Kolmapäeval, 18. veebruaril kella 7 paiku hommikul hakkasid mitmed Eesti asutused ja kontaktid saama kirju Tallinna Tehnikaülikooli rektor Tiit Landi nime alt, milles soovitakse hinnapakkumist. Tegemist on petukirjaga ning Tehnikaülikool palub kõigil kõnealuse kirja manust mitte avada ja kirjad kustutada.
Tegemist on spoofing (nime võltsimine) ründega, kus imiteeritakse ülikooli ja rektorit lootes sellega teha kahju või saada kasu. Ülikooli IT-osakond kinnitab, et rektori e-posti konto ei ole kaaperdatud.
Kirjale on manustatud Hinnapakkumine-pdf.zip arhiivifail, kus leidub sees Hinnapakkumine-pdf.exe. Tegemist on LokiBot-nimelise pahavaraga, mis eelkõige tegeleb arvutitest info vargusega (paroolid, krüptovaluuta „rahakotid“ jmt).
Seoses intsidendiga oleme rakendanud täiendavad turbemeetmed (DMARC). Nende meetmete abiga on võimalik välistel osapooltel selgemini veenduda, et @taltech.ee aadressidelt saadetavad kirjad tõepoolest lähtuvad ülikoolilt ning tegemist pole saatja aadressi võltsinguga. Kõrvalmõjuna võib oodata, et väike hulk (<2%) @taltech.ee aadressidelt saadetavaid e-kirju ei pruugi jõuda adressaadini ning saatjale laekub vastav teavitus. Eelkõige puudutab see mõningaid e-postiloendeid. Antud juhtumite osas pöörduda IT helpdeski poole (helpdesk@taltech.ee).
CERT-EEd on juba teavitatud. Saatja IP on praeguseks blokeeritud ning ülikooli postkastidesse kirjad enam ei jõua. Ülikooli domeeniarvutid on korras ning neist ükski nakatunud pole, pahavaraga nakatumisele viitavaid sündmusi tulemüüri logides näha pole, kuid siiski võivad välistele osapooltele kirjad laekuda edasi. Intsidendiga tegeletakse edasi.
Küberkriminalistika ekspert selgitab: millise pahavaraga toimus tänane petukirja laine ja kuidas selle vastu võidelda
Tallinna Tehnikaülikooli küberkriminalistika ja küberjulgeoleku keskuse projektijuht Kieren Nicolas Lovell selgitab, millise pahavaraga oli seotud tänane Tallinna Tehnikaülikooli rektori nime alt välja läinud petukirjade laine. Samuti seda, kuidas selliste petukirjade eest end kaitsta.
LokiBot (tuntud ka nimede Lokibot, Loki PWS ja Loki-bot all) on troojalase tüüpi pahavara, mida kasutatakse konfidentsiaalsete andmete varastamiseks. Tüüpiliselt saab ohver e-kirja, mis tundub tulevat usaldusväärselt kontaktilt ja sisaldab antud pahavara manusena või lingi kaudu. Varastatud andmeid (nt paroolid) saab ründaja kasutada ohvri teiste kontode ülevõtmiseks või ohvri konto kaudu teiste süsteemide ründamiseks.
Võltsitud e-kirjade vastu aitab e-posti serveris DMARC (Domain-based Message Authentication, Reporting and Conformance) korrektne seadistamine. See võimaldab e-kirja vastuvõtval serveril kontrollida, kas kiri on tegelikult saadetud sellest organisatsioonist, mis kirja päisest välja paistab. Kui ei ole, siis saab antud kirja karantiini panna või kustutada enne, kui see inimese postkasti jõuab. Kui inimene kahtlustab võltskirja, siis tasub sellest teavitada oma organisatsiooni IT abi. Kindlasti ei tohi kahtluse korral avada lisas olevaid manuseid ega klikkida kirjas olevatel linkidel.