Kõige tavapärasem skeem on olnud teatavasti olnud selline, kus pangatöötajana esinev vene keelt rääkiv naisterahvas helistab ohvrile ja teatab, et keegi üritab tema kontol teha kahtlasi ülekandeid ning raha päästmiseks tuleb üle anda kontoandmed ning Smart-ID või Mobiil-ID koodid. Seejärel kannab kurjategija kannatanu raha üle mõnele anonüümsust pakkuva finantsteenuse kontodele. Või kui kontol raha vähevõitu, siis võetakse ohvri nimel veel enne pisut kiirlaenu.

Möödunud nädalal teatas aga politsei juhtumist, kus kurjategijad tegutsesid uutmoodi. Ametlik väljavõte politseikroonikast nägi välja selline, mis lugeja esmapilgul silme eest kirjuks võtab mängu olid kaasatud pangalingid, Apple, kontolimiidid, SMS-id ja libasaidid:

25. oktoobril teatati, et 8. oktoobril sai Mustamäel elav 67-aastane naine mobiiltelefonile sõnumi LHV panga tunnustega, et kinnitada makse. Naine vajutas lingile, et soovib Apple Pay'd ja viipemakset, mille järel sai oma e-postile ka pangast teate, et Apple Pay ja viipemakse on rakendunud. Seejärel sai naine ehtsana näiva panga pakkumine, et tehingute puhul alla 30 euro pole vaja PIN2 koodi. Naine nõustus sellega ja peale seda sai SMS-i kaudu teateid, et kontol on kinnitamata tehinguid ja jälle oli sõnumis ka link. Kuna kõik tundus õige olevat, klikkis naine lingil, ette tuli LHV mobiilipanga visuaal ja naine sisenes sealtkaudu oma kontole. Seejärel hakkasid toimuma veidrad tehingud ja esines nimi, mida naine ei tundnud. Ta sai veel mitmeid SMS-e, aga kustutas need ära. Hiljem avastas naine, et tema LHV Panga kontodelt on liikunud tundmatutele kontodele üle 3000 euro.

Palusime juhtumi inimkeelde tõlkida LHV infoturbejuhil Tiit Hallasel kui palju oli juhtumis mängus ehtsaid LHV teenuseid ja kui palju võltsi, mida saanuks või uidanuks ohver teistmoodi tegema?

Tiit Hallase sõnul või politsei kirjeldatud süsteem olla selline:

  • Inimesi meelitatakse mingil ettekäändel petulehtedele. Näiteks SMS-id, kus on link petulehele, mis võib visuaalselt pangalehe sarnane olla;
  • Leht näeb esmapilgul välja, justkui oleks tegemist LHV või mõne muu panga internetipangaga;
  • Klient hakkab mingil talle esitatud ettekäändel sisse logima, loovutades pätile nii oma kasutajatunnuse;
  • Selle abil saab pätt algatada sisselogimise tegelikku mobiili- või internetipanka, kliendile tulevad seetõttu telefoni palved sisestada PIN1;
  • Kui klient oma koodid sisestab, saabki pätt tema kontole ligi ja nii on võimalik seal algatada tehinguid, muudatusi või aktiveerida funktsioone nagu ka Apple Pay. Turvalisuse huvides peab klient ise need oma teise seadme kaudu täiendavalt kinnitama;
  • Nii annabki ohver ligipääsu oma vahenditele.

„Kõik algab sellest, mida me korduvalt oma kommunikatsioonis ka rõhutame LHV ei saada kunagi oma klientidele SMS-iga linke," rääkis Tiit Hallas Fortele. „Kui seal on mõni link, on suure tõenäosusega tegemist pettusega ja sellele lingile ei tohiks mitte mingil juhul vajutada."

Pätid on tema sõnul osavad ja võivad jätta mulje, et tegemist on päriselt panga veebilehe või mobiilipangaga, kuid alati tuleks selles veenduda ja vähimagi kahtluse korral tegevus pooleli jätta ning panka teavitada.

„Samuti ei ole tarvis sisestada PIN2 selleks, et siseneda panka. PIN2 on võrdne käsitsi antud allkirjaga ja seda tuleb sisestada ainult siis, kui teostatakse mõnda allkirja vajavat toimingut," rõhutas Tiit Hallas.

Pangapetturid on sel aastal Eesti inimeste kontodelt välja kandnud enam kui 1,5 miljonit eurot. Seejuures on nad saanud Eestis tegutseda üsna segamatult ja täiesti karistamatult oleme sellest kirjutanud siin.