Šodien tik plaši lietotā e-pasta pirmsākumi meklējami jau pagājušā gadsimta sešdesmitajos gados. Sākotnēji ziņojumus viens otram varēja nosūtīt tikai viena datora ietvaros. 1971. gadā tika radīta tehnoloģija, kas ļāva nosūtīt ziņojumus no vienas iekārtas uz citu tā paša tīkla ietvaros, izmantojot “@“ simbolu, lai norādītu, kuram lietotājam kurā serverī ir paredzēts konkrētais ziņojums. Tā dzima mums pazīstamais e-pasts, kura darbības principi, starp citu, nav būtiski mainījušies līdz pat šodienai.
Tiklīdz e-pasts iekaroja popularitāti, tas nonāca arī kibernoziedznieku redzeslokā. Nepieprasīti e-pasta ziņojumi jeb mēstules (SPAM) sāka pārpludināt lietotāju pastkastītes. Pēc Google datiem, Gmail e-pasta algoritms bloķē 10 miljonus mēstuļu un e-pastu ar kaitīgu saturu katru minūti. Pēc dažādu kompāniju datiem kopējais mēstuļu apjoms pagājušajā gadā sastādīja no 50% līdz pat 85% no visiem
e-pastiem.
Šī ir sena “spēle”, un būtu jādomā, ka esam gana rūdīti, pazīstam dažādus krāpnieku trikus un mūs ir grūti apvest ap stūri? Izrādās, ka viss nav tā, kā gribētos. Krāpniekiem joprojām izdodas izvilināt personas datus, pārliecināt saņēmēju atvērt kaitīgo pielikumu vai veikt naudas pārskaitījumu uz uzbrucēja bankas kontu. CERT.LV saņemtie incidentu pieteikumi liecina, ka šī gada pirmajā ceturksnī vien uzņēmumi cietuši vismaz 100 000 eiro lielus zaudējumus.
Kā kiberuzbrucēji to panāk?
Uzbrucēju galvenais uzdevums ir ieinteresēt saņēmēju un pārliecināt viņu, ka konkrētais e-pasts ir uzticams. Tas tiek darīts, cenšoties novērst lasītāja uzmanību no detaļām, radot steidzamību un trauksmi. Uzmanības piesaistīšanai tiek izmantotas aktuālas tēmas, piemēram, brīdinājumi par neapmaksātiem rēķiniem gada beigās, informācija par jauniem ierobežojumiem pandēmijas apstākļos, vilinoši piedāvājumi pirmssvētku periodā. Plaši izplatītas arī universālas, lielākajai daļai iedzīvotāju aktuālas tēmas, tādas kā internetbankas darbība, pasta sūtījumu piegāde, e-pastu sūtīšana un saņemšana. Daļā gadījumu, lai palielinātu lasītāja uzticību, e-pastos tiek iekļauti reālas sarakstes fragmenti, kas iegūti no kāda sadarbības partnera vai kolēģa inficētā datora.
Spēle sākusies – atrodi 10 atšķirības
Lai uzvarētu šajā uzmanības spēlē un pasargātu savus un organizācijas datus, informāciju un finanses, saņemot katru jaunu e-pastu, jāatbild sev uz sekojošiem jautājumiem:
1) Vai šis e-pasts ir gaidīts, vai negaidīts? Ja neesat pieteikušies loterijā un nopirkuši biļeti, bet saņemat paziņojumu par to, ka esat uzvarējuši izlozē, droši var apgalvot, ka tā ir krāpšana. Ja neko neražojat vai nepiedāvājat preces starptautiskajā tirgū, bet saņemat e-pastu ar aicinājumu sniegt cenu piedāvājumu, visticamāk esat saņēmuši mēstuli ar kaitīgu saturu. Ja neko neesat pasūtījuši, bet saņemat paziņojumu par problēmām ar DHL piegādi, atkal jau – krāpšana. Lielākajā daļā leģitīmu e-pastu var paredzēt, ka tos saņemsiet – gaidāt ziņu no sadarbības partnera, no piegādes kompānijas, pieteikumus uz vakanci vai informāciju no kolēģiem.
2) Vai e-pasta sūtīšanas laiks ir ierasts, vai aizdomīgs? Jā, var gadīties, ka daži kolēģi, it īpaši attālinātā darba apstākļos, atsevišķu uzdevumu izpildei un e-pastu sarakstei pieķeras tikai vēlās vakara stundās, vai arī kādam no jūsu sadarbības partneriem ir atšķirīga laika zona un e-pastu parasti saņemat nakts laikā. Taču citos gadījumos, it īpaši, ja sūtītājs norāda, ka darbojas tajā pašā valstī vai vismaz līdzīgā laika zonā (pārstāv kādu valsts iestādi vai uzņēmumu Eiropā), 2:00 naktī saņemts e-pasta pieprasījums ir pamats uztvert sūtījumu ar aizdomām.
