Küber-identiteedivargus – süütu nali või tõsine kuritegu?

Minu esimesed kokkupuuted Internetiga olid vanuses 11-12, ehk varajases puberteedieas. Nägin jututubade-buumi, mis hiljem asendus foorumitega. Kümmekond aastat hiljem alustas praegu „tipus“ trooniv sotsiaalmeedia oma võidukäiku. Kui paarkümmend aastat tagasi peitus enamik neti-inimesi varjunime taha, siis viimaste aastate trend on pigem iseenda näo ja nime näitamine – Google pidas seda lausa nii iseenesestmõistetavaks, et nõudis rangelt iseendana esinemist. Kogu vaadeldava perioodi jooksul on üht probleemi aga üsna tõsisemaks hakatud pidama: identiteedivargused.

Interneti massidesse jõudmise algusaegadel, 90ndate aastate keskpaigas, olid reeglid üsna kaootilised. Kirjapandud reegleid otseselt ei olnudki, riiklikul tasandil seadustest rääkimata. Et kasutajaid oli vähe, toimisid keskkondade sisemised reeglid, ühest-kahest moderaatorist piisas. Kuna kasutajanime valimisel piiranguid polnud, valisid paljud end küberruumis esindama mõne iidoli nime. Ma ise kasutasin nimesid KarmoK (kooli arvutiklassi kasutajanimi), ChrisMan (vrd Batman või Spider-Man) ja 1998. aastast Garfield, millest pärast loomulikku lühenemisprotsessi sai „garf“. Ometi ei garanteerinud miski, et selle nime taga just mind leida võiks – ja ega keegi tõenäoliselt ei eeldanud ka. Internet oli huvitav mänguasi, mitte midagi tõsist. Huvitava võrdlusena võib siia kõrvale tuua Fidoneti, kus EW.* gruppidesse pidi igaüks rangelt oma kodanikunime alt kirjutama. Internetis valitses sellega võrreldes anarhia.

Keskkooli lõpu paiku (aastatel 2001-2003) sattusin tihedamalt ühte Inglise Vormel 1-teemalisse foorumisse. Kui suurem osa sealsest seltskonnast oli heatahtlik, leidus siiski ka juba paar „trolli“, kes ühe konkureeriva vormelifoorumi moderaatoriga tülli olid läinud ja arvete klaarimiseks tema nime ja pildiga „varikontosid“ vorpisid teha. Mustamiskampaania põhiline sisu oli noormehe väidetavalt massist erinev seksuaalne orientatsioon – nimelt fantaseeriti kokku kõiksugu orgiaid erinevate muude sihtmärkidega, kes kõik ühel või teisel põhjusel „trollidega“ pahuksisse olid sattunud. Üritasin „trollide“ mõtteviisist aru saamiseks nendega suhelda – sain vastuseks, et Internet on ju ainult mäng ja ega nad siis paha pärast. Julgesin väita, et tegelikult on iga ekraani taga siiski päris inimene ja sellisel laimul võivad nende jaoks ka reaalsed tagajärjed olla ning juba olidki lugudes uued tegelased – mina ja mu tolleaegne tüdruksõber.

Kui eelmises loos oli tegu „ainult“ emotsionaalse traumaga, siis 2009. aasta veebruaris avaldas Eesti Ekspress loo naisest, kes Soome kohtus oma eksmehe vastu võidu saavutas, kuna kohalikud võimud ei leidnud seadusandlusest ühtki asjassepuutuvat pügalat (Kärmas, 2009). Artikli ilmumise ajaks oli – küll napilt nädal varem – juba kooskõlastusringile jõudnud Karistusseadustiku muutmise seaduse eelnõu, millega seadusesse lisandus § 1572 „Teise isiku identiteedi ebaseaduslik kasutamine“ (Riigikantselei, 2009). Probleemi hakati tunnetama seadusandja tasemel.

