peaks kindlasti pruukima veaparandusega kettasüsteeme (RAID-6, RAIDZ-3).

Varunduslahendus peab arvesse võtma sama faili eri versioone – teisisõnu, ei tohi algset faili lunavara poolt ärakrüpteeritud monstrumiga üle kirjutada, sarnasele nimele vaatamata.

Asjalik soovitus – identifitseeri oma kroonijuveelid oma andmete hulgas juba täna, osta suhteliselt odav väline kõvaketas ning soorita oma elu esimene tagavarakoopia!

Manused

Ehkki lunavara levitatakse ka muul moel kui e-kirjaga, on ohtlikul manusel klikkimine täna siiski esmane levituskanal.

Kõige keerulisemas olukorras on need töötajad, kelle ülesanne ongi avalikkuselt või partneritelt e-mailide vastuvõtmine. Kuid ka neil on võimalik järgida lihtsaid saastatuvastusreegleid. Siinkohal näide minu postkasti saabunud nn downloader‘itest, millel klikkimine viib vältimatult TeslaCrypt’i või Locky’ga nakatumiseni:

viralexample-04

Pole vist keeruline märgata teatud seaduspärasusi – ühetaolised, uudishimu tekitavad ettekäänded, mitte-eesti nimed, selgelt äratuntavad kampaaniad, mille käigus saabub suur kogus ohtlikku materjali päevas. Kirjad tulevad firmadelt, millega me pole kunagi asju ajanud olnud, viidatakse kontodele ja ressurssidele, mida me pole kasutanud.

Küberkurjategijad firmanipp on saata pahaloomulisi meile, mis ei ole saajaga kuidagi seotud ning loota, et huvi või hirm või muu tugev emotsioon saab inimesest võitu. Näited: arve ettevõttelt, kust ei ole inimene kunagi midagi tellinud või hoopis kurikiri õiguskaitseorganilt – ohver, kartes seadusega pahuksisse jäämist, ei suuda vastu panna ja avabki lunavara sisaldava meili. Pole vahet, kas klikitakse manusel või pahatahtlikul lingil – lunavara suudab arvutisse ronida mõlemat pidi.

Järelemõtlemisreeglid enne kui klikkida on esitatud ühes varasemas blogiloos.

Vahel kasutab kurjategija meiliteesklust (spoofing). Sel juhul langeb saatja nimi kokku mõne sõbra või tuttava omaga, kuid meiliaadress ise (kurionu@kusagil.com) on loodud keskkonnas, kus tuttaval või sõbral aadressi polegi. Sestap tuleb postiaadressi väli alati üle inspekteerida, kuigi postiprogrammist olenevalt võib see nõuda päris mitut lisaklikki.

Kahtluse korral aitab väga lihtne nipp – helistada tuttavale või küsida temalt Skype’is, kas tema on säärase kirja saatnud. Kuid ettevaatust, ka sõbra Skype võib juba olla üle võetud eesti keelt mittekõnelevate kurjamite poolt…

Võrguadministraatorile: blokeerimine ja filtreerimine

Filtreerimine puutub nii veebisurfamisse kui e-maili saamisse. Eraisiku kodused võimalused on pisut piiratumad, kuid firma ja asutuse IT-administraatoril on vaba voli teatud failitüübid ära keelata. Säärane eristamine toimub faililaiendi põhjal. Alustada tuleks käivitamisohtlike failide nagu “.exe”, “.js”, “.com”, “.msi”, “.vbs”, “.jar” blokeerimisest.

Ärisuhtluses on “.pdf”, “.zip” ning “.rar” failide blokeerimine problemaatilisem, kuivõrd neid vorminguid kasutatakse äritegevuses sageli. Kõige vastuolulisemateks on “.docx” ja “.xlsx” laiendid – need failid on makrode tõttu ohtlikud, kuid äritegevuses vältimatult vajalikud. Firmal ning asutusel tuleb siin leida kompromiss, mis inimesi kaitseks, kuid veel ei segaks põhitegevust. Eriti tuleks karta Wordi ja Exceli faile, mis on saabunud tundmatust allikast ning mis nõuavad makrode aktiveerimist – säärased tuleks itimehe juurde kontroll viia.

