Võrgupettuste kaks Eestit
Tänavu aprilli lõpus ilmus Uus-Meremaa ajalehe The New Zealand Herald esiküljel lugu internetipettusest, millega saadi inimestelt kätte üle 100 000 sealse dollari ehk ca 810 000 Eesti krooni. Kohalik e-kuritegude vastase üksuse politseiametnik Maarten Kleintjes kinnitas, et sulid pärinesid Eestist ja Lätist. Petuskeemi oli teiste seas haaratud 72aastane uusmeremaalane, kes arvanud, et tegutseb kurikaelte kogutud raha välismaale kandes seadusliku firma huvides ja lootis pensionile lisa teenida.
Uus-Meremaal töötav eestlanna Eeva Kesküla elas läbi piinliku hetke, kui kolleegid tulid Heraldi loo peale talle oma pangakontode numbreid pakkuma. Ka rahvusvahelistel konverentsidel, kus osalevad Eesti suurfirmade netiturvalisuse eest vastutavad juhid, on üha rohkem kuulda Eestist pärit võrgusulidest. Kuid ka tervest Ida-Euroopast. Sageli on tegemist väga rahvusvahelise seltskonnaga, kes aga suhtleb omavahel vene keeles, kasutades foorumeid, icq- ja irc-teenuseid.
"Ettekujutus, et kuri häkker on pikkade rasvaste juustega tudeng, kes joob Coca-Colat ja istub öösiti arvuti taga, on vananenud," ütleb Hansapanga grupi IT riskijuht Jaan Priisalu. "Tegemist on organiseerunud võrgustikuga, kelle eesmärk on just raha teha."
Õhukeste ekraanide skeem
See on üks tuntuim veebipettuse e. scam'i juhtum, mida maailmas seostatakse otse Eestiga.
Petturid riputasid internetis aadressile www.slimdisplay.net võrgukülje, mis nägi välja nagu tõsise TV-plasmaekraanide müügifirma oma. Tegelikult oli enamik sellest maha viksitud ühe USA Florida osariigi firma netiküljelt. Lisati vaid kontaktandmete osa.
Seejärel saadeti Uus-Meremaa ning Austraalia inimestele hulgaliselt e-kirju, milles pakuti teenimisvõimalust Slimdisplay müügiesindajana. Ühe displei hind on 1500-7000 USA dollarit, millest lubati seitse protsenti komisjonitasu! See tähendaks Eesti rahas 1300-6400 krooni hõlpsat teenistust.
Kirjas väideti, et Slimdisplay Corp. on Eestis ametlikult registreeritud ("official Companies Register of Estonia"), ning registreerimisnumber on VU639576100004214. Tegelikkuses mingit sellise numbri all registreeritud ettevõtet Eesti äriregistris muidugi ei leidu (registreerimisnumbrid on siin üldse hoopis lühemad).
Skeem läks käima. Kui austraallane või uusmeremaalane asjast huvitus ja saatis oma CV aadressile sales@slimdisplay.net, vaatasid petturid, millises pangas asub tema konto. Edasi suheldi ainult nendega, kes hoidsid oma raha niisuguses pangas, mis kurikaelu huvitas - mille turvatase teati olevat nõrk.
Mõne Eesti vastava ala tippspetsialisti hinnangul oli Uus-Meremaa ja Austraalia internetipanganduse turvatase hiljutise ajani võrreldes näiteks Eesti omaga väga madal. Näiteks ANZ pangas tuli kasutajatunnusena sisestada oma krediitkaardi number, paroolina aga pin-kood. Ei mingit tülikat paroolikaartidega õiendamist nagu meil.
Järgnevalt saadetigi võrkusattunud ohvritele e-kiri, mis imiteeris vastava panga ametlikku maili. Seal väideti, et on tarvis sisestada oma paroolid. Lõpptulemusena tehti ohvrite pangakontod lihtsalt tühjaks.
Raha kättesaamiseks kasutasidki petturid "muulasid", kelle ülesanne oli võtta raha oma kontole vastu, välja võtta ning kanda see edasi teises riigis asuvatele petturitele, kasutades Western Unioni või MoneyGrami ülekandeteenust.
