Autor: CERT-EE

Sel reedel tähistatakse juba 65. korda ostlemispüha must reede (Black Friday). 1952. aastast alates tähistab tänupühade (Thanksgiving) järgne reede Ameerika Ühendriikides jõuluhooaja algust ning selle puhul langetatakse paljudes poodides märkimisväärselt hindu. Veebipoodide levikuga lisandus suurele ostlemisreedele ka ostlemisesmaspäev, kuna paljud ettevõtjad said suure kasumi just tänupühadele järgnenud esmaspäeval. Alates 2005. aastast nimetataksegi tänupühadele järgnevat esmaspäeva küberesmaspäevaks (Cyber Monday).

Kui algselt olid musta reede allahindlused ainult füüsilistes poodides ning küberesmaspäeva allahindlused vaid veebipoodides, siis praegusel ajal kehtivad allahindlused mõlemal päeval nii füüsilistes- kui ka netipoodides. Lisaks on nii musta reede kui küberesmaspäeva traditsiooni üle võtnud paljud teised, eriti Ameerika Ühendriikidega tihedaid kaubandussuhteid omavad riigid.

Mustast reedest on saanud ka küberkurjategijate üks lemmikpäevi, sest allahindluse protsendile pööratakse rohkem tähelepanu kui veebipoe turvalisusele. Juhul kui Sa ei taha ebameeldivaid üllatusi nagu pahavaraga nakatunud arvuti või nutiseade ning tühjakstehtud krediitkaart või pangakonto (eeldusel, et see polnud Sina, kes ostlemisega liiale läks), loe allolevaid nõuandeid enne kui tooteid ostukorvi lisama ja makset kinnitama asud.

Soorita ost turvalises võrgus

Juhul kui Sa ei saa ostu sooritada turvaliselt oma parooliga kaitstud koduvõrgust, siis pea alati tasuta ja paroolita Wi-Fi võrkude puhul meeles ütlust, et “tasuta lõunaid ei ole olemas” ning toote või teenuse kasutamisel võib olla varjatud “hind”. Selles samas tasuta ja turvamata traadita võrgus võib parasjagu tegutseda pahasoovlik küberkurjategija, kes vastavalt soovile saab koguda kas Su isikuandmeid, sisselogimisandmeid, makseinfot, kasutusharjumusi või ka neid kõiki korraga. Aga kui muud varianti kui avatud Wi-Fi võrk parasjagu ei ole? Võimalik on kasutada virtuaalset privaatvõrku ehk VPN-teenust. VPN on võrk, mis võimaldab Sinu võrgu andmeid edastada turvaliselt läbi teise võrgu. Lisaks asutuse poolt kasutatavatele VPN-võrkudele on saadaval sadu VPN-teenuse pakkujaid, kelle hulgast saab iga soovija valida endale meelepärase variandi.

Kas see veebileht on ametlik koduleht/veebipood ja turvaline?

Enne ühegi veebilehe külastamist jäta meelde kuldne reegel – kui tegemist on Su kirjakasti juhuslikult sattunud ulmelisi allahindlusi pakkuva kirjaga tundmatult veebipoelt või kirjaga stiilis “meie pakkumised leiate manusest!”, on ainuõige tegevus vajutada nuppu “Kustuta”!

Võltslehtede loomisel pööratakse kõige enam rõhku visuaalsele äratundmisele – et lehel olev sisu tekitaks kasutajas äratundmise just tänu näilisele sarnasusele päris kaubamärgiga. Kontrolli alati, kas veebiaadress, millel oled, on täht-tähelt seesama, mis peaks olema. Juhul kui Sa siiski pole selles veel kindel, võid teha teises aknas lahti Google’i otsingu ning sisestada sinna soovitud kaubamärgi või teenusepakkuja nime ning pidada meeles, et otsingumootorites kuvatakse eespool just tegeliku kaubamärgi ametlik koduleht.

Samuti tasub alati veenduda, et veebilehe ja Sinu arvuti vaheline liiklus oleks kaitstud HTTPSiga. Selle tähiseks on roheline ikoon “Secure” aadressiribal (Google Chrome) või roheline tabalukk (Mozilla Firefox, Internet Explorer) ning aadressiribal olev URL on algusega “https://”. Parimal juhul kuvatakse seal ka kaubamärgi registreeritud ärinimi. Tänapäeval tekib järjest rohkem võltslehti, kus on samuti kasutusele võetud HTTPS-ühendus, aga URL ei klapi.

Selleks, et inimeste isikuandmeid ja/või makseinfot kalastada või klikke koguda (et saada oma lehele võimalikult palju külastajaid ning see hiljem edasi müüa), luuaks päris lehtedega sarnanevad võltslehed. Kasutatakse tuntud toodete nimesid või muudetakse neid natuke, vahetades näiteks ära kas üks või kaks tähte või lihtsalt sõnade järjekorra. Näiteks “MihcaelKors” või “KorsMichael”.

