Language switcher

Sa oled siin

Levib pahavara sisaldav ja Terviseametit matkiv libakiri

RIA küberintsidentide käsitlemise osakonnale (CERT-EE-le) anti eile õhtul teada, et inimestele saadetakse Terviseameti ametlikku infot kopeeriv libakiri, milles on link pahavarale.
 

Inimeste postkasti jõudis e-kiri, mis kandis vigast pealkirja „Tervis hoiuministeeriumi poolt heaks kiidetud teade COVID-19 viiruse levikus“. Ära ava kirjas olevaid linke ning kustuta kiri.

E-kirja lõpus on link failile „Eeskiri.7z“, millele ei tohi vajutada. Lingile vajutades tõmmatakse arvutisse pahavara sisaldav fail ehk arvuti nakatub pahavaraga. „Kui arvutikasutaja siiski vajutas lingile, laadis alla lingi taga oleva faili ja avas selle, on väga suur tõenäosus, et tema arvuti nakatus pahavaraga, mida antiviirused ei pruugi veel avastada,“ ütles CERT-EE juht Tõnu Tammer. Tammeri sõnul avaneb lingile vajutades pealtnäha tavaline ennetusplakat, kuid plakatiga on kaasas ka pahavara. „Kui inimene sai selle e-kirja ja avas ka lingi ning nägi seda plakatit, siis nakatati ta pahavaraga. Sellisel juhul ei tohiks arvutit kasutada seni, kuni seda pole puhastatud ja kindlaks tehtud, et pahavara on arvutist eemaldatud. Kindlasti tuleb välja vahetada brauserisse ehk veebilehitsejasse (Chrome, Edge, Firefox jt) salvestatud paroolid. Kui oled brauserisse salvestanud pangakaardi andmed, siis teavita sellest panka, sest kurjategijad võivad kasutada sinu pangakaarti, ning vajadusel telli uus kaart,“ lausus Tammer.

Tammeri sõnul tasub e-kirju avades alati jälgida, kes on selle saatja. „Tavaliselt tuleb libakiri tuntud ettevõtet või asutust kopeerivalt meiliaadressilt, mis aga tegelikult pole ettevõttega üldse seotud. Tuleb vaadata, kas ka pealkirjas sisalduv nimi ja saatja nimi klapivad. Ka väikesed ebakõlad peaksid ettevaatlikuks tegema,“ sõnas Tammer. Praeguse libakirja saatja oli euroapteek(at)protonmail.com ehk kurjategijad üritasid matkida Eestis tuntud apteeki. 

Ta lisas, et CERT-EE teavitas pahavarast ka antiviiruse tootjaid. „Antiviiruse pakkujatel läheb aga aega, et pahavara käitumismuster lõplikult tuvastada ja sellevastane kaitse oma toodetesse lisada. Praegu peab kasutaja ise hoolas olema,“ ütles Tammer. „Inimesed peaksid alati jälgima, millistele linkidele nad vajutavad, sest kurjategijad peidavad pahavara aina paremini. Kuigi kirjas on õigekirjavead, on kiri kokkuvõttes üsna hea kvaliteediga ning ka allalaetud failis olev plakat usaldusväärse välimusega. Seega ei tohi valvsust kaotada. Kui kirjasaaja ei näe linki, millele teda suunatakse, siis ma ei soovita mitte kunagi sellele vajutada,“ lõpetas Tammer.

Kui inimene klikkis lingile, laadis pahavara sisaldava faili arvutisse, avas selle ning nägi viidatud plakatit, siis palume saata info aadressil cert@cert.ee. Küberturvalisuse põhitõdede kohta saad lugeda Riigi Infosüsteemi Ameti blogist.

Ekraanitõmmis kirjast ja plakatist, mille sisse oli pahavara peidetud.

Распространяется поддельное письмо с вирусом якобы от лица Департамента здоровья

Вчера вечером подразделению рассмотрения киберинцидентов Департамента государственной инфосистемы (CERT-EE) сообщили, что людям рассылаются поддельные письма, копирующие официальную информацию Департамента здоровья, в которых содержится ссылка на вредоносную программу.