Pettuse mõju jõudis Eestisse
Eestile on selline kuritegevus toonud hulganisti äärmiselt halba mainet. Antud juhtumit käsitles laialt Uus-Meremaa ja Austraalia ajakirjandus, samuti tuntud Briti arvuti- ja IT-uudiste veebisait The Register. Uus-Meremaa panga BNZ veebisait kirjeldab Slimdisplay juhtumit oma võrguküljel, kuhu nad on kogunud erinevaid petuskeeme. Austraalia netipangandus on kelmide tõttu muutumas. Turvataset tõstetakse ja www.anz.com lehele minnes hüppab lahti aken, mis hoiatab levivate pettuste eest.
Kuid Slimdisplay juhtum sellega veel ei piirdunud. Ka Slimdisplay.net võrguküljel istus nn "trooja hobune" - programm, mille eesmärk on saada kontroll arvutite üle ning kasutada neid kas pangainfo varguseks või mõnel muul kuritegelikul eesmärgil.
Just see juhtum sai konkreetseks põhjuseks, miks tänavu mai algul Hansapank keelas oma töötajatel panga arvutite kaudu veebis surfamise. Internetti ei keeratud päris kinni, alles jäeti võimalus vaadata turvaliseks peetavaid saite. Aga nendest arvutitest, millega teostatakse pangatehinguid, enam võrgukülgi külastada ei saa.
Slimdisplay petturite tegevus pole ilmselt veel lõppenud. Nende veebisait ripub nüüd uuel aadressil - Slimdisplay.org ning teadaolevalt läks sarnaseid e-kirju lõunapoolkera poole teele veel vähemalt 19. mail.
Oma aadressiks väidab Slimdisplay olevat Tallinn, Sauna tänav 18-9. Tegelikult vanalinnas Sauna tänaval sellise numbriga maja pole.
Veel värskem Eestiga seotud juhtum ilmus avalikkuse ette juuni lõpus. Pop-up reklaami kaudu üritati istutada arvuteisse programmi, mis salvestab umbes poolesaja tuntud Austraalia, Briti, Saksamaa ja mujal asuva panga või finantsasutuse veebisaidi külastajate klahvivajutused - nii on võimalik vahelt hankida paroole ja kasutajatunnuseid. Üks kurikaelte pruugitud võrgukülgedest www.eva.ee kuulub Eesti Vesiaeroobika Liidule. Antud skeemi kirjeldas detailselt infoturvalisusega tegelev SANS instituut USAs, juulikuu algul kirjutas sellest ka The Washington Post.
Vesiaeroobika Liidu president Margit Lipstuhl ütleb, et kuuleb sellisest ärakasutamisest esmakordselt.
78 000 krooni Hollandisse
Hulgaliselt on ka vastupidiseid näiteid - kus Eestis ei asu kurikaelte väljamõeldud aadress, vaid meie inimesed on elektrooniliste petuskeemide naiivsed kannatajad. Ekspress kirjeldab mõnd tõestisündinud ja üpris värsket juhtumit.
* Eesti elanik tahtis osta Saksamaalt autot. Müüja nimega Thomas Plecha nõudis ettemaksu 2800 eurot (ligi 44 000 krooni). Kui raha oli üle kantud, teatas müüja, et a) hetkel pole täpipealt seda mudelit, mida ostja soovib; b) rahaülekannet ta kätte saanud ei ole. Juhtumi kohta algatati Eestis kriminaalasi, mille uurimine on üle antud Saksamaale.
* Naisterahvas soovis eBay internetioksjonide süsteemi kaudu osta Hispaanias asuvalt müüjalt Minolta fotoaparaati. Ta sai müüjalt teate, et oksjoni esialgne võitja on tehingust loobunud ning et tema pakkumine oli paremuselt järgmine. Mullu juuli algul kandis naine Western Unioni kaudu müüjale Madridi üle 800 USA dollarit (ca 10 000 krooni). Mida aga ei tulnud ega tulnud, oli fotokas. Alles oktoobrikuus pöördus naine Eesti ametivõimude poole. Seda juhtumit uurivad praegu juba Hispaania ametnikud.
