Kuidas käituda – Lehekülg 12

Nõuanded pettuste vältimiseks: minuraha.ee

Finantsinspektsioon kirjeldab oma tarbijaveebis minuraha.ee enamlevinud petuskeeme ning jagab soovitusi, kuidas pettasaamist vältida.

Tõenäoliselt on paljud arvutikasutajad puutunud kokku Nigeeria petukirjade, müstiliste loteriivõitude, ebaausate abipalvete, soodsate tööpakkumiste või investeerimisskeemidega. Ka krediitkaardiandmete või pangaparoolide väljapetmine on üha reaalsem hädaoht. Seega on minuraha.ee soovitused vägagi asjakohased.

Kuna küll küllale liiga ei tee, siis kordan peamised pettusele viitavad ohumärgid ka siin veelkord üle.

Finantspettustega tegelevad isikud reeglina:

Kontakteeruvad sinuga omal algatusel kas e-kirja, posti või telefoni teel.
Jätavad usaldusväärse inimese mulje, on korrektsed, viisakad, lahked ning sõbralikud.
Kasutavad pealtnäha ametlikke kirjablankette ning nende poolt saadetud dokumendid on korrektselt koostatud.
Kiirustavad sind tagant, et langetaksid kohe otsuse või allkirjastaksid kohe lepingu.
Paluvad sul saata raha nende arvele kindlasti enne kui avaneb ahvatlev pakkumine või kantakse üle nö võidetud rahasumma.

Tavaliselt pakutakse midagi väga ahvatlevat. Näiteks:

Tuleb teade, et sa oled võitnud loteriil või rahalise auhinna, kuigi sa ei ole sellisest loteriist ega loosimisest kunagi osa võtnud.
Tehakse eksklusiivne ettepanek just sulle osaleda skeemis, mis kindasti teenib kiiresti korraliku kasumi.
Pakutakse võimalust teenida kergesti väga suur summa selle eest, et sa aitad kanda mitmete miljonite ulatuses raha pakkujate asukohariigist välja.
Pakutakse võimalust osaleda investeerimisskeemis, mille tulemusena on võimalik teenida suur summa jne.

Enamikel juhtudel palutakse pettuse puhul:

Saata sul mingi summa ettemaksuna – kas teenustasuna või muu näiliselt vajaliku maksuna. Nimekiri põhjustest, miks peaks raha ette ära maksma, on lõputu. Reeglina tähendab ettemaksu küsimine võimalikku pettust.
Palutakse edastada isiklikud pangaandmed – arveldusarve number, krediitkaardi number, paroolid jms või isikuandmed.
Teatatakse, et enne võidu või preemia kättesaamist pead ostma mingit teenust ja tasuma selle eest ettemaksu.

Pane tähele!

Ära kunagi saada raha ega enda isiku- või pangaandmeid kellelegi enne, kui oled kontrollinud konkreetse eraisiku või ettevõtte tausta ning veendunud tehingu usaldusväärsuses! Kui sulle saabub ahvatlev investeerimispakkumine ning selles esinevad mõned ülaltoodud tunnustest, siis tõenäoliselt on tegemist pettusega.

CERT Eesti maikuised soovitused

CERT Eesti saatis meile nõuandeid algavaks puhkustehooajaks:

Hoolimata ilmataadi tembutustest on ilmselge, et suvi tulemata ei jää. Suvega kaasnevad paratamatult puhkused, ununenud paroolid ja alalõpmata kadunud IT hooldustehnik, kellele helistades kostab tavaliselt taamal kohin, mille ta serveriruumi konditsioneeriks nimetab, ent mis meenutab pigem merd … Enne lühikese, ent vihmase puhkuse nautimist soovitaks mõelda mõnedele nippidele, mis aitavad puhkust turvalisemalt veeta.

Eesti pangad pakuvad konto seisu muudatustest teavitavaid SMS-sse, soovitaks selle kindlasti tellida, vähemalt puhkuseperioodiks. Kui pahalased peaks oma valdusesse saama teie pangakaardi või tegema sellest koopia, annab see võimaluse neil sabast kinni saada enne, kui suurem häda sündida jõuab. Krediitkaardi puhul tuleks kindlasti jälgida väljavõtteid, mis esitatakse enne igakuist arveldamist.

Aktiivse netitegevuse käigus võib teie valdusesse sattuda parooli all olevaid pakitud faile, millele lisatud tekstis palutakse faili lahtilukustamiseks käivitada lisatud abifailike, olgu tolle nimi siis “Password Generator.exe” või muu sarnane. Kuigi selle .exe käivitamine varustab teid tõenäoliselt vajaliku parooliga, võib peale seda teie arvutisse jääda tegutsema soovimatu lisaprogramm – lihtsam on vältida probleeme ja kustutada kohe need failid, mis vajavad kasutamiseks selliseid lisaliigutusi. Veel parem on selliseid faile netist üldse mitte tõmmata, vaid netisurfamise asemel tegeleda päris surfamisega 😉

Just äsja avaldas Microsoft turvapaigad enda toodete kasutajatele – kindlasti tuleks paigad peale panna. Seda kasvõi sellepärast, et kriitiliseks on märgitud pea igale kontorirotile tuttav rakendus Word. Lisaks Wordile olid parandused kriitilistele vigadele andmebaasimootoris Jet ja küljendusprogrammis Publisher.

