Andmepüük

Andmepüük on sotsiaalse manipulatsiooni ründe vorm, kus kurjategija kehastab ohvrilt tundlikku teabe taotlemisel usaldusväärset isikut.

Reading time icon

5 minuti lugemine

Reading time icon

5 minuti lugemine

Mis on andmepüük?

Kas oled kunagi saanud näiliselt pangast või mõnest muust populaarsest veebiteenusest e-kirja, tekstisõnumi või muu elektroonilise suhtluse vormi, kus sul paluti oma konto identimisteave, krediitkaardinumber või muu tundlik teave "kinnitada"? Kui jah, siis tead juba, milline näeb välja levinud andmepüügirünne. Seda metoodikat kasutatakse väärtuslike kasutajaandmete hankimiseks, mida ründajad võivad alatutel eesmärkidel müüa või väärkasutada, näiteks väljapressimine, rahavargus või identiteedivargus.

Mõiste sünd

Esmakordselt kirjeldasid seda kontseptsiooni 1987. aasta konverentsartiklis Jerry Felix ja Chris Hauck: "System Security: A Hacker’s Perspective" (1987 Interex Proceedings 1:6). Selles käsitleti ründaja tehnikat, kes jäljendas mainekat üksust või teenust. Sõna ise viitab saagi õngitsemisele - sest see kasutab samasugust püügiloogikat. Inglisekeelse mõiste alguses olev "ph-" viitab häkkerite rühmale “phreaks” kes katsetas ja uuris ebaseaduslikult telekommunikatsioonisüsteemide piire 1990. aastatel.

Phishing image

Kuidas andmepüük toimib?

Andmepüük on olnud juba aastaid olemas ja selle aja jooksul on ründajad välja arendanud ohvrite tabamiseks mitmesuguseid meetodeid.

Kõige tavalisem andmepüügimeetod on panga või rahaasutuse matkimine e-posti kaudu, ohvri meelitamine e-kirjaga kas täitma võltsitud vormi (tekstis või manuses) või külastama veebisaiti, kus taotletakse konto- või logimisandmete sisestamist.

Varem kasutati selleks sageli valesti kirjutatud või eksitavaid domeeninimesid. Tänapäeval kasutavad ründajad keerukamaid meetodeid, mistõttu lingid ja võltslehed sarnanevad vägagi nende seaduslike ekvivalentide omale.

Loe lisaks

Ohvritelt varastatud teavet väärkasutatakse tavaliselt nende pangakontode tühjendamiseks või müüakse internetis. Sarnaseid ründeid saab teha ka telefonikõnede (vishing) ja SMS-ide (smishing) kaudu.

Suunatud kalastusrünne

Täpsem andmepüügimeetod, mille abil näiliselt ehtsad andmepüügisõnumid jõuavad eriomaste rühmade, asutuste või isegi üksikisikute postkastidesse. Suunatud kalastusründe meilide autorid teevad eelnevalt üksikasjalikke uuringuid oma sihtmärgi (sihtmärkide) kohta, muutes sisu petlikuna tuvastamise keeruliseks.

Ründeid, mis keskenduvad eriomastele, enamasti tuntud äritegelastele - näiteks tippjuhtidele või omanikele -, nimetatakse potentsiaalse tasuvuse suuruse tõttu "vaalapüügiks" (pahad poisid lähevad "suure kala" järele).

Kuidas andmepüüki ära tunda

E-kiri või elektrooniline sõnum võib sisaldada ametlikke logosid või muid usaldusväärse asutuse tunnuseid, aga ikkagi pärineda andmepüügiga tegelejatelt. Alljärgnevalt mõned näpunäited, mis aitavad andmepüügisõnumit tuvastada.

Loe lisaks

  1. Üldised või mitteametlikud pöördumised - kui sõnumil puudub isikustamine (nt "Lp klient!") ja formaalsus, on tõenäoliselt midagi valesti. Sama kehtib ka pseudoisikustamise kohta juhuslike, võltsitud viitenumbrite abil
  2. Isikliku teabe taotlus - seda kasutavad sageli andmepüüdjad, tavaliselt väldivad seda pangad, rahaasutused ja enamik veebiteenuseid
  3. Kehv grammatika - õigekirjavead, lohakusvead ja tavatu sõnakasutus viitavad sageli võltsingule (samas nende puudumine ei ole õiguspärasuse tõend)
  4. Ootamatu kirjavahetus - panga või võrguteenuse pakkuja soovimatu kontakt on väga ebatavaline ja seega kahtlane
  5. Kiireloomulisuse tunne - andmepüügisõnumitega püütakse sageli esile kutsuda kiiret ja vähem kaalutletud tegevust
  6. Pakkumine, millest ei saa keelduda? - kui sõnum kõlab liiga hästi, et olla tõsi, siis peaaegu kindlasti ka on
  7. Kahtlane domeen - kas USA või Saksamaa pank saadaks tõesti e-kirja Hiina domeenilt?