В почтовые ящики людей поступили электронные письма с содержащим ошибки заголовком „Tervis hoiuministeeriumi poolt heaks kiidetud teade COVID-19 viiruse levikus“ (Одобренное Министерством здравоохранения сообщение о распространении вируса COVID-19). Не открывайте содержащиеся в письме ссылки и удалите письмо.

В конце письма есть ссылка на файл „Eeskiri.7z“, которую нельзя нажимать. При нажатии на ссылку в компьютер загружается файл, содержащий вредоносное ПО, то есть компьютер заражается. «Если пользователь компьютера все-таки нажал на ссылку, скачал расположенный по ссылке файл и открыл его, то очень велика вероятность, что его компьютер будет заражен вредоносным ПО, которое пока еще не обнаруживается антивирусами», – сказал руководитель Cert-EE Тыну Таммер. По его словам, при нажатии на ссылку открывается, казалось бы, стандартный плакат о профилактике, однако этот плакат содержит в себе вирус. «Если человек получил это письмо, открыл ссылку и увидел этот плакат, то его компьютер заражается вредоносным ПО. В этом случае компьютер нельзя использовать до тех пор, пока он не будет очищен и пока не будет уверенности, что вредоносная программа удалена с компьютера. Обязательно следует поменять свои пароли, сохраненные в браузере (Chrome, Edge, Firefox и т. д.). Если вы сохранили в своем браузере данные банковской карты, то сообщите об этом в банк, поскольку злоумышленники могут использовать вашу банковскую карту. При необходимости закажите новую карту», – сказал Таммер.

По его словам, при открытии электронных писем всегда стоит внимательно смотреть, кто именно отправил письмо. «Обычно поддельные письма присылаются с адреса электронной почты, копирующего известное предприятие или организацию, но на самом деле этот адрес никак с ним не связан. Убедитесь, что имя отправителя совпадает с именем в заголовке письма. Даже небольшие несоответствия должны вас насторожить», – сказал Таммер. Адрес отправителя упомянутого поддельного письма был euroapteek(at)protonmail.com, то есть злоумышленники пытались имитировать известную в Эстонии аптеку. 

Он также добавил, что CERT-EE сообщил о вредоносном ПО производителям антивирусов. «Однако у производителей антивирусов уйдет время на то, чтобы точно определить характер поведения вируса, и добавить соответствующую защиту от него в свои продукты. Сейчас пользователи должны сами проявлять осмотрительность», – сказал Таммер. «Люди должны всегда следить за тем, на какие ссылки они нажимают, поскольку злоумышленники становятся всё более изобретательны и с каждым разом всё лучшее прячут вредоносные программы. Несмотря на наличие орфографических ошибок в письме, само письмо в целом имеет довольно хорошее качество, и плакат в загруженном файле выглядит вполне благонадежно. Поэтому никогда нельзя терять бдительность. Если получатель письма не видит ссылку, на которую его перенаправляют, то я рекомендую никогда не нажимать на такую ссылку», – подытожил Таммер.

Если вы нажали на ссылку, загрузили содержащий вредоносное ПО файл, открыли его и увидели плакат, то, пожалуйста, отправьте информацию по адресу cert@cert.ee. Об основах кибербезопасности можно прочитать в блоге Департамента государственной инфосистемы по адресу https://blog.ria.ee/kuberturvalisuse-abc/.

Во вложении содержится скриншот как самого письма, так и плаката с вредоносным ПО.

Сейко Куйк
пресс-секретарь RIA
5851 7028

Veel uudiseid samal teemal

02.04.2020

Küberkurjategijad kasutavad eriolukorda ära

Riigi Infosüsteemi Ameti (RIA) kvartaliülevaatest selgub, et esimeses kvartalis mõjutasid Eesti küberruumi enim üleilmne eriolukord ja hüppeliselt suurenenud kaugtöövajadus. Küberkurjategijad kasutavad nii pahavara levitamiseks kui ka erinevateks õngitsusteks ja pettusteks COVID-19 viirusega seotud huvi ja hirmu.

01.04.2020

Trendid ja tähelepanekud küberruumis – I kvartal 2020

Riigi Infosüsteemi Ameti küberturvalisuse teenistus koostab iga kuu küberturvalisuse ülevaadet ja kord kvartalis kvartaliülevaadet, mis on igakuisest kirjeldusest analüüsivam ja ettevaatavam.