Kuna tavaliselt muutub suvel erakordselt populaarseks kaugtöö, siis tuleks selleks võimaluste (VPN, SSH vms) loomisel kindlasti mitte eirata elementaarsed tõdesid ja soovitusi:

kontorivõrgule ligipääsemiseks antud paroolid ei tohi olla triviaalsed (nt. kasutaja “jaan” parool “jaan”);
ligipääsuks sobilikke kasutajanimesid-paroole ei tasu kirjutada toredatele kollastele kleepekatele ja kleepida need arvuti külge;
kontod, mis loodud vaid selleks otstarbeks, et kontorivõrgule ligi pääseda, peaksid aeguma mõistliku aja jooksul automaatselt;
võimaluse korral peaks vältima kontorivõrgule ligipääsu võimaldavate võrgusõlmedega ühendumise lubamist kogu maailmast;
parooliproovimised peaksid lõppema peale paari ebaõnnestunud katset kas konto lukustumise või paroole proovivale internetiaadressile ligipääsu piiramisega.

Turvalisuse maailmast on pommuudis Debiani äpardus openssl paketi muudatustega. Need muutsid potentsiaalselt haavatavaks kõik Debiani openssl-i abil genereeritud sertifikaadid. Uued sertifikaadid peaks genereerima siis kõik need, kes kasutasid selleks Debiani openssl-i, mis on avaldatud peale 2006nda aasta septembrit ja on hilisemad kui versioon 0.9.8c-1.

Vabavara pooldajatele on positiivne uudis avatud koodiga kontoritarkvara OpenOffice kolmanda versiooni proovivariandi avaldamisest. Kõigile proovida soovijatele on pakett allalaetav aadressilt http://marketing.openoffice.org/3.0/announcementbeta.html.

CERT Eesti soovib kõigile mõnusat suve algust ja turvalist puhkust.

Värskeid viirusi sõbrapäevaks

Homme on sõbrapäev ka küberkaabakatel – PandaLabs hoiatab, et juba on liikvel valentinikaardid failiga “valentine.exe”, mis käivitamisel pakib arvutiusse lahti ussi nimega W32/Nuwar.QI.

Valentinipäeva hoiatuse saatis ka F-Secure’i edasimüügijuht Raido Orumets. Praeguseks on F-Secure juba leidnud õnnitluskaarte, mis sisaldasid pahavara Vbs_Valentin.A ning San VBS worm.

Kui eelnevatel aastatel tuli rohkem kahtlustada õnnitluskaarte, siis nüüd tuleks kasutajatel, kes soovivad saata õnnitlusi, kontrollida ka kohta, kust sõbrapäeva kaarte saata. Internetis on tuhandeid lehekülgi, kust on võimalik saata â€žtasutaâ€œ õnnitlusi oma sõpradele. Siinkohal tuleks usaldada tuntud ja võib-olla pigem eestimaised teenusepakkujaid, ütleb Raido.

Kui satute võltsteenusepakkuja leheküljele, siis sealt võib teie arvutisse koheselt installeeruda pahavara. Igasugune edasine tegevus, näiteks sõprade e-posti aadresside sisestamine, tähendab kurjategijate rämpsposti andmebaasi täiendamist. Loomulikult saadetakse sõpradele õnnitlused, kuhu lisatakse viiruseid ning teenusepakkuja reklaam, et levik ikka edasi toimuks.

Arvutikaitse ABC

See on väga hea ja asjakohane raamat. Mina kirjutasin selle 🙂

Tähendasin seal üles enamlevinud pahavara iseloomustused ning mõningad võtted, kuidas end internetiohtude vastu kaitsta. Üritasin vältida akadeemilist soliidsust ning lugeja koormamist tehniliste detailidega, nii et seda peaksid julgema kätte võtta ka need, kes end arvutiasjanduses väga kodus ei tunne.

Kõik nähtused on rühmitatud eraldi peatükkidesse ja esitatud tähestiku järjekorras. Kaanest kaaneni järjest läbilugemine ei ole kohustuslik, kavalam on leida registrist huvipakkuv märksõna ja lugeda konkreetset peatükki. Jah, paberil ei saa ikka nii mugavalt linkida kui internetis…

Irja Ahi tegi “Arvutikaitse ABC”-le võrratud ja vaimukad illustratsioonid, Sverre Lasn ägeda kujunduse. Väljaandmise korraldas sihtasutus Vaata Maailma, rahaliselt toetasid Hansapank, SEB, Elion ja EMT.

Esitlus on täna, 12.02 kell 14 Viru Keskuse Rahva Raamatu esitlussaalis. Osta saab esialgu Rahva Raamatust, kui trükikoda ülejäänud tiraaÅ¾i valmis saab, siis ka Apollost ja mujalt.

