Jäta menüü vahele Ligipääsetavus

Panga- ja krediitkaardi­pettused

Internetipanga kasutamine ja pangakaardiga tasumine nii interneti- kui ka tavakaubanduses on suurema osa inimeste jaoks igapäevane. See on põhiline viis, kuidas me tänapäeval oma arveid maksame ja asju ostame.

Me eeldame, et pangakaardi ja internetipanga kasutamine on turvaline ja nii see üldjuhul ka on. Aeg-ajalt aga ilmub meedias uudis või mõni tuttav räägib, kuidas tema krediitkaart või pangakonto on tühjaks tehtud. Kaardi- ja pangapettused on levinuim viis, kuidas Eesti elanikud kaotavad oma raha küberkurjategijatele. Enamasti saavad kurjategijad ligipääsu ohvri kontole inimese tähelepanematuse või teadmatuse tõttu (inimene klikib SMS-i, e-kirja või muud kanalit mööda tulnud õngitsuslingil) ning ohver ise edastab kurjategijatele oma kaardiandmed ja ka allkirjastab digitaalselt kurjategija tehtavad maksekorraldused (internetipanka matkival õngitsuslehel). See annab aga ka võimaluse teadlikkuse ja tähelepanelikkusega vähendada võimalust pettuse ohvriks langeda.

Internetis ja telefonikõnedes tuleb olla kriitiline kõigi olukordade suhtes, kus küsitakse internetipanga ligipääsuandmeid, pangakaardiandmeid, SMS-iga saadud kinnituskoodi, mobiil-ID või Smart-ID PIN-koode. PIN-koode tasub sisestada ainult siis, kui oled toimingu ise algatanud ja kindlasti tahad seda teha.

Tähelepanu tasub pöörata sellele, milliseid koode kasutad oma toimingu kinnitamiseks. ID-kaardi, Mobiil-ID ja Smart-ID puhul:

  • PIN1 – kasutatakse enda autentimiseks ja juurdepääsu saamiseks, näiteks sisse logimiseks internetipanka või internetist ostes väiksemate ostude kinnitamiseks oma kaardiga; 
  • PIN2 – kasutatakse allkirja andmiseks ning tegevuste kinnitamiseks – näiteks pangaülekannete kinnitamine või dokumentide allkirjastamine. Eestis on ID-kaardi, Mobiil-ID ja Smart-ID PIN2-ga allkiri võrdsustatud käsitsi allkirjastamisega.

Kaardipettused

Kurjategijad kasutavad erinevaid viise ja kiiresti arenevaid tehnoloogiaid, et varastada inimeste kaardiandmeid (nii deebet- kui ka krediitkaardiandmeid). 

Järgnevalt on toodud mõned viisid, kuidas kurjategijad kaardiandmeid varastavad:

  • õngitsemine internetis, kus esmalt saadetakse kasutajale õngitsuslink e-kirjaga, SMS-iga või muud kanalit pidi, mis suunab õngitsuslehele, kus juba küsitakse kaardiandmeid;
  • spetsiaalselt andmete varastamiseks loodud võltsitud e-poed;
  • kaardi andmete kopeerimine / kaardiga lisatehingute tegemine mõnes poes või kohvikus (eriti välisriikides), kui teenindaja viib kaardi kliendi vaateväljast välja;
  • kaardi kopeerimisseadme lisamine pangaautomaadile.

Kaardiandmete varguse avastab ohver sageli alles pangakonto väljavõttel kahtlaseid tehinguid märgates. 

Pangakaardi turvaliseks kasutamiseks järgi oma panga soovitusi, turvalise e-ostlemise soovitused leiad artiklist Kuidas veebipoest ostes mitte petta saada?

Pangapettused

Eestis nõuavad internetipangad üldjuhul tugevat kaheastmelist autentimist. See tähendab, et ainult kasutajanimest ja salasõnast oma pangakontole sisenemiseks ei piisa ning lisaks on vaja kas ID-kaarti, Mobiil-ID-d, Smart-ID-d või koodi panga väljastatud PIN-kalkulaatorist. Pangarakenduse puhul kasutatakse ka näiteks nutitelefoni turvakoodi või biomeetriat (näiteks sõrmejälg). Kuidas siis ikkagi pääsevad kurjategijad teiste inimeste internetipanka sisse ja saavad tehinguid teha, kui süsteemid on ehitatud turvaliseks?

Suur osa Eesti elanikest kasutab internetipanka sisenemiseks ja arveldamiseks Smart-ID-d või Mobiil-ID-d, mis on tehniliselt turvalised, kuid eeldavad kasutajalt tähelepanelikkust ja teadlikkust PIN-koodide kasutamisel.

