Teksti suurus

Reavahe

Kontrastsus
Seaded

 

M-ID kasutajaid püüti trikitada parooli andma

10.01.2012

Viimastel päevadel on paljud mobiil-ID kasutajad avastanud, et mobiil küsib neilt autentimiseks luba ilma, et nad sooviksid ennast tegelikult kuhugi sisse logida.

RIA infoturbe ekspert Triin Niguli sõnul on tehnoloogia häkkimisest sageli lihtsam kasutajate trikitamine (ingl social engineering).

„On põhjust meelde tuletada, et iga IT-seade on ainult nii turvaline, kui turvaliselt seda kasutatakse. Loomulikult leitakse tehnilistes süsteemides turvanõrkusi, kuid vigade parandamisega muutuvad süsteemid ka järjest turvalisemaks. Samas jääb autentimisel alati alles hetk, mil inimene peab enda isikut PINiga tõestama. Kasutades osaliselt ära öist aega ja inimeste unisust, saadeti mitmetele kasutajatele palve end autentida.“

„Oleme pisut mures, sest käesoleva juhtumi puhul on õngitsuskatsest teatanud suhteliselt vähe inimesi. See osutab, et m-ID turvamehhanismi kuritarvitamist ei tunnetata ohuna. Tahame hoiatada uudishimulikke, kes viimaste uudiste valguses otsustavad omal käel erinevaid m-ID portaale testida ja võõrastele isikutele autentimiskutseid saata - palun ärge seda tehke. Piir süütu nalja ja tõsise teo vahel võib osutuda õhukeseks ning pärast autentimiskutse saatmist ei ole seda enam võimalik tagasi võtta“, lisas Nigul. 

Kasutajaid trikitavatel rünnetel on sageli üks sarnane joon – inimesel palutakse teha midagi, milleks ta ise pole soovi avaldanud. Näiteks ei ole võimalik võita loteriil, kus kasutaja teadlikult osalenud ei ole, kuigi paljud rämpskirjad seda väidavad. Sama kehtib ka m-ID ründe puhul – kui inimene ise ei soovi ennast sisse logida, siis ei tohi enda PINi anda.

Viimasel ajal on populaarsust kogumas ka suhtlusvõrgustike petuskeemid, kus üle võetud kontot kasutades küsitakse inimestelt raha või palutakse klikkida lingile, mis järgmise kasutaja nakatab.

Eelinfoks ajakirjanikele - RIA korraldab jaanuari viimastel päevadel avaliku m-ID teemalise konverentsi, kus arutletakse m-ID arengute üle laiemalt. Jutuks tulevad m-ID edasised võimalused, teadaolev turvaprobleemistik ning ka idee kasutada m-ID kaarti valimistel. Lisainfo ilmub selle nädala jooksul meie kodulehele www.ria.ee

CERT Eesti (Computer Emeregency Response Team) on RIA osakond, mis tegeleb Eesti arvutivõrkudes toimuvate turvaintsidentide käsitlemisega ja kasutajate turvateadlikkuse tõstmisega.

Teema: CERT, Küberturve

Lisatud 11.01.2012

Tagasi lehele "Uudised"