Andmeturbe ekspert Kevin Mitnick on rõhutanud, et turvalisus ei sõltu ainult tehnoloogiast, vaid ka inimeste teadlikkusest ja selgetest reeglitest. Kui üks neist komponentidest ebaõnnestub, muutub haavatavaks kogu süsteem.
Minu umbes kolme aasta tagune kogemus booking.com keskkonnas tõestas seda valemit valusal, kuid õpetlikul viisil. Sattusin andmepüügi ohvriks otse platvormi siseses vestluses, kus petturid tungisid minu ja majutusteenuse pakkuja vahelisse sõnumivahetusse. Pettuse käigus suunati mind majutaja nimelt saadetud sõnumiga välisele veebilehele, et sooritada broneeringutasu makse. Tegemist oli klassikalise õngitsemisega, kus ohvrit peibutatakse sisestama andmeid võltsitud lehele. Antud juhul oli rünne eriti kaval, sest see toimus näiliselt turvalises ja varem kasutatud suhtluskanalis. Nimelt enne, kui petturid vestlusplatvormi üle võtsid, jõudsin ka õige majutuse pakkujaga seal samas vestelda. Meie vestlus jätkus hiljem samas kanalis, kuid tagantjärele selgus, et osa „majutaja” nimel saadetud sõnumeid pärines tegelikult petturitelt.
Probleemi analüüs Mitnicki komponentide põhjal
1. Tehnoloogia
Antud juhul oli nõrgim lüli tehnoloogiline platvorm ise, mis võimaldas ründajatel sõnumivahetusse sekkuda. Platvormid peavad rakendama rangemaid autentimissüsteeme (nt mitmeastmeline autentimine) ja kasutama muid vahendeid, mis näiteks tuvastavad kahtlased välislingid sisevestlustes.
2. Koolitus
Tehnoloogia puudujääke oleks saanud osaliselt kompenseerida parem teadlikkus. Sotsiaalne manipulatsioon on andmeturbes väga levinud ning ründajad kasutavad sageli usaldusväärsena näivaid suhtluskanaleid ja tuttavaid saatjaid. Seetõttu peaks koolitus rõhutama, et enne lingi avamist tuleb alati kontrollida, kuhu see tegelikult suunab, seda isegi siis, kui sõnum tundub esmapilgul usaldusväärne. Küberkurjategijate jaoks ei ole ükski kasutaja liiga väike või tähtsusetu sihtmärk, mistõttu on mõistlik jääda pigem rohkem ettevaatlikuks.
3. Reeglid
Reeglid aitavad ebakindlas olukorras õigesti käituda. Platvormid peavad kehtestama ranged andmete käitlemise ja maksete sooritamise reeglid. Näiteks, kõik maksed toimuvad ainult platvormi sisese maksemooduli kaudu, mitte kunagi väliste linkide kaudu. Minu isiklik reegel peaks edaspidi olema, et kui tekib vähimgi kahtlus, katkestan tegevuse ja kontakteerun teenusepakkujaga läbi mõne teise, sõltumatu kanali (nt helistades ametlikule numbrile).
Minu juhtum lahenes õnnelikult, kuna booking.com tunnistas oma eksimust ja tagastas mulle raha. See aga ei muuda asjaolu, et andmeturve on meie kõigi ühine asi. Me ei saa loota ainult tehnoloogiale. Ilma selgete reeglite ja pideva eneseharimiseta jääme me infoühiskonnas haavatavaks.
Viide
Kommentaare ei ole:
Postita kommentaar