"Huvitaja": taas ägenenud pangapettused nõuavad tähelepanelikkust
Eestis on taas ägenenud pangapettuste laine, kus inimestelt ja ettevõtetelt sadu tuhandeid eurosid kätte saadakse. Pangaliidu infoturbe toimkonna juht Tiit Hallas selgitas Vikerraadio saates "Huvitaja", et pangapettuste puhul ei rünnata mitte panka, vaid selle klienti. Samuti rõhuvad ründajad inimeste tähelepanematusele kui tehniliselt keerukatele pettustele.
Tavaline petuskeem näeb välja selline, kus inimesele saadetakse e-kiri, mis paistab, justkui oleks see saabunud tema kodupangast. Kirja sisus palutakse inimestel tutvuda näiteks mingite panga keskkonnas olevate dokumentidega. Selleks peab inimene panka sisse logima lingi kaudu, mis e-kirjas ära toodud. Link ei vii teda aga panga kodulehele, vaid küberpättide loodud lehele, mis näeb välja sarnane inimese kodupanga omale. Sinna oma sisselogimisandmeid sisestades ongi antud petturitele võimalus oma pangakontol toimetada. Hallase sõnul on võltsitud lehte aga suhteliselt lihtne ära tunda.
"Erinevuseks on see, et kodulehe aadress on midagi täiesti muud, reeglina see on mingisuguste tähtede ja numbrite jada ja oluliselt pikem, kui LHV või Swedbanki või SEB aadress tavaliselt olema peaks. Teine asi, mida võib märgata, on see, et reeglina ükski teine link või viide sellel lehel ei tööta. Õnnestub ainult sisse logida, aga näiteks uudiseid lugeda ei õnnestu, või ei õnnestu keelt vahetada," rääkis Hallas. Kolmanda erinevusena päris- ja võltslehe juures tõi ta välja, et näiteks Smart ID abil sisse logides ei näidata kliendile kontrollkoodi, mida telefoni ekraanil tekkivaga võrrelda. Samuti küsitakse sageli inimestelt nn. sisse logimiseks PIN2 koodi. "Oluline vahe on see, et PIN1 on eelkõige isiku tuvastamiseks, PIN2 allkirjastamiseks. Kui panka sisenemise käigus küsitakse PIN2, siis on juba midagi väga valesti," rääkis Hallas.
Teatud tingimustel suudavad pangad välja petetud raha ka tagasi saada. Seda eriti juhul, kui raha liigub pankade vahel traditsioonilise makse, mitte välkmaksena. Sellisel juhul ei toimu makse sekundite, vaid tundidega.
Kuid pangapettuste ohvriks on langenud lisaks eraisikutele ka ettevõtted. Kui esimesel juhul saadetakse e-kiri justkui pangalt, siis siin üritavad petturid kehastuda pigem suurfirma kontekstis kolleegiks, kes palub teha kiire ülekanne mõnele välismaisele kontole. Hallase sõnul on säärased kirjad aga sageli kirjutatud vigases keeles ning sellisel viisil tehtavaid ülekandeid on lihtne vältida, viies firmas sisse reegli, et ülekannete tegemist ei paluta üksteiselt e-kirja teel.
Tegemist on olukorraga, kus iga ettevõtte töötaja peab olema tähelepanelik ning jälgima, et firma pettuse ohvriks ei langeks. Ehkki IT-osakond firma turvalisuse nimel pingutab, on tegemist petuskeemidega, mis mõjutavad inimesi pigem psühholoogiliselt.
Hallas soovitab kõigil pettuste ohvriks langemise vältimiseks mõelda läbi, milliste kanalitega pank kasutajaga ühendust võtab. "Kui on teada, et pank sinuga meili teel suhtleb, siis tasub kindlasti üle vaadata, mis aadressilt ta tavaliselt suhtleb ja millise formaadi ja sisuga kirju ta sulle edastab. Enamus pankasid ei palu tutvuda dokumentidega sellises üldsõnalises ja väga lihtsas e-kirjas ja ei saada sulle neid linke kaasa," kõneles Hallas.
Loomulikult ei tasu kahtluse korral meilis leiduvaid linke avada ning kui kahtlus olema peaks, tuleks nõu küsida näiteks tuttavalt IT-inimeselt või pöörduda panka. Lisaks ei tasu kunagi sisestada mobiiltelefoni Mobiil-ID või Smart-ID PIN1 ega PIN2 koodi, kui seade seda küsib, aga samal ajal sul endal mõnda toimingut käimas ei ole.
Toimetaja: Mirjam Mäekivi