Language switcher

Sa oled siin

Trendid ja tähelepanekud küberruumis – III kvartal 2020

Kasuta koroonaviiruse äppi HOIA, kuid ära unusta oma telefoni uuendusi

Olukord

Alates 20. augustist saavad Eesti elanikud vabatahtlikult alla laadida mobiilirakendust HOIA, mille eesmärk on aidata rakenduse kasutajate kaasabil koroonaviiruse levikut piirata. Rakendus teavitab kasutajat, kui viimane on olnud lähikontaktis mõne nakatunuga. Selle kasutajate telefonid vahetavad Bluetoothi abil anonüümseid koode ning end COVID-positiivseks märkinud inimese telefon hoiatab temaga lähikontaktis olijaid. Ükski Eesti riigiasutus, rakenduse loojad ega telefoni tootja ei saa teada, kes kellega lähikontaktis oli või kes end haigeks märkinud on. Samuti ei avalda teavitus, millal ja kaua kokkupuude koroonapositiivse isikuga kestis – nii puudub igasugune võimalus tuvastada, kes too nakatunu olla võis. Seega on juba rakenduse loojad arvestanud äppi ehitades isikuandmete kaitsega – äpp on igati privaatne.
 
Samuti on rakendus edukalt läbinud asjakohase turvatestimise.

Sarnaselt on vastavate rakenduste välja arendamise juures lähenenud ka teised Euroopa Liidu liikmesriigid (hetkel on töös 16 rakendust ning neli on peagi valmimas). Antud äpid põhinevad samuti Bluetoothi kaudu jagatavatel koodidel ja võimalikel hoiatustel. Järgmine samm on tekitada eri liikmesriikide rakenduste vahel koostalitusvõime, saavutamaks olukord, kus nt HOIA töötab ka Saksamaal ja vastupidi. Bluetoothil põhinevaid COVID-rakendusi kasutatakse veel mitmel pool mujalgi, nt Singapuris, Indias, Iisraelis, Ameerika Ühendriikides ja Austraalias.

RIA hinnang

Ainsaks märkimisväärseks küberturvalisuse riskiks on HOIA äpi puhul vajadus hoida Bluetoothi andmesidet pidevalt sisselülitatuna. Bluetoothi võimalikud turvanõrkused on olnud teemaks mitmete aastate vältel ja nendest on palju kirjutatud.
 
Neid riske annab tavakasutaja jaoks mõistlikul tasemel maandada. Kõige aluseks mobiiltelefoni tarkvara õigeaegne ja pidev uuendamine. On oluline hoida nii oma telefoni operatsioonisüsteemi kui kasutatavaid rakendusi ajakohastena. Turvalisuse seisukohast laiemalt, mitte vaid HOIA kontekstis, ei ole turvaline kasutada seadmeid, mida tootja enam ei toeta ning mis ei saa seetõttu turvauuendusi. Sinna hulka kuuluvad Apple’i poolt iPhone 6S-st või iPhone SE-st (2016)  vanemad mudelid. Android seadmete puhul on pilt keerukam ja kirjum, sest neid tuleb turvapaikadega varustada vaid 2-3 aastat alates mudeli esmailmumisest. Uuendatud telefonides on Bluetooth nõrkuste ärakasutamise võimalused minimaalsed, sest tootjad paikavad turvaauke regulaarselt.

Arvestades koroonaviiruse jätkuvat levimist ning nakatunute arvu kasvu viimastel nädalatel, samuti lähenevat tavapärast nn viiruste hooaega, soovitab RIA igaühel viirusevastasesse võitlusesse HOIA rakenduse alla laadimise ning käitlemisega oma panus anda. Soovitame üldjuhul selleks mitte kasutada seadmeid, mille tarkvara uuendusi ei saa. Kui siiski kasutakse mõnda vanemat seadet, tuleks nii andmeside kui ka Bluetoothi kasutamise osas olla ettevaatlikum. Siiski leiame hetkel, et HOIA rakenduse kasutamisest saadav ühiskondlik ja viirusevastane kasu ületab ka siinkohal Bluetoothi võimalikust kasutamisest tulenevaid pigem teoreetilise iseloomuga riske (CERT-EE pole seni registreerinud mitte ühtegi intsidenti, mis oleks Bluetoothi tõttu alguse saanud).