Sotsiaalsed võrgustikud ja privaatsus

Oma viimastes artiklites olen lahanud sotsiaalse tarkvara riske ning püüdnud näidata, kuidas on võimalik neid ära kasutada identiteedivargusteks. Seekord vaatleme, kuidas on võimalik kasutada sotsiaalsetes võrgustikes olevat informatsiooni inimese enda vastu.

Mõni aeg tagasi pakkus Eesti üks esihäkkereid väiksemas vestlusringis välja idee, et võiks proovida koostada andmebaasi informatsioonist, mida inimesed on ise enda kohta erinevates sotsiaalsetes võrgustikes jaganud. Proovisin ka ise (puhtalt uudishimust) millist informatsiooni on võimalik niimoodi hankida. Valisin LinkedIn-ist suvalise inimese, kes oli oma asukohaks märkinud Eesti, kuid oma ees- ja perekonnanime oli jätnud märkimata. Kuna isik oli avalikuks jätnud oma skype aadressi, siis oli mul kümne minuti jooksul olemas tema täielik nimi, töökoht, kontaktandmed ja suhtevõrgustik. Ilmselt oleks veidi sügavamalt kaevates leidnud tema kohta veelgi informatsiooni, mis oleks sellest inimesest andnud juba üsnagi põhjaliku pildi.

Seega, nagu me nägime, on taolise andmebaasi koostamine üsnagi lihtne ning tegelikult ei vaja see mingeid eriteadmisi – peale otsimootorite kasutamise oskuse. Kuidas aga sellist andmebaasi on võimalik kasutada?

Arvestades, et noored ei kipu endale eriti oma teguviisidest aru andma, võib eeldada, et nad käituvad samuti ka internetis, seda enam, et internet loob anonüümsuse tunde. Samas ei ole võimalik garanteerida, et mõni tänane teismeline rate.ee-st ei ole homme president või peaminister. Kuna sellistes suhtluskeskkondades kipuvad olema eelkõige just aktiivsemad ja suhtlemisaltimad noored, siis on tõenäosus mõne taolise noore kiireks karjääriks vägagi suur. Samas pakuks ilmselt kõvasti kõneainet mõne poliitiku poolalasti pildid või tema ropu keelekasutusega sõnavõtt mõne teise reidika aadressil. Viimase aja sündmustest võiks siinjuures nooruse rumaluse näitena tuua kindlasti noortepeod presidendi residentsis või ühe üsnagi eduka laulja ammu tehtud teod.

Mis takistaks taolist andmebaasi loomast? Puhttehniliselt mitte miski – otsimootorid on vabalt kättesaadaval kõigile, samuti on võimalik kirjutada ise otsimootor, optimeerides seda mingite kindlate sündmuste leidmiseks.

Juriidilise poole pealt ei ole ka sellist tegevust midagi keelamas, kuna inimesed ise (juriidilises keeles andmesubjektid) on need andmed ise sinna üles riputanud. Isegi juhul, kui andmed kogumina sisaldavad delikaatseid isikuandmeid, ei reguleeri seda miski, senikaua kuni seda andmebaasi peetakse isiklikuks otstarbeks. Samas on aga oht, et selline andmebaas võidakse varastada ja see edasi müüa kollasele ajakirjandusele või näiteks väljapressimistega tegelevatele organisatsioonidele.

Lõpetuseks tahaks veelkord meelde tuletada vana tõde – enne, kui mingit informatsiooni netis olevasse vormi sisestate, tuleb üheksa korda mõelda.

Hoiatus – ärge külastage näotustatud kodulehekülgi!

Postimees.ee andmeil on täna kümned firmad langenud näotustamise ohvriks.

~~Rahva Raamatu~~, Salvo ja Alexela muudetud kodulehel kuvatakse mustal taustal kellaaega ning kodulehe vaataja IP-aadressi. Mingeid otseselt kahjulikke skripte mul tuvastada ei õnnestunud, kuid kuivõrd päris kindel selles ka olla ei saa, oleks targem neist kodulehekülgedest (viite all avaneb otsingunimekiri) niikaua eemale hoida, kuni omanikud nad korda saavad.

Zone-h arhiivi andmeil on täna väidetavalt moslemihäkkerite poolt näotustatud ka Sügisballi kodulehekülg, mis õnneks on praeguseks jälle korda tehtud.

EDIT: Tundub siiski, et esimeses lõigus viidatud kodukate puhul ei olnudki tegemist näotustamisega – kõik nn “häkitud” koduleheküljed asuvad ühes virtuaalserveris, mis nähtavasti on konfitud nii, et kui serverilt päritakse domeeni, millele kodulehekülge koostatud ei ole, näidatakse jooksvat aega ja küsija IP-aadressi.

Veider küll, aga ei midagi ohtlikku. Minu viga, et ma kohe IP-aadresse ja domeeninimesid üle ei kontrollinud.

Hoiatus iseenesest jääb aga kehtima – ehkki ma ei ole kuulnud, et näotustatud kodukatele ka pahatahtlik kood külge pannakse (tavaliselt on kurjamid huvitatud ikka sellest, et te laeksite tolle koodi oma arvutisse ilma mitte midagi kahtlustamata), tasub siiski mitte riskida ning seesuguseid kodulehekülgi mitte külastada.

Vabandan veelkord valehäire pärast!