Eesti pankades ja ametiasutustes on igat masti PIN-koodide sisestamine nii igapäevaseks muutunud, et pättidel on hõlbus inimestelt paroole välja meelitada.
Turvalisuse huvides loodud rakendusest on saanud uus eestlaste petulõks (6)
Mõni aeg tagasi muutus paljude riigi- ja suuremate asutuste puhul tavaliseks, et kui tahtsid ettevõttesse kõne teha, pidid end Mobiil- või Smart-IDga tuvastama. Tahad rääkida maksuametnikuga tuludeklaratsioonist? Tuvasta. Tahad rääkida Eesti Energiaga oma arvest? Trüki PIN sisse. Tahad rääkida pangatöötajaga – lükka aga koodid letti!
Seda on märganud ka kurjategijaid, kes PIN-koodide harjumispärast sisestamist enda kasuks tööle panevad. Ei möödu nädalatki, kui politsei ei teataks mõnest uuest niinimetatud pangapetukõnest, kus helistaja väidab end olevat pangatöötaja või lausa politsei, kes erinevatel põhjustel laseb ohvril endale PIN-koodid öelda.
Kuidas? «Nad paluvad inimesel sisestada koodid Smart-ID äpis või Mobiil-ID kaudu. Ütlevad näiteks ettekäändeks, et peavad veenduma, et tegemist on õige inimese või kliendiga ja selleks tuleb sisestada PIN-1, inimene on enne öelnud kelmile oma kasutajatunnuse ja nüüd enesele teadmata kinnitab Smart-IDs panka sisselogimise. Siis tuuakse järgmisena ettekääne, et kontole on vaja paigaldada ekstra kaitse, selle kinnitamiseks palutakse sisestada PIN-2, tegelikult kinnitab inimene sellega rahaülekande,» selgitas politsei pressiesindaja Leana Loide.
Swedbanki eraisikute kommunikatsioonijuht Martin Kõrv nentis, et pätid on väga osavad ja mõtlevad aina uusi nippe välja, et inimest oma PIN-koode avaldama panna. Ta ütles, et on juhtunud isegi selliseid kurioosseid lugusid, kus päris pangatöötaja helistab kliendile, et tema kontol toimuvad kahtlased tehingud ja klient ütleb, et jah, ta teab, et räägib just politseiga – kuigi viimaste näol oligi tegu pättidega, kes parasjagu kontot tühjaks vedasid.
Kuigi pangad hoiatavad, et kõne ajal pank inimese PIN-koode ei küsi, siis nii mustvalge see pole: on erandjuhtumeid, kus neid keset kõnet küsitakse. Arvestades petukõnede massilist levikut, tasub jätta kliendil meelde reegel, et PIN1 küsitakse ainult siis, kui inimene ise panka helistab. Kui inimene on tellinud endale pangast tagasihelistamise teenuse või helistab talle pangatöötaja muul põhjusel, siis PIN-koode ei küsita.
Jäta meelde kuldreegel: kui sina oled kõne algatajaks ehk valid numbri, siis tuleb ennast identida ja PIN1 sisestada. Kui helistatakse sulle ehk sina ei ole numbrit valinud, siis ei pea sa PIN-koode sisestama, kui seda teha palutakse, siis katkesta kõne.
Ning kui helistab väidetav pangatöötaja? Siis ei tohi kuhugi PIN-koode panna. Kui telefonis öeldakse, et tehingud on kahtlased, siis saab pank need ka ilma inimese koode teadmata kinni panna. Koode on «tehingute peatamiseks» vaja ainult pättidel. Petukõnede hulka arvestades – näiteks SEB tõi välja, et möödunud aastal petsid kelmid Eesti elanikelt välja 12 miljonit eurot – tuleks pangast kõne saades see lõpetada ja kui kõne sisuks olid mingid kahtlased tehingud, siis ise panka tagasi helistada, et uurida, milles asi.
Lihtsa telefonikõne jaoks enda identifitseerimist ametlike PIN-koodidega tahavad asutused selleks, et teada, kellega räägivad. Paraku pole sellist lahendust mõeldud välja tavainimesele, kus tema kontrollida saaks, kas ennast panga- või politseitöötajana esitlev isik on see, kelle ta väidab end olevat.