3) Vai e-pasts sūtīts tieši jums, vai saņēmēju grupai? Aplūkojiet adresāta jeb “To” lauku. Ja saņemat e-pastu ar saturu, kas attiecināms tikai uz jums, piemēram, brīdinājumu par neapmaksātu rēķinu vai problēmām ar bankas vai e-pasta kontu, bet redzams, ka šī e-pasta saņēmējs neesat tieši jūs, attiecīgi saņēmēja laukā nav redzama jūsu e-pasta adrese, bet gan parādās “undisclosed-recipients”, paša sūtītāja vai arī kāda cita saņēmēja adrese, ir skaidrs, ka šis ir masveida e-pasts, kas izsūtīts plašam saņēmēju lokam ar cerību, ka kāds uzķersies.
4) Vai e-pasta sūtītājs ir tas, par ko uzdodas, un sūtītāja adrese sakrīt? Aplūkojiet sūtītāja jeb “From” e-pasta adresi – vai tai maz ir kāda saistība ar uzņēmumu, organizāciju vai personu, par kuru sūtītājs uzdodas? Bieži vien mēstules tiek izsūtītas no uzlauztām e-pasta kastītēm. Taču, iespējams, ka ļaundari būs ieguldījuši nedaudz vairāk pūļu un centušies imitēt oriģinālo e-pasta adresi. Tādēļ jāpārliecinās, ka sūtītāja adresē neiztrūkst/ nav lieki burti un simboli, piemēram, @microsoft.com vietā @microsott.com. Jāatceras, ka e-pasta adresi, tā pat kā daudz ko citu, iespējams arī viltot. Lai pārliecinātos, ka e-pasta adrese tiešām ir korekta, pat ja, saņemot e-pastu, tāda izskatās, aplūkojiet atbildes jeb “Reply-to” adresi. Ja sūtītāja adrese tikusi viltota, tad, izvēloties atbildēt uz šo e-pastu, atbildes sagatavē saņēmēja adreses laukā parādīsies cits e-pasts. Ar aizdomām uztverami arī visi tie e-pasti, kuros oficiālai komunikācijai izmantotas plaši pieejamu e-pasta pakalpojumu sniedzēju (Gmail, Inbox u.tml.) adreses, nevis iestādes vai uzņēmuma e-pasts.
5) Vai e-pasta valoda ir korekta, vai tomēr manāmas dīvainības? Ja tekstā ir daudz gramatisko un stila kļūdu, neprasmīgi izmantoti vārdu locījumi, teikumi veidoti neloģiski, visticamāk teksts ir gatavots ar automātiskās tulkošanas rīka palīdzību, kas norāda uz potenciālu krāpniecību. Oficiālas komunikācijas gadījumā sūtītājs noteikti parūpēsies par korektu sarakstes noformējumu, vajadzības gadījumā izmantojot profesionālu tulku pakalpojumus.
6) Vai rakstības stils atbilst sūtītājam, vai ir neierasts? Ja saņemat e-pastu it kā no sava vadītāja ar aicinājumu veikt steidzamu pārskaitījumu, un e-pastā esat uzrunāts vārdā, kaut arī līdzšinējā sarakstē jūs vienmēr uzrunāja tikai uzvārdā, drošāk ir pārliecināties par e-pasta izcelsmi, sazinoties ar vadītāju pa citiem kanāliem, piemēram, piezvanot. Arī e-pasta stils, kas atšķiras no ierastā (pārāk formāls vai tieši otrādi, pārlieku familiārs), vai pat atsevišķu vārdu lietojums, piemēram, e-pasta noslēgumā atvadoties, var norādīt uz viltojumu.
7) Vai e-pastā tiekat steidzināti, tiek izdarīts spiediens? Parasti uzbrucēji cenšas celt paniku saņēmējā, draudot ar konta slēgšanu, informācijas, maksājuma vai sūtījuma zaudēšanu vai kādām citām nepatīkamām sekām, ja steidzami netiks veiktas norādītās darbības – atvērts pielikums vai saite, nosūtīti prasītie dati, veikts pārskaitījums. Steidzamības sajūtas radīšana nav nejauša. Cilvēki steigā pieļauj kļūdas un veic darbības, kuras tiem veikt nevajadzētu.
8) Vai e-pastā prasītās darbības ir pieņemamas, vai aicina pārkāpt procedūru? Ja tiek saņemts maksājuma pieprasījums no reāla sadarbības partnera un arī sūtītāja e-pasta adrese sakrīt, taču rekvizīti ir mainīti, pastāv liels risks, ka kādai no pusēm ir tikusi uzlauzta e-pasta sistēma. Uzbrucējs, iespējams, sekojis e-pasta sarakstei, lai atbilstošā brīdī nosūtītu viltotu rēķinu, par pamatu ņemot kādu no iepriekš sūtītiem maksājumu dokumentiem. Svarīgi ar partneriem laicīgi vienoties par procedūru, kā veicami paziņojumi par izmaiņām, lai spētu laikus atpazīt krāpšanu.