Küberpettused ja lunavararünnakud jätkuvad

Olukord

Lõppenud kvartalis saime jätkuvalt iga nädal mitmeid teateid palgakonto pettustest, arvepettustest ja lunavararünnakutest. Kahjud on mõnest tuhandest kuni mõnekümne tuhande euroni, suurim ühekordne kahju oli 41 000 eurot ühe Lõuna-Eesti firma koostööpartnerile arvepettuse läbi.

Ehkki petturid sihivad nii suuri kui väikseid ettevõtteid, kehtib üldiselt reegel, et mida väiksem on ettevõte, seda vähem pööratakse tähelepanu küberturvalisusele ja seda lihtsam on neid rünnata. Enamus petturitest on ratsionaalsed: nende eesmärk on teenida võimalikult suurt tulu, kulutades selleks ise võimalikult vähe aega ja raha. Nii nagu ettevõtted, keda nad ründavad, otsivad ka petturid lihtsaid ning efektiivseid lahendusi.
 
Küberpettuste ohvritest paljud Eestis on väikse ja keskmise suurusega ettevõtted, kellel ei ole eraldi infoturbejuhti või it-meeskonda. Aga ka nendel on võimalik end paremini kaitsta ning see kõik algab taoliste petuskeemide teadvustamisest. Seetõttu alustasime septembris neile suunatud ennetuskampaaniat, mille eesmärk on juhtida tähelepanu levinumatele petuskeemidele.

RIA hinnang

Meil ei ole naiivset eeldust, et teavituskampaania tõttu saaksid Eesti ettevõtted oktoobri lõpuks turvaliseks. Mida digitaalsemaks ettevõtete-sisene ja omavaheline suhtlus läheb, seda enam kasvab interneti teel pettusete korraldamise tõenäosus.
 
Pangakontodega seotud pettused võivad muutuda isegi lihtsamaks: võõrastesse IT-süsteemidesse tungimine võib olla suhteliselt keerukas, kulukas ja aeganõudev ettevõtmine, millega kaasneb oht, et rünnak avastatakse ning nurjatakse. Oluliselt lihtsam on saata ettevõtte raamatupidajale või personalijuhile e-kiri palvega muuta palga maksmiseks kasutatava pangakonto numbrit. E-kirja saatja nime muutmine on sekundite küsimus.
 
Saatja aadressi muutmine on veidi keerukam, kuid sageli pole eduka pettuse läbiviimiseks seda vajagi. Enamasti ei vaevu kirja saaja saatja aadressi kontrollima, kui tema nimi on tuttav. Arvepettuste osas kehtib sarnane loogika: oleme näinud skeeme, kus ei püüta isegi meilivestlustele ligipääsu saavutada, vaid saadetakse avalikel andmetel põhinev kiri mõnele ettevõttele ettepanekuga muuta pangakonto numbrit.
 
Lunavara osas peame valmistuma aga veelgi suuremateks kahjudeks, kuna edukate rünnakute tagajärjel on paljud ohvrid maailmas otsustanud kurjategijatele maksta, mille tagajärjel on lunavararühmitused suutnud oma taktikaid oluliselt arendada. Hetkel veel on lunavararünnakute vastu kõige tõhusam kaitse toimiv varukoopia (sealhulgas kohas, mis on offline) kõigist olulistest andmetest. Kuid rünnakute ennetamiseks on oluline olla tähelepanelik õngitsuslehtede ja eelpoolmainitud Emoteti-stiilis pahavarakirjade suhtes, kasutada mitmefaktorilist autentimist ja hoida oma süsteemid uuendatuna.
 
