Põrandaalune küberkuritegevus on hästi õlitatud masin, mille väärtus on igal aastal triljoneid dollareid. Õiguskaitsjate ja enamiku tarbijate eest varjatud tumeveebisaitidel ostavad ja müüvad küberkurjategijad tohutul hulgal varastatud andmeid ning nende hankimiseks vajalikke häkkimistööriistu. Näiteks arvatakse, et sellistel veebisaitidel ringleb praegu kuni 24 miljardit ebaseaduslikult omandatud kasutajanime ja parooli. Kõige nõutumate hulgas on värsked kaardiandmed, mida petturid seejärel hulgi ostavad, et sooritada identiteedipettus.
Riikides, kus on kasutusele võetud kiibi- ja PIN-süsteemid (EMV), on nende andmete kloonitud kaartideks muutmine vaevaline. Ehk enamasti kasutatakse seda veebis kaart-ei-ole-kohal (CNP) rünnetes. Petturid võivad seda kasutada luksuskaupade ostmiseks edasimüügiks või osta hulgi kinkekaarte – see on veel üks populaarne viis ebaseaduslikult saadud rahaliste vahendite pesemiseks.
Selliste kaartide turu suurust on raske hinnata. Kuid maailma suurima põrandaaluse turu administraatorid läksid hiljuti erru, olles teeninud hinnanguliselt 358 miljonit USD.
Seda silmas pidades esitame siinkohal 5 kõige levinumat viisi, kuidas häkkerid sinu krediitkaardiandmeid kätte saavad – ja kuidas neid peatada.
1. Andmepüük
Andmepüük on küberkurjategijatel üks populaarsemaid andmete varastamise meetodeid. Lihtsamalt väljendudes on see trikk, mille puhul häkker maskeerub seaduslikuks isikuks (nt pank, e-kaubanduse pakkuja või tehnoloogiafirma), et meelitada sind avaldama oma isikuandmeid või tahtmatult alla laadima pahavara. Sageli julgustavad nad kasutajaid lingil klõpsama või manust avama. Mõnikord viib see kasutaja andmepüügilehele, kus sind julgustatakse sisestama isiklikku ja finantsteavet. Andmepüük saavutas väidetavalt 2022. aasta I kvartalis kõigi aegade kõrgeima taseme.
Need petuskeemid on viimastel aastatel arenenud. Meili asemel võid täna saada pahatahtliku teksti (SMS) häkkerilt, kes teeskleb end olevat tarnefirma, valitsusasutus või mõni muu usaldusväärne organisatsioon. Petturid võivad sulle isegi helistada, teeseldes end olevat usaldusväärne allikas, et saada sinu kaardi andmed. SMS-kalastused (smishing) kasvasid 2021. aastal enam kui kaks korda aastas, samas kui ühe hinnangu kohaselt kasvas ka telefonkalastuste (vishing) arv.
Näide andmepüügi e-kirjast. Lisateavet selle e-kirja kohta leiate sellest artiklist: Ärge laske end õngitseda! Kuidas olla see, kes pääses.
Need petuskeemid on viimastel aastatel arenenud. Meili asemel võid täna saada pahatahtliku teksti (SMS) häkkerilt, kes teeskleb end olevat tarnefirma, valitsusasutus või mõni muu usaldusväärne organisatsioon. Petturid võivad sulle isegi helistada, teeseldes end olevat usaldusväärne allikas, et saada sinu kaardi andmed. SMS-kalastused (smishing) kasvasid 2021. aastal enam kui kaks korda aastas, samas kui ühe hinnangu kohaselt kasvas ka telefonkalastuste (vishing) arv.
2. Pahavara
Põrandaalune küberkuritegevus on tohutu turg, mitte ainult andmete, vaid ka pahavara jaoks. Aastate jooksul on teabe varastamiseks loodud erisuguseid pahatahtlikke koode. Mõned salvestavad sinu klahvivajutused – näiteks siis, kui sisestad e-poe või panga veebisaidil kaardiandmeid. Kuidas pahalased need tööriistad sinu seadmesse saavad?
Andmepüügimeilid või tekstisõnumid on üks levinud meetod. Pahatahtlikud veebireklaamid on teine. Muudel juhtudel võivad nad nakatada populaarseid veebisaite ja oodata, kuni kasutajad neid külastavad. Säärane pimeda allalaadimisega pahavara installitakse kohe, kui külastad nakatunud veebilehte. Teavet varastav pahavara on sageli peidetud väliselt seaduslike, kuid tegelikult pahatahtlike mobiilirakenduste sisse.
