R, 9.12.2022

Eesti ettevõte langes erakordse küberpettuse ohvriks ja maksis häkkeritele kopsaka summa

Aivar Pau
, ajakirjanik
Eesti ettevõte langes erakordse küberpettuse ohvriks ja maksis häkkeritele kopsaka summa
Facebook Messenger LinkedIn Twitter
Comments 4
Küberpettus.
Küberpettus. Foto: Pm
  • Tundmatud kurjategijad võtavad üle tehingupartnerite meilikontod.
  • Ohvrid on uue petuskeemi suhtes sisuliselt kaitsetud.
  • E-maili pettus on eestlaste taskust röövinud sadu tuhandeid eurosid.

Eestis tegutsev rõivakaupluste kett on üks kolmest värskest ohvrist, kes on langenud näiliselt lihtsa, tegelikult aga vägagi osava küberpettuse skeemi ohvriks ja maksnud tundmatutele kurjategijatele suuri summasid.

Ainuüksi sel aastal registreeritud juhtumite põhjal on Eesti ettevõtted ja riigiasutused kergendanud häkkerite küsimise peale kukrut ligi poole miljoni euro võrra. Toimuval silma peal hoidva riigi küberturvalisuse üksuse CERT-EE juhi Tõnu Tammeri hinnangul on see aga vaid jäämäe veepealne osa ja tavaliselt sellistest juhtumitest teatama ei kiirustata.

Eesti firma õppetund on aga valus. «Arvan nüüd, et peamine õppetund on, et ei ole võimalik olla liiga skeptiline. Kahtluse korral tuleb otsida üles kõikide inimeste kontaktid, kellega sellest firmast varem on suheldud, ja kirjutada, helistada,» rääkis anonüümsust palunud ettevõtte juht Postimehele.

Mis tegelikult juhtus? CERT-EE küberturbeekspert Janno Arnek rääkis, et meilisüsteeme kasutatavatest finantspettustest levinuimad on hetkel kaks, millest üks lööb massi ja teine kavalusega.

CERT-EE ekspert Janno Arnek selgitab, millised on hetkel levinumad e-maili teel toime pandavad küberpettused.
CERT-EE ekspert Janno Arnek selgitab, millised on hetkel levinumad e-maili teel toime pandavad küberpettused. Foto: Konstantin Sednev / Eesti Meedia

Esimene on teada-tuntud, labasem ja lihtsam skeem, kus firmajuhi meilikontolt saadetakse kiri ettevõtte raamatupidajale palvega teha kiiresti rahaülekanne. Kiri ise võib olla täiesti korralikus eesti keeles ja ka raha saajaga võib näiliselt kõik korras olla – peale selle, et kontonumber asub kuskil tundmatus välisriigi pangas. Kiri võib sisaldada ka küsimust, kas meil ikka on piisavalt raha, et see ülekanne ära teha.

Alles eelmisel nädalal sai riigi infosüsteemi ameti (RIA) tugiteenuste juht asutuse peadirektorilt Taimar Peterkopilt e-kirja teel järgmise küsimuse: «Ly, kas saate 5,000 Euro rahvusvahelisi makseid täna teha? Palun andke mulle teada, siis võin saata teile andmed kohe. Siiralt. Taimar Peterkop.»

Ilmselge Google Translate’i tasemel tõlge. Peale selle ei arvestanud petturid, et riigiasutustes raha ülekandmine nii lihtsalt ei käi ja et RIA juht on hetkel isapuhkusel.

Lahendamata mõistatus

Seni lahendamata mõistatus on aga, kust saavad häkkerid teada ühe või teise ettevõtte raamatupidaja nime – need ei ole just tihti veebis avalikult kättesaadavad. «Otsest häkkimist ma siinkohal sisse ei tooks, pigem on aadressid lekkinud kas mõnest meilivestlusest või asutustevälistesse teenustesse kontode loomisel,» arvas Arnek.

«Keerulisem, pikaajalisem ja viimastel kuudel eriti hoogustunud skeem on aga see, et raha liigutamise juhtnöörid ei liigu mitte firma sees, vaid üle on võetud välismaise tehingupartneri roll,» jätkas Arnek.

