Varjus tegutsejad: kuidas küberkurjategijad firmadelt raha röövivad

Kolmapäeva pärastlõuna. Kiire. Partnerilt saabub arve – sisu korrektne, kujundus identne. Ainus erinevus? Pangarekvisiidid. Raha liigub. Paar päeva hiljem saabub taas arve, aga tagantjärele tarkus, et tulnuks pangarekvisiitide muutus telefonitsi partneriga üle kinnitada, enam ei aita. Raha on kadunud digitaalsesse musta auku. 

Tegemist ei ole stseeniga krimisarjast, vaid see on nii mõnegi ettevõtte reaalsus siinsamas Eestis, kus 2025. aasta esimeste kuudega on raporteeritud sama palju ettevõtete vastu toime pandud küberpettusi kui 2024. aastal kokku. 

Enam ei saa end petta mõttega, et meiega seda ei juhtu. Kui sul on töötajad, partnerid ja raha liikumine – siis oledki juba sihtmärk. Kui sa pole valmis, võib järgmine libaarve olla see, mis läheb su ettevõttele maksma kümneid tuhandeid eurosid. 

Mis on arvepettus ja miks see töötab

Arvepettus on küberkuritegevuse vorm, kus kurjategijad saadavad ettevõtetele libaarveid, sageli justkui tuttavalt koostööpartnerilt. Makse tehakse ära – ja hiljem selgub, et kogu suhtlus oli lavastatud. 

Ühes hiljutises rahvusvahelises uuringus selgus, et suurettevõtted USA-s ja Suurbritannias saavad aastas keskmiselt 13 libaarvet. Üheksa neist makstakse ära. Ühe pettusega kaotatakse keskmiselt 125 000 eurot. Eestis pole päris sellist koondstatistikat, kuid teame, et tavaliselt kaotatakse ühe pettusega mitukümmend tuhat eurot. Sõltuvalt ettevõtte tegevusalast ja petturite imiteeritava partneriga ärisuhte iseloomust võib aga pettusega tekitatud kahju ulatuda ka sadadesse tuhandetesse. Selliste pettuste trend on selgelt tõusuteel nii pettuste hulga kui ka kahjusummade suuruse osas.

Pettus ei vali suurust ega sektorit

Raamatupidaja saab kirja ettevõtte juhilt: „Oleme tegemas kiiret investeeringut, hoia see konfidentsiaalsena. Tee kohe 30 000-eurone ülekanne sellele kontole“. Kõik on korrektne – signatuur, kõnepruuk, e-posti aadress. Ainus probleem: juht ei saatnud seda kirja.

Petturid sihivad nii korporatsioone kui ka väikesi perefirmasid. Kõik, mis neil vaja, on ligipääs e-kirjadele ja info ettevõtte sisemistest protsessidest. Nad on kannatlikud. Nad jälgivad, ootavad. Enne rünnakut teevad nad mitu kuud luuret: uurivad ettevõtte kodulehte, sotsiaalmeediat, analüüsivad, kes otsustab ja kuidas suhtleb. Samal ajal otsivad nad nõrku kohti, näiteks e-posti kontosid, millel puudub kaheastmeline autentimine. 

Varem reetsid petised end ka kehva eesti keele või üldise ebaprofessionaalsusega. Tehisintellekt on mängu muutnud. AI suudab paari varasema kirja põhjal imiteerida konkreetset suhtlejat nii, et isegi kolleeg ei tee vahet, sest kirjad kõlavad täpselt nagu need, mida ettevõtte juht või finantsjuht varem on saatnud. See muudab petuskeemid uskumatult usutavaks. 

Enam pole piisav lihtsalt „kahtlase keelekasutuse“ märkamise nõuanne – pettused on saanud uue näo. Kuid kindlasti tasub märgata seda, kui kirjas on tunda kiirustamise või surve hõngu. Sellisel juhul tasub ekstra tähelepanelikult iga rida alates saatja aadressist üle lugeda ja telefonitsi kirja saatjalt veel info õigsus üle kontrollida. 

Kõik on lukus ehk halvatus

Reede hommik. Rahvas on tööl, aga midagi ei toimi, failidele ligi ei pääse. IT-osakond avastab, et ka serverid ei tööta. Paari tunni jooksul on selge: kogu ettevõtte failid on krüpteeritud. Ekraanile ilmub must taust valge tekstiga: „Teie failid on lukustatud. Taastamiseks makske 50 000 eurot 72 tunni jooksul, vastasel juhul kustutatakse kõik andmed jäädavalt.“ Tagavarakoopiad? Kahjuks olid need samas võrgus ja samuti lukus. Kõik seisab ja kahju kasvab iga tunniga. 