9) Vai e-pastā iekļautā saite tiešām aizved uz norādīto vietni? Vēl pirms saites atvēršanas ieteicams pārbaudīt saites patieso galamērķi. To var izdarīt, uzbraucot ar kursoru (peli) uz saites, bet nenoklikšķinot. E-pasta pārlūka (Outlook, Thunderbird u.c.) vai interneta pārlūka (Firefox, Chrome u.c.) apakšējā malā parādīsies lodziņš ar interneta adresi, kas norādīs uz vietni, kurp nokļūsiet pēc noklikšķināšanas. E-pasta tekstā var būt norādīts www.tavabanka.lv, bet, pārbraucot saitei ar kursoru, var atklāties, ka patiesā vietne ir www.gributavusdatus.xyz/tavabanka/lietotajs24/dabutparoli.
10) Vai e-pasta pielikumā ir dokuments, ar kādu jūs parasti strādājāt, vai tomēr kaut kas netipisks? Lai to noskaidrotu, vēl pirms pielikuma atvēršanas rūpīgi jāaplūko dokumenta/ faila paplašinājums – burti faila nosaukumā aiz pēdējā(!) punkta (labajā galā). Ierastie dokumentu formāti varētu būt .DOC, .DOCX, .XLS, .PDF, .PPT. Šos ierastos formātus uzbrucēji cenšas imitēt ļaundabīgo failu nosaukumos, piemēram, Invoice67543281.PDF.exe. Piemērā minētais dokuments mēģina izskatīties pēc ierastā .PDF, taču, aplūkojot nosaukumu vērīgāk, redzams, ka aiz PDF seko vēl viens punkts, un aiz šī punkta redzams .EXE, kas norāda uz izpildāmo failu jeb programmu, kas diezgan droši nozīmē vīrusu. Biežāk izmantotie kaitīgo pielikumu formāti .ZIP, .EXE, .ISO, bet var tikt lietoti arī citi. Tāpat jābūt piesardzīgiem, ja atsūtītais Word vai Excel dokuments aicina iespējot Macros funkcionalitāti, norādot, kas tas nepieciešams satura attēlošanai vai saderības nodrošināšanai. Macros ir dokumentā iekļauta programma, un, atļaujot Macros, tiek atļauta šīs programmas, kas bieži vien ir ļaundabīga, izpilde.
Vai tas ir viss?
Arī krāpniecisku e-pastu atpazīšana ir prasme, kas jātrenē. Ar laiku gana viegli izdosies noteikt daudzu e-pastu patiesos nolūkus, taču, lai arī e-pasta lietotāju zināšanas un kritiskā pieeja ir labākā aizsardzība pret uzbrukumu, ir vērts ņemt palīgā arī dažus tehniskus risinājumus.
Krāpnieki biežāk uzrunā cilvēkus, par kuriem informācija atrodama dažādās noplūdēs iegūtos datos. Tādēļ ik pa brīdim ir vērts pārbaudīt vietni https://haveibeenpwned.com/, lai, ievadot savu e-pasta adresi (bet nekad paroli!) noskaidrotu, vai informācija par jums nefigurē kādā datu noplūdē, kas varētu veicināt kiberuzbrucēju aktivitāti.
Iesakām arī pilnveidot e-pastu drošību, uzstādot vairāku faktoru autentifikāciju, ja vien tas vēl nav izdarīts. Papildus iespējams pieslēgt CERT.LV nodrošināto bezmaksas DNS ugunsmūri – https://dnsmuris.lv/, kas atpazīs un apturēs uzbrukumu mēģinājumus.
Lai pasargātu uzņēmumu vai organizāciju no viltotiem e-pastiem, kas tiek sūtīti it kā paša uzņēmuma vai organizācijas vārdā, var izmantot CERT.LV sagatavotos ieteikumus e-pastu drošības pilnveidošanai: https://cert.lv/lv/2020/05/e-pastu-drosiba-aizsardziba-pret-ienakoso-e-pastu-viltosanu
Ja tomēr uzbrukums ir bijis veiksmīgs, tad par izkrāptiem maksājumiem aicinām nekavējoties informēt savu banku, kā arī materiālo zaudējumu gadījumā (pārskaitījumi uz uzbrucēju kontu vai inficēta un sašifrēta datorsistēma) aicinām ziņot Valsts policijai uz jebkuru nodaļu, vai tieši Ekonomisko noziegumu apkarošanas pārvaldei (ENAP) uz cyber@vp.gov.lv.