* Tänavu 19. jaanuaril sai Eestis elav naine Hollandist e-kirja, et ta on võitnud 1,2 miljonit USA dollarit. Kuid et seda raha kätte saada, oleks vaja Hollandisse üle kanda 5000 eurot (78 000 krooni!). Ohver kandiski raha üle. Pärast seda ei ole loodetud miljonist dollarist enam keegi kõssanud.
* 23aastane eestlasest mees üritas osta eBay oksjonide kaudu mobiiltelefone. Ühel juhul kandis ta üle 1043 eurot (16 000 krooni) Rumeeniasse, müüjana esinenud Gheorge Cuculici'le. Teisel korral saatis ta tervelt 4200 eurot (ligi 66 000 krooni) Iirimaale, Mariani Fabrittio nimelise kodaniku pangakontole. Mingeid telefone ta neilt ei saanud, ka nimed on tõenäoliselt väljamõeldud.
Uurijad bürokraatia kammitsas
Üks niisuguste juhtumitega tegelevaist Eesti ametnikest, riigiprokurör Eve Olesk soovitab olla interneti vahendusel tundmatutelt müüjatelt kauba ostmisel äärmiselt ettevaatlik.
"Pettuste hulk on plahvatuslikult kasvanud. Kurjategijate tuvastamine on keeruline ja sageli jäävad nad välja selgitamata."
Eesti uurijate ja prokuröride võimalused rahvusvahelisi netipettureid tabada on peaaegu olematud. Eeltoodud eBay pettuse materjalid seisavad politseis ühes virnas Tallinna korterivargustega s.o nii erinevate asjadega peavad tegelema ühed ja samad inimesed. Kõige ohtlikumate e-kuritegudega tegeleb keskkriminaalpolitsei spetsiaalne talitus, Kalmer Viska juhitav nn küberpolitsei. Sealsed spetsialistid on väga heal tasemel, kuid ülekoormatud.
Sulid tegutsevad internetis rahvusvaheliselt, ent nende püüdjatele on riigipiirid suur takistus. Kui Eesti inimene petta saab, kuulatakse kannatanu küll üle, kuid sellega sageli asi piirdubki. Edasi andmiseks välisriiki tuleb materjalid tõlkida ja pidada paberisõda. See võtab aega, mille jooksul kurikael juba otsad vette peidab. Kirjeldatud mobiiltelefoniostu juhtumis kiiruse huvides Eestis kriminaalasja ei algatatudki, vaid materjalid antakse kohe edasi Rumeeniasse ja Iirimaale.
Tegelikult on häda lihtsamategi asjadega. Näiteks kui Eesti elanikult pannakse mõnes välisriigi lennujaamas pihta kohver, ent ta ei võta kohe ühendust sealse politseiga. Tuleb mõni aeg hiljem, avaldus näpu vahel, Eestis politseisse või prokuratuuri.
Väljavaade on sel juhul kurb. Riigiprokurör Oleski mitmeaastases praktikas pole ainsatki näidet, kus Eesti inimeste vastu välisriigis sooritatud tegu, millega kannatanud on alles kodumaal võimude poole pöördunud, oleks edasise uurimise käigus välismaal leidnud positiivse lahenduse - s.t süüdlane tabatud, kohtus süüdi mõistetud ja varastatud asjad omanikule tagastatud. "Alati tuleb otsekohe sealse riigi politsei kutsuda," soovitab ta.
Autorahaga vastu pükse
Leidub ka hoopis müstilisi juhtumeid. Paari nädala eest pöördusid prokuratuuri kaks Eesti elanikku, kes saatsid Hansapangast MoneyGramiga 6000 dollarit Saksamaale, kuhu nad tahtsid sõita autot ostma. Asja mõte oli mitte reisida suure sularahasummaga, vaid saata see turvaliselt kohale ja võtta siis Saksamaal ise välja.
Auto oli neil juba välja vaadatud, kui selgus, et keegi on Saksamaal juba sama nime kasutades raha välja võtnud! Ning kui Hansapank pöördus MoneyGrami poole, selgus, et firma ei väljasta tehingu kohta mingeid andmeid.