Lunavararünnak on üks ohtlikumaid küberründe vorme. Kurjategijad krüpteerivad ettevõtte failid ja nõuavad nende avamise eest lunaraha. Sageli kasutavad nad süsteemi pääsuks töötajate lohakust, näiteks avab töötaja pahaaimamatult Wordi faili, mis käivitab küberkurjategijate plaani ja mõne minutiga on kogu ettevõtte sisevõrk nakatatud. Lunavaral ei ole vaja „häkkida“ süsteemi, piisab ühe töötaja ühest klõpsust valel lingil. 

Vahel võib töötaja avastada oma ekraanilt hüpikakna, mis väidab, et arvuti on nakatunud ja tuleb kiiremas korras võtta ühendust IT-toega, mille telefoninumber on kuvatud mugavalt ekraanil. Ta helistab sellele numbrile ja annab „tehnikule“ kaugjuurdepääsu oma arvutile. Viie minuti pärast on ta arvutis troojalane. 24 tunni pärast on nakatunud kogu võrk. 

See on tuntud taktika, mis toimib eriti hästi väiksemates ettevõtetes või vähemate digipädevustega töötajate korral. Pahavara paigaldatakse petlike veebihoiatuste või telefonikõnede kaudu. Töötajas võimust võtnud hirm ja „elupäästev“ kurjategija pakutud lahendus on nii mõnigi kord põhjuseks, miks küberkurjategijatel õnnestub süsteemi pääseda. 

Rutiin – kõige alahinnatum risk

Üks juhtivaid Eesti ettevõtteid kukkus lõksu lihtsalt seetõttu, et nende protsessid olid liiga rutiinsed. Iga kuu samal ajal, samad kinnitused, samad e-kirjad. Petturid teadsid, millal ja mida oodata. Nad sulandusid sisse. 

Ettevõtted, mis usaldavad oma protsesse pimesi, on petturitele ideaalsed sihtmärgid. Kui maksed liiguvad alati samal ajal ja samade inimeste kaudu, piisab kurjategijatel vaid natukesest kannatlikkusest, et kogu süsteemist aru saada. Kui rutiin võtab võimust, ei küsita enam lisakinnitusi ega olda piisavalt tähelepanelik detailide suhtes. Ülemäärane usaldus süsteemi vastu ning rutiin muudavad haavatavaks. Petturid ei pea enam süsteemi tungima jõuga. Nad lihtsalt kõnnivad uksest õigel hetkel sisse. 

Mida teha, kui avastad, et su ettevõte on langenud pettuse ohvriks?

  • Tegutse kohe, ära häbene. Võta viivitamatult ühendust oma pangaga. Mida kiiremini reageerid, seda suurem on tõenäosus osa rahast tagasi saada. 
  • Pöördu politsei poole. Iga küberrünne on kuritegu ning mida rohkem juhtumeid registreeritakse, seda paremini saab mustreid tuvastada ja tulevasi rünnakuid ennetada. Politsei saab kaasata ka rahvusvahelisi partnereid, kui jäljed viivad Eestist välja. Mida kiiremini rünnakust politseile teada antakse, seda suurem on tõenäosus, et kurjategija õnnestub tabada või vähemalt kahju piirata. 
  • Teavita ka CERT.ee-d ja Riigi Infosüsteemide Ametit. Nad saavad uurida, kas juhtum on osa suuremast liikumisest. 
  • Analüüsi juhtumit. Kuidas kurjategijad ligi pääsesid? Mis info lekkis ja kuidas? Tee sellest järeldused ning anna tulemustest kõigile oma töötajatele teada.
  • Koolita oma inimesi järjepidevalt. Harjuta tiimi olukordadega, kus neile saadetakse kahtlane arve, olgu see simuleeritud või päris. 
  • Mõtle läbi maksete limiidid. Kas neid saaks vähendada? Kellele milliseid õigusi jagada? Millal lubada makseid teha ja millal piirduda infoõigustega? Millal on tarvis topelt aktsepteerimist? 
  • Tee topelt kontroll reegliks. Iga makseinfo muudatus peab olema kinnitatud teise kanali kaudu, näiteks telefonikõnega. 
  • Tugevda tehnoloogiat, vajaduse korral kaasa eksperdid. Kasuta kaheastmelist autentimist, monitoori kahtlaseid IP-aadresse, lisa kirjadele turvafiltrid. Kui ettevõttes taolist pädevust ei ole, pöördu küberturbespetsialistide poole – nii rünnaku järel kui ka ennetavalt süsteemide tugevdamiseks ja katsetamiseks. 

Paraku ei ole me enam kohas „kui juhtub“, vaid „millal juhtub“ ning kui sa pole piisavalt valvas, on potentsiaal, et juhtub, seda suurem. Siin ei ole aega midagi homsesse lükata, sest küberkurjategijatel pole homset – neil on jooksev aeg ja iga võimaluse kasutamise taktika. Ole valvas! 

Autor: Mihkel Utt, Swedbanki korporatiivpanganduse osakonna juhataja