Mis on andmepüük?
Kas oled kunagi saanud näiliselt pangast või mõnest muust populaarsest veebiteenusest e-kirja, tekstisõnumi või muu elektroonilise suhtluse vormi, kus sul paluti oma konto identimisteave, krediitkaardinumber või muu tundlik teave «kinnitada»? Kui jah, siis tead juba, milline näeb välja levinud andmepüügirünne. Seda metoodikat kasutatakse väärtuslike kasutajaandmete hankimiseks, mida ründajad võivad alatutel eesmärkidel müüa või väärkasutada, näiteks väljapressimine, rahavargus või identiteedivargus.
Esmakordselt kirjeldasid seda kontseptsiooni 1987. aasta konverentsartiklis Jerry Felix ja Chris Hauck: «System Security: A Hacker’s Perspective» (1987 Interex Proceedings 1:6). Selles käsitleti ründaja tehnikat, kes jäljendas mainekat üksust või teenust. Sõna ise viitab saagi õngitsemisele — sest see kasutab samasugust püügiloogikat. Inglisekeelse mõiste alguses olev «ph-» viitab häkkerite rühmale “phreaks” kes katsetas ja uuris ebaseaduslikult telekommunikatsioonisüsteemide piire 1990. aastatel.
Kuidas andmepüük toimib?
Andmepüük on olnud juba aastaid olemas ja selle aja jooksul on ründajad välja arendanud ohvrite tabamiseks mitmesuguseid meetodeid.
Kõige tavalisem andmepüügimeetod on panga või rahaasutuse matkimine e-posti kaudu, ohvri meelitamine e-kirjaga kas täitma võltsitud vormi (tekstis või manuses) või külastama veebisaiti, kus taotletakse konto- või logimisandmete sisestamist.
Varem kasutati selleks sageli valesti kirjutatud või eksitavaid domeeninimesid. Tänapäeval kasutavad ründajad keerukamaid meetodeid, mistõttu lingid ja võltslehed sarnanevad vägagi nende seaduslike ekvivalentide omale.
Ohvritelt varastatud teavet väärkasutatakse tavaliselt nende pangakontode tühjendamiseks või müüakse internetis. Sarnaseid ründeid saab teha ka telefonikõnede (vishing) ja SMS-ide (smishing) kaudu.
Suunatud kalastusrünne
Täpsem andmepüügimeetod, mille abil näiliselt ehtsad andmepüügisõnumid jõuavad eriomaste rühmade, asutuste või isegi üksikisikute postkastidesse. Suunatud kalastusründe meilide autorid teevad eelnevalt üksikasjalikke uuringuid oma sihtmärgi (sihtmärkide) kohta, muutes sisu petlikuna tuvastamise keeruliseks.
Ründeid, mis keskenduvad eriomastele, enamasti tuntud äritegelastele — näiteks tippjuhtidele või omanikele -, nimetatakse potentsiaalse tasuvuse suuruse tõttu «vaalapüügiks» (pahad poisid lähevad «suure kala» järele).
Kuidas andmepüüki ära tunda
E-kiri või elektrooniline sõnum võib sisaldada ametlikke logosid või muid usaldusväärse asutuse tunnuseid, aga ikkagi pärineda andmepüügiga tegelejatelt. Alljärgnevalt mõned näpunäited, mis aitavad andmepüügisõnumit tuvastada.
- Üldised või mitteametlikud pöördumised — kui sõnumil puudub isikustamine (nt «Lp klient!») ja formaalsus, on tõenäoliselt midagi valesti. Sama kehtib ka pseudoisikustamise kohta juhuslike, võltsitud viitenumbrite abil
- Isikliku teabe taotlus — seda kasutavad sageli andmepüüdjad, tavaliselt väldivad seda pangad, rahaasutused ja enamik veebiteenuseid
- Kehv grammatika — õigekirjavead, lohakusvead ja tavatu sõnakasutus viitavad sageli võltsingule (samas nende puudumine ei ole õiguspärasuse tõend)
- Ootamatu kirjavahetus — panga või võrguteenuse pakkuja soovimatu kontakt on väga ebatavaline ja seega kahtlane
- Kiireloomulisuse tunne — andmepüügisõnumitega püütakse sageli esile kutsuda kiiret ja vähem kaalutletud tegevust
- Pakkumine, millest ei saa keelduda? — kui sõnum kõlab liiga hästi, et olla tõsi, siis peaaegu kindlasti ka on
- Kahtlane domeen — kas USA või Saksamaa pank saadaks tõesti e-kirja Hiina domeenilt
Kuidas end andmepüügi vastu kaitsta
Andmepüügi vältimiseks ole teadlik eespool esitatud näitajatest, mille järgi andmepüügisõnumid tavaliselt end reedavad.
- Ole teadlik uutest andmepüügimeetoditest: järgi meediat andmepüügirünnakute aruannete teemal, sest ründajad võivad välja mõelda uusi meetodeid kasutajate lõksu meelitamiseks
- Ära esita oma isiklikke andmeid: ole alati tähelepanelik, kui näiliselt usaldusväärse asutuse elektrooniline sõnum küsib sinu identimisteavet või muid tundlikke andmeid. Vajadusel kontrolli sõnumi sisu saatjalt või asutuselt, keda nad näiliselt esindavad (kasutades pigem teadaolevaid ehtsaid kontaktandmeid kui sõnumis esitatud üksikasju)
- Mõtle enne klõpsamist hästi järele: kui kahtlane kiri sisaldab linki või manust, ära klõpsake ega laadi alla. See võib viia teid pahatahtlikule veebisaidile või nakatada teie seadme pahavaraga
- Kontrolli regulaarselt oma veebikontosid: isegi kui puudub kahtlus, et keegi üritab sinu identimisteavet varastada, kontrolli, kas sinu panga- ja muudel veebikontodel on kahtlast tegevust. Igaks juhuks…
- Kasuta usaldusväärset andmepüügivastast lahendust. Rakenda neid meetodeid ja naudi turvalisemat tehnoloogiat