ScamLab – Netipetiste rakendamine kõrghariduses
Kes meist ei oleks enda meilipostkastist leidnud kahtlase sisuga kirjutisi, mis ärgitavad näiteks raha või isiklikke andmeid edastama? Kuigi üldiselt sellistele kirjadele vastamist ei soovitata, tegutsevad Kristjan ja Sten selle nimel, et netipetturite entusiasmi kasutada heategevuslikel eesmärkidel ehk küberturbe õpetamise huvitavamaks muutmisel.
Mis asi on kalastusrünne?
K: Laias laastus on kalastusrünne igasugune petukiri, millega paha-aimamatut arvutikasutajat kuritahtlikult ninapidi veetakse. Üldjuhul on selle eesmärk raha teenida. Kusjuures alati ei minda otse rahakoti kallale, vaid õngitsetakse kõigepealt infot ja luuakse usaldus.
S: Organisatsiooni kaitsmiseks tuleb aru saada, kust kaudu seda rünnatakse. Praegusel ajal kipuvad suurem osa õnnestunud rünnakutest kasutama e-posti. Organisatsiooni kaitsvaid tulemüüri ja muid tehnilisi meetmeid on sageli keerulisem petta kui organisatsioonis tööl olevat inimest. Seega saadetakse inimesele näiteks selline kiri, kuhu on manustatud atraktiivse nimega fail, mis on kahjurvaraga nakatunud. Teine variant on paluda kellelgi oma andmed (salasõna, pangakaardiga seotud numbrid) kuhugi veebivormi sisestada. Motivatsiooniks kasutatakse sageli kasuahnust (võida uus auto, telefon, 10 miljonit eurot) või hirmutamist (ülemus, politsei või muu autoriteet käsib).
Suuremates organisatsioonides on tavaliselt eraldi inimesed, kes proovivad algoritmide abil petukirjad varakult välja sorteerida ja lõppkasutajate eest ära peita. Töövälist meilikontot on aga sarnaste petukirjade eest veelgi raskem kaitsta, sest on äärmiselt keeruline luua ühtset petukirjade tuvastusloogikat, mis sobiks miljonitele inimestele korraga.
Millal teil tekkis netipettuste vastu suurem huvi?
K: Olin selleks heteks teemat juba mõnevõrra uurinud, aga kui mu ema Gmaili konto ühel hetkel kurikaelte kätte langes, võtsin asja isiklikult. Petised saatsid kõigile ema kontaktidele appikarje: olen Inglismaal lõksus, vajan koju sõitmiseks raha. Mängisin mõnda aega kaasa, kuigi teadsin, et ema on turvaliselt kodus. Kontot tagasi saada ei õnnestunud, aga vähemalt hakkas ema ja ka osa tema tutvusringkonnast edaspidi kaheastmelist autentimist kasutama.
S: Mind hakkas ühel hetkel aina rohkem huvitama küberturbega seotud oskuste ja käitumise mõõtmine. Üks esmapilgul lihtne viis inimeste turbeteadlikkuse mõõtmiseks on korraldada simuleeritud kalastusrünnak. Tegeliku rünnaku asemel saadetakse töötajatele rünnakuga sarnane e-kiri ja siis mõõdetakse, kuidas inimesed käituvad: kas näiteks kahtlases kirjas antud lingile klikitakse või mitte. Kui hakkasime aga erinevate organisatsioonidega koostöös simuleeritud kalastusründeid läbi viima, saime peatselt aru, et simuleeritud rünnakute tõhus rakendamine ei ole niisama lihtne. Mitmed asjaolud võivad tulemust olulisel määral mõjutada.
Võtame näiteks ühe hüpoteetilise olukorra, kus petukirjas väidetakse, et adressaat on võitnud kastitäie jäätist. Mati saab kohe aru, et tegemist on pettusega, ja jätab kirjale vastamata. Villu vihkab jäätist ja jätab kirjale seetõttu vastamata. Irina on puhkusel ja tööga seotud meile ei loe. Annal on tööl kiire periood ja otsustab petukirjale vastata mõni teine päev. Kõik nimetatud isikud jätavad kirjale vastamata, kuid erinevatel põhjustel. Eksperimendi korraldaja võib aga tõlgendada, et kõik olid piisavalt targad ja kuulekad, et pettusele mitte vastata.
Kui ma hakkasin erinevaid kalastusrünnakute aspekte lähemalt uurima, tekkis ka huvi päris pettustest paremini aru saada: milliseid taktikaid petturid kasutavad ja kuidas nende vastu paremini võidelda.
Kust tuli mõte asutada ScamLab?
