Petturid õngitsevad kergeusklike mobiil-ID PIN-koode
Kui kasutaja ise autentimist või allkirjastamist alustanud pole, ei tohi PIN-i telefoni sisestada.
Firma tegevjuhina töötava Tarmo (täisnimi toimetusele teada) nutitelefoni ekraanile ilmub iga paari kuu järel mobiil-ID teade tundmatult allikalt, mis palub dokumendile tema digiallkirja. Mis dokument see on, teatest ei selgu.
Kuna nii juhtub regulaarselt, kahtlustab Tarmo, et see pole sõnumi saatja juhuslik eksimus telefoninumbri sisestamisel, vaid tegemist on sihiliku pettusega, et saada heauskselt mobiil-ID kasutajalt kätte tema paroolid ja kasutada neid siis tema vastu. Võib ju digitaalselt allkirjastatava dokumendi sisuks olla mis tahes volitus või luba, millele allkirja välja pettes võib kolmas isik volituse „andjale” palju kahju teha.
Tarmo pole veel probleemiga politsei või riigi infosüsteemide ameti (RIA) poole pöördunud, sest „ignoreerida on neid sõnumeid lihtsam”, kuid igal juhul tahab ta teistelegi meelde tuletada, et enda identifitseerimist peab hoolikalt jälgima igas kanalis.
Sellise õngitsemise puhul võib olla tegu hoolikalt valitud sihtmärgiga, kuna firmajuhi telefon ja isikukood on avalikud ja lihtsalt leitavad ning potentsiaalne kahju ohvrile ja kasu häkkerile eeldatavalt suurem kui suvaliste inimeste püüdmisel. Lisaks pälvib üksikute sihtmärkide valimine vähem tähelepanu kui masspostitused.
Mobiil-ID kasutamise esimene samm on üles ehitatud erinevalt – mõnikord oodatakse lisaks telefoninumbrile ka isikukoodi (mitmed riigiga seotud veebilehed, nt ettevotjaportaal.rik.ee) või kasutajatunnuse sisestamist (internetipangad). Paljud ettevõtted nagu Eesti Energia ja Elion aga piirduvad telefoninumbri küsimisega. Mõni riigiasutus omakorda alustab autentimisprotsessi ainult isikukoodist.
„Seega on kellegi isikukoodi või mobiiltelefoni numbrit teades või neid juhuslikult genereerides mobiil-ID-ga autentimise alustamiseks võimeline igaüks. Samas ei saa üksikjuhtumi korral välistada inimliku eksimise võimalust,” nentis riigi infosüsteemide ameti (RIA) infoturbe ekspert Triin Nigul.
Ta soovitab kasutajal, kes on saanud mobiil-ID-ga autentimise või allkirjastamise sõnumi, mida ta ise algatanud pole, igal juhul süüvida sõnumi sisusse, sest võimaliku politseiuurimise tarvis on oluline teada, millise dokumendi digiallkirjastamiseks või millisesse teenusesse sisselogimiseks kinnituskoodi (PIN-i) küsitakse. Kood tuleks muidugi sisestamata jätta.
Ligi miljon päringut kuus
Kui sõnumis kajastub teenusepakkuja nimi, tuleks allkirjastamis- või sisselogimiskatsest teavitada teenuse omanikku. „Teenuse omanikul on võimalik uurida, kas tegemist oli üksikjuhtumiga (keegi eksis näiteks mobiiltelefoni numbri sisestamisega) või suuremat hulka kasutajaid puudutava õngitsemiskatsega. Viimasel juhul kaasatakse petuallkirjastamise või -autentimise taga oleva isiku tuvastamiseks politsei, kes menetleb juhtumit, pärides vajadusel andmeid sideettevõtjatelt,” ütles Nigul.
Sertifitseerimiskeskuse lisateenuste ärijuhi Liisa Lukini sõnul jõuab nendeni teateid mobiil-ID pettustest väga harva, kuigi kasutajaid on juba üle 30 000 ja mobiil-ID-ga tehakse ligi miljon päringut kuus. Viimasel ajal pole selliseid teateid tulnud ka riigi infosüsteemide ametile (RIA) ega politseile. Tõenäoliselt ei pruugitagi üksikjuhtumitest teada anda. Lukin nentis, et sertifitseerimiskeskus ei saa üksikjuhtumeid omalt poolt ka kuidagi piirata.
„Mobiil-ID puhul on väga oluline inimese enda käitumine ja teadlikkus teenuse ohtudest,” rõhutas Lukin. „PIN-koodi tohib sisestada alles siis, kui ollakse veendunud, et päring on tulnud teenusest, kuhu soovitakse siseneda. Igas päringus on alati kirjas teenuse nimi ja kontrollkood, mis peab kattuma sellega, mida teenus kuvab sisenemisel. Samamoodi ka digiallkirjastamisel. Kui kasutaja leiab, et tegu on eksliku päringuga, siis ei tohi PIN-koodi sisestada. Selliselt käitudes on teenus turvaline.”
Petturid on ka varem korduvalt üritanud Eesti inimestelt andmeid välja õngitseda.
Näiteks 2009. aastal püüti Swedbanki klientidelt pangaparoole – vastavaid veebilehti loodi mitmel päeval ja mitme eri riigi serveris, mis muutis nende mahavõtmise keerulisemaks ja ajamahukamaks.
Eelmisel aastal hoiatas Swedbank petukirja eest, milles kasutati panga sümboolikat ja millega üritati kätte saada inimeste Visa või Mastercardi krediitkaardi andmeid.
Mobiil-ID autentimislahenduse kaudu rünnati eelmise aasta algul registrite ja infosüsteemide keskuse (RIK) hallatavat kinnistuportaali. Ligi 3000 inimest said oma telefonile mobiil-ID autentimise sõnumeid, mis palusid sisestada portaali sisenemiseks PIN1 parooli. Käputäis inimesi seda ka tegi, kuid teadaolevalt ei kannatanud keegi kahju. RIK tegi rünnaku kohta ka politseile avalduse, mille menetlus ei ole veel lõppenud.