Küberkurjategijad olid aga saanud ligipääsu Hiina partneri meiliserverile ning asusid tehinguarutelu esialgu kõrvalt jälgima.

Alles kahe nädala eest, 19. oktoobril aset leidnud juhtum Eesti rõivamüügiketiga kuulub just selliste hulka. Ettevõttel on Hiinas koostööparter, kellega oli pikemat aega e-kirja teel suheldud. Räägiti uue tooteseeria sisseostmisest ja Eesti turule toomisest. Küberkurjategijad olid aga saanud ligipääsu Hiina partneri meiliserverile ning asusid tehinguarutelu esialgu kõrvalt jälgima.

«Kahe poole meilivestlustel hoiti silma peal, kuni vajalikul momendil hakati kas meile oma kontodele suunama või endale kasulikku informatsiooni vahele põimima. Kui jutt läks raha ülekandmise peale, siis suunati kogu Eestist lähtuv vestlus oma serveritesse ja hiinlaste jaoks oli hetkeks vestlus justkui lõppenud,» kirjeldas Janno Arnek toimunut.

Samal ajal saadeti Hiina ettevõtte nimelt Eesti poolele arve tasumiseks häkkerite konto andmed ja raha – ligi 80 000 eurot – liikuski sinna.

Eesti ettevõte pöördus juhtumi avastamise järel küll politsei ja kodupanga poole, et tehing tagasi võtta, kuid selleks ajaks oli raha juba valele kontole jõudnud, sealt teistele kontodele edasi liigutatud ning mitmes kohas sulas välja võetud.

«Need skeemid on päris keerulised ja Eesti ettevõte ei pruugi kuni lõpuni aru saada, mis tegelikult toimunud on – isegi seda mitte, et vahepeal on nagu muuseas suheldud kurjategijatega. Kirjad saabusid ju jätkuvalt samadelt nimedelt ja ka meiliaadressidelt,» seletas Arnek.

Tuleb olla tähelepanelik

Tekib muidugi küsimus, mida või kas üldse Eesti ettevõte selle juhtumi puhul valesti tegi. Tegelikult mitte midagi – Eesti serverisse ju kellelgi sisse häkkida ei õnnestunud. Kuid tähelepanu tasub pöörata ühele tõsiasjale: kuigi Hiina poole nimi ei muutunud, oli tema meiliaadressi lõpust saanud vahepeal gmail.com.

«Meie ainus soovitus saabki olla see, et kui aetakse rahvusvahelist äri, siis tuleks kindlasti kokku leppida mitmes suhtluskanalis ja mitte piirduda vaid e-postiga. Miks mitte näiteks tehingute eel telefoni teel üle suhelda,» seletas Arnek. «Tuleb olla ettevaatlik ja ülekontrollimine ei tee paha.»

Lisaks tasub alati kontrollida, kas tehingupartneri kontonumber ikka on sama, mis on kehtinud seni, ja asub samas riigis, kus ta ise tegutseb.

Mida arvab juhtunust ohvriks langenud ettevõte ise? «Meie tegime vea, et pidasime piisavalt usaldusväärseks, et arve ise ja ka toodete kohta tulnud lisainfo tuli esialgselt meililt, ja seega ei pidanud väga tõsiseks, et vahepeal kasutati ka Gmaili kontot,» ütles ettevõtte juht.

Lisaks tuleks tema sõnul kindlasti jälgida meilipäiseid, ega meiliaadress ole muutunud, ja kui on, siis püüda oma partneriga muud moodi kontakti saada, olgu Skype’i, telefonikõne või kellegi teise meiliaadressi kaudu, kellega varem suheldud.

«Selliseid teemasid peaks rohkem kajastama, usun, et oleksime ka ise tunduvalt skeptilisemad olnud, kui oleksime hiljuti mõne samalaadse loo või skeemi kohta lugenud,» sõnas firmajuht

Saatan peitub detailides

Kuid see juhtum pole sugugi ainus viimasel ajal ettetulnutest. CERT-EE juht Tõnu Tammer tõi näite, kuidas Eesti ettevõte suhtles ühe Itaalia ettevõttega ja kandis sellele üht tehingut tehes samuti mitmekümne tuhande euro suuruse summa. Kui selgus, et raha pole adressaadini jõudnud, hakati asja uurima ja selgus, et partneri meiliaadressi lõpp oli -.it asemel vahepeal muutunud -.in-iks.