Asutuses ja firmas tuleks kindlasti kasutada mõnda seadet, mis kontrollib kogu netisurfamist ning pistab kisama niipea kui veebilehelt leitakse mõni nakatunud reklaam. Sellise seadme häälestamine väljub käesoleva kirjatüki raamidest, kuid tuleks teha valik lubatud ja keelatud veebilehtede vahel. Üks häälestamisviise (whitelisting) on see, et kõik, mis pole otseselt lubatud, on keelatud. Keerulisema äri puhul tuleb kasutada blacklist tüüpi filtrit, ehk siis keelustada kõik veebisaidid, mil pole tööprotsessiga pistmist (porno, sport, mängurlus). Vastava reputatsiooniteenuse saab sisse osta koos filtrikastiga.

Kodus tuleks kindlasti kasutada mõnd AdBlock taolist tarkvara, mis likvideerib kõik veebilehega otseselt mitteseotud lisamaterjali (reklaami, pakkumised). Kahjuks lõpetab siis töö ka mõni asjalik, kuid vale tehnoloogiat (java, javascript) kasutav veebileht – säärastele tuleb käsitsi teha erandid.

Filtreerimise tulemus – kurjategijatel ei õnnestu viia inimest ohtlikul lingil klikkima – filtrikast astub vahele ja blokeerib kahtlase veebisaidi vaatamise. Ühtlasi saadetakse e-kiri itimehele või turvatöötajale.

Konkreetse(ma)d soovitused

Enamikus arvutites sobib brauserina kasutamiseks Chrome, mis kaitseb kasutajat päris mitmel moel:

  1. Sandboxing – teenus, mille eesmärk on tagada, et pahavaral poleks arvutis installiõigust ning eraldada Chrome’i eri aknad üksteisest (et üks aken teisest infot ei varastaks).
  2. Uuendused – Chrome hoiab ennast pidevalt uuendatuna ning paigaldab turvapaigad automaatselt.
  3. Safe Browsing – Kasutajat hoiatatakse, kui ta satub teadaolevale pahalehele.

Adobe Flash on osutunud sedavõrd ebaturvaliseks, et targem on see oma arvutis keelata.

Sirviku pluginad – tuleks ka need üle vaadata, lubada vaid seda, mis on vältimatu (ID-kaardi tarkvara) või vastupidi, vajalik kahtlase materjali filtreerimiseks – nagu näiteks uBlock Origin.

Veel üks tore plugin on ScriptSafe – see ei luba veebilehtedel javascripti käivitada. Võrguadministraatorid saavad pluginaid majandada läbi Windowsi grupipoliitika (group policy).

Antiviirus – tuleb arvesse võtta, et mitte ükski neist ei suuda 100%-list kaitset pakkuda. Vähemalt 95%-list kaitset pakuvad neist siiski enamik, mistõttu viirustõrje peab kindlasti olema paigaldatud ja kindlasti ka uuendatud (ajakohane olgu nii tarkvara ise kui viirusi äratundvad definitsioonid). Tuleb paraku tõdeda, et tasuta viirustõrjed sageli ei suuda definitsioone piisava kiirusega uuendada, et pidevalt muutuva lunavara eest efektiivselt kaitsta.

Uuendused – tänapäeva maailma reaalsuseks on, et igas vähegi populaarses tarkvaras leitakse turvaauke kui mitte iga nädal, siis kord kuus kindlasti. Enam polegi muud varianti, kui lubada automaat-uuendused igas arvutis ja nutiseadmes.

Kasutajaõigused – ilmaasjata ei peaks keegi endale arvutis administraatori õigusi tahtma. Õigused peaksid olema täpselt nii pingule kruvitud, et kasutajad oleksid üksteisest eraldatud – kui ühel neist juhtubki äpardus, siis ei laiene see kogu kollektiivile. Eriti tuleks ligipääse piirata võrguketastel – sest sinna on kogunenud kõige kriitilisemad ressursid.

Petukirjadest: GoogIe pole G00gle pole Google

Anto Veldre, RIA analüütik

petukiri

Jõul saabub varsti, küberpätid vajavad pühatsemiseks raha ning sellega seoses on saabumas Gmaili identiteedivarguste järjekordne laine (mitte et vahepeal olnuks puhkuste periood). Eriti on löögi all nn kollektiivkontod, kus firmanimi@gmail.com stiilis postkasti tarvitavad vaheldumisi ja ühesama parooliga kõik väikefirma seitse töötajat.