Ometi ei olnud sellest seadusemuudatusest kasu, kui välismaised kurjategijad möödunud aasta alguses mu ema Google’i konto enda valdusesse said ja kõigile kontaktidele petukirja laiali saatsid – justkui oleks konto omanik Bradfordis varguse ohvriks langenud ja vajaks nüüd kiiret rahalist abi (Karmo, 2014). Kuna tegu oli rahvusvahelise juhtumiga – ohver Eestis, teenusepakkuja Ameerikas, kurjategija ei-tea-kus – tunnistas politsei taaskord võimetust aidata. Umbes samal ajal oli sarnaseid juhtumeid Eestis teisigi. Seejuures olid identiteedivargad jälgede kustutamisel üsna põhjalikud: Google’i konto pandi üsna kiiresti pärast ülevõtmist kinni ning loodi sama kasutajanimega uus. Nii ei toiminud ka standardsed viisid konto taastamiseks.

Mis selles viimases juhtumis siis nii hullu oli? Mäletan omast kogemusest, kui palju aega ja energiat kulus uue Google’i konto tegemisele, kogu info vanalt kontolt uuele migreerimisele, arvete ja muu olulise info uuele aadressile tellimisele jms tegevustele. Seejuures oli minu vana konto minu käsutuses. Antud juhul tuligi emal eelkõige kõigi oluliste teenusepakkujatega lepingud ümber teha – arved uuele e-posti aadressile suunata. Lisaks – kuidas teavitada kõiki kontakte uuest aadressist, kui kontaktibaas „hävis“ koos kontoga? Paari päeva jooksul tuli murelikele petukirja saanud tuttavatele selgitada, et tegelikult ei ole midagi hullu juhtunud ja raha ei pea saatma – või siis lihtsalt noogutada järjekordse teavituse peale, et keegi saadab tema e-posti aadressilt kahtlaseid petukirju. Nutitelefon ja tahvelarvuti tuli uuele Google’i kontole ümber seadistada. Oleks vana konto krediitkaardiga seotud olnud, tulnuks ka krediitkaart sulgeda. Seda nimekirja võiks veel üsna pikalt jätkata. Niisiis – üheainsa konto kaotamisest tekkis omajagu ebamugavusi ja planeerimata lisatööd. Oleks võinud tekkida muidki sekeldusi, näiteks mõne vanale aadressile saadetud arve maksmata jätmise tõttu. Seejuures oli kurjategijate esmane eesmärk justnimelt identiteedivargus – saata usaldusväärse nime tagant sõpradele-tuttavatele rahasooviga kiri. Mõni nõrgema eesti keele oskusega ohver oleks vabalt võinudki õnge minna.

Igal juhul on identiteedivarguse näol tegu kuriteoga, mis väärib ennetamist ja karistamist. Ennetamise osas saavad palju ära teha kasutajad ise – kasutades mitmeastmelist kasutajatuvastust või vähemalt turvalisi paroole – aga eelkõige siiski teenusepakkujad ja tarkvaraarendajad, tehes turvalise isikutuvastuse võimalikult mugavaks. Sest kui kasutaja saab valida, eelistab ta esimese hooga alati mugavust turvalisusele. Suureks abiks on kindlasti ka muutuv suhtumine Internetti ja identiteedivargustesse – tundub, et enam ei peeta seda massiliselt süütuks mänguks. Õnneks.

Kaitse oma kontosid ehk kuidas mu “ema” Bradfordis paljaks varastati

Kui sind pikad ja lohisevad eellood ei huvita, keri natuke maad edasi, alapealkirjani “Soovitused”

Esmaspäeva hommikul avastasin oma suureks üllatuseks e-postkastist kirja emalt. Mitte et see üllatav oleks, et ema mulle aeg-ajalt kirju saadab. Pigem jahmatas mind kirja sisu, et mitte öelda vorm. Lauseehitusega oli midagi kapitaalselt korrast ära.

väga kiireloomuline

Loodan, et see jõuab sulle aega. Ma tegin reisi Bradford,Inglismaa, ja ajal minu jääda siia minu dokumendid varastati koos mu telefon,rahvusvaheline pass ja minu krediitkaardi sees minu kott. Saatkond on valmis aitama lastes mind lendama ilma minu pass ,Kõik mis ma pean tegema, on pileti eest maksta ja õiendada arved hotelli,Et minu suureks pettumuseks , ma ei pääse oma kontole raha ma vajasin ilma minu krediitkaart. Võtsin minu pank, kuid nad vajavad rohkem aega. kuni töötleb kõiki andmeid, et mul on vaja reset kõike ja saada mulle uus. See kahetsusväärne olukord mõtlesin küsida abi nii saan vähemalt tule koju. Ma palun teil tagasihoidlik laenu, et ma ei saa anda tagasi niipea, kui ma tagasi  pean olema edasi järgmise lennuga. MoneyGram on parim viis raha saata mulle. Võin saata teile minu informatsiooni, kuidas raha saata mulle.

