Thursday, February 16, 2012

Trikitamine


Arvutisüsteemid on täis võimsaid ja tarku kaitsevahendeid – viirustõrjeid, tulemüüre, krüpteeritud sidekanaleid, väärkasutuse hoiatussüsteeme ja palju muud. Inimene on niisuguste turvasüsteemide kõige nõrgem lüli ning kurjategijad teavad seda väga hästi. Edukas küberkurjategija peabki tundma pigem inimpsühholoogiat kui programmeerimist ning oskama suunata mitte niivõrd bitijada, kuivõrd oma ohvrite käitumist (social engineering).
Arvutikurjamite töö sarnaneb sageli mustkunstnike omaga – nende eesmärgiks on panna tavaline arvutikasutaja nägema seda, mida ta triki õnnestumiseks peab nägema, mitte seda, mis tegelikult toimub.
Usalduse kuritarvitamise lihtsaks näiteks on elektronkirjad, mis pealtnäha on saadetud kas väga hea sõbra, ülemuse, panga või muu tuttava saatja poolt. Aga kas ikka on? E-post mõeldi välja siis, kui internet oli alles pisike, kõik tundsid kõiki ning saatja ehtsuse kontrollimiseks polnud mingit põhjust. Sellepärast on praegugi saatja aadressi ja nime muutmseks vaja teha vaid paar näpuliigutust meilikliendi seadetes.
Nii ei maksa olla sugugi meelitatud, kui saate kirja mõne Aafrika presidendi otseselt järeltulijalt, ega imestada, kust ta teid küll tunneb. Veel vähem tasub uskuma jääda seesuguses kirjas väljapakutud plaane hiigelpäranduse jagamiseks – vähe sellest, et te ei näe kunagise diktaatori poolt kokkuriisutud miljonitest sentigi, tõenäoliselt kaotate ka märkimisväärse osa isiklikust varast. Üldse ei maksa uskuda suvaliselt saatjalt tulnud sõnumeid, mis näivad liiga head, et olla tõsi – olgu selleks siis võit loteriis, milles te pole osalenud, geniaalne investeerimisplaan 200%-lise kasumiga, absurdselt odavad luksuskaubad või siis eluiga ja riistvara poole võrra pikendavad imevahendid.
Õngitsemise puhul küsitakse kas otse teie pangaparoole ja koodikaardi koode, või siis antakse mõnel soliidsel ettekäändel link veebilehele, mis näeb välja täpselt nagu panga oma, ja kuhu te siis ise oma pangarekvisiidid sisestate. Võimalik, et õngitsemiskiri sisaldab hoopis telefoninumbrit, nii et teie pangaandmed korjab kokku hoopis telefoni automaatvastaja.
Teinekord ei pea kurikaelad paljuks ka ise helistada – näiteks mõne ettevõtte raamatupidajale, kellelt IT-administraatorina esinedes meelitatakse mõnel osaval ettekäändel välja raamatupidamissüsteemi ligipääsuandmed. Mõnikord aga jäetakse sinnasamma firmasse „juhuslikult” vedelema CD pealkirjaga „Juhtkonna palgatabel” – küllap mõni uudishimulik selle oma arvutisse pistab. Ja kui ka ei pista, siis viib ausal moel raamatupidamisosakonda tagasi, kus kasvõi kontrollimise mõttes CD-plaat koos sellele salvestatud viirusega käima tõmmatakse…
Trikitamise ohver ei pea olema rumal ega ebaaus, sageli lasevad end haneks tõmmata vägagi intelligentsed, distsiplineeritud ja läbinägelikud inimesed. Trikitamise vastu saab ainult eluterve kahtlus ning õppimine kogemustest – nii enda, parem aga kui võõrastest kogemustest.

No comments:

Post a Comment