Miks üldse väikefirmad Gmaili kolivad? Sest äärmuseni trellitatud e-postimaastikul suhtutakse igasse uude tulijasse kahtlusega ning omaenda serveri pidamine eeldab oskusi, mida enamikel pole. Oluliselt mugavam on jooksutada oma e-posti Google’i kaudu – asjaolu, et sealne robot kõiki kirju loeb, väikeärisid väga ei morjenda.

Seekordne Newcastle’i kiri on peaaegu eestikeelne, tühistest keele- ja stiilivigadest libiseb treenimata silm lihtsalt üle. CERT-EE on näinud ka variatsioone (käisin reisil Limassol, Küpros; käisin reisil Pariis, Prantsusmaa; raha saatmiseks kasutada Moneygram’i). Säärast kirja saades tuleks “ohvrile” kohe helistada – siis selgub, et too rabab tööl raha teenida ega ole Newcastle’i lähedalegi saanud. Mitte mingil juhul ei tohi helistada numbril, mida pakutakse samas kirjas – see telefon on siis juba kenasti suunatud mõnda teise riiki ning pätikontori HelpDesk juba ootab kliente.

Kollektiivse konto mured

Kollektiivsel postikontoga kaasneb mitu põhimõttelist ohtu. Esiteks, parooliks pannakse seal midagi väga lihtsat, mis igaühele meelde jääb … näiteks kümme A-tähte või muud sarnast. Sellevõrra lihtsam on siis ka konto lahtimurdmine. Teiseks, risk korrutub kasutajate arvuga. Viiest kasutajast üks kindlasti ei pea kiusatusele vastu ning läheb tähtsat kirja kaema mõnest pättide kontrolli all paiknevast kohvikuarvutist. Kolmandaks – ja kõige olulisem – mõisa kollektiivset köit on keeruline kasutada koos 2FA ehk kaheastmelise autentimisega… sestap jäetakse see elementaarne ning tänapäeval kohustuslik kaitsevahend pruukimata.

Lõpuks, nagu mõisa köite ja kolhoosi hobustega muiste, need pole ju õigupoolest kellegi omad. Vastutus hajub ning vead on kerged tekkima – oleme kuulnud juhtumist, kui sekretär kodust posti kontrollides küll nägi Google’i punast hoiatust ohtliku saidi kohta, kuid otsustas teadet ignoreerida, sest tema postikontoga ei saa ju ometi midagi valesti olla. Saab küll – ta sisestas paroolid hoopis pättide petusaidile, need aga tegid kontole kiiresti üks-null ära.

Andris Reinman on oma blogis kirjeldanud nippi, kuidas omi ameerika kontosid 18USD maksva U2F pulgakesega turvata, kuid see nipp eeldab ikka isiklikku kontot, mitte küla oma.

Pätt-psühholoogid

Sedakorda on küberpätid ära teinud kodutöö ning palganud konksusid poleerima psühholoogi. Kontoomanikule hakatakse valvsuse uinutamiseks saatma erinevaid “turvateateid”. Mõni neist teadetest on äravahetamiseni sarnane Google’i enda turvateatega … annab teada, et kusagilt kohast käidi kirju lugemas – kollektiivse firmakonto puhul näib ju tõesti kahtlane see kiirus, millega klient Missost Narva ja sealt Kuressaarde ümber paigutub, kuid samal põhjusel harjub ka kasutaja silm neid teateid eirama. Ühel hetkel aga saabub teade, et keegi on teie nimelt sisse loginud ja nüüd tuleks minna vaatama, kes see oli ja miks.

Säärase hoiatuse puhul ei tohi mitte kunagi klikkida ühelgi kaasa sokutatud lingil, vaid tuleb minna Google’i Security Center’isse otse peauksest. Kahtlastel linkidel klikkides suunatakse kasutaja läbi mitme vahenduskontori petusaidile, mis on välimuselt äravahetamiseni sarnane Google’i sisselogimisaknaga, kuid on tegelikult hoopis mingi muu koht. Näiteks goog1e.com või G00G1E.com (või mõni sarnane). Mõnikord ei pruugi teekond lõppeda petusaidil, vaid ehtsas Google’is, aga tee peal on näiteks läbitud ka pahavara jagav veebisait, kust munetakse kasutaja arvutisse käomuna. Vahel juhtub, et nn “Guugel” saadab teavituse, et keegi on esitanud paroolivahetustaotluse. Lisatud on link parooli vahetamiseks. Säärast linki ei tohi mitte mingil juhul klikkida – Security Centerisse tuleb siseneda peauksest, mitte kõrval- või tagauksest.

