RIA aprillikuu raport: kurjategijad lõid inimeste teadmata Smart-ID kontod :: Hinnavaatluse Foorumid

Tanel · HV Guru liitunud: 01.10.2001

PRESSITEADE - Riigi Infosüsteemi Amet (RIA) registreeris aprillis pea 300 intsidenti. Möödunud kuul kasvas lunavararünnakute arv ning õngitsuslehtede kaudu said rahalist kahju inimesed, kelle teadmata tegid kurjategijad Smart-ID kontod ja kasutasid neid e-teenustes.

Kõige tõsisemad juhtumid, mille osas alustas politsei kriminaalmenetlust, said alguse veebruaris ning võimendusid aprillis, mil kurjategijad üritasid õngitsussõnumeid ja -lehti ära kasutades luua võõra inimese nimel uut Smart-ID kontot.

Petuskeem seisnes selles, et inimestele saadeti mobiiltelefoni tuntud panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele. Seal suunati inimene õngitsuslehele mobiil-ID-ga sisse logima. Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal uue Smart-ID konto loomist. Inimeste tähelepanematust kasutades suunati teda tegema järgmisi vajalikke samme, näiteks sisestama PIN 2, et Smart-ID konto loomine taustal lõpetada. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ning tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka. RIA-le teadaolevalt on seeläbi rahalist kahju kannatanud mitu inimest.
„Kurjategijad kasutasid ära inimeste tähelepanematust. Nad sisestad enda koodid harjumusest, veendumata selles, millele nad sisuliselt alla kirjutavad. PIN-koodide sisestamist ei tohi võtta kergekäeliselt, vaid tuleb alati tegutseda teadlikult. Tuleb hoolikalt vaadata teenusepakkuja kontrollkoodi ning kontrollida üle, kas tegemist on õige teenusega,“ ütles RIA intsidentide lahendamise osakonna (CERT-EE) juht Tõnu Tammer.
RIA alustas Smart-ID teenusepakkuja SK ID Solutionsi tegevuse suhtes järelevalvemenetlust.

Möödunud kuul kasvas ettevõtetes lunavaraga nakatunud infosüsteemide hulk. Nakatunute seas oli ka üks elutähtsa teenuse osutaja. Kuna teenusepakkuja oli enda andmed korrektselt varundanud, ei avaldanud rünnak teenusele kriitilist mõju, samuti ei toonud intsident kaasa teenuse katkemist. Kirjeldatud juhtum kinnitab, et enamasti kasutatakse lunavaraga nakatumisel ära kaughalduslahendusi (Remote Desktop Protocol ehk RDP), mis on jäetud kas täielikult avatuks või on kasutatud lihtsasti äraarvatavat parooli.

Samuti jätkusid aprillis ettevõtete meilikontode kompromiteerimised, mille mõju piirnes valdavalt andmete konfidentsiaalsuse rikkumisega. Alates eelmise aasta sügisest on taoliste meilikontode kompromiteerimise tagajärjel eesti ettevõtetelt sadu tuhandeid eurosid välja petetud.

RIA küberturvalisuse teenistus alustas möödunud kuul kaheksa järelevalvemenetlust kaheksa Lääne-Virumaa omavalitsuse suhtes. Menetluste eesmärk on kontrollida seda, kuidas omavalitsused täidavad infosüsteemide turvameetmete süsteemi määrust, rakendavad kohustuslikku infoturbe standardit ISKE ning kuidas käsitlevad ja lahendavad turvaintsidente. Alates aasta algusest on RIA algatanud kokku 26 menetlust omavalitsuse suhtes.

Loe lähemalt eelmise kuu kokkuvõtet RIA kodulehelt.

Betamax · HV Guru liitunud: 29.05.2003

Kuna Smart-ID pole füüsilise seadmega seotud nagu Mobiil-ID, siis arvasin esimese turuletulekust alates, et see häkitakse ära või leitakse mingi turvaauk tarkvaras endas. Aga nii labane ümbernurga meetod...

Eks siin mängib rolli ka Mobiil-ID turvalisusega kaasnenud kuulsus.

WäntWõll · make.believe liitunud: 18.01.2005

Täpselt nii labane nagu kasutaja ise jah, saa ei saa takistada inimest kuskile oma koode toppimast.
Miks pannakse kui tuleb lapm päring, ei oska öelda, harimatusest vast õigem öelda.
Kasutaja lihtsalt ei saa aru mida ta kasutab ja kuidas see asi töötab.

Tanel · HV Guru liitunud: 01.10.2001

Oi neid lambaid on palju

Peaks äkki mingi IQ testi vms tegema Smart-ID saamise eelduseks vms?

