Eesti Pangaliidu pettuste tõkestamise toimkonna juht Sandra Horma on kokku pannud kasuliku artikli seoses viimasel ajal sagenenud ja ulatuslikult levivate petuskeemidega. Artiklist leiad selgitusi ja näpunäiteid selle kohta, kuidas pettuseid ära tunda ning kuidas end kaitsta.
Avaldame artikli täismahus ja muutmata kujul.
***
BEC-skeem: Rööv päise päeva ajal võib alata “ametlikust” e-kirjast
Eesti Kunstnike Liidu kontodelt kadunud ligi 700 000 eurot mõjus avalikkusele šokina. Mitte ainult summa suuruse pärast, vaid ka seetõttu, kui inimlikult kogu skeem algas. Kurjategijad ei murdnud vägisi seifi sisse ega tunginud läbi panga turvasüsteemidest. Nad helistasid, rääkisid veenvalt eesti keeles, esinesid kõigepealt usaldusväärse ametiasutusena ja seejärel pangatöötajatena ning panid pearaamatupidajana töötava inimese uskuma, et ta aitab kiiresti tegutsedes ära hoida veel suuremat kahju. Lisaks ettevõtte rahale kaotas ta ka isikliku raha.
See juhtum on oma detailides erakordne, kuid loogikas mitte. Me ei räägi enam ammu petturitest, kes on kõrgetasemelised häkkerid, vaid kurjategijatest, kes on oskuslikud manipulaatorid, rõhudes kiirusele, inimese usaldusele ja heatahtlikkusele ning hirmule midagi valesti teha. Sama muster kordub iga päev nii eraisikute kui organisatsioonide puhul: politsei saab päevas 50-60 teadet juhtumitest, kus kelmid on püüdnud inimesi manipuleerides konksu otsa saada.
Raha kaotab iga päev keskmiselt 10 inimest või ettevõtet. Ainuüksi selle aasta esimese nelja kuuga on Eestis registreeritud 1100 organiseeritud kelmust, mille kogukahju ulatub 8 miljoni euroni.
Üks levinumaid ettevõtete vastu suunatud petuskeeme on ärikirjakelmus, inglise keeles BEC ehk business email compromise. Lihtsamalt öeldes tähendab see olukorda, kus kelmid tekitavad samuti kirjasaajaga manipuleerides pealtnäha professionaalse kirjavahetuse, esinedes reeglina ettevõtte juhi, töötaja või koostööpartnerina. Eesmärk on panna inimene tegema ülekannet valele kontole.
Hiljuti kaotas üks Eesti ettevõte just BEC-skeemi tõttu pea 1,6 miljonit eurot. Ettevõte sai näiliselt oma koostööpartnerilt kirja, milles paluti edaspidi arveid tasuda uuele pangakontole. Väliselt jättis kiri mulje, nagu oleks see tulnud päris partneri esindajatelt, kuid tegelikult oli tegemist libakontoga. Kuigi ettevõttes oli kasutusel ka nelja silma printsiip, ei aidanud see pettust ära hoida.
Kohtupraktika näitab, et sellistes olukordades ei pruugi vastutus jääda ainult inimesele, kes ülekande tegi. Näiteks ühes hiljutises kohtuasjas esitas MTÜ nõude oma töötaja vastu. Selles kaasuses tegi MTÜ-s raamatupidajana töötanud isik pettuslike e-kirjade alusel kolm ülekannet, mille tagajärjel tekkis MTÜ-l kümnetesse tuhandetesse eurodesse ulatuv kahju. Osa rahast õnnestus küll hiljem tagasi saada, kuid MTÜ pöördus raamatupidaja vastu kohtusse.
Kohus leidis küll, et raamatupidaja rikkus oma kohustusi, kuid jagas vastutuse lõpuks MTÜ-ga pooleks. Hüvitise vähendamisel arvestas kohus muu hulgas sellega, et MTÜ ei olnud rakendanud sobilikke IT-alaseid turvameetmeid, polnud töötajat küberturvalisuse küsimustes koolitanud ega juhtinud tema tähelepanu õngitsuskirjade riskile. See on oluline õppetund igale organisatsioonile: kui töötajalt oodatakse pettuse äratundmist, peab organisatsioon talle andma ka tööriistad, koolituse ja selged protseduurid, mille järgi kriitilises olukorras tegutseda.