Uusim petutaktika tundub olevat, et hoiatusi tekitatakse inimesele järjest mitu tükki. Esimest ja teist inimene ehk uurib, kolmanda saadab ka itimehele kontrolli, kuid pärast neljandat valvsus hajub. Pauk saabub aga umbes viienda kirjaga:

kontokoll

Kogemustega kasutaja võib hiire ettevaatlikult lingi peale juhtida (mitte vajutada!!!) ning sirviku alaservast vaadata, kuhu link tegelikult viib (lingi sisu hindamiseks on paraku vaja teadmisi ja kogemusi). See nipp töötab arvutis, kuid kahjuks mitte mobiiltelefonis.

Lõpuks postituse pealkiri pisut teistsuguse šriftiga … kas nüüd näete, kus on probleem?

Petukirjadest: GoogIe pole G00gle pole Google.

CERT-EE soovitused

  • Kui te pole veel ohvriks osutunud, kuid teil on kaheastmeline autentimine aktiveerimata, siis tehke seda kohe leheküljel https://www.google.com/landing/2step/.
  • Vältige paroolide ristkasutust erinevatel kontodel.
  • Kui olete juba ohver, kuid ligipääs kontole on säilinud, vahetage viivitamatult parool ning aktiveerige kaheastmeline autentimine. Kui kasutate sama parooli ka teistes teenustes, siis vahetage parool kohe ka seal. Rangelt soovitame kasutada erinevaid paroole.
  • Korralik parool on kui väikene jutuke või laulusalm, mida on vürtsitatud väikeste vimkadega. Näiteks parool „PärastSodakell6” on päris hea ja samas kergesti meeldejääv.
  • Kui kontole ligipääs puudub, saate abi lingilt https://support.google.com/mail/answer/50270/.
  • Tihtipeale on ära muudetud ka teie konto keel. Keeleseadeid saate muuta lingilt https://myaccount.google.com/u/1/language.
  • Kui teie meilid on kustutatud ning neid ka prügikastis ei ole, külastage saiti https://support.google.com/mail/answer/78353/.
  • Mõelge, kas teil on mõni kaastundlik tuttav, kes võiks Newcastle’i kirja saades tahta teid aidata ning langeda selle pettuse ohvriks. Võtke temaga kohe ühendust ja pidurdage tema altruismi!
  • Kindlasti teavitage juhtumist ka Politsei- ja Piirivalveametit. Politseid saab teavitada ka elektrooniliselt. Teate võib esitada vabas vormis.

Prefektuuride meiliaadressid: http://www.politsei.ee/et/kontakt/prefektuuride-kontaktid.dot.

CERT-EE on tänulik, kui te annate meile informatsiooni küberpättide kohta. Infot selle kohta, kes on teie kontole sisse loginud, kuid kes pole kindlasti olnud teie ise, leiate enda kohta linkidelt
https://security.google.com/settings/security/notifications ja https://security.google.com/settings/security/activity. Info sisaldab järgmist: (seadmed, tarkvara, aeg, ligikaudne geograafiline asukoht, IP-d jms).

Suure tõenäosusega võib teie parool lekkinud olla näiteks mõne õngitsussaidi abil. Meenutage, kas olete oma parooli sisestanud mõnel kahtlasel veebilehel ning meenutage, kuidas täpselt te sinnani jõudsite. Teavitage CERT-EE’d sellest veebilehest ning kui on alles e-kiri, mis teid sinna suunas, saatke ka see – kui oskate, siis ikka koos päistega (seal sisaldub pätipüügiks olulisi numbreid).

CERT-EE’ga saab ühendust võtta meiliaadressi cert@cert.ee.

Meenutame ka varasemat kirjutist samal teemal:
https://blog.ria.ee/eesti-keel-meid-enam-ei-kaitse/.
Inglise keele oskajatele soovitame levinumate petukate kirjeldust Wikipedias.