Loodan saada teie vastust kohe.

parimate soovide

 

Eve Karmo

Esimesed mõtted, mis mu peast läbi käisid:

  • “Kas tõesti on emaga midagi juhtunud?”
  • “Kas ema arvutis on viirus?”
  • “Loodetavasti on see hoopis selline viirus, mis ema aadressi kellegi teise aadressiraamatust leidis ja seda nüüd saatja aadressina kasutas.”

Ei olnud kolmas variant. Ei olnud ka teine variant. Selgus, et emaga tõepoolest oli midagi juhtunud — üks osa tema võrgu-identiteedist oli röövitud. Eeltoodud kiri läks laiali kõigile ta kontaktidele, kusjuures reply-to aadress oli hoopis …@yahoo.ee. Ilmselt kindluse mõttes, kui Google kiiremas korras konto omanikule tagasi annaks.

Ja ausõna. See, et ma BCC-real olin, jäi mulle alles palju hiljem silma.

Skeem

Üks võimalik  versioon asjade käigust:

  1. Ema kasutas mõnes teises veebikeskkonnas (nt veeb.com) sama salasõna, mis Google’i kontol.
  2. Kuritahtlik element murdis veeb.com lehele sisse ja sai kätte kogu nende kasutajanimesid, meiliaadresse ja parooliräsisid (password hash) sisaldava faili/tabeli sisu. Või vähemalt selle osa, kus minu ema vastavad andmed sees olid.
  3. Paroolid “kräkiti lahti
  4. Ema kontole logiti sisse ja saadeti kõigile kontaktidele ülaltoodud kiri.
  5. Konto kustutati, seejärel loodi sama nimega uus konto.

Võimalik, et punktis 4 hoopis salvestati kontaktid ja kiri saadeti välja pärast punkti 5.

Võimalik on ka see, et punktis 1 sattus ema hoopis mõne teise petuskeemi ohvriks, kus Google’it mängiv (ja esmapilgul väga sarnane) veebileht ta parooli küsis.

Igatahes, katsed Google’iga asju ajada on siiani edutud olnud. Inimesteni pole me nimelt suutnud jõuda ja masinad ei taha uskuda, et ema tõepoolest kunagi oma konto omanik on olnud. Kui just sina siinkohal aidata oskad, jäta sellekohane vihje kommentaaridesse või minu postkasti. Meiliaadress on lihtne: asenda käesoleva blogi lingis esimene punkt @-märgiga. 😉

Mäng petisega

Kuna tegemist on organiseeritud kuritegevusega, peaksin ma edasise tegevuse kirjeldamisel ilmselt ettevaatlik olema. Aga nagu Nietzsche (või oli see Descartes?) juba kord ütles: YOLO!

Igatahes, otsustasin kurjamiga natuke edasi suhelda ja vaadata, kui kaugele nad on nõus minema.

 
From: Eve Karmo <…@gmail.com>
Date: 2014/1/20
To:
väga kiireloomuline

Loodan, et see jõuab sulle aega. Ma tegin reisi Bradford,Inglismaa, ja ajal minu jääda siia minu dokumendid varastati koos mu telefon,rahvusvaheline pass ja minu krediitkaardi sees minu kott. Saatkond on valmis aitama lastes mind lendama ilma minu pass ,Kõik mis ma pean tegema, on pileti eest maksta ja õiendada arved hotelli,Et minu suureks pettumuseks , ma ei pääse oma kontole raha ma vajasin ilma minu krediitkaart. Võtsin minu pank, kuid nad vajavad rohkem aega. kuni töötleb kõiki andmeid, et mul on vaja reset kõike ja saada mulle uus. See kahetsusväärne olukord mõtlesin küsida abi nii saan vähemalt tule koju. Ma palun teil tagasihoidlik laenu, et ma ei saa anda tagasi niipea, kui ma tagasi pean olema edasi järgmise lennuga. MoneyGram on parim viis raha saata mulle. Võin saata teile minu informatsiooni, kuidas raha saata mulle.