Pettus, mis ei näe välja nagu pettus
Ärikirjakelmuse ohtlikkus seisneb selle hämmastavas eheduses: kirjas ei lubata loteriivõitu, ei küsita katkises eesti keeles parooli ega saadeta alati kahtlast linki. Vastupidi, see võib olla äravahetamiseni sarnane argisele kirjale, millega ollakse harjunud ja mis on usaldusväärne.
- „Palun kasutage edaspidi uut pangakontot.“
- „Arve tuleb täna ära maksta.“
- „Juhatuse otsusega on vaja teha kiire ülekanne.“
Sellised laused kuuluvad paljude organisatsioonide igapäevasesse töövoogu ja just see teebki skeemi ohtlikuks. Siinkohal ei saa inimest süüdistada niivõrd hooletuses: pigem on ta inimlikult olukorras, kus tegutseme sageli rutiini ja harjumuste jõul.
Kunstnike Liidu juhtumi puhul oli skeem küll veidi teistsugune, kuid õppetund on sama. Seal ei olnud keskmes üks vale arve, vaid mitmeastmeline psühholoogiline mõjutamine. Petturid alustasid väidetava Omniva kõnega, seejärel tulid kõned „Eesti Pangast“ ja „politseist“. Raamatupidaja pandi uskuma, et ta osaleb salajases operatsioonis ning aitab kaitsta liidu raha. Selle käigus lasi ta paigaldada oma arvutisse kaugjuhtimisprogramm ja kinnitas tehinguid PIN-koodidega ning lõpuks liikus liidu raha välisriikide kontodele.
Kurjategijad on muutunud nii professionaalseks, et neil on võime panna ka oma valdkonda hästi tundvad inimesed tegema midagi, milles puudub justkui loogika. Nad oskavad valida õige hetke, õige inimese ja vajutavad õigeid nuppe: mõne inimese puhul töötab hirm, mõne puhul kohusetunne, mõne puhul soov ülemust või partnerit mitte alt vedada, mõne puhul aga usk, et ta teeb midagi vajalikku ja vastutustundlikku.
Küberrisk ≠ IT osakond
Ettevõtete ja organisatsioonide jaoks tähendab see, et küberkaitset ei saa vaadata ainult IT-osakonna ülesandena. Ärikirjakelmus ei küsi, kas organisatsioonil on tulemüür, viirusetõrje või keeruline paroolipoliitika. Kui arve jõuab inimeseni, kellel on õigus raha liigutada, muutub kõige olulisemaks hoopis see, millised on organisatsiooni sisemised kontrollid ja otsustusprotsessid.
Kas ühe inimese kaudu saab teha suure ülekande? Kas pangakonto muudatust kontrollitakse alati teise kanali kaudu üle? Kas töötajal on õigus öelda „ma pean selle enne üle kontrollima“, isegi kui kiri tundub kiireloomuline ja tuleb justkui juhilt või oluliselt partnerilt? Kas organisatsioonis on kõigile selge, et politsei, pank ega ükski ametiasutus ei palu kunagi PIN-koode, pangakaarte, kaugjuurdepääsu ega tööandja eest millegi varjamist? Statistika ja kogemus kinnitavad täna, et need küsimused ei peaks olema iseenesestmõistetavad, vaid olema igas organisatsioonis ja ettevõttes läbi mängitud.
Kuidas end kaitsta?
Vigane eesti keel või kummaline e-posti aadress pole enam ammu peamised ohumärgid. Need esinevad reeglina kehva pettuse korral ja moodsamad skeemid on oluliselt usutavamad. Tähelepanelikuks peaks tegema iga kiri või kõne, kus palutakse muuta pangakontot, teha tavapärasest suurem makse, hoida mingit toimingut salajas või tegutseda kohe, vastasel juhul juhtub midagi.