Samuti tuleb kontrollida veebilehe tippdomeeni. Juhul kui tegemist on rahvusvahelise kaubamärgi ametliku kodulehega, on üldjuhtudel tegemist .com (commercial) tippdomeeniga või asukohariigi tippdomeeniga, näiteks .ee. Siiski peaks suhtuma skeptiliselt hiinakeelsesse lehesisusse, kui kasutajale presenteeritakse seda kui .ee lõpuga kohalikku poodi. Kindlasti ei tohiks piirduda turvalisuse üle otsustamisel ainult veebilehe visuaalse vaatlusega. Selleks, et saada kätte enda jaoks huvipakkuv info, on küberkurjategijad nõus üsna palju vaeva nägema. Lisakahtlusega peaks suhtuma kindlasti veebilehtedesse, mis nõuavad Sinult liigset lisainformatsiooni. Näiteks vahel kuvatakse kasutajale teksti stiilis “(Püsi)kliendi kogemuse parandamise huvides…” ning tahetakse teada ka sellist infot, mis pole ostuks vajalik info nagu makseinfo, kohaletoimetamise ja maksja aadress ja nimi. Võimalusel tuleks alati kasutada “külalisena” ostmist, mis tähendab, et Sa ei loo omale online-kliendikontot.

Kasuta tootja ametlikku mobiilirakendust!

Tänapäeval tehakse palju oste telefonis. Veendu kindlasti, et kasutad telefonis ostu sooritades veebipoe ametlikku rakendust. Rakendust telefoni paigaldades kuvavad nii Google Play pood, Apple’i App store kui Microsofti pood suurelt kirjas oleva rakenduse nime all ka rakenduse arendaja/omaniku nime.

Rakendus tuleks telefoni tõmmata kindlasti üksnes ametlikust rakenduste poest või ettevõtte enda kodulehelt. Paljud suurettevõtted kuvavad mobiilses veebilehitsejas kodulehte külastavale kasutajale ka teavitust, et veel mugavamaks kasutamiseks on võimalik kasutada ka mobiilirakendust. Lisaks tuleks ka maksmiseks kasutada kindlasti panga enda loodud mobiilirakendust ja Smart-ID rakendust või mobiil-ID-d.

Maksa turvaliselt!

Arvutis makse sooritamisel on kõige olulisem jälgida, kas keskkonna makseosa kasutab ikka kindlasti HTTPSi. Juhul kui tegemist on välismaise veebipoega, tuleb enne hoolega mõelda, millist makseviisi oma finantsturvalisuse huvides kasutada. Üks turvalisemaid meetodeid on maksta läbi turvalise keskkonna nagu PayPal, kus aga tuleb kontot luues kindlasti aktiveerida kahetasemeline autentimine.

Makstes krediitkaardiga on turvaliseks ostlemiseks võimalik kasutada näiteks lühikese kehtivusajaga (nt 40 päeva) pangakontoga seotud virtuaalset krediitkaarti. Kuna Eestis pööratakse küberturvalisusele tihti rohkem rõhku kui mujal maailmas, siis Eestis väljastatavad krediitkaardid on juba liidetud “Turvaliste e-ostude” programmiga. Samuti on kauba mitte kohale jõudmise korral võimalik panga poole pöördudes ka makse tagasi kutsuda.

Erinevalt Eesti netipoodidest, kus pangalingiga maksmine on tavapärane, peaks ettevaatlikult suhtuma välismaistesse vähetuntud/tundmatutesse veebipoodidesse, mis krediitkaardiga maksmise võimalust ei paku ning aktsepteerivad vaid pangaülekannet. Juhul kui kasutasid ostu sooritamiseks füüsiliselt olemasolevat krediitkaarti virutaalkaardi asemel, jälgi tulevate kuude jooksul krediitkaardi tehinguid. Isegi kui kasutaja kaarti kasutatakse väikeste summade maksmiseks, mida kasutaja üldse tähelegi ei pruugi panna, näiteks Xboxi või Playstationi 5-eurone kinkekaart või 5€ Skype krediiti, koguneb ka sealt lõpuks märkimisväärne summa. Või siis oodatakse kuni kasutaja valvsus kaob ning ühel hetkel tehakse kaart korraga tühjaks. Juhul kui avastad, et Su krediitkaarti on Sinu teadmata ostudeks kasutatud, pöördu kohe oma panga poole!

Kõik pole kuld, mis seinal hiilgab

Sotsiaalvõrgustikes ja internetilehtedes võib tihti näha erinevaid reklaambännereid ja viiteid, mis suunavad tuntud kaubamärkide lehtedele (kus võib vahel kohata ka kirjavigu). Seal võib omakorda kohata fantastilisi pakkumisi, mis lubavad lausa mitmesajaprotsendilisi allahindluseid. Näiteks võid väidetavalt soetada mitmetuhande eurose kohvimasina vaid 130€ eest või pool miljonit eurot maksva teemantidest aluspesukomplekti vaid paari tuhande euro eest.

Selliseid lehti külastades võid sattuda veebilehele, mis ei ole turvaline ning kuhu oma andmeid sisestades võid kaasa aidata klikisöödale või muule pahatahtlikule eesmärgile. Kui tegemist on ettevõtte ametliku lehega sotsiaalmeedias, on nime juures sinine kontrollmärk.

Kontrollmärgis lehel tähendab, et ettevõte on ennast keskkonnas autentinud ning ettevõte on sotsiaalmeediakeskkonna poolt tuvastatud.

Lisalugemist leiab taaskord RIA blogiartiklist “Kõik pole kuld, mis seinal hiilgab”.

Turvalist netiostlemist!