Archive for IT-turvallisus

Andmepüüdjad tegutsevad

Ammu pole siia midagi kirjutanud – ei suuda ma olla aktiivne blogija. Täna siiski jälle üks artiklike…

Nimelt sain taas ühe e-kirja, kus püütakse mind ära petta, et ma läheksin tõenäoliselt sellisele veebilehele, kus üritatakse minult kätte saada infot, mida ei tohiks kunagi teistele jagada.

Kiri, mille sain, oli ingliskeelne. Sisuks oli see, justkui oleks mu e-posti konto loetletud mingis rämpsposti ja petuaadresside loetelus. Et sealt loetelust välja saada, tuleks mul kinnitada, et kontroll e-posti üle on ikka minu käes. Juhul, kui ma 48 tunni jooksul ei kinnita isiklikult kirja sisse pandud lingi abil eemaldamist, loetakse mu aadress petuaadressiks ja mu e-posti konto suletakse.

Antud kiri oli kindlasti ise petukiri. Kuna e-aadress, milles oli kirjas juttu – tarmo[ät]kahr.ee – on minu isiklikus serveris ja mul on täielik kontroll ka serveri üle, siis oli 100% kindel, et mitte keegi teine ei saa seda aadressi ei kustutada ega kinni panna. Mida iganes keegi ka ei väidaks selle aadresi kohta – ta valetab, kuna vaid minul on juurdepääs kontoga seotud andmetele ja serveri omadustele.

Aga iseenesest muidugi oli petukiri väga hästi koostatud ja seepärast panen siia näidise välja – andmepüüdjad on targad ja kui ei olda tähelepanelik, siis ilmselt petetaksegi mõni inimene ära.

Esmalt siis ekraanipilt sellest kirjast, mille ma sain. Mõned piirkonnad pildidl on udustatud, mis pole praeguses kontekstis olulised. Selgitusi on natuke ka pildi peal.

Petukiri, mis saabus 2. veebruaril 2018

Lisasin siia juurde mõned numbrid, mis viitavad selgelt asjaolule, et tegu on petukirjaga.

Number 1: Saatjaks on “kahr.ee” – kohe kindlasti ei ole mina seda saatnud ja kiri ei saa tulla ka minu serverist – järelikult keegi üritab mind haneks tõmmata. On oluline aru saada, et tegelikult on petturil ääretult lihtne “Saatja” aadressiks panna ükskõik mida eesmärgiga panna inimene uskuma, et kiri on päriselt tähtis. ALATI tuleb kahtlustada, et äkki on “Saatja” aadress lihtsalt valetatud…

Number 2: Kui liigutada hiirekursor sellele kohale, kuhu palutakse vajutada ja lihtsalt hoida selle lingi kohal (AGA MITTE VAJUTADA!), siis tekib alla servale aadress (seal, kus on number 3), mis näitab seda, kuhu tegelikult suunatakse. Üldjuhul suunatakse lingi abil mingile X tundmatule aadressile. Ja kui sinna minna ja seal midagi teha, siis toimukski andmepüük.

Number 3: Tegelik veebileht, kuhu kasutajat üritatakse viia – just seal toimuks andmepüük.

Sellised e-kirjad iseenesest ei ole ohtlikud – need ei levita viirust ega tee midagi paha. Selle e-kirja avamine on iseenesest täiesti ohutu. Ohtlik on aga see, kui te hakkategi tegutsema juhiste järgi, mis kirjaga teile saadetud on. Seega tuleb e-kiri lihtsalt kustutada ja ongi korras. Ei ole mingit mõtet ka vastust saata – sellega te ainult annaks pahadele inimestele teada, et te e-aadress on olemas ja töötab ja ilmselt hakkaksite taolisi petukirju vaid rohkem saama.

Petturid on väga leidlikud. Ei ole ilmselt võimalik kõiki erinevaid meetodeid kirja panna, mida petturid inimestelt andmete väljameelitamiseks kasutavad. Aga enne kui mingied linke avada, tuleb alati kontrollida, mis link see õieti on, kuhu klikkides saadetakse.

Vaadates antud aadressi, millele selles e-kirjas oli suunatud, võib tegu olla kellegi kodulehega, millele on pahalased juba sisse murdnud. Kodulehe omanik ei pruugi ise teadagi, et tema lehe kaudu tegeldakse andmepüügiga. Koduleht võib ise teoreetiliselt töötada täiesti korrektselt. Niimoodi saavad pahalased vaikselt tegutseda, sest kui kodulehe töö pole häiritud, ei võta selle omanik ka midagi ette pahalaste peatamiseks.

Lisan veel, et tegelikult pärines mulle saadetud petukiri serverist essjaymail.dnsraw.com – niisiis tegelikult polnud midagi postmist minu serveriga ja kõik on kokku luisatud, et ma jääks uskuma valet.

Olgem siis teadlikud ja tähelepanelikud, et me valede võrku ei satuks.