Läti rahandusministeeriumi egiidi alt saadetakse pahavaraga nakatunud e-kirju
Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
Läti rahandusministeerium. Foto: Läti rahandusministeerium
Käesoleva aasta jaanuarikuu lõpus potsatas mitmete inimeste meilboksi e-kiri, mis näiliselt oli saadetud Läti rahandusministeeriumi töötaja Jeļena Keirāne e-maili aadressilt. Kiri tekitas paljudes hämmastust esmalt seetõttu, et neil ei olnud Läti Vabariigiga olnud mingeid suhteid, mis eeldaksid rahandusministeeriumiga suhtlemist.
Lisaks tundus kahtlane, et kuigi e-kirjal ei olnud pealkirja ega sisu, oli manusesse lisatud kirja saaja nime sisaldav ZIP fail. Korrektselt seadistatud meilboksid näitasid koheselt ära, et manus sisaldab pahavara.
Läti rahandusministeerium on nakatunud e-kirjadest teadlik
Läti rahandusministeeriumi kommunikatsiooniosakonna vanem referent Zane Matuļone kinnitas Geeniusele, et nad on pahavaraga nakatunud e-kirjadest teadlikud, kuid rõhutavad, et need ei ole rahandusministeeriumi töötaja poolt saadetud.
“Me oleme analüüsinud kõnealuseid e-kirju ning koostöös CERT Läti haruga oleme kindlaks teinud, et see e-kiri ei ole saadetud meie serverist ja saatja aadressi on võltsitud,” lisas Matuļone.
Kuigi rahandusministeeriumi kõneisik kinnitas, et e-kirjadega seoses võeti ühendust CERT Lätiga väitis antud asutuse pressiesindaja Svetlana Amberga, et nende poolt ei ole sellekohast juhtumit avatud. Matuļone tõi põhjusena välja CERT Läti suure töömahu tänu millele ei alustata iga vahejuhtumi tõttu ametlikku juhtumit, mida hakatakse lähemalt uurima.
CERT-EE: õigesti seadistatud meiliserver ei lase lihtsamaid võltskirju läbi
Riigi Infosüsteemi Ameti intsidentide käsitlemise osakonna (CERT-EE) seirespetsialisti Sille Laksi sõnul sisaldas e-kirja manuses olev ZIP fail Microsoft Wordi dokumenti, mis avamisel käivitab pahatahtliku macro.
CERT-EE juhataja Klaid Mägi sõnul puutuvad nad analoogsete kirjadega väga tihti kokku ning tema sõnul on see väga levinud skeem võltskirjade saatmiseks.
Mägi kinnitusel on kirja saajale tehniliselt mitut moodi võimalik jätta mulje, et saatjaks on keegi, kes ei ole seda tegelt saatnud.
“On lihtsamaid ja keerulisemaid meetodeid. Õigesti seadistatud meiliserver ei võta lihtsamaid võltskirju vastu ning need ei jõua kasutajateni. Näiteks ongi täiesti suvaline meiliaadress, nagu viimase Maksu- ja Tolliameti puhul jevgeni.bmw5@gmail.com, kuid meili kirjutaja nimeks on pandud petteks valitud nimi. EMTA näite puhul EMTA (Eesti Maksu- ja Tolliamet) või mõne asutuse töötaja nimi. Paraku enamus meilikliendi tarkvarast aadressi ennast ei kuva, vaid sa näedki ainult petturi poolt pandud nime. Sellisel juhul on kindlasti soovitav oma meilikliendi tarkvara seadistada võimalusel nii, et saatja aadress oleks alati nähtav,” kirjeldas Mägi.
“Teisel juhul võltsitakse ka päriselt saatja meiliaadressi. Kui Geeniuse töötajatele peaks tulema kiri ronald.liive@genius.ee aadressilt ning võltskiri on tulnud asutuse väliselt aadressilt siis korrektselt seadistatud asutuse meiliserver peab sellest aru saama, et ronald.liive@geenius.ee kiri ei saa tulla mujalt, kui sellest samast asutuse serverist või teenusepakkuja meiliserverist ning peaks selle kirja blokeerima. Kehvasti seadistatud meiliserver aga laseb sellise võltskirja läbi ning kasutajal on raske pettuses veenduda. Sel juhul saab selles veenduda ainult kirja päiseid vaadates. Sealt on alati näha kust kiri tegelikult saadetud on. Tavakasutajal on seda aga keeruline teha,”.
Mägi toob välja, et sellise võltskirja saamisel peab võtma ühendust oma asutuse infoturbe eest vastutava töötajaga ja CERT-EE-ga (cert@cert.ee).