Betamax · HV Guru liitunud: 29.05.2003

Ma ei nimetaks neid inimesi lammasteks.
Juurutati Mobiil-ID ühtviisi inimestesse sisse - kontrollkood peab olema sama. Muu pole oluline. Või mäletab keegi teistusugust õpetust Mobiil-ID kasutamisel? Ei. Ja Smart-ID pidi olema sama nagu Mobiil-ID - turvaline ja samal põhimõttel töötav.

WäntWõll · make.believe liitunud: 18.01.2005

Mõlemad ongi turvalised

"Tihendi! häda ei saa lahendada artikliga kuskil veebis, ühiskondlik üldteadmine või valus õppetund toovad selguse.

Dirty Harry · HV Guru liitunud: 05.09.2002

Betamax · HV Guru liitunud: 29.05.2003

WäntWõll · make.believe liitunud: 18.01.2005

https://digi.geenius.ee/rubriik/uudis/sk-solutionsi-juht-smart-id-pettusest-sellised-juhtumid-saavad-alguse-hooletusest/

arny · Kreisi kasutaja liitunud: 08.01.2012

smart id ongi turvaline ju, pätid lõid inimesele smart id konto kui to mobiil id kasutas. Võiks ju siis öelda, et mobiil id on ebaturvaline. See kellel oli smart id olemas siis neil ei juhtu midagi, kellel ei ole/olnud smart id siis neile üritatakse käru teha. Antud juhul tõmbasid inimesed endale ise mütsi üle kõrvade ja panid jala ämbrisse.

Tanel · HV Guru liitunud: 01.10.2001

arny, sama ühe inimesega seotud Smart-ID saab mitmele seadmele teha. Näiteks mul on Smart-ID nii kahes moblas kui tahvlis olemas.

Henry · HV veteran liitunud: 29.07.2004

Täitsa pekkis värk ju... ma loodan, et pangad hüvitavad kahjud.

napoleon · Unknown virus liitunud: 08.12.2008

pppd · Kreisi kasutaja liitunud: 21.06.2004

napoleon · Unknown virus liitunud: 08.12.2008

Tanel · HV Guru liitunud: 01.10.2001

Pangas saab passiga teha.

napoleon · Unknown virus liitunud: 08.12.2008

Tanel, saab küll aga saab ka kodust lahkumata id kaardi või mobiili id-ga teha ehk pangas passiga tegemine on üks mitte ainuke võimalus.

Tanel · HV Guru liitunud: 01.10.2001

Jep, see oligi lisavõimalusena mainitud

scorpionx · HV vaatleja liitunud: 01.10.2007

napoleon · Unknown virus liitunud: 08.12.2008

scorpionx, loe uuesti läbi kuidas see rünnak täpselt toimus. See õngitsusleht küsis mobiili id pin-e ja tekitas taustal smart id. Täiesti teostatav skeem kui kasutaja piisavalt tähelepanematu on.

scorpionx · HV vaatleja liitunud: 01.10.2007

@napoleon, Smart-IDga ei saa uut Smart-ID kontot luua.

Antud juhul rünnak toimus ju sedasi, et alustati Smart-ID konto loomist mobiil-ID abil kasutades ohvri andmeid. Ohvrile laekus isikutuvastamise mobiil-ID request ja kasutaja sisestas PIN1-koodi teadmata, et kus see isikutuvastamine tegelikkuses toimub. Nüüd jõudis app nii kaugele, et oldi kontot kinnitamas ja tarvis PIN2-koodi sisestada, saadeti samasisuline mobiil-ID request.

Kui kasutajal mobiil-IDd poleks, siis Smart-IDga sama patterni läbi mängida ei oleks saanud

heretic666 · HV Guru liitunud: 13.02.2006

Loll pea on ihu nuhtlus

degreal · HV veteran liitunud: 07.01.2002

Irooniline olukord. Inimene ei riski Smart-ID'd kasutusele võtta kuna tegu on ebaturvalise asjaga. Aga just sellises olukorras on Smart-ID kõige ebaturvalisem kui inimene ei riski seda kasutusele võtta. Sest kui sina seda kasutusele ei võta siis keegi teine ikka võtab (sinu nimel) selle kasutusele.

napoleon · Unknown virus liitunud: 08.12.2008

degreal, smart id saab teha mitmele seadmele ehk siis see ei päästa, kui sul juba on smart id. Abi on sellest vaid niipalju, et siis näed kui seade pin-i küsib ilma et ise ühtegi toimingut oleks algatanud ja kui piisavalt nobedalt tegutsed, jõuad ehk selle pahalase loodud smart id konto veel kinni panna enne kui ta mingi reaalse kahju tekitab.

ykshuntka · HV kasutaja liitunud: 15.01.2007