Language switcher

Sa oled siin

Kurjategijatel on raskem tagaselja Smart-ID kontosid luua

Riigi Infosüsteemi Amet (RIA) tegi Smart-ID teenust pakkuvale SK ID Solutionsile (SK) ettepanekud, kuidas paremini ära hoida Smart-ID kontode loomist kurjategijate poolt. Kokku loodi inimestele nende teadmata mitukümmend Smart-ID kontot ning paaril juhul kaotati ka raha.

Kuna Smart-ID kaudu on võimalik siseneda inimese panka, riigi ja kodaniku infovahetuseks mõeldud eesti.ee portaali ning teistesse keskkonda, siis oli RIA jaoks tähtis muuta Smart-ID konto taotlemine selgemaks ning vältida olukorda, kus kurjategija loob inimese teadmata talle konto. Peamine ettepanek puudutas seda, kuidas paremini tõkestada inimestelt andmete välja petmist. „Meie esialgne ettepanek teenusepakkujale nägi ette eraldiseisva kanali või keskkonna loomist, mida Smart-ID konto looja peab teenuse aktiveerimiseks külastama. Kuna SK töötas välja oma lahenduse ning see on 1. juulist kasutusel, siis praegu me eraldiseisva keskkonna loomist ei nõua. Kui aga selgub, et SK meede ei ole piisavalt tõhus, siis tuleb teha uus riskianalüüs ning rakendada RIA esialgset lahendust alternatiivse keskkonna kujul,“ rääkis RIA küberturvalisuse teenistuse juht Uku Särekanno.

SK ID Solutions viis 1. juulist sisse muudatuse, mis teeb Smart-ID konto registreerimise selgemaks. Nüüd jõuab inimese mobiil-IDga seotud seadmesse eraldi teavitus ja kood, mis tuleb Smart-ID konto loomisel lisaks sisestada. RIA tegi ka ettepaneku, et SK viiks kontode loomise riski hindamiseks läbi turvaanalüüsi ja riskida maandamise plaani ning annaks inimestele läbi olemasolevate kontaktandmete täiendavat infot Smart-ID konto loomise kohta. Lisaks tuleb lasta järgmises vastavusehindamise raportis hinnata uusi meetmeid. Ettepanekute täitmisel lõpetas RIA menetluse.

Smart-ID skeemi peamine mure on see, et inimene, kelle andmed on kurjategija kätte sattunud ei pruugi aru saada, et ta annab digiallkirja Smart-ID konto loomiseks. „Aktiveerimisprotsess peab olema selgem ning inimene peab aru saama, et luuakse Smart-ID kontot. Kurjategijad kasutasid libalehti ja jätsid inimestele mulje, et digiallkirja on vaja pangaandmete uuendamiseks. Reaalsuses aga alustati samal ajal Smart-ID konto loomist,“ ütles Särekanno.

Veebruarist juunini levisid õngitsuskirjad, mille kaudu meelitasid kurjategijad inimestelt PIN-koode ning lõid nende teadmata Smart-ID kontod. Petuskeem seisnes selles, et inimestele saadeti mobiiltelefoni tuntud panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele. Seal suunati kasutaja õngitsuslehele mobiil-ID-ga sisse logima. Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal uue Smart-ID konto loomist. Inimeste tähelepanematust kasutades suunati teda tegema järgmisi vajalikke samme, näiteks sisestama PIN 2, et Smart-ID konto loomine taustal lõpetada. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ning tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka. 
RIA järelevalvemenetluse lõpetamine ei mõjuta politsei ja prokuratuuri algatatud kriminaalmenetlust, mille eesmärk on selgitada välja petuskeemi taga olevad inimesed.
 

Seiko Kuik

RIA pressiesindaja
6630 256
5851 7028
 

Veel uudiseid samal teemal

17.09.2019

RIA juht: julgus katsetada ja eksida tagab e-riigile helgema tuleviku

17.08.2019 – Täna algaval elektroonilise identiteedi tulevikku käsitleval konverentsil kohtuvad rohkem kui kolmekümne riigi eksperdid, kes otsivad ja esitlevad digiühiskonnas uusi väljakutseid. 

16.09.2019

Olukord küberruumis - august 2019

16.09.2019 – Augustis registreerisime 280 intsidenti, mis oli samal tasemel võrreldes mullusega.