Loodan saada teie vastust kohe.

parimate soovide

Eve Karmo

Nojah. Loomulikult on imelik, kui ema Inglismaal emakeele ära unustab, aga … mitte kõige veidram asi maailmas. Mängime kaasa.

From: Kristjan Karmo
Date: 2014/1/20
To: “…@yahoo.ee” <…@yahoo.ee>
Ohoh, ma ei teadnudki, et sa Inglismaal oled!

Parimat,
Kristjan

———-
From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
Jah, ma olen saate mind aidata?

Saatja: Kristjan Karmo
Adressaat: “…@yahoo.ee” <…@yahoo.ee>
Saadetud: esmasp., 20. jaanuar 2014 9:55
Teema: Re: Tere!

Ohoh, “ema” kasutab lausa Yahoo eestikeelset kasutajaliidest! Igatahes, jätkame.

———-
From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Mida ma täpsemalt tegema pean?

Parimat,
Kristjan

———-
From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
Täname vastuse. Vajan summa £ 1750, katmiseks
minu kulud. Palun leidke lähim MoneyGram kontor igal panga-või postkontoris lähedal ja mind aidatasaata raha järgmised andmed.
Reciver: Eve Karmo
Saaja aadress: 109 Godwin Street Bradford, Inglismaa

Ootan teie vastust.

Lugupidamiseg

Või nii. 1750 naelsterlingit, et maksta ära hotelliarve ja lennata tagasi Tallinna. Igatahes teen ettepaneku hotelliarve ise oma krediitkaardiga ära maksta. Nii oleks mulle mugavam.

———-
From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Mul oleks kasulikum hotellile otse oma krediitkaardiga maksta. Palun saada mulle hotelli andmed.

Järgmistest sammudest räägime pärast edasi.

Parimat,
Kristjan

———-
From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
Kas teil õnnestus saatma raha?
———-

From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Ei ole õnnestunud, ma ootan veel hotelli andmeid.

———-
From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
helistada hotelli juhataja +447031931326

Ohoh, hotelli juhataja number on, aga muid andmeid mitte? Igaks juhuks ei helista, aga guugeldan küll. Ja ennäe imet, sama number on ühes töökuulutuste portaalis investeeringuvõimalusena üleval!

From Engr Philip Harrt
harrt & phill Construction company
Pennyfield Road,=0D
Docklands E14 8hp
Phone +447031931326.
philip_harrt@yahoo.com

Dear Sir/madam,
My name is Eng Philip Harrt I am about to retire from my work
before
the the end of next year.
write to inform you of my intention to invest in a Hotel business
or
anyother business in your country .
and to request to you to assists me in carrying out the
feasibility
studies on location, type and estimation on how much it will cost
to
establish a three star hotel, either by outright purchase, or
already
existing but dilapidated one and renovate or setting up a new one
entirely.

If you sincerely carry out this survey, and give me a feedback as
early as possible, I will give you the power of attorney to build
&
manage the hotel on my behalf, Pending my retirement next year.
I have (US$20,million dollas that I deposited in a Finance
company
outside the country for this project.

I am presently down with sickness as a result of my old age but I
have been assured by my doctor that I will be fine and back to
work
soon. Please do let me know if you are capable of handling all
these.
I will be expecting your reply as soon as possible..
Thanks
Eng Philip harrt.

Nüüd tuleb mul omaarust geniaalne mõte, sest kõige suurem väärtus pole ju mitte raha, vaid võrgustik, eks?

From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Ema, sa oled päästetud! Mul on Bradfordis üks sõber, kes sulle hea meelega appi tuleb. Ütle mulle, kus sa täpselt oled, ja ta tuleb sinna. Aitab hotelliga ära klaarida ja lennupiletite saamiseni saad tema juures ööbida.

Peter, mäletad ju küll, suvel grillisime koos tagaaias.

Parimat,
Kristjan

“Ema” ei pea miskipärast mu mõtet millekski. 🙁

From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
ma ütlesin saatke mulle raha viimane lend on umbes 30 minutit palun aidake mind

Oot-oot. Viimane lend Bradfordist Tallinna? Uurin natuke, mõttetult kallis oleks samal päeval lennata. Ja üldse võtaks see üle 15 tunni aega. Pakun paremat lahendust.