Ettevõtteid ohustavatest küberohtudest ja soovitusi, kuidas end nende eest kaitsta, loe siit

Emoteti pahavara hävitustööd hakkame nägema alles tulevikus

Olukord

Maailmas taas aktiveerunud Emoteti pahavaravõrgustik jõudis augustis suuremas mahus ka Eesti küberruumi. Oleme saanud teateid rohkem kui sajast nakatumisest erinevates sektorites: kaubandus, transport, ehitus, samuti on mõjutatud üks väiksem valitsusasutus. Emotet levib peamiselt e-kirjadele lisatud dokumentide (harvemini ka linkide) kaudu, kasutades juba nakatunud kontodelt leitud kontakte ja vestlusi. Oleme näinud erinevaid variante:

Tuttavalt inimeselt või asutuselt tuleb senisele kirjavahetusele jätkuks e-kiri, millega kaasas manus ja kirja sisuks lakooniline inglisekeelne teade: “Please confirm” või “I would like to seek your advice on this”. Mõnel juhul oli meili sisuks varem toimunud vestlus, mis saadeti lihtsalt uuesti koos manusega. Manus on näiliselt tavaline Wordi fail, mille avamisel on näha, et teatud makrosisu on keelatud. Selle lubamiseks peab tegema veel ühe kliki (inglise keeles “Enable Content”, eesti keeles “Luba sisu”).
 
Teise variandi puhul nõuti manuse avamiseks täiendavat klikki ettekäändel, et dokument on tehtud iOS operatsioonsüsteemis, mida kasutaja arvutil ei ole. Kolmandas variandis tuli vajutada “Enable editing” ja seejärel “Enable content”, kuna dokument olevat koostatud Windows 10 mobiilirakenduse abil. Mistahes variandis manust avades ja nõutud klikke tehes nakatub arvuti pahavaraga. Seejuures on Emotetile iseloomulik, et nakatumisest ei ole kasutajale esialgu mingeid nähtavaid märke.
 
Emotet on troojalane, millega nakatumisel tekib seadmesse ligipääs kolmandatele osapooltele. Ligipääs võimaldab varastada andmeid, näiteks postkasti sisu, ja kasutada seda pahavara edasiseks levitamiseks. Ühtlasi moodustuvad nakatunud seadmetest robotvõrgustikud, mida müüakse teenusena edasi teistele pahatahtlikele rühmitustele erineva mastaabi ja eesmärgiga küberrünnete läbi viimiseks.

RIA hinnang

Emoteti eesmärk praegu paistab olevat võimalikult massiline levik, mida soodustab tõik, et meili saatja ja teemarida näivad esmapilgul tuttavad ja usaldusväärsed, nagu ka lisatud faili laiend. Kuivõrd Emotet levitab ennast sageli varem toimunud meilivestlusi uuesti edastades, võib ka meili sisu olla eestikeelne ja tuttav. Tõhusamad antiviirusprogrammid suudavad sageli Emotetiga manuseid tuvastada, nii et need lõppkasutajani ei jõua, ent pahavara suudab oma tunnuseid kiiresti muuta. Seetõttu on laiema leviku takistamiseks vajalik inimeste teadlikkus ja tähelepanelikkus.
 
Nakatumisega kaasnevad ohud on selle pahavara puhul üsna eripalgelised. Varasemalt on Emoteti kasutatud näiteks Trickbot ja Qbot pahavara paigaldamiseks, mis varastavad kasutajate pangaandmeid, samuti lunavararünnakute läbiviimiseks. Lisaks võib aga kaasneda veel üks kulukas tagajärg: andmeleke. Kuna Emotet kasutab levikuks meilivestluste ja andmete kaaperdamist, võib juhtuda, et nakatunud ettevõtte valduses olevad isikuandmed ja meilivestlused hakkavad kontrollimatult levima. Igal juhul on ettevõtetel kohustus teavitada isikuandmeid puudutavatest intsidentidest Andmekaitse Inspektsiooni.
 
Kuid uute meilide väljasaatmine ei reeda kõiki nakatunud seadmeid – andmelekke või lunavararünnaku oht võib realiseeruda alles pikema aja pärast, kui kurjategijatel on selgem pilt silme ees, millises organisatsioonis nende pahavara käima klikiti. Seda, kui palju pahavaraintsidente tulevikus võivad olla saanud alguse praegusest Emoteti lainest, saab olema keeruline hinnata.

