E-postkasti kaaperdades, pangarekvisiite muutes ja libaarveid esitades põhjustasid küberpätid eelmisel aastal kümmekonnale Eesti ettevõttele sadu tuhandeid eurosid kahju, vahendab BNS justiitsministeeriumi esialgseid andmeid.
Keerulisemate küberkuritegude kahju oli mullu Eestis kokku aga vähemalt 13,3 miljonit eurot. Arvutiandmete ja -süsteemi kuritegude mõiste alla on koondatud loata arvutisüsteemi või selle osasse sisenemine ehk häkkerlus, arvutiandmete loata omastamine ja nendega manipuleerimine, paroolide õngitsemine, arvutisüsteemi halvamine. Kümne aastaga kasvas selliste kuritegude arv ligi seitse korda. Niisuguste kuritegude ohvritest on kolmandik ettevõtted.
Enamasti üritab kurjategija välja meelitada pangaülekannet. Selleks viib ta ennast kurssi firma tegevusalaga. Kahjusumma jääb enamasti 10 000 ja 100 000 euro vahele, kuid võib olla suuremgi, vahendab BNS.
Justiitsministeeriumi analüüsitalituse juhataja Mari-Liis Söödi sõnul sooritatakse sedalaadi kuritegusid sageli süsteemselt. BEC ja BES on lühendid mõistest business e-mail compromise/business e-mail spoofing ehk ärikirjapettus ja see kuriteoliik pigem sageneb. Sellist tüüpi ründeid tehakse, nagu nimigi ütleb, e-posti teel.
BEC on see, kui kurjategijatel õnnestub sisse häkkida e-posti serverisse ja kirjavahetust «pealt kuulata». «Saadakse ligipääs ohvri e-postkastile ja vaadatakse, kuidas ja kellega ta suhtleb. Mõnele tema äripartnerile saadetakse muudetud e-kiri,» selgitab Sööt. Ehk esitatakse arve.
Riigi infosüsteemide ameti (RIA) küberintsidentide käsitlemise osakonna (CERT-EE) juhi Tõnu Tammeri sõnul on nii keerukad ründed harvemad, sest nõuavad rohkem tööd. «Oleme näinud, kuidas näiliselt lepingupartnerilt saabub täiesti reaalse tehinguga äravahetamiseni sarnane arve ning ainus erinevus on kurjategijate muudetud saaja kontonumber. Kuna rahvusvahelise makse sooritamiseks piisab teatud juhtudel vaid kontonumbrist, siis sellisest väikesest muudatusest piisab,» lausub Tammer.
2018. aastal said Eestis ettevõtted BEC-skeemides vähemalt 600 000 eurot kahju. 2019. aastal teatati RIA-le oluliselt väiksemast kahjust. Suurim teadaolev summa, mis mullu Eestist valele pangakontole kanti, oli 112 000 eurot. Aga sel korral sai ettevõte kaotatud summa pankade koostöö tulemusel tagasi.
BES-skeemis ei pääse kurjategija ohvri e-postkasti, vaid matkib firmajuhi e-aadressi. Keskkriminaalpolitsei küberkuritegude büroo juhi Oskar Grossi sõnul koostatakse ettevõtte juhi nimel e-kiri, milles näiteks palutakse arve kiiresti tasuda. «Kui sellise kirja ja arve saanud raamatupidaja ei ole hoolikas ega kontrolli, kas andmete muudatus on õige, siis maksabki ta raha valele pangakontole,» selgitas Gross.
Enamasti läheb välja petetud raha välisriiki, kust see kantakse üle järgmisesse riiki. Millalgi võetakse see kuskil sularahas välja. Justiitsministeeriumi analüüsitalituse juhataja Mari-Liis Söödi sõnul on petuarve ohvriks langenud ka avalike organisatsioonide töötajaid. Mullu registreeriti 18 sellist valearvet. Politsei hinnangul võib juhtumeid olla palju rohkem.