Hansapanga suhtekorraldaja Ando Noormetsa sõnul on saaja pank kohustatud üle 900dollariliste summade puhul isiku, kellele väljamakse teostatakse, pildiga isikuttõendava dokumendi alusel tuvastama. Ent kui saajal dokument puudub, on lubatud testküsimuse kasutamine.
Samas kinnitab Noormets, et Hansapanga tegevus on selle juhtumiga seoses "olnud korrektne".
Kuidas vältida netipettust
Mina olen suur internetist asjade ostja. Ükskõik mida vaja läheb. Kui see pole just leib ja piim või midagi ülikobakat, mida lihtsalt pole mõtet kaugelt transportida, siis enamasti ma ikka uurin, kas seda ei leidu mõnes netipoes. Eriti mõistlik on osta internetist raamatuid, CDsid, DVDsid (filme), allalaaditavat tarkvara. Kui hakkad tahtma midagi konkreetset, siis sageli seda Eestis pole või on mõttetult väikese valiku ja kaks korda kallima hinnaga kui näiteks mõnes USA netipoes.
Ptüi, ptüi, ptüi - ühtki jama pole mul päris mitme aasta jooksul netist ostmisega juhtunud.
Sajaprotsendilist tagatist pettuse otsa sattumise vältimiseks pole võimalik internetis saada, nagu ka Tallinnas tänaval kõndides ei saa kindel olla, et järgmisel hetkel mingi tüüp su telefoni taskust välja ei õngitse. Kuid ülemäära riskida pole mõtet. Iialgi ei saadaks ma 4000 eurot tundmatule sellile Rumeeniasse, isegi kui selle eest lubataks müüa terve Ceaucescu hiigelpalee Bukarestis.
Enamasti on abiks üsna lihtsad reeglid. Näiteks osta ainult tuntud kohtadest. Keegi ei väida, et ainult amazon.com on tuntud ja usaldusväärne, kuid enne krediitkaardi numbri tippimist arvutisse on ikkagi kasulik uurida, kas ka keegi teine on varem sellest poest midagi ostnud ja mis kogemuse ta sai. Palju infot leidub vastava valdkonna fännide foorumeis, Eestis näiteks www.dvd.ee. USA võrgukaubamajadest ostmiseks, kes enamasti Eestisse kaupa ei lähetagi, on olemas kohalik vahendajafirma Netikuller.
eBayst olen ostnud vaid ühe korra, kaks CDd. Tegemist on suurepärase ja rikkaliku ostupaigaga, mille häda on see, et tihti pole võimalik leiutada Eesti elanikule sobivat makseviisi. Mina saatsin lihtsalt ümbrikus sularaha, paarkümmend dollarit. Kõik sujus. Levinum makseviis on seal PayPal - firma, mis vahendab ka eraisikute vahel krediitkaardimakseid. Kuid Eesti ega teistegi "uue ELi" riikide elanikele PayPal oma teenust ei paku. Teiseks ei ole eBay oksjonidel kunagi täielikku kindlust, et müüja on usaldusväärne. Parem on sealt osta summade piires, mille kaotsimineku oled võimeline koos mõne vandesõnaga alla neelama.
Terve mõistuse reegel kehtib ka selles, et kui ikkagi lubatakse müüa sulle igal pool mujal ca 100 dollarit maksev vidin 15 dollariga, siis on väga suur tõenäosus, et midagi on selles tehingus mäda.
Oma arvuti võiks hoida puhta igasugu mõttetutest jubinatest, mis tahavad end mõnelt võrguküljelt arvutisse laadida ja lubavad vastutasuks nalja, pornopilte vms. Ei saa välistada, et koos sellega imbub masinasse mingi paharet, mis tahab sinu pangakaardi numbrit või isikuandmeid. Või lihtsalt kontrolli arvuti üle, et kasutada seda spämmi laialisaatmiseks. Ei ole vaja avada tundmatuid manuseid, mis ei tea kust e-postkasti saabuvad. Ka tulemüür ja pidevalt uuendatav viirusetõrje on elementaarsed asjad, mida igaüks peaks kasutama.
