Ettevõttele Elektroonilised kanalid Internetipank Kuidas vähendada riske? Phishing

Internetipank

Phishing (fishing) – infoturbetermin, mis pärineb ingliskeelsest sõnast "kalastama". Phishing seisneb rämpspostilaadsete kirjade saatmises ohvri(te)le, lootuses ohvrit eksitada ning sundida teda välja andma konfidentsiaalset informatsiooni.

Enamasti saadetakse rämpspostina välja e-kiri, mis justkui pärineb mõnelt finantsasutuselt, s.t kasutatud on vastava ettevõtte ametlikku päist, kujunduselemente, logosid jms. E-kiri sisaldab nn legendi – et seoses mõne infoturbeintsidendiga, seaduseuuendusega või lihtsalt "turvalisuse parandamise" ettekäändel palutakse kliendil minna finantsasutuse veebilehele ning sisestada kontrolli mõttes oma paroolid ja PIN-koodid või näiteks krediitkaardi PIN-koodid ja kehtivustähtaeg.

Praktikas reageerib sellistele pöördumistele kuni 5% tegelikest klientidest. Paraku veebileht, kuhu võimalik ohver siseneb, pole tegelikult mitte panga server, vaid mingi juhuslik installatsioon Venemaal, Brasiilias või mõnes muus reguleerimata IT-turbega riigis. Juhul kui ohver sisestabki serverisse oma paroolid ja PIN-koodid, satuvad need kiiresti kurjategijate kätte, kes seejärel samu koode kasutades kuritarvitavad kliendi identiteeti ja rahalisi vahendeid.

Eestis leidis esimene phishing'u juhtum aset 15. detsembril 2002, kui ühest Tallinna internetikohvikust saadeti kahtlase sisuga e-kiri kümnetele tuhandetele Eesti inimestele. Tol korral üritati teada saada Hansapanga klientide internetipanga kasutajanimesid, paroole ja koode. Paljud küsisid, et kuidas kurjategijad teadsid just neile teadet saata. Arvestades Hansapanga arvukat klientuuri, sattusid saadetud kirjad tavalise rämpspostinimekirja alusel neist paljudele. Kõnealune juhtum lõppes õnnelikult tänu Hansapanga kiirele tegutsemisele.

Täna saavad paljud inimesed oma postkasti analoogilisi võltsitud pöördumisi E-Bay, Suncorp'i ning CityBank'i aadressidelt. Kuivõrd enamik Eesti inimestest mainitud organisatsioonide teeneid ei kasuta, on teadlikkus oluliselt tõusnud.

Tähtis on mõista, et Pank ei küsi kunagi tagasi paroole ega koode, mis ta oma kliendile on väljastanud. Pankade infotehnoloogialahendused on ehitatud vägagi karmide nõuete alusel ning legende nagu "meil läks kogemata midagi kaduma" või "me tahame midagi lihtsalt üle kontrollida" ei peaks klient kunagi uskuma – need on otsene kelmus. Kõigi koodide korraga küsimine on aga lihtsalt jultunud pettuskatse.

Phishing'u suurim probleem ongi selles, et kuna kurjategijad ei suuda Panga kõrgest turvatasemest läbi murda, suunatakse kuriteod hoopis nõrgema lüli – pangakliendi vastu. Mingi hulk inimesi õnnestub alati ära tüssata ja selle peal ongi kurjategijate lootus. Olukorda parandab vaid inimeste informeerimine ja nende turvateadlikkuse tõstmine – ka käesolev artikkel teenib seda eesmärki.

Iga kord, kui klient saab mingi justkui Pangast lähtuva e-kirja, peaks ta kainelt mõtlema, kas Pank üldse saaks sellist tüüpi kirju saata. Vähimagi kahtluse korral soovitame enne reageerimist info õigsust kontrollida.