K: Aastaid hiljem prooviti mind jälle läbi sugulaste rünnata, sedapuhku sotsiaalmeedias. Pakuti sisuliselt tasuta raha, olgu ma ainult mees ja võtku pakkumine vastu. “Sugulane” ei läinud kohe asja juurde, vaid alustas viisakustega — kuidas läheb, millega tegeled — ja alles siis rääkis oma suurest õnnest. Piisab vaid taotlusest ja kohe saadetaksegi raha: nende perel olevat nüüd mõneks ajaks täiesti muretu elu. Toetuse taotlemiseks pidin suhtlema kolmanda osapoolega, mis väitis end olevat mingisugune fond. Mängisin natuke aega kaasa, postitasin kogu saaga oma blogisse ja unustasin kogu teema.
Siis aga tuli järgmine huvitav pakkumine: kas ma ei tahaks liituda Illuminaatidega. See vestlus läks kohati täiesti pööraseks, ehk siis avaldasin kogu sisu koos kommentaaridega järjekordselt oma blogis. Postitus osutus sedavõrd populaarseks, et üks mu kunagine õppejõud lubas selle oma aines kohustuslikuks kirjanduseks teha ja vihjas, et seda teemat võiks teistegagi arutada. Üks asi viis teiseni ja lõpuks taotlesime (ja saime) Steniga koos toetust ScamLabi asutamiseks TalTech’i IT-Didaktikakeskuselt.
S: Õpetan TalTech’is küberturbe aluseid. Turvalisest käitumisest räägitakse palju, aga praktilisi harjutusi, mis aitaksid teoreetilist juttu kinnistada, ei ole niisama lihtne luua - vähemalt selliseid, mis natukenegi põnevust pakuksid. Muidugi võib teha ülesandeks lülitada oma meili- ja sotsiaalmeedia kontodel sisse mitmeastmeline autentimine, aga see ei ole just eriliselt sütitav ega meeldejääv ülesanne. (Samas on see äärmiselt kasulik oma netielu paremaks kaitseks!)
Päris kriminaaliga suhtlemine tundus huvitav ja motiveeriv ülesanne, mis samal ajal tõstaks tudengite teadlikkust. Lisaks on selle teemaga lihtne siduda teisi kasulikke ülesandeid. Näiteks saab enne kriminaaliga suhtlust arutada, kuidas hoida Internetis oma anonüümsust või kuidas suhtuvad erinevad riigid identiteedipettusesse. Pärast paraja portsu petukirjade kogumist saab nende sorteerimiseks arendada erinevaid masinõppe algoritme ja seeläbi arutada, mis on tehisintellekti head ja vead.
Kas olete juba päriselt proovinud õpetamisel netipetturite n-ö “abi” kasutada?
S: Proovisime jah. Tegime TalTech küberkaitse magistritudengitega mitmeid huvitavaid harjutusi läbi.
K: Jaa, see oli päris tore kogemus. Ma pole päris kindel, kas esimesed katsed pakkusid rohkem põnevust meile või tudengitele, aga edaspidi proovime seda kindlasti õppurite jaoks veelgi kaasahaaravamaks teha.
Mida olete ise ScamLabi ülesannetest õppinud?
K: Üllatavalt lihtne on pettureid lihtsate automaatvastustega edasi suhtlema saada. Nii lihtne, et üsna suure tõenäosusega kasutavad ka nemad suhtluse alguses just automaatikat.
S: Kui ei soovi oma postkasti petukirju saada, surub ikka aeg-ajalt mõni kavalam kiri end läbi kaitsvate algoritmide. Kui on aga soov petukirju suuremal määral koguda, siis see ei olegi niisama lihtne.
Millised on plaanid edaspidiseks?
K: Kindlasti tahame ScamLabi harjutusi paremaks lihvida ja ka tulevikus tudengeid kaasata. Kes teab, ehk õnnestub sellest lausa iseseisvaks katsetamiseks sobiv koolituspakett kokku panna. Üldiselt tahaks petturite metoodika uurimisega omajagu sügavamale sukelduda, praegu oleme selles suunas alles varbad vette kastnud.
S: Plaanis on ka edaspidi avaldada huvitavamaid artikleid. Kogume petukirju ja ideid nende kasutamiseks hariduslikel eesmärkidel.
Küsimustele vastasid
Kristjan: Olen IKT sektoris erinevates rollides aktiivselt tegutsenud 90ndate lõpust. Praegu jagan oma aega peamiselt pere, testijuhtimise, testimiskoolituste, ettevõtte käimajooksmise ja laulmise vahel. Minu kirg on enda ja teiste harimine.
Sten: Õpetan TalTech’is küberturbe aluseid ja uurin, kuidas paremini küberturbe-alaseid kompetentse mõõta ja õpetada.