Möödunud aastal peteti Eesti inimestelt politsei- ja piirivalveameti andmetel välja rekordilised 29 miljonit eurot ehk peaaegu kaks korda rohkem kui aasta varem. 3685 inimest langes kelmuste ohvriks, kusjuures suurima osa kahjust tekitasid petukõned, millega kadus ligi 11,5 miljonit eurot. 

Miks kaotatud summad järjest tõusevad, kui pettuste tõkestamiseks tehakse rohkem kui kunagi varem? Vastus on lihtne ja samal ajal ebamugav: me saame sulgeda ühe suure ukse, aga kelmid leiavad kohe akna.

Spoofimine on vaid üks tööriist paljudest

Nii petukõnede hulk kui ka nende tõkestamine on ajas kasvanud. Tele2 blokeeris möödunud aastal ligikaudu viis miljonit kõnet, millest märkimisväärne osa oli seotud numbrite võltsimise ehk spoofimisega. See tähendab, et kõne saaja ekraanile kuvatakse usaldusväärne Eesti number, aga kui sellele tagasi helistada, on numbri omanik nõutu, sest tema ei ole kellelegi helistanud.

Spoofingu tõkestamise süsteemi on kasutusel kõigil Eesti kolmel suuremal telekomiettevõttel. Ainuüksi viimase 30 päeva jooksul blokeeris Tele2 üle 1,2 miljoni spoofitud kõne. Ometi ei kahane petukõnede koguhulk, sest väga palju kõnesid tehakse ka legaalsetelt numbritelt ja Eestis on veel 14 väiksemat sideoperaatorit, kes väljastavad lauanumbreid.

Lisaks näeme üha rohkem juhtumeid, kus tehnilist võltsimist ei olegi vaja, sest kurjategijad kasutavad Eesti SIM-kaarte, SIM-karpe ning helistavad selges eesti keeles. Skeemid muutuvad ajas aina veenvamaks ja just seetõttu ei piisa vaid spoofitud kõnede blokeerimisest. 

Pettused muutuvad ja kohanevad

Viimases skeemis, millega Tele2-s oleme kokku puutunud, kasutab taas telekomiettevõtte nime. Tele2 nimel helistatakse inimestele ja hoiatatakse mobiilirakenduste lisakulu eest. Pettur soovitab kliendil äppe kustutada ja uuesti alla laadida ning küsib seejuures PIN-koode ja salasõnu. Tegelik eesmärk on saada ligi inimese suhtlusäppidele, nagu WhatsApp või Messenger, ja sealt edasi tema kontodele.

See näide illustreerib hästi, kuidas kelmid kohanevad. Nad ei kasuta enam ainult üht skeemi, vaid testivad pidevalt uusi lähenemisi, mis mõjuvad heatahtlikult ja tekitavad usaldust. Pettur on alati valmis "aitama" ja jagab kiiresti infot võimaliku ohu kohta, mis teeb inimese ärevaks ning paneb pakutuga kaasa minema.

Üks mu tuttav kirjeldas hiljuti, kuidas kelmide tegutsemine oli üles ehitatud nagu korralik lavastus. Kõigepealt tuli talle kõne Elektrilevist, jutt käis neutraalse tooniga arvestite vahetusest. Peagi järgnes kõne tuttava kodupangast, väitega, et eelmine kontakt võis olla pettur ja nüüd on kontol kahtlane tegevus. Kui ta kõhklema hakkas, lisati kolmas kiht ja "politsei" tegi talle WhatsAppi videokõne, kust vaatas vastu mees, politseivorm seljas, ja taustal silt "Eesti Politsei". Nimed, mida kasutati, olid guugeldades leitavad ja päriselt olemas.

Lõpuks päästis olukorra see, et tuttava pank jõudis õigel hetkel sekkuda ja peatas tegevuse enne, kui raha liikuma hakkas.

Tervet skeemi ei peata ükski filter

Seega võiksid telekomid piltlikult ka kõik kasutuses olevad numbrid sulgeda, aga isegi see ei tagaks piisavat kaitset pettuste vastu, kuna inimeste poole on ikka võimalik pöörduda suhtlusrakenduste kaudu. Siit jõuame kõige olulisema kaitsekihini, mida ükski operaator ega pank inimese eest ära ei tee: kriitilise mõtlemise ja rahuliku tegutsemiseni.

Petukõne töötab siis, kui sind sunnitakse "kohe praegu" midagi tegema. Kui kõnes palutakse sul jagada koode, kinnitada tehinguid, teha ülekandeid, anda isikuandmeid, paigaldada telefoni midagi "turvalisuse huvides" või kustutada ja uuesti alla laadida mobiilirakendusi, siis tuleb kõne lõpetada ja kontroll enda kätte võtta.

Pärast kõne lõppu tuleks leida internetist asutuse üldnumber ja helistada sellele, et kontrollida, kas kõne oli päris. Ajal, mil pea igaüks meist on saanud vähemalt ühe petukõne, on mõistlik olla paranoiline.

Turvalisus võib tähendada veidi ebamugavust

Kui tahame petuskeemide mõju vähendada, peame ausalt hakkama rääkima ka sellest, kas oleme turvalisuse huvides valmis teatud mugavustest loobuma.

Näiteks märkasin ühes Eesti internetipangas ülekannet tehes uut võimalust valida välk- ja tavamakse vahel. Viimane neist liigub sekundite asemel mõne tunni jooksul ja annab võimaluse täiendavaks kontrolliks ning makse tagasikutsumiseks. Leian, et selline turvakiht on teatud summast alates praegusel pettuste ajastul hädavajalik ja võikski olla pangateenustes igaühe enda valik määrata.

Lisaks võtab Riigi Infosüsteemi Amet veebruari lõpus kasutusele Smart-ID+ funktsionaalsuse. Uus lahendus ei küsi enam isikukoodi, vaid seob sisselogimise otse telefonis oleva rakendusega QR-koodi kaudu. See on küll kasutaja jaoks ebamugavam, sest sisselogimine nõuab rohkem samme, aga just see ebamugavus muudab petturite elu keerulisemaks.

Siiski ei tähenda ükski uus lahendus seda, et nüüd oleme täiesti kaitstud. Taas tuleb meeles hoida, et kui me sulgeme ukse, hakkavad kelmid kohe uut akent otsima ning kohandama oma skeeme selliselt, et uuest turvalahendusest mööda pääseda. Seetõttu peame alati jääma valvsaks, sest kelmid kohanevad kiiremini, kui tahaksime.

Probleemi lahendamiseks ei piisa üksnes üksikute petturite kinnipidamisest või tehnilistest lahendustest. Inimesed peavad ise olema ettevaatlikud ning teadlikud petturite tegutsemisviisidest, et mitte nende lõksu langeda. Oluline on meeles pidada, et ükski telekom, pank ega postiasutus ei palu kliendil telefonikõnes oma PIN-koode või salasõnu öelda.