From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Ema, sa saad Peteri juures rahulikult toibuda, kiiret pole. Helistasin su ülemusele ka, ta ei oota sind enne järgmist nädalat tööle.

Kus sa oled?

Täitsa mõistlik mõttekäik, kas pole? Aga teisest otsast tuleb väga kummaline vastus:

From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
Saatkonna tapab mind palun aidake mind

Ömm, ootan’d. Eesti saatkond Inglismaal tapab Eesti kodanikku? Või on seal tapvalt igav? Või … oot-oot, kus seal Bradfordis see saatkond üldse on?

From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Rahune palun maha, ema. Kõik on hästi. Peter on mu hea sõber ja saatkonnas on ka mõistvad inimesed. Mitte midagi hullu ei juhtu, kui sa homse lennuga tuled.

Muide, kui lend 30 minuti pärast läheb, peaksid sa juba ammu lennujaamas olema ju? Pealegi, vaatasin tänast lennuplaani — sul on palju mõistlikum homme tulla.

Palun ära ole paanikas, see ei aita.

———-
From: Eve Karmo <…@yahoo.ee>
Date: 2014/1/20
To: Kristjan Karmo
kui palju sa tahad saata mulle homme

Nii armas. Ema küsib minult, kui palju ma tahan saata. Aga ta vist ei saanud Peteri rollist ikka päris täpselt aru. Ma siis seletan veelkord, hästi rahulikult ja lihtsate sõnadega.

From: Kristjan Karmo
Date: 2014/1/20
To: Eve Karmo <…@yahoo.ee>
Ära saa valesti aru, Peter aitab sind kõigega. Ütle, kus sa oled ja ta tuleb oma autoga sulle järele.

Aga sa ütlesid, et sa käisid saatkonnas? Eesti saatkond on ainult Londonis, kuidas sa Bradfordi said? Või sa ainult helistasid neile?
Kristjan

Sellele “ema” enam ei vasta. Ilmselt sai tööpäev läbi. Või sai ta end kuidagi selle lennuki peale kaubeldud. Või siis tappis saatkond ta ikkagi ära. 🙁

Soovitused

Kui ma oleks taibanud emale varem soovitada kasvõi mõnda Google’i turvanõuannetest järgida, oleks kogu saaga tõenäoliselt olemata olnud. Ja mõelda vaid, et mulle endale tundus veel eelmisel nädalal 2-astmeline autentimine (kus Google saadab uuest seadmest/programmist sisse logides SMSiga kinnituskoodi) kohati natuke tüütu. Nii tüütu, et kaalusin selle väljalülitamist. Enam mitte!

Niisiis, et sinuga ei juhtuks see, mis minu emaga paraku juhtus:

  1. Lülita sisse 2-astmeline autentimine
    Alusta sellest, sest tavalist parooli ei peeta tänapäeval enam piisavalt turvaliseks. Eriti oluline on see nende kontode puhul (nt Google, Facebook), millega sa tõenäoliselt ka paljudesse teistesse teenustesse sisse logid.
  2. Ära kasuta sama parooli mitmes kohas
    Kuna paroolide varastamine on pigem tõusev trend, võib ühe lohakalt programmeeritud veebikeskkonna tõttu kogu sinu virtuaalne identiteet ohtu sattuda.
  3. Avalikus või võõras arvutis ole eriti tähelepanelik
    Kasuta näiteks privaatset veebilehitsemist (private browsing). Või siis veendu enne arvuti juurest lahkumist absoluutselt kindlalt, et sa kõigist teenustest välja logisid.
  4. Kaitse ka oma mobiilseadmeid koodiga
    Eriti kui tegu on nutiseadmega.
  5. Loe läbi kõik Google’i soovitused
    Kindlasti on sarnaseid lehti veel, aga see on täitsa hea ja ülevaatlik nimekiri. Ja veel eestikeelne ka.
  6. Ära salvesta paroole veebilehitsejasse
    Need võidakse sealt ära varastada.
  7. Hoia silmad lahti!
    Rakenda pigem elutervet paranoiat kui sinisilmset ignorantsi. Ausalt.

Ma ei väida, et see kõik kaitseb alati kõige vastu, aga vähemalt ei tee see küberkurjamite tööd lihtsamaks.