Järgnevalt toome samm-sammult välja, kuidas inimestelt PIN-koodid välja petetakse ja kuidas kurjategijad ohvri asemel tema internetipanga kontole sisenevad. Säärased ründed on üldjuhul automatiseeritud ja kurjategijate huvides tegutseb selleks loodud programm.

  1. Küberkurjategija saadab ohvrile õngitsuslinki sisaldava kirja või SMS-i või kasutab lingi edastamiseks mõnda muud kanalit.

  2. Ohver vajutab e-kirjas või SMS-is olevale veebilingile ja satub panka matkivale õngitsuslehele

    Kui kasutaja ei märka, et tegu on õngitsuslehega, üritab ta internetipanka siseneda ja sisestab õngitsuslehele oma kasutajanime ja isikukoodi.

  3. Küberkurjategijad on internetipanka matikava õngitsuslehe seadistanud nii, et sisestatud andmed saadetakse automaatselt edasi päris panga veebilehele ning üritatakse sisse logida. Ohver näeb aga ikka õngitsuslehte.

  4. Kui rünnaku käigus kätte saadud kasutajaandmed on edastatud päris panga veebilehele, kuvab panka sisenemise leht Mobiil-ID või Smart-ID kontrollkoodi. Ründaja kopeerib päris pangalt saadud kontrollkoodi õngitsuslehele, kus ohver pahaaimamatult kontrollkoodi ootab.

  5. Ohvri telefonile saadetakse Mobiil-ID või Smart-ID kontrollkood, sest sisselogimine toimub kurjategija poolt ka päris pangas. Ohver näeb õngitsuslehel õiget turvakoodi ning autendib ennast oma Mobiil-ID või Smart-ID abil. 

    Selle koodi sisestamisel saab kurjategija ligipääsu ohvri internetipanka ja hakkab seal toimetama (makseid tegema, laene taotlema vm).

    Ohvrile jääb aga ette kas kontrollkoodi leht, palutakse kannatust ootamisel, näidatakse tehnilise tõrke sõnumit vmt.

  6. Kui kurjategija soovib teha makset, mis nõuab allkirjastamist, jõuab see ohvri telefoni kinnitamiseks (telefon küsib PIN-2 koodi). Ohver võib makse pahaaimamatult kinnitada, arvates, et ta üritab endiselt internetipanka siseneda. Siin on oluline kasutaja teadlikkus, et PIN-2 kood on allkirjastamiseks.

    Osades pankades ei küsita allkirjastamist väiksemate maksete puhul, sellisel juhul ei ole kasutajal indikatsiooni, et tema pangakontol midagi toimub.  Sellisel juhul saab ohver maksest teada alles tagantjärele: kui ta tehingu pangakonto väljavõttelt avastab või pank saadab teavituse tehingust.

  7. Järgmised sammud:

    Kurjategija võib proovida teha mitut makset, sel juhul võib telefoni tulla mitu PIN-koodi päringut, mille sisestamisel ohver maksed kinnitab.

    Siin on tähtis jälgida, et ühtegi PIN-koodi ei sisestataks läbimõtlematult!

Mida teha kui pangakaardi andmed on varastatud või ründaja saanud internetipanga kontole sisse?

Kui sinu pangakaardi andmed on varastatud või märkad oma panga- või krediidikontol kahtlasi tehinguid, soovitame teha näiteks järgmist:

  • kui saad aru, et oled sattunud õngitsuse ohvriks ja võimaldanud petturile ligipääsu oma kontole, ära sisesta enam ühtegi Mobiil-ID ega Smart-ID PIN-koodi ja võta kohe ühendust oma pangaga panga ametlikul lehel (kasuta otsingumootorit!) oleva kasutajatoe numbri kaudu;

  • kui avastad pangakontolt kahtlased tehingud või arvad, et sinu kaardi andmed võivad olla lekkinud, võta kohe ühendust oma pangaga, et pangakaart sulgeda: võimalik, et saad oma raha tagasi või vähemalt väldid edasisi vargusi;

  • teata juhtunust Politsei-ja Piirivalveameti küberkuritegude büroole: https://cyber.politsei.ee/;

  • võta ühendust cert@cert.ee ja RIA eksperdid annavad nõu, kuidas edasi toimida. Samuti võib sinu edastatud teave aidata kurjategijaid tabada ja tulevasi intsidente vältida;

  • hoia kindlasti alles kõik tõendid varguse kohta, näiteks meilid, arved, tšekid, reklaami koopiad jms;

  • räägi juhtunust oma lähedastele ja tuttavatele, nii tõstad ka nende teadlikkust ning aitad sarnaseid olukordi vältida.