Kuidas end andmepüügi vastu kaitsta

Andmepüügi vältimiseks ole teadlik eespool esitatud näitajatest, mille järgi andmepüügisõnumid tavaliselt end reedavad.

Järgi neid lihtsaid samme

  1. Ole teadlik uutest andmepüügimeetoditest: järgi meediat andmepüügirünnakute aruannete teemal, sest ründajad võivad välja mõelda uusi meetodeid kasutajate lõksu meelitamiseks
  2. Ära esita oma isiklikke andmeid: ole alati tähelepanelik, kui näiliselt usaldusväärse asutuse elektrooniline sõnum küsib sinu identimisteavet või muid tundlikke andmeid. Vajadusel kontrolli sõnumi sisu saatjalt või asutuselt, keda nad näiliselt esindavad (kasutades pigem teadaolevaid ehtsaid kontaktandmeid kui sõnumis esitatud üksikasju)
  3. Mõtle enne klõpsamist hästi järele: kui kahtlane kiri sisaldab linki või manust, ära klõpsake ega laadi alla. See võib viia teid pahatahtlikule veebisaidile või nakatada teie seadme pahavaraga
  4. Kontrolli regulaarselt oma veebikontosid: isegi kui puudub kahtlus, et keegi üritab sinu identimisteavet varastada, kontrolli, kas sinu panga- ja muudel veebikontodel on kahtlast tegevust. Igaks juhuks…
  5. Kasuta usaldusväärset andmepüügivastast lahendust. Rakenda neid meetodeid ja naudi turvalisemat tehnoloogiat

Lisateavet andmepüügi kohta saad siit ja siit.

History of phishing image

Olulisemad näited

Süsteemne andmepüük algas America Online'i (AOL) võrgus 1995. aastal. Õiguspärase konto identimisteabe varastamiseks võtsid ründajad ühendust ohvritega AOL Instant Messengeri (AIM) kaudu, väites end sageli olevat AOL-i töötajad, kes kontrollivad kasutaja paroole. Mõiste "andmepüük" ilmus Useneti uudisegruppi, mis keskendus tööriistale nimega AOHell, mis selle meetodi automatiseeris, ja nimi jäi külge. Pärast seda, kui AOL kasutusele võttis vastumeetmed 1997. aastal, mõistsid ründajad, et nad saavad sama metoodikat kasutada ka veebivaldkonna teistes osades, ning liikusid edasi rahaasutuste matkimisele.

Loe lisaks

Üks esimesi suuri, ehkki ebaõnnestunud katseid toimus 2001. aastal, kasutades ära 11. septembri terrorirünnakute kaost. Andmepüüdjad saatsid e-kirju, paludes mõnel ohvril isikut tõendada, püüdes saadud andmeid väärkasutada, et varastada digitaalse valuutateenuse e-kulla finantsandmeid.

Andmepüügil kulus veebimaailmas kindla koha saavutamiseks veel kolm aastat ja 2005. aastaks oli see USA kasutajatele maksma läinud juba üle 900 miljoni dollari.

APWG ülemaailmse andmepüügiuuringu andmetel täheldati 2016. aastal üle 250 000 ainulaadse andmepüügirünnaku, kasutades rekordarvu pahatahtlikult registreeritud domeeninimesid - juba üle 95 000. Viimastel aastatel on andmepüüdjad keskendunud pangandusele, finants- ja rahateenustele, e-kaubanduse klientidele ning suhtlusvõrgustike ja e-aadresside identimisteabele.

ESET kaitseb sind andmepüügi eest

ESET Smart Security Premium

Sinu veebiturvalisuse ülim valvur

ESET Smart Security Premium

Sinu veebiturvalisuse ülim valvur

ESET Smart Security Premium

Kõrgeim kaitse kasutajatele, kes soovivad kõike.
Sinu internetimaailm, lõpuks kindlates kätes.

Laadi alla tasuta