3. Digitaalne skimming
Mõnikord häkkerid installivad pahavara ka e-poodide veebisaitide makselehtedele. Need on kasutajale nähtamatud, kuid nende sisestamisel kopeeritakse sinu kaardi andmed. Kasutajad ei saa turvalisuse tagamiseks palju teha, peale ostlemise ainult kuulsate kaubamärkide esindajate juures ja veebisaitidel, mis on tõenäoliselt turvalisemad. Digitaalse skimmingu (ehk veebipõhise kaardiskimmingu) tuvastamiste arv kasvas 2021. aasta maist novembrini 150%.
4. Andmelekked
Mõnikord varastatakse kaardiandmed otse ettevõtetelt, kellega tehinguid teed. Selleks võib olla tervishoiuteenuse osutaja, e-pood või reisifirma. See on häkkerite vaatenurgast kulutõhusam tegutsemisviis, sest ühe ründega saavad nad juurdepääsu tohututele andmehulkadele.
Teisalt peavad nad andmepüügikampaaniate puhul üksikisikutelt ükshaaval varastama – kuigi need ründed on tavaliselt automatiseeritud. Halb uudis on see, et 2021. aasta oli USA andmerikete rekordaasta.
5. Avalik WiFi
Kodust eemal olles võib olla ahvatlev surfata veebis tasuta avalikes WiFi-levialades – lennujaamades, hotellides, kohvikutes ja muudes ühisruumides. Isegi kui pead võrguga liitumise eest maksma, ei pruugi see olla turvaline, kui häkkerid on sama teinud. Nad saavad seda juurdepääsu kasutada sinu andmete piilumiseks, kui neid sisestad.
Kuidas oma kaardiandmeid turvaliselt hoida
Õnneks on kaardiandmete valedesse kätesse sattumise riski leevendamiseks palju võimalusi. Alustuseks on hea teada järgmist:
- Ole valvas: ära kunagi vasta soovimatutele e-kirjadele, klõpsa linkidel ega ava manuseid. Nendes võib olla pahavara lõks. Või nad viivad su õiguspärase ilmega andmepüügilehtedele, kus sind julgustatakse sisestama oma andmed.
- Ära avalda telefoni teel üksikasju, isegi kui vestluspartner tundub veenev. Küsi, kust nad helistavad, ja seejärel helista sellele organisatsioonile kontrollimiseks tagasi – kuid ära kasuta nende antud kontaktnumbreid.
- Ära kasuta internetti avalikus WiFi-võrgus, eriti ilma virtuaalse privaatvõrguta. Kui aga pead, ära tee midagi, mis nõuab kaardiandmete sisestamist (nt veebipõhine ostlemine).
- Ära salvesta kaardiandmeid veebipoes ega muudel saitidel, ehkki see aitab säästa tulevaste külastuste aega. See vähendab sinu kaardiandmete valdusse võtmise tõenäosust, kui ettevõttes toimub andmerike või sinu konto kaaperdatakse.
- Laadi alla pahavaratõrje, sealhulgas andmepüügivastane kaitse usaldusväärselt turbemüüjalt (nt ESET) kõikidesse sülearvutitesse ja seadmetesse (st telefonidesse, tahvelarvutitesse).
- Kasuta kaheastmelist autentimist kõigil tundliku sisuga kontodel. See vähendab võimalust, et häkkerid murravad need lahti varastatud/kalastatud paroolide abil.
- Laadi rakendusi alla ainult seaduslikelt turgudelt (Apple App Store, Google Play).
- Veebis osteldes tee seda ainult HTTPS-iga veebisaitidel (kuvatud tabalukk brauseri aadressiribal URL-i kõrval). See tähendab, et andmete kinnipüüdmise tõenäosus on väiksem.
Lõpuks on hea tava hoida silm peal kõigil oma panga- ja kaardikontodel. Kui märkad kahtlasi tehinguid, teavita sellest kohe oma panga/kaardipakkuja pettustemeeskonda. Mõned rakendused võimaldavad nüüd kõik konkreetsetel kaartidel tehtud kulutused külmutada, kuni saad veenduda turbemurde toimumises. Pahalastel on palju võimalusi meie kaardiandmete saamiseks, aga saame ka ise palju teha nende eemal hoidmiseks.
