Pēdējā laikā virtuālajā vidē arvien biežāk uzdarbojas elektroniskie kramplauži, kuri vēlas ielauzties uzņēmēju datoros. Tas notiek arvien izsmalcinātākos veidos. Kā rīkoties, ja e-pastā saņemam nepazīstamus sūtījumus vai viltotu maksājuma pieprasījumus?
Iespējami divi viltotu maksājumu pieprasījumu varianti.
Viltus pieprasījums no kolēģa
Maksājums tiek pieprasīts kāda kolēģa vai uzņēmuma vārdā, bet skaidri redzams, ka:
- izsūtītāja adrese nekādā veidā nav saistīta ar personu vai uzņēmumu, par kuru uzdodas (var redzēt atbildes jeb reply-to laukā);
- maksājuma pieprasījums tiek sūtīts virknei saņēmēju (pie saņēmējiem parādās undisclosed-recipients vai paša sūtītāja adrese).
Šajā gadījumā informācija par saņēmēju iegūta no publiski pieejamiem resursiem, piemēram, mājas lapas.
Kā rīkoties?
Jāinstruē darbinieki, kā atpazīt šādus fiktīvus e-pastus, lai uzņēmums vai organizācija neciestu finansiālus zaudējumus, veicot pieprasītos maksājumus. Atpazīstot šādus fiktīvus sūtījumus, tos jāignorē.
Papildu drošībai iesakāms pilnveidot e-pastu sistēmas drošību, lai pasargātu uzņēmumu vai organizāciju no viltotiem e-pastiem, kas tiek sūtīti it kā paša uzņēmuma vai organizācijas vārdā.
Viltus pieprasījums no sadarbības partnera
Otrs izplatīts gadījums - maksājuma pieprasījums tiek saņemts no reāla sadarbības partnera un arī sūtītāja e-pasta adrese sakrīt, taču rekvizīti mainīti. Šādā gadījumā pastāv liels risks, ka kādai no pusēm ir tikusi kompromitēta e-pasta sistēma un uzbrucējs ir sekojis e-pasta sarakstei, lai atbilstošā brīdī nosūtītu viltotu rēķinu, kas sagatavots, par pamatu ņemot kādu no iepriekš sūtītiem maksājumu dokumentiem.
Kā rīkoties?
Šajā gadījumā situācija ir nopietna un nepieciešama speciālista piesaiste, kas spētu diagnosticēt problēmu un to novērst.
Ja incidents ir noticis valsts vai pašvaldības iestādē, kritiskās infrastruktūras turētājam, pamatpakalpojumu sniedzējam vai digitālo pakalpojumu sniedzējam, tad par incidentu ir jāziņo CERT.LV atbilstoši Informācijas tehnoloģiju drošības likumā noteiktai kārtībai. Pārējiem ziņošana ir brīvprātīga.
Abos gadījumos papildu drošību sniedz elektroniski parakstītu dokumentu izmantošana, kas paredz, ka, piemēram, maksājuma pieprasījums bez elektroniskā paraksta netiks apstrādāts.
Ja atvērta viltotā vēstule – kā rīkoties?
Viltotas vēstules ir dažādas.
Ja ir saņemts e-pasts, kas lūdz veikt maksājumu, paziņo, ka ir laimēts loterijā, vai ziņo, ka ir atradies kāds radinieks, kurš vēlas nodot mantojumu vairāku miljonu apmērā, un lūdz nosūtīt savus privātos datus, un tas ir atvērts, bet tālākas darbības netiek veiktas un netiek vērti vaļā pielikumi, tad diezgan droši var pieņemt, ka nekas ļauns nav noticis.
Ja ir ticis vērts vaļā pielikums, kurš šķietami tā arī neatvērās, vai iespējota macros funkcija, lai aplūkotu attiecīgo pielikumu, tad, visticamāk, dators ir ticis inficēts un nepieciešama speciālista palīdzība.
Arī infekcijas ir dažādas - piemēram, Emotet spiegojošais vīruss no inficētās iekārtas nozog e-pastu sarakstes, kontaktu sarakstus, citu sensitīvu informāciju, lejuplādē iekārtā citas ļaunatūras un no upura e-pasta izsūta sevi tālāk. Šis vīruss aktīvi izplatās Eiropā un Latvijā.
Savukārt šifrējošie izspiedējvīrusi padara datora saturu nelietojamu, pieprasot izpirkuma maksu par datu atgūšanu. Šeit var palīdzēt savlaicīga svarīgo datu rezerves kopiju (kas tiek uzglabātas datoram vai sistēmai nepievienotā diskā vai mākonī) veidošana, no kurām varēs datus atjaunot. Taču mūsdienās uzbrucēji, pirms datu sašifrēšanas, tos nokopē, un pieprasa izpirkuma maksu ne tikai par datu atgūšanu, bet arī informācijas nenopludināšanu. Iekārtas atvienošana no tīkla vai elektrības šajā gadījumā nepalīdzēs, jo parasti šāda tipa uzbrukums tiek pamanīts tikai tad, kad ir jau par vēlu un dati jau ir zaudēti.
Ir izveidots projekts “No more ransom!” kas var palīdzēt atgūt sašifrētos datus, nemaksājot uzbrucējiem. Taču ne visos gadījumos tas iespējams, jo ne visiem vīrusiem ir zināmas atšifrēšanas atslēgas.
Ja incidents ir noticis valsts vai pašvaldības iestādē, kritiskās infrastruktūras turētājam, pamatpakalpojumu sniedzējam vai digitālo pakalpojumu sniedzējam, tad par incidentu ir jāziņo CERT.LV atbilstoši Informācijas tehnoloģiju drošības likumā noteiktai kārtībai. Pārējiem ziņošana ir brīvprātīga.
Jebkurā gadījumā atgūšanās no uzbrukuma nav viegla, tāpēc svarīgi ir izglītot darbiniekus , izvēlēties drošus autentifikācijas mehānismus (drošas paroles un vēlams vairāku faktoru autentifikāciju), uzstādīt atjauninājumus, veikt iekārtu konfigurāciju atbilstoši labajai praksei, piemēram, nepadarot attālās piekļuves protokola servisu pieejamu no interneta vai ierobežojot tam piekļuvi tikai caur virtuālo privāto tīklu.
Ja kādā no augstāk minētajiem gadījumiem ir tapis zināms uzbrucēju bankas konts, vai ir ciesti materiālie zaudējumi - veikts pārskaitījums krāpniekiem vai ir sašifrēti dati, aicinājums par to ziņot Valsts policijai uz jebkuru nodaļu, vai tieši Ekonomisko noziegumu apkarošanas pārvaldei uz cyber@vp.gov.lv.