Samuti peaks punase tule põlema panema olukord, kus keegi väidab end olevat pangast, politseist või koostööpartneri juurest ning palub PIN-koode, pangakaarti või kaugjuhtimisprogrammi paigaldamist arvutisse.
Kõige lihtsam kaitse on kontrollimine. Kindlasti ei peaks vastama samale kirjale, vaid helistama koostööpartnerile või ülemusele teadaoleval numbril. Teine variant on kasutada kontrolliks ettevõtte ametlikke kontaktandmeid, mis on veebilehel kirjas. Kui koostööpartner saadab uue pangakonto, tuleb see kinnitada üle eraldi kanalis, mitte samale e-kirjale vastates. Kui juhilt tuleb kiire maksepalve, tuleb see juhiga üle kontrollida. Kui keegi väidab end olevat pangast või politseist, tuleb kõne lõpetada, helistada tagasi ametlikule numbrile ja järele uurida, kas eelnev kõne tuli samast kohast.
ERALDI KAST
6 lihtsat reeglit
1. Pangakonto muudatus tuleb alati üle kontrollida
Kui keegi saadab e-kirjaga palvega info muutunud pangakonto numbri kohta, ei tohi seda automaatselt kasutusele võtta. Helista varasemast teada numbril üle või kontrolli muudatust mõne teise varem kokku lepitud kanali kaudu. Ära kasuta selleks kirjas olevat uut telefoninumbrit, ära kliki ühelegi selles kirjas olevale lingile ega vasta samale kirjale.
2. Lülita sisse mitmeastmeline autentimine
Pealtnäha tüütu lisasamm aitab potentsiaalselt ära hoida väga palju kahju. Kui e-posti kontole pääseb ligi ainult parooliga, on risk oluliselt suurem. Eriti oluline on see inimeste jaoks, kes tegelevad arvete, maksete või lepingutega.
3. Suuremaid makseid ei tohi kinnitada vaid üks inimene
Nn nelja silma printsiip ei tähenda seda, et keegi seisab passiivselt kõrval. Mõlemad osapooled peavad päriselt aru saama, kellele raha läheb, mille eest makstakse ja kas konto number klapib varasemate andmetega.
4. Kiiretele maksetele pidur peale
Petturid kasutavad sageli survet: arve on kohe-kohe tähtaega ületamas, juht on “koosolekul” ja palub kiiresti tegutseda, partner väidab, et muidu jääb töö seisma. Kui midagi tundub ebanormaalselt kiire, tuleb eriti hoolikalt üle üle kontrollida, kas tegu on päris olukorraga.
5. Kõigil ei pea olema kõiki õigusi
Pangakontodele ja tundlikele dokumentidele peaksid ligi pääsema ainult need inimesed, kellel on seda päriselt vaja. Aeg-ajalt tasub üle vaadata, kellel millised õigused on, eriti siis, kui keegi vahetab rolli või lahkub organisatsioonist.
6. Kui midagi läks valesti, tuleb tegutseda kohe
Kui tekib kahtlus, et raha on liikunud valele kontole või tegu võib olla pettusega, ei tohi jääda ootama ja lootma, et midagi ei juhtu. Esimene kõne peaks minema panka, panga ametlikule telefoninumbrile, seejärel politseile. Kahtluse korral on alati päris asutustele sobiv, kui inimene kontrollib kolmandast allikast üle. Ametlike kanalite kaudu kiire teavitamine võib vähendada kahju.
***
Kunstnike Liidu juhtum on valus näide sellest, kui kiiresti võib kahju tekkida ja kui keeruline või võimatu on raha hiljem tagasi saada. See on hoiatus kõigile, kellel on ligipääs rahale, arvetele ja maksekinnitustele. Seetõttu peab iga organisatsioon endalt küsima, kas meil on süsteem, mis peab vastu ka siis, kui üks otsustaja satub surve alla.
Artikli autor: Sandra Horma, Eesti Pangaliit