Tõnu Tammer: meile jõuab info vaid küberpettuste jäämäe tipu jagu
Tõnu Tammer: meile jõuab info vaid küberpettuste jäämäe tipu jagu Foto: Konstantin Sednev / Eesti Meedia

«Sujuvalt tuli vahele -.in, selle pealt tuli arve, sinna peale läks raha ja siis läks suhtluses jälle jutt -.it-ga edasi. Muuseas, Eesti poole kirjad liikusid sel vahepealsel ajal osaliselt mitte -.ee-lõpuga meilidelt, vaid -.eu omadelt – nii et vajadusel oli üle võetud mõlema poole roll,» rääkis Tammer.

Tammeri sõnul oli selle juhtumi puhul ka Eesti pool rakendanud puudulikult selliseid meiliturbelahendusi nagu SPF, mis kontrollib, et asutuse nimel saaks kirju välja saata vaid kindlaks määratud serveritest.

«Mida rohkem Eesti ettevõtteid jätab endal otsad lahti, seda suurem on tõenäosus, et nende digitaalset identiteeti saab väga lihtsalt kuritarvitada,» sõnas Tammer.

Vaatamata sellele, et petuskeemides kasutatud eesti keel tundub kohati olevat üpris korralik, ei ole ametivõimudel infot, et nendega võiksid seotud olla Türilt või Antslast pärit häkkerid. Küll aga on teada, et peale Eesti ettevõtete on vähemalt üks kord selliste skeemide tagajärjel küberpättidele 40 000 euro suuruse summa üle kandnud ka üks Eesti omavalitsusele teenust pakkuv asutus.

«Kui meile teada antud kaasused kokku liita, siis ma ilmselt väga ei liialda, kui ütlen, et meilipetturite kätte jõudnud summa ulatub ligi poole miljoni euro kanti. Ainuüksi oktoobris oli see summa umbes 100 000 eurot,» ütles Tammer. «See puudutab vaid juhtumeid, mis meile teada on. Tegelikult võivad summad palju suuremad olla.»

Panka tuleb kiirelt informeerida

Toomas Vaks, Swedbanki küberriskide valdkonna riskijuht:
Pettusekahtluse korral on oluline võimalikult kiiresti panka juhtunust informeerida. Mida kiiremini info panka jõuab, seda suurem on tõenäosus, et pangal õnnestub saavutada maksesaaja pangaga kokkulepe makse tagasikutsumises või blokeerimises.
Samuti tuleb kindlasti kohe informeerida ka politseid, kuna makse tagasisaatmise eeltingimuseks võib olla ka ametlik kuriteomenetlus.

Aega kaks päeva

Priit Rum, ​LHV pressiesindaja:
Kui tegemist on Euroopa panka mineva maksega, siis SEPA makseid saame tühistada enne kliiringu kokkupanemist. Kui makse on juba pangast välja saadetud, saab selle tagasi kutsuda, kuid seda vaid juhul, kui saaja annab nõusoleku.
Näiteks Hiinasse mineva makse puhul on tegemist välismaksega. Kui välismakse on kinnitatud, siis edastatakse maksesõnum korrespondentpanka ja makse tagasikutsumiseks peame meie saatma sõnumi korrespondentpangale.
Kui makse tagasikutsumine tuleb enne väärtuspäeva (tavamakse puhul on see kahe päeva möödudes), siis on suurem tõenäosus makse tagasi saada.
Kui makse on juba korrespondentpangast edasi liikunud, siis võib minna kauem aega, ja kui raha on juba saajale laekunud, siis kehtib ikkagi põhimõte, et saaja peab andma nõusoleku makse tagastamiseks.
Seega tuleb valesti tehtud maksest teada anda võimalikult kiiresti.

Märksõnad
Tagasi üles