 

Läheb hästi

Juunis avaldasime ohuhinnangu marsruutimisprotokolli BGP riskidest ja soovitasime ettevõtetel nende maandamiseks kasutada valideerimislahendust RPKI (Resource Public Key Infrastructure). Tänaseks ongi RPKI kasutamine märgatavalt kasvanud: kui juuni lõpus oli RPKI-ga kaitstud vaid 25% kõigist Eesti IP-aadressidest, siis tänaseks on see tõusnud ligi 75%-ni. See muudab Eesti küberruumi marsruutimisprotokolli kaaperdamise suhtes vähem haavatavaks.

Saaks paremini

Aasta esimeses kvartalis tõdesime, et paljud teavitused, mida CERT-EE saadab telekommunikatsiooniettevõtetele, veebiteenuste majutajatele ja oma võrke haldavatele asutustele nende võrkude kuritarvituste ja erinevate haavatavate seadmete või seadistuste kohta ei jõua pahatihti lõppkliendini. Kahjuks pole olukord ka tänaseks märkimisväärselt paranenud. Saame iganädalaselt teateid intsidentidest, mille saanuks ära hoida, kui teavituses viidatud nõrkus või nakatumine oleks õigel ajal kõrvaldatud. Soovitame CERT-EE teavitustele rohkem tähelepanu pöörata, nii säästad hiljem oma aega ja närve.

 

Eesti inimeste küberteadlik käitumine paraneb visalt

Statistikaameti uuring „Infotehnoloogia leibkonnas“ küsis juba teist aastat Eesti inimeste käest nende küberhügieeni harjumuste kohta.

 Mida olete internetis või äpis isiklikul eesmärgil teinud turvalisuse või privaatsuse tagamiseks? 

1. Ootamatutes või tundmatult saatjalt saadud kirjades ja sõnumites linkide ja manuste üle kontrollimine enne nende avamist

70,6%
(+8,2)

2.Paroolide tugevamaks tegemine või eri paroolide kasutamine (sh miinimumnõuetest pikemad ja keerulisemad paroolid, regulaarne muutmine vms) 67,3%
(+3,2)
3.Turvalisuse programmide või äppide kasutamine (nt viirusetõrje, nuhkvaratõrje, tulemüür) 57%
(-10,9)
4.Võõra arvuti või nutiseadmega interneti kasutamise vältimine 54,2%
(+9,6)
5.Ettevõtte / teenusepakkuja tausta põhjalik uurimine internetis, enne nende uue seadme/äpi/teenuse kasutamist / tellimist (nt e-pood, taksoäpp) 43,1%
(+3,3)
6.Internetibrauseri / sotsiaalvõrgustiku / äppide turvasätete muutmine28,3%
(-0,3)
 

Ei ole teinud ühtegi neist 

12,9%
(-0,1)

 

 

 

Trendid ja tähelepanekud küberruumis – III kvartal 2020  (1.14 MB, PDF)

Veel uudiseid samal teemal

24.10.2020

Neli soovitust ettevõtjale küberrünnakute ennetamiseks

24.10.2020 Küberrünnakute arv Eestis kasvab ja küberkurjategijad kimbutavad kohalikke ettevõtteid iga päev. Ühtlasi muutuvad kurjategijad aina kavalamaks, mis eeldab ettevõtjatelt enda töötajate, vara ja maine kaitsmiseks üha suuremat tähelepanu. Riigi Infosüsteemi Ameti infoturbe ekspert Joosep Sander Juhanson tõi välja neli soovitust firmajuhtidele küberrünnakute ennetamiseks.

16.10.2020

Pahavara kolmas laine tabas Eestit – enne klikkimist kontrolli saatja aadressi!

16.10.2020 – Riigi infosüsteemi ameti monitooring ja partneritelt tulnud info näitavad, et e-kirja dokumentidesse, failidesse või linkide taha peidetud Emoteti pahavara nakatas Eestis veel suure hulga arvuteid.