Kiirlaenupakkuja turvanõrkus tekitas võimaluse võõra inimese nimel laenu võtta
25. jaanuar 2021, 14:53
Riigi Infosüsteemi Amet (RIA) registreeris detsembris 149 küberintsidenti. Kahju tekitasid peamiselt lunavararünnakud ning arvepettus. Teiste hulgas aitasid eksperdid eemaldada turvanõrkuse, mis andnuks võimaluse võtta kiirlaenu võõra inimese nimel.
Kui läinud suvel avastasid RIA eksperdid turvanõrkuse paarikümnel Eesti veebilehel, mis ei kontrollinud ID-kaardiga autentimisel sertifikaatide kehtivust ja allkirjastatust, siis detsembris avastati ühel kiirlaenu pakkuva ettevõtte veebilehel sarnane turvanõrkus. See nõrkus andis teoreetilise võimaluse võtta võõra inimese nimel kiirlaenu.
«Andsime ettevõttele nõrkusest teada ning aitasime selle kiiresti likvideerida. Meile teadaolevalt ei ole turvanõrkust ära kasutatud, mida kinnitas ka laenupakkuja,» ütles RIA küberintsidentide käsitlemise osakonna (CERT-EE) juht Tõnu Tammer. «Sellise nõrkuse korral ei saa inimene teha enda kaitseks mitte midagi, kõik hoovad on teenusepakkuja käes. Korrektselt seadistatud veebileht välistab võimaluse kasutajaid selliselt kuritarvitada. Puudustele saab ka kiiremini jälile, kui teenusepakkujad logivad ja filtreerivad lehel toimuvaid päringuid,» soovitas Tammer.
Lunavararünnakud
Detsembris teavitasid kolm Eesti ettevõtet, et langesid lunavararünnaku ohvriks. Kahel juhul saadi ligipääs andmetele ja süsteemidele Windowsi kaugtöölaua-protokolli, kolmandal juhul teise kaugelt ligipääsetava ühenduse kaudu.
Tartus tegutsev ettevõte teatas arvepettusest. Kurjategijad jälgisid ettevõtte ja selle koostööpartneri meilivahetust ning sekkusid sellesse hetkel, kui jutt läks arve tasumisele. End tarnijana esitlenud petturid saatsid Tartu ettevõttele arve, mille palusid tasuda uuele pangakontole. Selline vangerdus jäi paraku arvesaajale märkamata, mistõttu tasus ettevõte petistele soovitud 3400 eurot.
Aasta viimasel kuul levisid aktiivselt õngitsuskirjad. Omniva nimel edastati kirju, milles paluti saabunud paki eest tasu. Kirjas oli link petturite kontrolli all olevale veebilehele, kuhu meelitati sisestama pangakaardi andmeid. Kuu lõpus levisid SEB nimelt saadetud petukirjad, millega püüti välja petta klientide internetipanga kasutajatunnuseid ja Smart-ID PIN-koode. Oma andmete uuendamiseks pole vaja sisestada PIN2-koodi. Üleüldse tuleb meeles pidada, et PIN2-kood on võrdne allkirjaga.
Eelmisel aastal registreeris RIA küberintsidentide lahendamise osakond (CERT-EE) ligi 2800 sellist küberintsidenti, mille puhul oli teabe või süsteemide konfidentsiaalsus, terviklus või kättesaadavus häiritud. Aasta varem oli selliseid juhtumeid ca 3200 ehk 400 võrra enam.
RIA uuendas ka veebiserverite seadistamise juhendit. Kõik riiklikke autentimisteenuseid kasutavad ettevõtted peaksid üle vaatama veebiserveri seadistuse ning veenduma, et lähtutakse viimastes juhendites toodust. Uued juhendid on leitavad portaalist id.ee.