Kuidas käib üks õige küberkuritegu
Meil oma igapäevaelus ei ole vaja pikalt süveneda küberkuritegevuse kui sellise olemusse – piisab, kui lühidalt tõdeda, et iseenesest pole arvutid toonud juurde midagi põhimõtteliselt uut, kõik arvutite abil sooritatavad kuriteoliigid olid olemas ammu enne arvuteid; nüüd sooritatakse neid lihtsalt arvuti abil.
Samuti pole meie jaoks tegelikult oluline kõik terrorismi, narko- ja inimkaubandusse ja näiteks lastepornosse puutuv. Viimase osas võib muidugi ka korralikke inimesi teinekord jõhker, kuid tegelikult halenaljakas üllatus oodata, kui liigagar politsei üle reageerib – nagu just mõnda aega tagasi juhtus ühe tuntud tegelasega…
„Lihtsas” elus ohustab meid peamiselt 3 küberkuriteoliiki: andmetega seotu (andmekadu või -häving ja sellega seotud väljapressimised), arvuti kaudu tehingute tegemisega seotu (on-line kaubanduse pettused, pangakaardi andmete vargus etc) ja identiteedivargus (mida siis omakorda kasutatakse tehingutes või väljapressimises).
Siit on meelega välja jäetud „Nigeeria printsid” ja „välismaal hätta sattunud sõbrad”. Tõsiselt ka – loll ja tema raha ei püsi koos. Ja kuidas teisiti nimetada inimesi, kes hakkavad tegema kulutusi mingi kirja alusel, et sa võitsid loteriil või su hea tuttav palub kuhugi karutagumikku raha saata või keegi ei tea, mida oma pärandusega peale hakata? Noh, petukirju on saadetud niikaua, kui postiteenistus kui selline eksisteerib, ja ikka läheb mõni lihtsameelne õnge. Kurb ja inimlikult paratamatu; ja üldse mitte kõneväärt.
Kui me räägime arvutiga seotud ohtudest, tuleb endale selgeks teha paar asja, mida olen varasemates artiklites maininud, kuid mida tasub üle korrata, et kõigil selge oleks.
Esiteks, tänapäeva arvutisse või telefoni võõras „niisama” naljalt sisse ei saa. (Jah, siin on erandiks näiteks kuulus Huawei, ja tegelikult on pilt kirjum, eksisteerib terve hulk igasugused tootjate poolt meelega tehtud tagauksi ja lihtsalt süsteemivigu, kuid piirdugem peamisega.)
Teiseks, arvuti kontekstis räägime me ainult Windowsist. Nimetagem asju õigete nimedega – kogu pahavara probleem on praktiliselt ainult Windowsi probleem. Linuxi või Apple’i arvutis oled sa nagu vanajumala selja taga – pole vaja jamada mingi viirusetõrjega, ilma milleta Windowsi kasutamisel on vaid aja küsimus, millal mingi pahalane su arvuti vussi keerab. Jah, kurjategijad orienteeruvad esmajoones Windowsile, sest see on kõige levinum; jah, ka teised süsteemid pole raudkindlad, ka neil on omad hädad. Aga tõenäosus näiteks Maci viirus saada on praktiliselt olematu.
Sellest on juba oma 20 aastat, kui Briti politsei pidi tegelema ühe esimese sellise (ja seetõttu tähelepanu äratanud) probleemiga. Politseisse tuli noormees, kes kaebas, et ta ostis tegelaselt mängus maagilise mõõga, aga see ei olnud maagiline. Ehk siis – mida ta ostis? Mõõka pole ju olemas; ka selle omadused on puhas fiktsioon, tegu on bittidega kusagil arvutisüsteemis… Samas, kuritegu on toimunud, sest ta maksis mõõga eest reaalset raha (pangaülekandega). Seega – ta leppis kokku (olemuselt virtuaalse) teenuse, mida ta ei saanud…
Märgiline oli see juhtum ka seetõttu, et asitõenditega oli pehmelt öeldes kummaliselt – juhtum nõudis politseilt kompetentsi, mida tol hetkel olemaski ei olnud. Vähemasti selles osas on olukord täna siiski pisut parem.
Levinuim kaasaegne andmetega seotud küberkuritegu algab sellega, et sa oled vajutanud valele lingile ja laadinud masinasse krüptoviiruse (need on olemas ka Linuxi ja Maci jaoks!) Mõne aja pärast ei pääse sa enam arvutile ligi, kõik arviga ühendatud kettad on krüpteeritud ja ekraanil on teade, et maksa sellele ja sellele arvele ca 1000€/$ (summa on tavaliselt väljendatud bitcoinides), siis saad lahtikrüpteerimisvõtme. Umbes pooltel juhtudel võti tõepoolest saadetakse ja see toimib ja saad oma andmed tagasi.
Vastumeetmed on imelihtsad – ära vajuta suvalisi linke, ära luba arvutisse installida jumal teab mida ja hoia vähemalt üks oma andmete koopia arvutiga ühendamata kettal.
E-kaubanduse ja krediitkaartidega seonduv on pisut keerulisem, sest miski arvutiga seonduv ei kaitse otseselt lihtlabase varguse eest – maksad kauba eest, aga seda ei tule ega tule… Üldiselt aitab ka siin tavaline ettevaatus – uuri, kes on müüja? Kui tegu suurettevõttega, kes tükk aega turul, on sedalaadi risk minimaalne. Kui sa aga üritad osta mingilt tundmatult Hiina poelt… noh, kõige halvemal juhul ei kaota sa ainult sinna makstud raha, vaid su kaardi numbrid lähevad rändama ja neid andmeid üritatakse kasutada pangapettustes. Pangad aga, muide, on selles osas valvel ja enamasti ei lähe need läbi. (NB! – enamasti…)
Jällegi – mitte kunagi ei tohi reageerida mingitele suvalistele raha või kaardiandmete küsimistele! Kui sa hakkad midagi ostma, jälgi, et sa oleksid kogu aeg selle poe lehel ja tegu oleks https-ühendusega (see „s” seal lõpus on väga oluline! see näitab, et tegu on kaitstud ühendusega).
Kõik tõsisemad küberkuriteod (millega tavainimesel võib kokkupuuteid olla) on seotud identiteedivargusega. Vaadake, see aeg, mil kelmikad programmeerijad pangatarkvarasse omi kavalusi lisasid, sai reaalsuses nii 40–50 aastat tagasi läbi. Tegelikult on kõik suuremat tähtsust omavad või suurema kasutajaskonnaga tarkvarasüsteemid üsna lollikindlad. (Veelkord – kui Hiina kommarijobud sinna omi tagauksi ei programmeeri. Jah, küberkuritegude uurijad puutuvad teinekord kokku äärmiselt keeruka ja täiusliku pahavaraga, kuid see on riiklike salateenistuste lõbu.)
Kõige lihtsam identiteedivargus, millega ka Eesti firmad on sadu tuhandeid kaotanud, on nn man-in-the-middle rünnak. Mingil hetkel istutab keegi end sinu ja partneri vahelisse kommunikatsiooni, tehnilisi vahendeid või lihtsalt tähelepanematust ära kasutades. Suhtlemine partneriga käib sama moodi edasi, ainult et too seal keskel jälgib seda.
Ja siis – kõige levinum viis – muudetakse ära mingi saadetud arve atribuudid. Sa kannad raha üle… aga su äripartner hakkab varsti huvi tundma, miks sa raha üle pole kandnud. Aitab tähelepanelikkus ja alternatiivsete kanalite kaudu kontrollimine; kõige parem on selles kontekstis helistada, aga juba on teada esimene juhus, kus pettus korraldati (ülemuse) arvutisünteesitud häält kasutades…